张贴在 0001

  • 发布使用不同协议的多个服务,通过单端口监听

    Monday, January 01, 0001 在 源码分析

    Tags:

    通过对protocol进行配置,dubbo3可以支持端口的协议复用。 比如使用Triple协议启动端口复用后,可以在相同的端口上为服务增加 Dubbo协议支持,以及Qos协议支持。这些协议的识别都是由一个统一的端口复用 服务器进行处理的,可以用于服务的协议迁移,并且可以节约端口以及相关的资源,减少运维的复杂性。 在服务的创建阶段,通过从Config层获取到服务导出的协议配置从而创建不同的Protocol对象进行导出。在导出的过程 中,如果不是第一次创建端口复用的Server,那 …

    更多

  • Dubbo 3 中的三层配置隔离

    Monday, January 01, 0001 在 源码分析

    Models提供的隔离 Dubbo目前提供了三个级别上的隔离:JVM级别、应用级别、服务(模块)级别,从而实现各个级别上的生命周期及配置信息的单独管理。这三个层次上的隔离由 FrameworkModel、ApplicationModel 和 ModuleModel 及它们对应的 Config 来完成。 FrameworkModel :Dubbo 框架的顶级模型,表示 Dubbo 框架的全局运行环境,适配多应用混合部署的场景,降低资源成本。 如:假设我们有一个在线教育平台,平台下有多个租户,而我们 …

    更多

  • 安全漏洞

    Monday, January 01, 0001 在 安全公告

    Tags:

    1. Log4j CVE-2021-44228 漏洞 最近,主流日志组件 log4j2 爆出安全漏洞 CVE-2021-44228。 以下是漏洞 CVE-2021-44228 对 Apache Dubbo 框架的影响总结及用户应对指南。 Dubbo 影响范围 该漏洞对 Dubbo 框架使用安全并无影响。 Dubbo 本身不强依赖 log4j2 框架,也不会通过依赖传递将 log4j2 带到业务工程中去,因此,正在使用 Dubbo 2.7.x、3.0.x 等版本的用户均无需强制升级 Dubbo 版 …

    更多

  • Dubbo Go Hessian2 v1.7.0

    Monday, January 01, 0001 在 社区动态

    Dubbo-go-hessian2 v1.7.0已发布,详见 https://github.com/apache/dubbo-go-hessian2/releases/tag/v1.7.0, 以下对这次更新内容进行详细整理。 另外v1.6.3 将 attachment 类型由 map[string]stiring 改为map[string]interface{} 导致版本不兼容问题,这部分已还原,后续的计划是将dubbo协议的request/response对象整体迁移到dubbogo项目中进行 …

    更多

  • Dubbo Go 1.5.1

    Monday, January 01, 0001 在 社区动态

    近期我们发布了 dubbo-go v1.5.1,虽然是 v1.5 的一个子版本,但相比于 v1.5.0, 社区还是投入了很大人力添加了如下重大改进。 1 应用维度注册模型 在新模型 release 后,我们发现 Provider 每个 URL 发布元数据都会注册 ServiceInstance,影响性能需要优化。 我们的优化方案是: 去除 ServiceDiscoveryRegistry 中注册 ServiceInstance 的代码,在 config_loader 中 …

    更多

  • 序列化协议安全

    Monday, January 01, 0001 在 安全公告

    Tags:

    Dubbo3.0在序列化协议安全方面进行了升级加固,推荐使用Tripe协议非Wrapper模式。 该协议默认安全,但需要开发人员编写IDL文件。 Triple协议Wrapper模式下,允许兼容其它序列化数据,提供了良好的兼容性。但其它协议可能存在反序列化安全缺陷,对于Hession2协议,高安全属性用户应当按照samples代码指示,开启白名单模式,框架默认会开启黑名单模式,拦截恶意调用。 不建议使用其它序列化协议,当攻击者可访问Provider接口时,其它序列化协议的安全缺陷, …

    更多