Manjusaka

2022年10月第一周周报

啊，每到假期的时候，总是最快乐的时候了

生活

1. 本周状态还 OK，不过每周身体都会出点奇奇怪怪的问题
2. 减重计划进行中，这周三斤左右
3. 本周带着小白猫去绝育的路上又救助了一只新猫，我怎么就管不住我这手呢？
4. 本周疯狂娱乐时间
   1. 德凯第十二话，怎么才十二话就暴露身份了呢？不过文戏还是不错的
   2. 摇曳露营 S2 刷完，想考摩托车驾照去露营了
   3. 吹响，上低音号，京吹，太橘了，不过少女们的热血真的让人难以忘怀啊
   4. 银魂.jpg
   5. 间谍过家家 EP13 !，新的 OP 和 ED 好评
   6. SSSS.电光超人古立特，六花的角色塑造真的不错
5. 本周没有闲书（
6. 本周去了国家植物园！好玩！想摘里面的水果（但是忍住了
7. 本周去吃了铁锅炖羊肉，羊汤好吃，以及吃了捞汁小海鲜！满足了！

技术

每周都在吼着要多学一些技术，但是十分钟后又去看番了，（都怪某不知名公益群群友安利的番太合我胃口，你们这什么群啊，害人不浅啊你们）

1. 这周把 CSAPP 第三章的随堂作业差不多写了80%了，国庆再写点，国庆后应该可以开始写 Chap4 流水线的作业了。不过重学汇编对我来说弥补了之前很多想不明白的地方（比如分支预测之类的（可能流水线作业写完能有个更深的理解（
2. 本周接了《Dead Simple Python》的试译，国庆剩下的时间估计要在赶稿子中渡过了
3. 仔细拜读了下 CloudFlare How we built Pingora, the proxy that connects Cloudflare to the Internet 一文，不得不说，里面不少东西的确也戳了一些痛点，感觉去 Nginx 化慢慢在成为一个潮流
   1. Ngixn Process Worker 带来的链接无法复用的问题，当然调优不当的情况下，也会造成进程负载不均匀
   2. 扩展性的问题。
4. 看了 AWS 团队基于 Rust 的 Quic 实现 s2n-quic。他们现在 CloudFront 产品 Quic 的支持就基于这货
5. 这周读的 OSDI 2022 的文章 BlackBox: A Container Security Monitor for Protecting Containers on Untrusted Operating Systems，个人觉得比较野，但是的确也挺有创新性的
   1. 这篇论文主要还是论述从 Cloud Vendor 做安全容器加固的方案。所以相对而言，可以不太考虑兼容性
   2. 他们爆改了 Kernel 实现，在 ARM 的 EL2 实现了一个 Container Security Monitor，提供了一组 ABI。在内核执行，fork，exec，内存页分配，mmap，之类的操作，都会走 ABI 和 CSM 交互。CSM 会从内核中接管相关的资源并作加密处理
   3. 因为 Linux OS 在 EL1 运行，所以 EL2 的 CSM 相关的资源对操作系统不可见（同时会提供一些 buffer 来作为 IPC，其余 syscall 之类的交互使用）
   4. CSM 不会做完整的虚拟化，指令执行，内存分配释放之类的东西都还是交给 OS 来做。
   5. 相较于 gVisor 能提供更好的安全性，相较于 kata 这种 VM Container 方案，性能会更好，论文里给出的数据是不超过百15的性能损失
   6. 由于改了比较多的 Kernel，我感觉不太可能 backport 到上游
   7. 和 Intel SGX 的思路有点像，说起来 OSDI 2016 有篇 SCONE: Secure Linux Containers with Intel SGX，明天感觉可以大概读一下
6. 工作上暂时没啥要聊的，先这样

差不多就这样

总结

祝大家假期愉快啦！