这几天因为要迁移服务器，所以把DNS相关的知识又看了一遍，有一些心得和大家分享一下：

(图片来自微软网站）

1）关于根服务器

Root server负责域名体系的根“.”。Local dns server不能解析的域名，都会查询根服务器，得到次一级的服务器，比如.org.。然后org服务器会告诉resolver下一级的服务器在那里，比如.kernelchina.org.，最后是相应的web服务器的地址，比如www.kernelchina.org。Root server的数据库应该不会很大（顶级域名数量有限）。有13个root server，这些服务器的内容应该是完全相同的（不存在解析请求从一个root转发到另一个root）。每一级的dns server都会有冗余机制来保证可靠性，比如root server就有13个，一是保证可靠性，也可以负载分担。一般DNS server有Master-Master，Master-Slave，Slave-Slave的配置方式，以保证可靠性。

http://www.zytrax.com/books/dns/ch4/

http://www.isoc.org/briefings/016/index.shtml

2）关于解析器（resolver）

(图片来自微软网站）

微博的备份

那些魂牵梦绕的游戏 0.艺术就是给我们带来另一个世界的东东。以此解释Game就是艺术。再以此解释，悲催的计算机coding也是艺术,在玩物丧志的大学时代，整天泡在电脑旁，有时自己玩，因为机时不够，大部分时间是指导别人玩，人送绰号“赵指导”，大规模怀念一些经典游戏于此，老了有个念想:-(

那些魂牵梦绕的游戏 1.三国英杰传-大众软件有攻略，认真打了两遍这个有趣的战棋游戏，长坂坡为了赚曹操经验，废了好几天时间。还有心比金钿坚的玩友，每一步都要求完美无缺，一个游戏玩打了n年，每个人都要培养到最高级。这款游戏以16色的配色做出了256色都达不到的效果，我到现在还想玩之，KOEI。

那些魂牵梦绕的游戏 2.魔法门六，满足了文艺宅男探索未知世界、带队砍人、练级施法、配药等多方面需求。第一视角的界面更是惊叹。在还不会用光明之火的时候，没头苍蝇一样乱闯。冷不丁窜出来的响尾蛇搞得我心惊胆战，后来有了光明之火的小地图，如鱼得水。刚学会飞行的时候，世界都在我脚下。3DO。

那些魂牵梦绕的游戏 3.永远的仙剑，那个年代都是286，少有几台386，还见过更破的，估计是传说中的8086，恰逢通宵上机，别人的都是4M内存，我那台只有2M。仙剑要占1.7M，搞了半宿内存，用QEMS386替代微软的EMS386，终于仙山飞鹤的水墨CG出来了，那仿佛来自远古世界的音乐让我的心都停止了跳动，大宇。

那些魂牵梦绕的游戏 4.C&C，已是486时代了，C&C最炫之处在于联网对战。几个宿舍自费在窗户外面拉上铜轴电缆，顺便可以晾衣服，现在都进博物馆了。很快证明我这个战棋玩家不适合激烈对抗，高手们击键如弹琴。一次我捡到一隐形运兵车，遂放若干工程师去偷东西，东西没偷到，心脏差点跳出来，西屋。

那些魂牵梦绕的游戏 5.魔法门英雄无敌，年复一年，夜复一夜，每晚自己玩或指导别人玩，武器/魔法攻击，兵种的能力，幸运概率诸多公式烂熟于胸。可以负责任的说，如果用玩魔法门的时间和劲头去做学问，应该已经是院士了，至少是博士了。游戏取材西方神话，狮王盾等道具更于魔幻电影中屡次出现3DO。

那些魂牵梦绕的游戏 6.轩辕剑4-黑龙舞兮云飞扬，多魔映画小组的经典之作，大气而不失精致的情节策划、知其不可为而为之的墨家情怀感人至深，看着大寨几经而战伐而破损不堪，我的心也在失血，台湾幸运存留着正统中国文化之一脉。游戏中的天书世界、炼妖系统给人极大的乐趣，适合避世之用。大宇。

那些魂牵梦绕的游戏 7.金庸群侠传。垃圾游商智冠当年最好玩作品。有熟悉的小说情节，漂亮的绝技动画，我至今难忘独孤九剑那落英缤纷的画面，虽无音效，但剑势一出心中‘刷’的一声。500次攻击才可用的‘野球拳’，是练级控永远的爱。当辰辰月嫂的老旧手机传出群侠之传背景音乐，我faint了。

那些魂牵梦绕的游戏 8.大菠萝 last but not least. 一代应该运行在586-166上，那个神秘小男孩处总是有特殊的宝物。二代更是玩了多遍，同样满足男人了带队砍人的天性需求。嫌恶心，不喜近战，喜用大闪电摧枯拉朽式砍人或者放若干骷髅。三代十年没release，影响PC工业，因为我们没有理由升级机器，暴雪。

NSA在1月16日发布了基于SELinux的SEAndroid。项目主页是：

http://selinuxproject.org/page/SEAndroid

粗读了一下他们的幻灯片，主要的内容如下：

又一年过去了，随着年龄增长，人生时间的存款余额越来越少，不禁又想到如何能把life project做的完美一点。

元旦后出差了两周，手机里面的《资治通鉴》，没事时翻出来，竟然异常精彩，一口气从战国读到秦汉。读历史受人物、事件的感染，总会让我激情澎湃，况且那个时代是重义轻生、打破贵族草根为王的年代。《资治通鉴》是编年体的史书，看起来比史记、汉书、三国志更清晰，推荐一下。

实际上，平头码农，想多了有啥用呀。不过，追求是人的权利，很多平常人在追求中，尽管生活艰辛，依然感觉非常幸福。出差还看了一会电视，《我为教育狂》，看到热血青年投身教育。工作在写字楼里的我，在大城市中像市井一样满脑子为利益算来算去，太狭隘了。除了这些，又能怎么样呢，有老有小，家里人不多，事情挺多，关系挺复杂，比上班搞研发需要更多智慧去处理。

2011，太平淡了，回想一下好像没有什么值得想起来的东西。总的来说，更沉沦、失落、堕落了一些。2012，2013... 只要努力，人生应该会有奇迹，耐心等待吧。

用张载先生的话来鼓励一下自己：

为天地立心、为生民立命，为圣人续绝学，为万世开太平。

多学习、多研究，探赜索隐，了解圣人的心意。

Positive pressure，意思是空气正压。通常在一个数据中心，为防止外面的空气进入数据中心，需要保持空气正压，也就是内部的大气压比外部的大。这样可以避免数据中心内部的空气污染而导致的设备损坏。同样的还有positive flow，也就是水应该向外流，也就是说设备所在的区域应该比四周要高（想想卫生间是怎么装修的）。空气正压在坦克的三防里面也有应用，前几天看一个坦克三防的介绍，要求坦克内部的气压比外面高，防止辐射，化学污染进入内部。

数据中心应该位于大楼的中间层，而且应该在本层区域的中心。这个也符合分层保护的原则，优先级最高，权限最高的要放在内层（想想操作系统的ring protection)。数据中心不能放在地下室（防止被水淹），不应有明显的标志（太明显了会吸引破坏者）。关于数据中心选址，建设有很多话题，以后会介绍。正规的数据中心规划应该遵循一些原则，这样可以避免灾难发生，或者是灾难发生后，对数据中心的破坏较小。

Droplet写过一些Network应用实现的模式，鉴于网络设备的复杂性，还有不少D还没有囊括进去，我这里补充一种累积下发模式：

其实很简单，如果发送方有很多小的消息需要发送，延迟一会儿累积一些消息一并发送。这里一般有两个条件会触发发送：

1.在消息积累到一定数量的时候，超过Threshold的时候发送累积消息。

2.在消息没有达到threshold，但是经过一定超时时间的时候，也发送。

这个模式很常用，其实熟悉TCP协议的人会想到Nagle算法就是完全使用这种模式，当时解决的问题是Telnet协议中的大量小报文造成的协议损耗以及低速链路的拥塞。Nagle算法是84年采纳的，当时网络还很不发达，行家更少，以至于这样简单的设计也会成为著名算法，恨不早生20年，也发明一下":-)

安全的第一步是识别资产，并把资产分级。对信息安全来说，信息就是资产，因此信息也需要分级。通常有两种分级方式，一种是商业用途的，一种是政府或者军事用途的，如下：

信息资产的等级从上而下，TOP secret是需要最高的保护，而Public或者unclassfied是对公众开放的信息。在看美国大片的时候，经常会看到标记TOP secret的纸袋，里面装着绝密的信息，里面的消息当然是知道的人越少越好。

对做信息安全的人来说，了解客户的业务，帮助客户识别资产并划分等级，并针对不同资产采取不同的保护方式，这样的安全方案才是有的放矢。

http://en.wikipedia.org/wiki/Top_secret

http://www.yourwindow.to/information-security/gl_dataclassification.htm

CISSP (Certified Information Systems Security Professional)是信息安全领域认可程度很高的一个认证。据说全球大概有6万左右持有CISSP证书的工程师。是CIO/CSO的入门证书。CISSP与厂商无关，所有不会考察某个具体产品的知识，而是倾向于概念性，通用的知识点。CISSP有十个知识领域(Common Body of Knowledge  or CBK)，如下：

1）Access Control

2）Telecommunications and Network Security

3）Information Security Governance and Risk Management

4）Software Development Security

5）Cryptography

6）Security Architecture and Design

7）Operations Security

8）Business Continuity and Disaster Recovery Planning

9）Legal, Regulations, Investigations and Compliance

10）Physical (Environmental) Security

CISSP的特点是知识面广，但是考试本身并不会涉及太深入的知识，个人认为CISSP考试有以下几个难点：

1）知识面广。CISSP认证需要至少5年的相关领域的工作经验。但即使有5年的工作经验，也不可能对所有的知识领域有了解。安全本身又是一个交叉的行业，涉及软件，硬件，管理，站点设计，灾备等等。每个领域都有很复杂的知识体系，所以CISSP只是一个入门证书，需要持续不断的学习，并且在专门的领域深入去研究。CISSP让你对安全有一点感觉，至于做出一点事情，需要付出更大的努力。

2）英文考试。目前还没有中文版的考试，所以对中国人来说还是有一定的难度。由于涉及知识面广，所以专业术语特别多，词汇量有一定的要求。

3）毅力。准备考试，至少需要两到三个月的准备时间。每天至少要花两到三个小时。这对于已经工作的人来说，有一定的难度。如果不能坚持，很显然是没法通过考试的。

4）体力。CISSP考试时间需要六个小时，100多页的英文试卷，对人的精力和体力是一个考验。我的感觉是，考完了，饿坏了，准备的吃的没时间吃，也不太方便（准备了豆沙饼，放书包里面，不好拿出来，吃也麻烦，早知道带几个士力架或者巧克力，还好一点）。6个小时，答题，检查，上厕所，其实很紧张。

CISSP有三四百个知识点，需要理解，而不是死记硬背，所以对于知识积累还是有一定的好处的。这个系列就是对一些知识点的解析或者是解释。希望对想参加CISSP考试的朋友有帮助。学习CISSP，推荐几个站点

www.isc.org

http://en.wikipedia.org/wiki/Certified_Information_Systems_Security_Professional

www.chinacissp.org （对我帮助很大）

有疑问，也可以在这个网站上讨论。

RAID (redundant array of independent disks; 或者redundant array of inexpensive disks)，顾名思义，通过多个独立硬盘提供存储的高可靠性。RAID可以用软件实现，也可以用硬件实现，但是应该对应用软件透明。RAID实现里面，有三个基本概念：

1）Striping （条带）简单说就是把数据分散到多块硬盘上，其实就是一个cluster。它可以扩展逻辑硬盘的容量，并且由于是并行读写的，所以速度很快。

2）Mirroring （镜像）简单说就是把数据镜像到另外一块硬盘上，从而提供高可靠性。由于数据是冗余的，所以空间有浪费，而且速度较慢。

3）Parity （奇偶校验）附加额外的校验和，从而在硬盘损坏的情况下恢复数据，由于数据是冗余的，所以空间有浪费（但是比mirror好一点），而且速度也慢一点。

所有的RAID等级，基本上上面三个方面的组合，比如

RAID 0   Striping

RAID 1   Mirroring

RAID 2,3,4,  Striping and Parity, 2,3,4已经被淘汰了，不再使用

RAID 5 Striping and Parity 用的最多的RAID

RAID 6 Striping and Parity 是RAID 5的扩展

RAID 10 （1+0）或者RAID 01 （0+1） Mirroring and Striping提供高可靠性，同时扩展磁盘空间

还有很多其他的RAID 类型，基本上就是上面三个方面的组合，记住0,1,5就可以了。

最新的关于存储高可靠性的分类方式有变化，更简单一点：

1）Failure-resistant disk systems (FRDS)

2）Failure-tolerant disk systems (FTDS)

3) Disaster-tolerant disk systems (DTDS)

上面的分类，可靠等级依次递增，实现复杂度也依次递增。

RAID的概念可以用于存储的高可靠性，同样也适用于网络设备的高可靠性，比如网络设备里面的session备份。网络高可靠性的解决方案里面，也包括cluster和mirror两种方式。唯一不同的是parity不好实现。其实parity就是一个压缩存储的机制，对于网络设备这种要求低延时的设备，好像不太适用。

http://en.wikipedia.org/wiki/RAID