Kris Rice's questions

Eu escrevi um bashscript que:

• obtém a última Githubexecução de CI/CD
• verifica o resumo dos artefatos baixados
• gera um processo para baixar e extrair cada artefato (em paralelo) se o resumo tiver sido alterado
• aguarda até que o processo de download e extração seja concluído e executa novamente o script

Tenho um problema - o script gera as tarefas paralelas sem problemas, mas faz isso a cada 10 segundos. Por algum motivo, isso waitnão está sendo respeitado.

Por que isso acontece e como posso consertar?

Este é meu script:

#!/bin/bash

# GitHub repository details
REPO="RiceKX/Hydra"            # Format: owner/repo, e.g., "octocat/Hello-World"
BRANCH="development"           # The branch you want to check for the latest build
GITHUB_TOKEN="${GITHUB_TOKEN:-$(cat /path/to/your/token)}"  # GitHub token with necessary permissions
GITHUB_API="https://api.github.com"
ARTIFACTS_DIR="latest_dev_build"    # Directory to store downloaded artifacts

# Ensure the artifacts directory exists
mkdir -p "$ARTIFACTS_DIR"

# Run the script in an infinite loop
while true; do
    # Check if repository, branch, and GitHub token are provided
    if [ -z "$REPO" ] || [ -z "$BRANCH" ] || [ -z "$GITHUB_TOKEN" ]; then
      echo "Please set the repository, branch, and GitHub token in the script."
      exit 1
    fi

    # Step 1: Fetch the latest successful run for the specified branch
    echo "Fetching the latest successful build for branch '$BRANCH'..."

    RUN_ID=$(curl -s \
      -H "Authorization: token $GITHUB_TOKEN" \
      "$GITHUB_API/repos/$REPO/actions/runs?branch=$BRANCH&status=success&per_page=1" | \
      jq -r '.workflow_runs[0].id')

    if [ "$RUN_ID" == "null" ] || [ -z "$RUN_ID" ]; then
      echo "No successful builds found for branch '$BRANCH'."
      exit 1
    fi

    echo "Latest successful run ID: $RUN_ID"

    # Step 2: Fetch the artifacts associated with this run
    echo "Fetching artifacts for the latest run..."

    ARTIFACTS=$(curl -s \
      -H "Authorization: token $GITHUB_TOKEN" \
      "$GITHUB_API/repos/$REPO/actions/runs/$RUN_ID/artifacts")

    # Check if we successfully got the artifacts
    if [ -z "$ARTIFACTS" ] || [ "$(echo "$ARTIFACTS" | jq '.artifacts | length')" -eq 0 ]; then
      echo "No artifacts found for this run."
      exit 1
    fi

    # Step 3: Extract artifact details and download them in parallel
    PIDS=()  # Store background process PIDs to wait for them later
    echo "$ARTIFACTS" | jq -r '.artifacts[] | "\(.name) \(.archive_download_url) \(.digest)"' | \
    while read ARTIFACT_NAME ARTIFACT_DOWNLOAD_URL ARTIFACT_DIGEST; do
        if [ -z "$ARTIFACT_NAME" ] || [ -z "$ARTIFACT_DOWNLOAD_URL" ] || [ -z "$ARTIFACT_DIGEST" ]; then
          echo "Error: Artifact name, download URL, or digest missing for artifact."
          continue
        fi

        ARTIFACT_PATH="$ARTIFACTS_DIR/$ARTIFACT_NAME.zip"

        # Check if the artifact already exists
        if [ -f "$ARTIFACT_PATH" ]; then
            # Calculate the local digest of the downloaded artifact
            LOCAL_DIGEST=$(sha256sum "$ARTIFACT_PATH" | cut -d' ' -f1)

            # If the local digest matches the GitHub digest, skip downloading
            if [ "$LOCAL_DIGEST" == "$ARTIFACT_DIGEST" ]; then
                echo "Artifact $ARTIFACT_NAME is already up to date (digest matches), skipping download."
                continue
            else
                echo "Artifact $ARTIFACT_NAME exists but the digest does not match. Re-downloading..."
            fi
        fi

        # Download and extract each artifact in parallel
        (
            echo "Downloading and extracting artifact: $ARTIFACT_NAME from $ARTIFACT_DOWNLOAD_URL"

            curl -L -o "$ARTIFACT_PATH" \
              -H "Authorization: token $GITHUB_TOKEN" \
              "$ARTIFACT_DOWNLOAD_URL"
            
            if [ $? -eq 0 ]; then
                echo "Artifact $ARTIFACT_NAME downloaded successfully."

                # Extract the downloaded artifact
                unzip -o "$ARTIFACT_PATH" -d "$HOME"
                echo "Artifact $ARTIFACT_NAME extracted to $HOME."
            else
                echo "Failed to download $ARTIFACT_NAME."
            fi
        ) &  # Run this process in the background

        PIDS+=($!)
    done

    # Wait for all background processes to finish before continuing
    echo "Waiting for background processes to finish..."
    for PID in "${PIDS[@]}"; do
        wait "$PID"
    done

    echo "All artifacts downloaded and extracted successfully."

    # Sleep for 10 seconds before running the script again
    echo "Waiting for 10 seconds before checking again..."
    sleep 10
done

Fundo:

Eu tenho um Actor chamado Peer. Dentro da minha aplicação, a Peerrepresenta uma conexão entre o servidor que o criou e outro servidor. É essencialmente um http-client.

Quando a instância é executada pela primeira vez, o PeerManagerconsulta o banco de dados para obter a lista de entradas do servidor. Em seguida, ele cria um Peerator para esse servidor. O estado do Peerdepende de seu RegistrationStatuscampo ( PENDING_OUT , PENDING_IN , REGISTERED , ...)

A Peertem uma função de recebimento padrão que se parece com esta:

  override def receive: Receive = {
    case FirstTick =>
      system.log.info("receive FirstTick")
      timers.startTimerWithFixedDelay(TickKey, Tick, FiniteDuration(2, TimeUnit.SECONDS))
    case Tick =>
      system.log.info("receive Tick")
      // process every state until all are complete
      var statesLeft = false
      
      states = states.sortWith{ (s1, s2) => s1.order > s2.order }

      for (state <- states) {
        if (!state.complete) {
          statesLeft = true
          if (state.waitForPing) {
            context.become(pingService(state))
          } else {
            context.become(state.behavior)
          }
        }
      }

      if (!statesLeft) context.become(pingService(null))
  }

Isso basicamente permite a Peertransição por uma lista de estados, executando o comportamento de cada estado até que ele esteja completo.

Um conjunto de estados pode se parecer com isto:

    case PENDING_OUT =>
        Seq(
          new InitState(0, peer),
          new SessionHandshake(1, peer),
          new WaitMessages(2, peer)
        )

Um exemplo de um dos estados:

class WaitAccept(order: Int, peer: Peer)(implicit system: ActorSystem) extends PeerState(order, false, true) {

  override def behavior: Receive = {
    case Tick =>
      system.log.info("Waiting for accept")
      if (complete) peer.getContext.unbecome()

    case rA@RegistrationAccept(serverID, serverIP, _) =>
      system.log.info(s"Processing RegistrationAccept: ${rA.toProtoString}")
      complete = true
  }
  
}

PeerStatesuperclasse:

abstract case class PeerState(var order: Int, var complete: Boolean, var waitForPing: Boolean) {

  def behavior: Receive // <- must be overridden
  
}

Esse estado faz com que o peer fique sentado esperando por uma mensagem 'RegistrationAccept', gerada quando o usuário clica em 'Aceitar' na página da web.

O problema:

Alguns dos estados (por exemplo, Handshakeo estado que é responsável por trocar chaves de criptografia) enviam httpmensagens para o serverque o Peeré gerado para. Se a instância que recebe a mensagem encontrar um Peercom o solicitado serverID, o PeerManagerencaminhará essa mensagem para o Peerusando askassim:

case peerRequest@PeerRequest(serverID, SessionRequest(sessionRequest), _) =>
      // get the relevant peer for the requested serverID
      val peerEntry = peerMap.get(serverID)
      if (peerEntry.isDefined) {
        // ask the peer Actor for a response to the sessionRequest, block and wait for this response, then send it back to the peerManager

        val peerState = queryPeerState(peerEntry.get)    // <-- the issue

        if (peerState.isInstanceOf[SessionHandshake]) {  // <-- the issue
          try {
            sender() ! Await.result((peerEntry.get ? (self, sessionRequest)).mapTo[PeerResponse.Response], timeout.duration)
          } catch {
            case e: TimeoutException =>
              sender() ! PeerResponse.Response.StatusResponse(HydraStatusCodes.PEER_MANAGER_TIMEOUT.getStatusResponse)
          }
        } else {
          sender() ! PeerResponse.Response.StatusResponse(HydraStatusCodes.PEER_NOT_READY.getStatusResponse)
        }
      } else {
        sender() ! PeerResponse.Response.StatusResponse(HydraStatusCodes.PEER_NOT_READY.getStatusResponse)
      }

O problema ocorre quando a outra instância Peernão está no estado correto para receber a mensagem. Se isso acontecer, eu gostaria de responder com o apropriado HydraStatusCode. A abordagem mais normal para mim é de alguma forma perguntar em Peerque estado ela está antes de encaminhar a mensagem e, se estiver no estado errado, retornar o StatusCode apropriado.

No entanto, para conseguir isso, eu teria que implementar QueryStatecase em todos os lugares em que tenho Receivecomportamento. Isso parece desajeitado e bagunçado e, como um engenheiro habilidoso, não sinto que seja a maneira certa de fazer isso.

Gostaria de implementar isso de alguma forma na PeerStateclasse como comportamento padrão que sempre é chamado para um QueryState, ou de alguma forma permitir que eles PeerManagerchamem uma referência ao Peerobjeto diretamente em vez de ao ActorRef (mas sei que isso não é possível)

Existe alguma outra abordagem para isso ou a maneira mais bagunçada é provavelmente a melhor?

Problema:

Fiquei indo e voltando na última semana ou mais tentando configurar meu cliente Scala+AKKA para poder enviar mensagens para um servidor executando o NGINX.

Continuo recebendo o erro: javax.net.ssl.SSLHandshakeException: (certificate_unknown)

Configurar:

nginxconfiguração:

server {
    listen 443 ssl default_server;
    listen [::]:443 ssl default_server;
    server_name localhost;

    ssl_certificate /home/hydra/.localhost-ssl/localhost.crt;           //<- combined certificates (server_cert + rootCA)
    ssl_certificate_key /home/hydra/.localhost-ssl/localhost-key.key;

    ssl_trusted_certificate /home/hydra/.localhost-ssl/rootCA.crt;      //<- just the rootCA

    index index.html index.htm;
    root /home/hydra/ui/;

    location / {
        try_files $uri.html $uri/index.html
        @public
        @nextjs;
        add_header Cache-Control "public, max-age=3600";
    }

    location @public {
        add_header Cache-Control "public, max-age=3600";
    }

    location /ping {
        proxy_pass http://localhost:8080;
    }

    location @nextjs {
            proxy_pass http://localhost:3000;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection 'upgrade';
            proxy_set_header Host $host;
            proxy_cache_bypass $http_upgrade;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-Proto https;
            proxy_set_header X-Forwarded-For $remote_addr;
            proxy_set_header X-Forwarded-Host $remote_addr;
    }
}

solicitação do cliente:

  private val sslContext: SSLContext = SSLManager.getClientSSLContext
  private val connectionContext = ConnectionContext.httpsClient(sslContext)

...

    val request = HttpRequest(method = HttpMethods.GET, uri = s"https://${server.serverIP}/ping")
    http.singleRequest(request, connectionContext).pipeTo(self)

createClientContext:

  def getClientSSLContext: SSLContext = {
    val keyStore = KeyStore.getInstance("JKS")
    keyStore.load(null, null) // Create an empty keystore
    keyStore.setCertificateEntry("rootCA", loadRootCertificate())

    // Set up a TrustManager that trusts the root CA certificate
    val trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm)
    trustManagerFactory.init(keyStore)
    val trustManagers = trustManagerFactory.getTrustManagers

    // Create an SSLContext with the custom TrustManager
    val sslContext = SSLContext.getInstance("TLS")
    sslContext.init(null, trustManagers, new SecureRandom())
    sslContext
  }

Escrevendo rootCApara arquivo:

    val rootCA = new StringBuilder()
    rootCA.append("-----BEGIN CERTIFICATE-----\n")
    rootCA.append(Base64.getEncoder.encodeToString(rootCACertificate.getEncoded))
    rootCA.append("\n-----END CERTIFICATE-----")
    writeFile(ROOT_CA_PATH, Seq(rootCA.toString))

Como crio o certificado do servidor assinado:

def createCSR(keyPair: KeyPair, subject: String, keyAlgorithm: String): PKCS10CertificationRequest = {
    val csrGen = new PKCS10CertificationRequestBuilder(new X500Name(subject), SubjectPublicKeyInfo.getInstance(keyPair.getPublic.getEncoded))
    val signer = new JcaContentSignerBuilder("SHA256with" + keyAlgorithm).build(keyPair.getPrivate)
    csrGen.build(signer)
  }

  // Sign the CSR with the root CA's private key to generate a certificate
  def signCertificate(csr: PKCS10CertificationRequest, rootCACertificate: X509Certificate, rootCAPrivateKey: PrivateKey): X509Certificate = {
    val notBefore = new Date()
    val notAfter = new Date(notBefore.getTime + 36500L * 24 * 60 * 60 * 1000) // Valid for 1 year

    val certGen = new X509v3CertificateBuilder(
      new X500Name("CN=Hydra SSL Certificate"),
      new BigInteger(128, new Random()),
      notBefore,
      notAfter,
      csr.getSubject,
      csr.getSubjectPublicKeyInfo
    )

    // Add SubjectAlternativeName (SAN) extension
    val sanNames = Array[GeneralName](
      new GeneralName(GeneralName.iPAddress, SERVER_IP)
    )

    val generalNames = new GeneralNames(sanNames)
    certGen.addExtension(Extension.subjectAlternativeName, false, generalNames)

    // Sign with root CA's private key
    val signer = new JcaContentSignerBuilder("SHA256withRSA").build(rootCAPrivateKey)
    val certificateHolder: X509CertificateHolder = certGen.build(signer)

    // Convert to a JCE certificate
    val converter = new JcaX509CertificateConverter().setProvider("BC")
    converter.getCertificate(certificateHolder)
  }

...

    // Step 1: Load Root CA certificate and private key
    val rootCACertificate = loadRootCertificate()
    val rootCAPrivateKey = loadRootPrivateKey()

    // Step 2: Generate new key pair for SSL certificate
    val keyPair = generateKey("RSA")

    // Step 3: Create CSR (Certificate Signing Request)
    val csr = createCSR(keyPair, s"CN=hydra_server_$SERVER_ID, O=Hydra, C=UK", "RSA")

    // Step 4: Sign the CSR with the Root CA to generate the SSL certificate
    val sslCertificate = signCertificate(csr, rootCACertificate, rootCAPrivateKey)

O que eu tentei:

Após consultar chatGPT, tentei o comandoopenssl s_client -connect 192.168.0.4:443 -showcerts

A saída deste comando pode ser encontrada aqui .

Isso me ajudou a verificar se, nginxde fato, estava enviando toda a cadeia, na ordem correta (pode ser confirmado pela data - o rootCA(certificado 1 na saída) foi gerado em 02/07/2025, o certificado do servidor (certificado 0) foi gerado hoje.

Então o que estou fazendo errado/perdendo na minha configuração?

Tenho um único rootCAcertificado na resourcepasta (junto com sua chave privada) do meu projeto.

Quando o software inicia, ele inicializa o SSLManagerobjeto, que por sua vez:

• Carrega o rootCA em umx509Certificate
• Carrega a chave privada rootCA
• Gera um par de chaves e certificado do servidor
• Assina o certificado usando o rootCA

Gostaria de armazenar o rootCA e o certificado do servidor em um keystore, que posso usar posteriormente para configurar um SSLContext e para um armazenamento mais seguro.

Eu sei como armazenar um único par de chaves/certificado em um keystore, mas como eu faria isso corretamente para uma cadeia?

Eu presumo:

keyStore.setKeyEntry(ALIAS, privateKey, password.toCharArray, Array(rootCA, serverCert))

Entretanto, se for verdade, qual chave privada devo usar (rootCA vs. servidor)?

Um exemplo completo seria muito apreciado.

Fundo

Tenho um akka Actorchamado Clientque gerencia httpe httpsconecta a um servidor. O cliente tem muitos recursos, incluindo um pingserviço e um tokenFetcherserviço.

O clientrepresenta uma 'conexão' entre um servidor e outro. Ele é projetado para permitir que um serverconverse com outro.

O processo clienté o seguinte:

1. Periodicamente pingo outro serverpara ver se está online
2. Se o outro serverestiver online, faça authe ganhe um token
3. Se o token for válido, limpe todas as chamadas que foram solicitadas de nós

É com o passo 3 que estou tendo dificuldades. Gostaria de saber como implementaria isso com segurança entre threads (atores).

O que eu tentei:

Estou usando uma série Seqde mensagens que o cliente armazenaria, como estas:

case class SendApiCall(apiCall: ApiCall, route: String, var sent: Boolean = false)

class Client(server: Server) extends Actor {
    private var apiCalls: Seq[SendApiCall] = Seq.empty[SendApiCall]

    ...

    override def receive: Receive = {
        case sendApiCall@SendApiCall(_, _, _) =>
            if (server.onlineStatus == OFFLINE) {
                apiCalls = apiCalls.appended(sendApiCall)
            }
            else {
                sendApiCall(sendApiCall)
            }
        
        case ServerOnline() => // <- this is send to us from the ping service when it first detects the server is online
            
            apiCalls.iterator.foreach( apiCallRequest =>
                if (!apiCallRequest.sent) {
                    sendApiCall(apiCallRequest)
                    apiCallRequest.sent = true
                }
                apiCallRequest
            )

            apiCalls = apiCalls.filterNot(apiCallRequest => apiCallRequest.sent)
    }
}

No entanto, acredito apiCallsque é um mutableestado neste cenário? Gostaria de saber:

1. Este tópico é seguro?
2. Como eu tornaria isso seguro para threads, se não for?

Tenho uma classe que é um Ator:

class Client(server: Server, systemActor: ActorRef) extends Actor {
...
}

Tenho uma lista que gerencia clientes conectados. O ator que gera os atores clientes observa uma lista de "servidores" no banco de dados e gera uma conexão de cliente para cada um, assim:

private val clientList = mutable.ArrayBuffer.empty[Client]

class RegistrationWatcherActor(val systemActor: ActorSystem) extends Actor with Timers {

  implicit val system: ActorSystem = context.system

  timers.startSingleTimer(TickKey, FirstTick, FiniteDuration(1, TimeUnit.SECONDS)) // wait 10 seconds to give database time to initiate

  private def checkRegistrations(): Unit = {
    val database = DatabaseUtil.getInstance
    val serversOutgoing: Seq[Server] = database.getAll[Server](classOf[Server])

    for (server <- serversOutgoing) {
      val client = clientList.find{ client => client.server == server }
      if (client.isEmpty) { // client for this server was not found, so create one
        
      }
    }
  }

  def receive: Receive = {
    case FirstTick =>
      timers.startTimerWithFixedDelay(TickKey, Tick, FiniteDuration(1, TimeUnit.SECONDS))
    case Tick =>
      checkRegistrations()
  }
}

O Problema

Na verificação, if (client.isEmpty)gostaria de criar uma instância de Client, gerá-la como um ator e colocar a referência na lista para que ela não seja criada novamente. Como você pode ver, meu método de identificar se o cliente foi criado ou não é verificar se ele está serverIDarmazenado no banco de dados.

O ideal é fazer:

val client = new Client(server, systemActor)
systemActor.actorOf(Props(client), server.serverID)
clientList.append(client)

Alguma sugestão, por favor?

Alternativa

Percebi que posso fazer clientListuma lista de Stringe armazenar o serverIDaqui. No entanto, eventualmente gostaria que o RegistrationWatcherpudesse ter controle sobre aspectos do cliente, então uma referência ao Clientobjeto seria preferível.