聲明:本文由內容合作伙伴 巴比特 授權發布。
本文作者為Libra協會成員之一區塊鏈架構公司Bison Trails。在這篇文章中,Bison Trails分享了Libra節點運作者可以為運行驗證者和全節點所做的準備,并給出了三個建議。
作為Libra協會的成員,Bison Trails獲得了在Libra測試網上運行首個非Calibra驗證者節點的深入體驗。在這篇文章中,我們詳細介紹了從實踐中獲得的經驗教訓,并就如何優化節點性能為其他驗證節點運作者提供了建議。
為運行驗證節點做準備(簡化版)
在詳細介紹我們學到的一些經驗之前,我們建議你下載并運行Libra網絡軟件。Libra項目團隊在GitHub上提供了這個開源軟件,并在Libra項目開發人員的站點上提供了優秀的文檔。文檔內容是Libra區塊鏈的指南,對Move編程語言進行了介紹,詳細說明了如何構建和運行驗證節點。在這篇文章中,我們不會深入討論,但是通過Docker運行一個節點的簡化版就像檢查源代碼一樣簡單,可以參照以下兩種形式:
1. 參考Libra core測試網分類中“Docker”目錄的說明,通過Docker在本地運行
2. 使用Terraform在AWS上運行網絡,同樣的,可以參考Libra core測試網分類中“Terraform”目錄的說明
無論是哪一種情況,你都應該使用代碼的測試網分類,因為這更穩定,而且是Libra區塊鏈開發者文檔推薦的。
使用上述任何一種方法運行驗證節點都比較簡單。我們建議你首先通過Docker在本地運行,了解節點的配置,使用Docker logs命令查看其日志,并了解驗證節點是如何發現彼此的。一旦你適應了本地環境,Terraform部署將啟動一個更逼真的驗證者網絡,這些驗證節點可以通過互聯網相互通信。
對于那些已經嘗試過使用這兩種方法來運行軟件的人來說,我們下面的建議將很有意義。
為主網做準備,有這三個方法
接下來,我們將根據我們運行Libra節點的經驗和我們之前使用其他區塊鏈網絡的經驗,給出三個建議。
1. 持久化區塊鏈
當Libra網絡啟動時,隨著賬戶數量的增加,賬本狀態將隨時間增長,驗證交易的執行將創建新的賬本狀態。存儲賬本狀態的數據庫也將相應地增長。重要的是,驗證者和全節點能夠在重新啟動驗證者進程的情況下快速恢復——無論出于何種原因。在最壞的情況下,從理論上講,一個節點總是可以從創世區塊開始重新同步整個歷史記錄,但是這種昂貴且耗時的同步可以通過將區塊鏈存儲在一個持久化卷(persistent volume)上來避免。
按照慣例,Libra驗證者通常配置為將區塊鏈數據存儲在目錄“/opt/ Libra /data”中;你可以通過更改/opt/libra/etc/node.config.toml的存儲部分來在其他地方存儲區塊鏈數據。但是我們建議你使用默認位置。
圖1. 推薦的存儲配置來自node.config.toml
dir = "/opt/libra/data"
無論你的節點使用哪個系統目錄來存儲區塊鏈,你都需要在目錄樹中的特定位置掛載(mount)一個持久化卷。當通過Docker運行時(我們推薦使用Docker),這就像使用—volume(卷)或—mount(掛載)標記來指定掛載細節一樣簡單。例如,假設你在主機/data上掛載了幾個T的持久卷,并且你的配置文件在一個安全卷/libra-config上可用,你可以調用Docker來使用該卷,如下所示:
圖2. 使用卷標志進行持久化
$ docker run -v /data:/opt/libra/data -v /config:/opt/libra/etc libra_e2e
實際上,Libra區塊鏈源代碼中提供的Terraform模板使用這樣的配置將Libra區塊鏈數據存儲在一個EBS(彈性塊存儲)卷中。
在Bison Trails,我們也有專門的系統定期快照區塊鏈數據,如果我們失去了一個卷或者一個特定的數據中心變得不可用(在全世界運行著成千上萬的區塊鏈節點,這并不罕見),我們可以快速地用一個新卷啟動一個新節點或在一個不同的位置啟動一個新節點。也就是說,我們自己的Libra驗證節點所做的第一件事就是將區塊鏈目錄存儲在一個持久的位置,它與這些高級設置的系統是分離的。
2. 指標和警報
在Bison Trails,我們習慣了在運行區塊鏈軟件的同時添加一個監控層,這樣我們就可以預見并采取網絡正常發展所需的任何行動,并可以對所有預料之外的事件做出反應。
以Libra區塊鏈為例,核心開發團隊為所有驗證者提供了一個有利的開端,他們已經通過Prometheus(普羅米修斯)發布了非常有用的標準。Prometheus是一個非常好的時間序列數據解決方案,正在成為開發團隊的黃金度量標準,并可以發出警報。體驗這些指標的最佳方法是在開始運行驗證者時,通過上面描述的Terraform方法運行驗證者網絡。正如以下截圖所示,它提供了一個即開即用的儀表板,其中包含許多針對個人和網絡節點的關鍵指標。
圖3. 附帶運作指標和示例儀表板的Libra core
通過在很多網絡上運行節點的經驗,我們建立了一個相當全面和嚴格的方法來監控我們的節點。我們在三個大概分類中查看度量指標:
- 系統指標,例如CPU/內存/磁盤利用率
- 區塊鏈節點,例如進程健康狀態、節點連接狀況、數據傳輸
- 區塊鏈應用,例如出塊速度、交易速率以及驗證數據
我們跟蹤的每個指標都有警報通知,大致可以分為重要和非重要。由于Libra主網還沒有發布,核心開發正快速進行,如果驗證節點進程停止,Bison Trails不會收到警報。然而,隨著發布的臨近,我們將收緊警報閾值和嚴重程度,我們建議由所有運行節點的Libra協會成員監控關鍵性能指標,并在適當的地方設置警報。
3. 保護你的密鑰
我們給出的最后一個建議和Libra節點的密鑰管理有關。首先,要注意的是:驗證者密鑰管理的操作在不斷演變,所以我們在這里所指出的并不能直接用于主網,而是為協會成員和其他節點運作者提供密鑰管理的思路。下述方法肯定會變,因為一些關于密鑰、密鑰循環(key rotation)、HSMs和其他安全問題的操作問題將在未來幾個月解決。
Libra驗證者目前運行的三個密鑰對存儲在兩個配置文件中:
- 一個存儲在/opt/libra/etc/consensus_keypair.config.toml的共識密鑰
- 存儲在/opt/libra/etc/network_keypair.config.toml的網絡身份和簽名密鑰
在Bison Trails,我們使用分層的方法來確保能使用密鑰。因為Libra驗證者需要從文件中讀取密鑰,所以有以下兩個建議:
1. 限制密鑰文件權限:無論用戶是誰,驗證者進程是唯一需要讀取這些文件的進程,并且沒有進程需要對它們進行寫入,所以我們建議將權限模式設置為“400”,這意味著用戶可以讀取,而其他人不能讀取或寫入。
2. 不要接觸磁盤:我們建議您至少為Docker圖像使用tmpfs卷,并包含引導代碼以使配置文件在tmpfs卷上可用。
如果你只是在本地測試驗證節點,那么就不需要保護密鑰,但是一定要注意區分開發模式和你在生產環境中的活動,以便為啟動主網做好準備。
