selinux

一、前言 　　（一）、Docker介绍 　　　　Docker从1.13版本之后采用时间线的方式作为版本号，分为社区版CE和企业版EE。 　　　　社区版是免费提供给个人开发者和小型团体使用的，企业版会提供额外的收费服务，比如经过官方测试认证过的基础设施、容器、插件等。 　　　　社区版按照stable和edge两种方式发布，每个季度更新stable版本，如17.06，17.09；每个月份更新edge版本，如17.09，17.10。 　　（二）、预处理 　　1、Docker 要求 CentOS 系统的内核版本高于 3.10 ，查看本机CentOS 版本是否支持 Docker 。 uname -r 　　2、使用管理员权限登录Centos（root），确保yum包更新到最新。（线上环境不建议更新，以防引发其他版本问题） yum update 　　3、卸载其他旧版本（如果有安装过，请注意执行。） yum remove docker docker-common docker-selinux docker-engine 　　备用方法（旧版本卸载） yum remove docker docker-common docker-selinux docker-engine -y /etc/systemd -name '*docker*' -exec rm -f {} ; find /etc

一、架构介绍及环境部署 （一）了解集群架构服务器组成 基本架构组成：（用于让用户进行访问） 1、前端服务部分： 1）顾客-用户 是一个访问者，请求访问网站页面 2）保安-防火墙设备 对访问架构用户进行策略控制，正常访问网站用户，可以放行进入；非法人员（黑客）访问网站，禁止进入 3）对讲机-交换机（外网） 提供架构中服务器相互通讯交流的需求（提供外部人员访问） 4）迎宾人员-负载均衡服务器 对用户的访问请求进行调度处理 5）服务员-网站web服务器 对用户的请求进行响应处理 2、后端服务部分： 1）对讲机-交互机（内网） 提供架构中服务器相互通讯交流的需求（提供内部局域网服务器通讯交流） 2）厨师-数据库服务器 主要用于存储用户提交文字（字符串）数据信息 3）厨师-存储服务器 主要用于存储用户上传视频、音频、图片、附件等数据资料 4）厨师-备份服务器 主要用于对用户存储（上传）数据信息进行统一备份管理 5）厨师-缓存服务器 主要用于存储用户经常访问的数据信息，提升请求数据信息的响应效率。 3、扩展架构组成：（用于让运维人员远程管理架构中的服务器） 1）员工-运维人员 可以远程管理架构中服务器 2）审计-跳板机服务器 用于监管内部运维人员操作记录信息，一旦出现架构问题，可以快速定位问题原因，进行相应人员失误问责 3）经理-批量管理服务器 通过批量管理服务器可以批量管理架构中多台服务器

kubeadm是一个命令行的工具，它简化了创建和管理kubernetes cluster的步骤。kubeadm利用Docker的功能进行快速的部署，支行kubernetes master和etcd服务器作为系统服务是以容器的方式呈现的。当触发kuberadm命令时，容器服务将会直接联系在kubernetes node上的Kubelet.kubadm也会检查每个组件是否健康。通过kubeadm设置步骤，你可以避免一连串的安装和配置命令。 一. 搭建群集之前以下条件需要满足： 1. 每个节点都有唯一的MAC地址和产品UUID：一些插件使用MAC 地址和产品UUID作为唯一的主机标识（比如，kube-dns），假如它们在群集中重复的话，kubeadm可能不会工作 。 //check MAC address of your NIC $ ifconfig –a //check the product UUID on your host $ sudo cat /sys/class/dmi/id/product_uuid 2. 每个接点都有不同的主机名字：假如主机名称重复的话，kubernetes系统可能从多个主机收集日志或者状态，会被认为是一个。 3. Docker的安装 4. 有效的网络端口，要避免端口重复等情况。 Node role Ports System service Master

IP Hostname 172.16.100.251 nginx01 代理 apiverser 172.16.100.252 nginx02 代理 apiverser 172.16.100.254 apiserver01.xxx.com VIP地址,主要用于nginx高可用确保nginx中途不会中途 172.16.100.51 k8s-etcd-01 etcd集群节点,默认关于ETCD所有操作均在此节点上操作 172.16.100.52 k8s-etcd-02 etcd集群节点 172.16.100.53 k8s-etcd-03 etcd集群节点 172.16.100.31 k8s-master-01 Work Master集群节点,默认关于k8s所有操作均在此节点上操作 172.16.100.32 k8s-master-02 Work Master集群节点 172.16.100.33 k8s-master-03 Work Master集群节点 172.16.100.34 k8s-master-04 Work Master集群节点 172.16.100.35 k8s-master-05 Work Master集群节点 172.16.100.36 k8s-node-01 Work node节点 172.16.100.37 k8s-node-02 Work node节点 172.16

kubenetes 入门系列安装之kubeadm安装 k8s的安装有多种方式，如yum安装，kubeadm安装，kubemini安装，二进制安装（生产环境多采用此方式精确控制安装）等。本文是入门系列验证，之前进行过yum安装，可以查看文章《 k8s入门系列之集群yum安装篇 》 。这里进行kubeadm安装一次了解安装过程，真正的学习、测试环境和生产环境都不建议此方法，都建议yum安装或者二进制安装，这样才可以详细了解到k8s的工作原理和工作过程 1，关闭防火墙服务，避免与docker容器的防火墙规则冲突。 systemctl stop firewalld systemctl disable firewalld 2，关闭selinux： 修改/etc/selinux/config为SELINUX=disabled 重启后配置生效。不建议临时关闭（setenfore 0），防止机器重启失效。 3，关闭swap： 临时关闭： swapoff -a 永久关闭： sed -i 's/.*swap.*/#&/' /etc/fstab 4，host定向,将机器内部主机名通信打通： vi /etc/hosts 192.168.92.139 master 192.168.92.132 node1 5，master机器设置免密钥登陆其他两个node ssh-keygen # 生成密钥对 cd

首先画图一张，用来展示今天要做的事情，读写分离，个人理解就是使用mysql主从备份的原理，让两个数据库同时为自己提供服务。其中主库负责数据保存，从库负责数据展示，可以一主一从，也可以一主多从。从而降低数据库同时处理读写的压力。 1、环境如下 master 10.10.101.83 slave 10.10.101.184 2、接着搭建数据库备份，使用的是centos7.4+mariadb 　　2-1-两台服务器安装Mariadb数据库 　　(ps:mariadb是免费版的mysql,操作很相似，注意，两台服务器都安装） 　　yum install mariadb mariadb-server -y 2-2-两台服务器启动mariadb服务 systemctl start mariadb 　　 mariadb默认处于一种类似调试模式的模式当中，不用密码也可以登录，所以现在两台服务器的mariadb要使用工作模式 mysql_secure_installation 　　 master端操作 　　进行授权 grant replication slave on *.* to "root"@"%" identified by "123" with grant option; 　　 　　 刷新授权表 flush privileges; 　　 　　 创建要备份的数据库和表 　　 导出数据库

Top NSD ENGINEER DAY03 案例1：启用SELinux保护 案例2：自定义用户环境 案例3：配置firewalld防火墙 1 案例1：启用SELinux保护 1.1 问题 本例要求为虚拟机 server0、desktop0 配置SELinux： 确保 SELinux 处于强制启用模式 在每次重新开机后，此设置必须仍然有效 1.2 方案 SELinux，Security-Enhanced Linux：是由美国NSA国家安全局提供的一套基于内核的增强的强制安全保护机制，针对用户、进程、文档标记安全属性并实现保护性限制。 SELinux安全体系直接集成在Linux内核中，包括三种运行模式： disabled：彻底禁用，内核在启动时不加载SELinux安全体系 enforcing：强制启用，内核加载SELinux安全体系，并强制执行保护策略 permissive：宽松模式，内核加载SELinux安全体系，只记录不执行 执行getenforce可以查看当前所处的模式。 在disabled模式与enforcing、permissive模式之间切换时，需要重新启动Linux系统；而在enforcing模式与permissive模式之间切换时，并不需要重启，可以直接执行setenforce 1|0操作。 1.3 步骤 实现此案例需要按照如下步骤进行。 步骤一

selinux 的三个状态： enforcing 强制 permissive 宽松 disabled 禁用 （注设置禁用需要修改配置文件） 查看selinux状态命令： [root@node-0001 ~]# sestatus SELinux status: disabled [root@node-0001 ~]# getenforce Disabled 查看配置文件： [root@node-0001 ~]# cat /etc/selinux/config 临时设置 0 宽松 1 强制 [root@node-0001 ~]# setenforce 1 setenforce: SELinux is disabled [root@node-0001 ~]# getenforce Disabled 固定配置 [root@node-0001 ~]# vim /etc/selinux/config 上下文 [root@node-0001 ~]# tar -zcf log1.gz.tar /var/log/ tar: Removing leading `/' from member names [root@node-0001 ~]# tar -zcf /var/ftp/log2.gz.tar /var/log tar: Removing leading `/' from member

【1】前置环境修改 【1.1】修改 /etc/hosts vim /etc/hosts 192.168 . 239.129 db3 192.168 . 239.131 db4 192.168 . 239.130 db5 【1.2】安装相关依赖包 （1）配置好yum源，本地和网络都可以（ yum源配置、epel源配置 ） （2）安装相关依赖包 yum install -y cyrus-sasl cyrus-sasl-plain cyrus-sasl-gssapi krb5-libs lm_sensors-libs net-snmp-agent-libs net-snmp openssl openssl-devel rpm-libs tcp_wrappers-libs 【1.3】关闭防火墙与SELINUX安全认证 #（ 1 ）关闭防火墙： 　　systemctl disable firewalld #（ 2 ）关闭selinux 　　vim /etc/selinux/config 　　SELINUX=disabled #核验 　　getenforce 【1.4】优化 linux 内核参数 echo " vm_zone_reclaim_mode=0 " >> /etc/ sysctl.conf sysctl -p #1.如果该参数值为0，那么当本地CPU节点所在区域内存使用完

[root@localhost ~]# docker image pull centos Using default tag: latest Error response from daemon: Get https://registry-1.docker.io/v2/library/centos/manifests/latest: Get https://auth.docker.io/token?scope=repository%3Alibrary%2Fcentos%3Apull&service=registry.docker.io: net/http: TLS handshake timeout 解决方案（亲测）： 修改docker镜像源： docker默认的源为国外官方源，下载速度较慢，可改为国内，加速 方案一 修改或新增 /etc/docker/daemon.json [root@docker01 ~]# vi /etc/docker/daemon.json { "registry-mirrors": ["http://hub-mirror.c.163.com"] } [root@docker01 ~]# systemctl restart docker.service 方案二 修改或新增 /etc/sysconfig/docker，在OPTIONS变量后追加参数 -