iptables

安装依赖 yum install gcc yum install pcre-devel yum install zlib zlib-devel yum install openssl openssl-devel // 一键安装上面四个依赖 yum -y install gcc zlib zlib-devel pcre-devel openssl openssl-devel 下载nginx的tar包 // 创建一个文件夹 cd /usr/ local mkdir nginx cd nginx // 下载tar包 wget http: // nginx.org/download/nginx-1.13.7.tar.gz tar -xvf nginx-1.13.7.tar.g 安装nginx // 进入nginx目录 cd /usr/local/ nginx // 执行命令 ./configure // 执行make命令 make // 执行make install命令 make install Nginx常用命令 // 测试配置文件 安装路径下的/nginx/sbin/nginx -t // 启动命令 安装路径下的/nginx/sbin/ nginx // 停止命令 安装路径下的/nginx/sbin/nginx - s stop 或者 : nginx -s quit //重启命令

上个礼拜我就想喷eBPF了，由于周末时间实在太紧，就准备拖延一周，但还是立了个flag，先发了个朋友圈： ebpf就像牛皮藓一样，已经遍布在linux内核的各个角落，每个调用点都看上去很随意，毫无规划，让人觉得好像自己觉得哪里需要这么一个调用点并不很难… 但实际上如果你真的去尝试在某处加一个ebpf调用点时，就会觉得这件事和清除牛皮藓的过程非常类似，修改散落在各个目录的多个文件，还得重新编译，大概率失败，还要重新做一次，很难一次做干净，当你好不容易成功了，会有一种“不过如此”的嗟叹… 我曾将ebpf比做扩散的癌细胞，这个比喻没有给人密集恐惧的效果，所以我换成了牛皮癣。该存在ebpf调用点的地方一个也没有，没必要ebpf的地方到处都是，这些点还在持续增加，迄至5.11内核，ebpf已经有大三十个点了，依然在毫无规划地疯长着… eBPF是个创新，但人们明显狂热过度了，ebpf增加调用点也过于随意，太业务导向了，损坏了内核的内聚性，远远比不上当初netfilter的五个hook点以及qdisc这种经过良好设计的机制，另外还有一个问题，netfilter的五个hook点上如果部署了ebpf点，其实就能解决大部分性能问题，然而直到现在都没有，感觉是社区矫枉过正了，真的彻底把netfilter当成了旧时代的象征，把马杀掉的同时，轮子也不要了 人们都像虫子一样在这里你争我抢，吃的都是良心

Linux linux与windows共享文件夹 有的时候即使安装了vmtools仍然不能查看到具体的共享文件夹。这个时候需要 sudo vmhgfs-fuse .host:/shared /mnt/hgfs 注意格式 shared 为分享的文件名 .host前面有个空格 sudo 要加 我之前不加一直有错误 执行完后 查看 关于持久化挂载 上述能展示分享文件，但是重启虚拟机后分享文件小时 按照网上说的修改 $ vi /tec/fstab 添加 .host:/file_name vmhgfs /mnt/hgfs defaults 0 0 没有作用 反而会引起系统 emegency mode 暂时还没有解决 原文链接： https://blog.csdn.net/jasonhector/article/details/78679135 切换到root用户 由于很多文件和文件夹操作需要劝降，所以需要切换到root用户下 su root Job for network.service failed because the control process exited with error code. See "systemctl status network.service" and "journalctl -xe" for details 将ifcfg

借鉴： https://blog.csdn.net/lvshaorong/article/details/69950694 <div class="htmledit_views" id="content_views"> <p>Docker容器非常轻量，系统开销非常少，比VMware或者<a href="https://www.baidu.com/s?wd=VirtualBox&tn=24004469_oem_dg&rsv_dl=gh_pl_sl_csd" target="_blank">VirtualBox</a>用起来方便，部署起来也非常容易。官方推荐我们通过端口映射的方式把Docker容器的服务提供给宿主机或者局域网其他容器使用。一般过程是：</p><p>1、Docker进程通过监听宿主机的某个端口，将该端口的数据包发送给Docker容器</p><p>2、宿主机可以打开防火墙让局域网其他设备通过访问宿主机的端口进而访问docker的端口</p><p>这里以CDNS为例，CDNS是一个用于避免DNS污染的程序，通过CDNS可以把你的计算机变成一个抗污染的DNS服务器提供给局域网使用。Docker镜像下载地址：https://hub.docker.com/r/alexzhuo/cdns/</p><p><br></p><p>原理是在Docker容器中启动CDNS，监听53端口

Configure FTP Server – Vsftpd Install Vsftpd to configure FTP Server. 1） Install Vsftpd 2）If IPTables is running,allow FTP port and fixed PASV ports. For "-I INPUT 5" section below,Replace it to your own environment. [root@www ~]# vi /etc/vsftpd/vsftpd.conf # add follows to the end: fix PASV ports pasv_enable=YES pasv_min_port=21000 pasv_max_port=21010 [root@www ~]# /etc/rc.d/init.d/vsftpd restart [root@www ~]# iptables -I INPUT 5 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT [root@www ~]# iptables -I INPUT 5 -p tcp -m state --state NEW -m tcp --dport 21000:21010 -j ACCEPT 本文分享自微信公众号

作者：CircleBlog 链接：https://my.oschina.net/circleblog/blog/715711 1. 通过free命令看Linux内存 total：总内存大小。 used：已经使用的内存大小（这里面包含cached和buffers和shared部分）。 free：空闲的内存大小。 shared：进程间共享内存（一般不会用，可以忽略）。 buffers：内存中写完的东西缓存起来，这样快速响应请求，后面数据再定期刷到磁盘上。 cached：内存中读完缓存起来内容占的大小（这部分是为了下次查询时快速返回）。 -/+ buffers/cache看做两部分： -buffers/cache：正在使用的内存大小（注意不是used部分，因为buffers和cached并不是正在使用的，组织和人民需要是它们是可以释放的），其值=used-buffers-cached。 +buffers/cache：可用的内存大小（同理也不是free表示的部分），其值=free+buffers+cached。 Swap：硬盘上交换分区的使用大小。 设计的目的就是当上面提到的+buffers/cache表示的可用内存都已使用完，新的读写请求过来后，会把内存中的部分数据写入磁盘，从而把磁盘的部分空间当做虚拟内存来使用。 2. Buffer和Cache介绍 Cache（缓存）

1、service类型 service主要类型包括clusterIP(headless)、nodeport、LB。 clusterip：集群内部可以访问的固定虚机IP地址； headless：是不分配cluster IP地址的cluster服务类型，可通过DNS访问cluster，也可通过指定podname.clustername.<namespace name>.svc.cluster.local，访问指定的pod； nodeport：将service的port射到节点的port，外部可通过node ip + port的方式直接访问service； LB：负载均衡器后端服务器为集群各节点IP+nodePort； 2、服务发现 定义服务的时候，通过service的selector指定pods，并根据pods的IP创建相应的endpoints，endpoints controller监听watch service以及pod的变化，维护endpoint的详细；kube-proxy根据service和endpoint来维护本地的路由规则，当endpoint发生变化，即service及其关联的pod发生变化，kube-proxy都会在每个节点上更新iptables； 3、kube-proxy实现模式 当前支持的代理模式主要是ipvs、iptables； iptables

　　对于Docker来说，存在镜像、容器、存储卷和网络这些对象。因此，也就会生产相对应的这些对象，这些对象会占据磁盘空间。当这些对象不在被使用时，为了不占据额外的磁盘空间，就需要对这些对象进行清理，即进行垃圾清理。在docker 1.13版本之后，提供了对各种对象的prune命令，也提供了清理所有对象类型的docker system prune命令。但在docker 1.13之前的版本，则需要提供其他方式进行垃圾清理。 一、docker v1.13之后版本的垃圾清理 1.1 容器 　　在停止容器时，系统并不会知道删除这个容器，除非在运行此容器时设置了–rm字段。停止后的容器仍然会占据磁盘的存储空间，通过docker container prune能够删除这些被停止后的容器。 $ docker container prune WARNING ! This will remove all stopped containers. Are you sure you want to continue ? [y/N] y 　　执行此命令时，默认会提示是否继续。如果在执行命令是设置了-f或–force字段，则会直接删除已所有已停止的容器。默认情况下，此命令执行时会删除所有的已停止的容器，也可以通过设置–filter字段，来过滤所要删除的容器。例如，下面的命令仅仅删除停止超过24小时的容器。 $

1、整体分析 对于Docker来说，存在镜像、容器、存储卷和网络这些对象。因此，也就会生产相对应的这些对象，这些对象会占据磁盘空间。当这些对象不在被使用时，为了不占据额外的磁盘空间，就需要对这些对象进行清理，即进行垃圾清理。在docker 1.13版本之后，提供了对各种对象的prune命令，也提供了清理所有对象类型的docker system prune命令。但在docker 1.13之前的版本，则需要提供其他方式进行垃圾清理。 2、垃圾清理 2.1 docker v1.13之后版本的垃圾清理 2.1.1 容器 在停止容器时，系统并不会知道删除这个容器，除非在运行此容器时设置了–rm字段。停止后的容器仍然会占据磁盘的存储空间，通过docker container prune能够删除这些被停止后的容器。 $ docker container prune WARNING! This will remove all stopped containers. Are you sure you want to continue? [y/N] y 执行此命令时，默认会提示是否继续。如果在执行命令是设置了-f或–force字段，则会直接删除已所有已停止的容器。默认情况下，此命令执行时会删除所有的已停止的容器，也可以通过设置–filter字段，来过滤所要删除的容器。例如

一、常用命令示例： 1、命令 -A, --append 范例：iptables -A INPUT -p tcp --dport 80 -j ACCEPT 说明 ：新增规则到INPUT规则链中，规则时接到所有目的端口为80的数据包的流入连接，该规则将会成为规则链中的最后一条规则。 2、命令 -D, --delete 范例：iptables -D INPUT -p tcp --dport 80 -j ACCEPT 或 ： iptables -D INPUT 1 说明： 从INPUT规则链中删除上面建立的规则，可输入完整规则，或直接指定规则编号加以删除。 3、命令 -R, --replace 范例： iptables -R INPUT 1 -s 192.168.0.1 -j DROP 说明 取代现行第一条规则，规则被取代后并不会改变顺序。 4、命令 -I, --insert 范例：iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT 说明： 在第一条规则前插入一条规则，原本该位置上的规则将会往后移动一个顺位。 5、命令 -L, --list 范例： iptables -L INPUT 说明：列出INPUT规则链中的所有规则。 6、命令 -F, --flush 范例： iptables -F INPUT 说明： 删除INPUT规则链中的所有规则。