iptables

MongoDB介绍 早期版本使用master-slave，一主一从和MySQL类似，但slave在此架构中为只读，当主库宕机后，从库不能自动切换为主 目前已经淘汰master-slave模式，改为副本集，这种模式下有一个主(primary)，和多个从(secondary)，只读。支持给它们设置权重，当主宕掉后，权重最高的从切换为主 在此架构中还可以建立一个仲裁(arbiter)的角色，它只负责裁决，而不存储数据 再此架构中读写数据都是在主上，要想实现负载均衡的目的需要手动指定读库的目标server 副本集架构图 MongoDB副本集搭建 三台机器： 192.168.109.130(primary) 192.168.109.132(secondary) 192.168.133.133(secondary) 编辑三台机器的配置文件，更改或增加： replication:#把此行前面的#删除 ##oplog大小 oplogSizeMB: 20#前面有两个空格 ##复制集名称 replSetName: cclinux#前面有两个空格 分别重启三台机器 连接主，在主上运行命令mongo >use admin >config={_id:"cclinux",members:[{_id:0,host:"192.168.109.130:27017"},{_id:1,host:"192.168.109

阿铭在教程中已经介绍过squid的安装和配置， http://study.lishiming.net/chapter22.html 教程中只介绍了初级的正向代理和反向代理，这篇文档将要介绍透明代理如何配置。 首先，阿铭要介绍一下，什么是透明代理？ 透明代理的意思是客户端根本不需要知道有代理服务器的存在，它改变你的request fields（报文），并会传送真实IP，多用于路由器的NAT转发中。 透明代理的原理是这样的： 1. 假设A为内部网络客户机 2. B为外部网络服务器，B提供的服务为httpd服务，监听端口为80 3. C为代理服务器（也是我们的网关），假如代理服务器提供服务端口为3128 过程： 当A向B的80端口请求数据时，TCP连接请求要先经过C，C看到A请求的是B的80端口时，C由于已经设置了转发规则，所以C会把A的请求80端口转发到自己的3128端口，也就是说A将要直接访问C的3128端口，而非B服务器的80端口，此时，C会先去访问B的80端口，把A要访问B的请求数据先请求过来，保存到C上，然后C再把请求数据吐给A。而在A看来，它貌似是直接请求的B，而实际并非如此。由于这些连接过程是自动的，不需要客户端手工配置代理服务器，甚至用户根本不知道代理服务器的存在，因而对用户来说是透明的。 下面阿铭来教您配置透明代理： 通过上面的原理分析，可知，只有您的代理服务器为网关时

how to setup pppoe server pppoe 安裝 PPPoE Server Software sudo apt-get install ppp 配置server root@ubuntu:/etc/ppp# vim options ms-dns ms-dns 192. 168. 1. 254 - pap + chap 添加用户 root@ubuntu:/etc/ppp# vim chap-secrets # Secrets for authentication using CHAP # client server secret IP addresses llwang * 123456 * 启用forward，开启ip转发 root@ubuntu:/etc/ppp# echo "1">/proc/sys/net/ipv4/ip_forward 或者修改root@ubuntu:/etc/ppp#vim /etc/sysctl.conf 启动PPPoE Server root@ubuntu:/etc/ppp# p ppoe-server -I eth0 -L 172.168.10.2 -R 182.168.2.1 -N 20 -I eth0 指定pppoe服务器在那个网卡接口监听连接请求 -L172.16.10.254指定pppoe服务器的ip地址。（注意

iptables保存备份和还原 [root @hanlin ~]# service iptables save （保存规则到下面的路径 ） iptables: Saving firewall rules to /etc/sysconfig/iptables:[ 确定 ] [root @hanlin ~]# iptables-save >/tmp/ipt.txt （备份规则到指定路径） [root @hanlin ~]# iptables-restore 如果想要已启动就家在一些规则，还是把规则保存在配置文件中 firewalled 防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6，并支持网桥，采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则，并实时生效而无需重启服务。 Firewall 能将不同的网络连接归类到不同的信任级别，Zone 提供了以下几个级别 drop: 丢弃所有进入的包，而不给出任何响应 block: 拒绝所有外部发起的连接，允许内部发起的连接 public: 允许指定的进入连接 external: 同上，对伪装的进入连接，一般用于路由转发 dmz: 允许受限制的进入连接

注意 本文，只是笔者针对Kubernetes生产环境运行的一些关于架构设计和实现方案的总结，内容很粗糙，后续会不断完善。 首先，我们来梳理下Kubernetes生产架构，其设计适用于绝大多数环境，如下图所示 在该架构中，我们可以将其分为四层，如下： Client层：即Kubernetes集群外部用户、客户端等； 服务访问层：即由Traefik ingress实现服务发现、负载均衡和路由规则定义等； 业务应用层：即基于Kubernetes平台构建和运行企业业务应用，如CI/CD持续集成、微服务项目、监控告警和日志管理、私有镜像仓库等服务； 基础设施层：即由Kubernetes容器管理平台和Ceph/NFS数据持久化存储等系统组成的基础设施服务。 下面，我们分别来谈谈各层的具体实现方案。 基础设施层 Kubernetes平台 部署管理：Kubernetes平台除了直接使用公有云如阿里云、AWS等云服务提供商的K8s服务外，我们还可以自己部署和管理等，如使用Kubespray工具。 网络通信：在容器和容器之间、容器和主机网络方面，可以使用 Calico 或Flannel等方案。 HA高可用：Kubernetes节点分为Master和Node两种类型节点，前者负责运行集群相关的控制管理服务，而后者负责运行Pod容器。在多Node节点模式下，由于Kubernetes

环境准备 一、下载安装包 官方下载地址： http://www.oracle.com/technetwork/database/enterprise-edition/downloads/index.html [root@oracle data]# ls linuxamd64_12c_database_1of2.zip linuxamd64_12c_database_2of2.zip 二、安装依赖包 yum install -y binutils compat-libstdc++ gcc gcc-c++ \ glibc glibc-devel ksh libaio libaio-devel libgcc \ libstdc++ libstdc++-devel libXext libXtst libX11 \ libXau libXi make sysstat 三、添加用户 groupadd dba groupadd oinstall useradd -g oinstall -G dba oracle echo 'ycig1234' | passwd oracle --stdin chown -R oracle.oinstall /data/ [root@oracle data]# ll /data/ total 2419500 -rw-r--r-- 1 oracle oinstall

八周三次课（1月31日） 10.32/10.33 rsync通过服务同步 编辑配置文件 /etc/rsyncd.conf 启动服务rsync --daemon vi /etc/rsyncd.conf 测试方便改成了path=/etc/rsync,然后创建这个文件并赋予权限 rsync -avP /tmp/aming.txt 192.168.133.130::test/aming-02.txt ::后面跟模块名字，即配置文件中方括号内容 检查问题 ping telnet 检查iptables iptables -nvL 停掉firewalld iptables -nvL 再检查对方机器的iptables，停掉firewalld ctrl+u>quit退出telnet 成功传输，第一次命令需要密码，去对方配置文件注释掉密码，第二次直接传输 拉文件过来 配置文件详解 --port 自动列出对方模块名 list改为false则看不到模块名 指定传输用户，验证密码文件 客户端创建密码文件，直接利用密码文件传输，不用输入密码 ip限制，允许哪些ip来连 10.34 linux系统日志 总日志 /var/log/messages 日志过大，系统自动切割机制 logrotate dmesg 硬件相关日志，保存在内存中 dmesg -c 清空日志 dmesg /var/log/dmesg

========================================= PPPoE Server 配置 ======================================= 环境搭建： eth2 设为WAN侧网卡，自动获取，如：IP：4.4.4.10/MASK：255.255.255.0/GW：4.4.4.1/DNS：202.96.209.5，210.22.70.3 eth3 设为LAN侧网卡，手动配置为： IP：11：11：11：1/MASK：255.255.255.0/GW：4.4.4.1/DNS：202.96.209.5，210.22.70.3 开始配置： sudo apt-get install vlan modprobe 8021q vconfig add eth3 35 vconfig add eth3 42 vconfig add eth3 6 echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE iptables -t nat -A POSTROUTING -s 6.6.6.0/24 -o eth2 -j SNAT --to 4.4.4.106 iptables -t nat -A POSTROUTING -s

标题索引 追溯原因 问题剖析 追溯原因： 当下培训机构层出不群，质量有高有底，培训内容和项目经历不进相同，导致多数技术人员技术层次不经相同，故在某项目中客户运维部反馈我老东家的防火墙按照常规配置策略无法生效，因做过讲师的缘故，受邀对客户运维部进行防火墙相关安全培训，考虑到运维部人员有网络基础，因此追根溯源决定从Linux内核防火墙讲起，过度到企业应用防火墙，最后深刻理解防火墙原理。 问题剖析： 根据多年工作经验，多数网络工程师对Linux内核理解不够深刻，包括我自己本身，因此要熟悉防火墙的底层工作原理必须熟悉Linux内核，因为国内多数网络产品基于Linux内核进行二次开发。 下面总结此次相互学习的要领： 1.防火墙的分类？ 简答：防火墙从网络结构的位置上化分为主机防火墙和网络防火墙，主机防火墙在centos6版本中采用iptables管理工具进行管理，在centos7版本中采用iptables和firewalld管理工具进行管理，对应到企业网络防火墙的管理多数采用firewalld进行的二次开发，因此只需掌握firewalld即可掌握企业网络防火墙。 2.防火墙处于系统内核空间还是用户空间？ 简答：防火墙功能在内核中功能某块叫filter，通过查看编译配置文件可知防火墙是处于内核空间的程序。 [ root@centos6 boot ]#cat config-2.6.32-696

discuz的论坛环境，可以在lampp系统上直接使用。 前提：先看linux的操作系统是多少位的，然后下载相应的安装包。 现以32位操作系统为例，取32位的xampp安装包xampp-linux-1.8.3-3-installer.run为例说明。 Discuz的搭建步骤. 一.linux下搭建lampp软件包 xampp上传到linux的/opt目录下 修改权限并安装 chmode 755 xampp-linux-1.8.3-3-installer.run sudo ./xampp-linux-1.8.3-3-installer.run 安装完成 lampp软件的打开 sudo /opt/lampp/lampp start 查看apache是否打开: ps -ef|grep httpd 查看mysql是否打开 ps -ef|grep mysql 关闭lampp sudo /opt/lampp/lampp stop 备注：如果最终没有停止，就强行杀掉， kill -9 pid 关闭防火墙 service iptables stop chkconfig iptables off --永久关闭 vi /opt/lampp/etc/proftpd.conf 编辑UseFtpUsers=on /opt/lampp/etc/extra下的http-xampp.conf下