selinux

k8s搭建 1.集群环境 hostname IP remark os k8s-master 172.19.100.210 docker、kubectl、kubelet、kubeadm、flannel centos7.* k8s-node1 172.19.100.211 docker、kubectl、kubelet、kubeadm centos7.* k8s-node2 172.19.100.212 docker、kubectl、kubelet、kubeadm centos7.* 2.软件版本 1. k8s=v1.12.3 2. flannel=v0.10.0-amd64 3.环境准备 3.1设置主机名称 hostnamectl set-hostname k8s-master hostnamectl set-hostname k8s-node1 hostnamectl set-hostname k8s-node2 3.2配置主机映射 172.19.100.210 k8s-master 172.19.100.211 k8s-node1 172.19.100.212 k8s-node2 3.3关闭防火墙 systemctl stop firewalld systemctl disable firewalld 3.4关闭selinux setenforce 0 sed -i "s/

本文目录： 1.1 PXE说明 1.2 PXE流程 1.3 部署环境说明 1.4 部署DHCP服务 1.5 部署FTP 1.6 提供pxe的boot loader和相关配置文件 1.7 从安装镜像中获取Linux内核文件 1.8 设置开机菜单并提供系统安装文件 1.9 开机测试 1.10 通过pxe+ kickstart实现无人值守批量安装操作系统 本文是PXE +kickstart无人值守安装CentOS6的续篇，主要是为了突出CentOS7和CentOS6配置kickstart时的不同点，例如pxelinux.cfg/ default文件的变化，kickstart使用nfs提供时的bug等。为了文章的完整性和独立性，将很多CentOS6上直接复制搬到了本文。 1.1 PXE说明 所谓的PXE是Preboot Execution Environment的缩写，字面上的意思是开机前的执行环境。 要达成PXE必须要有两个环节： ( 1 )一个是客户端的网卡必须要支持PXE用户端功能，并且开机时选择从网卡启动，这样系统才会以网卡进入PXE客户端的程序； ( 2 )一个是PXE服务器必须要提供至少含有DHCP以及TFTP的服务！ 且其中： · DHCP服务必须要能够提供客户端的网络参数，还要告知客户端TFTP所在的位置； · TFTP则提供客户端的boot loader及kernel

一，分布式文件系统理论基础 1.1 分布式文件系统出现 计算机通过文件系统管理，存储数据，而现在数据信息爆炸的时代中人们可以获取的数据成指数倍的增长，单纯通过增加硬盘个数来扩展计算机文件系统的存储容量的方式，已经不能满足目前的需求。 分布式文件系统可以有效解决数据的存储和管理难题，将固定于某个地点的某个文件系统，扩展到任意多个地点/多个文件系统，众多的节点组成一个文件系统网络。每个节点可以分布在不同的地点，通过网络进行节点间的通信和数据传输。人们在使用分布式文件系统时，无需关心数据是存储在哪个节点上，或者是从哪个节点从获取的，只需要像使用本地文件系统一样管理和存储文件系统中的数据。 1.2 典型代表NFS NFS（Network File System）即网络文件系统，它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中，本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件，就像访问本地文件一样。NFS的优点如下： （1）节约使用的磁盘空间 客户端经常使用的数据可以集中存放在一台机器上，并使用NFS发布，那么网络内部所有计算机可以通过网络访问，不必单独存储。 （2）节约硬件资源 NFS还可以共享软驱，CDROM和ZIP等的存储设备，减少整个网络上的可移动设备的数量。 （3）用户主目录设定 对于特殊用户，如管理员等，为了管理的需要

Linux文件系统管理 1 Linux系统目录命名规则与用途 1.1 文件系统目录结构 文件和目录被组织成一个单根倒置树结构 文件系统从根目录下开始，用“/”表示 标准Linux文件系统（如：ext4），文件名称大小写敏感。 以.开头的文件为隐藏文件 路径分隔的 / 文件名最长255个字节 包括路径在内文件名称最长4095个字节 蓝色-->目录 绿色-->可执行文件 红色-->压缩文件 浅蓝色-->链接文件 灰色-->其他文件 除了斜杆和NUL，所有字符都有效，有些字符需要用引号来引用 每个文件都有两类相关数据：元数据：metadata，即属性；数据：data，即文件内容 1.2 常见文件系统目录功能 /boot：引导文件存放目录，内核文件（vmlinuz）、引导加载器（bootloader，grub）都存放于此目录 /bin：所有用户使用的基本命令，不能关联至独立分区，OS启动即会用到的程序 /sbin：管理类的基本命令，不能关联至独立分区，OS启动即会用到的程序 /lib：启动时程序依赖的基本共享库文件已经内核模块文件（/lib/modules） /lib64：专用于X86_64系统上的辅助共享文件存放文件 /etc：配置文件目录 /home/USERNAME：普通用户Home目录 /root：管理员家目录 /media：便携式移动设备挂载点 /mnt：临时文件系统挂载点

几种必须静默安装的情况 服务器为了减少资源占用，没安装图形组件 不能进入机房，只能远程SSH 想炫(Z)耀(B)，静默安装显得有技术含量 磁盘分区要求 如没有特别要求，装机时可按如下分区比较好管理 /boot ext3 100M Swap swap 32G #一般和内存一样大 /u01 ext3 800G #Oracle安装目录和数据库数据文件存放目录，大小要大于预估的全部数据量 /opt ext3 5G /tmp ext3 2G / ext3 剩余空间 安装步骤大纲 没明确指出操作账号的步骤，请仔细看命令前面是井号还是美元，井号就是用root做的，美元就是用oracle做的。 装前检查 创建组和用户 修改内核参数 修改用户限制 关闭SELinux及防火墙 创建安装目录 设置环境变量 执行runInstaller安装Oracle 执行dbca建立数据库 配置tnsnames.ora 执行lsnrctl启动监听，PLSQL连接 安装前检查 两个安装包 linux.x64_11gR2_database_1of2.zip linux.x64_11gR2_database_2of2.zip Oracle版本是11.2.0.1.0 Linux版本Red Hat Enterprise Linux Server release 6.6 (Santiago) 物理内存检查： 至少4G

几种必须静默安装的情况 服务器为了减少资源占用，没安装图形组件 不能进入机房，只能远程SSH 想炫(Z)耀(B)，静默安装显得有技术含量 磁盘分区要求 如没有特别要求，装机时可按如下分区比较好管理 /boot ext3 100M Swap swap 32G #一般和内存一样大 /u01 ext3 800G #Oracle安装目录和数据库数据文件存放目录，大小要大于预估的全部数据量 /opt ext3 5G /tmp ext3 2G / ext3 剩余空间 安装步骤大纲 没明确指出操作账号的步骤，请仔细看命令前面是井号还是美元，井号就是用root做的，美元就是用oracle做的。 装前检查 创建组和用户 修改内核参数 修改用户限制 关闭SELinux及防火墙 创建安装目录 设置环境变量 执行runInstaller安装Oracle 执行dbca建立数据库 配置tnsnames.ora 执行lsnrctl启动监听，PLSQL连接 安装前检查 两个安装包 linux.x64_11gR2_database_1of2.zip linux.x64_11gR2_database_2of2.zip Oracle版本是11.2.0.1.0 Linux版本Red Hat Enterprise Linux Server release 6.6 (Santiago) 物理内存检查： 至少4G

Kubernetes CIS Benchmark 见kube-bench 1.安全策略 1.1 使用宿主节点的命名空间 命名空间分 网络命名空间 PID命名空间 IPC命名空间 Pod使用主机的网络命名空间 绑定宿主节点端口 使用宿主节点的PID和IPC命名空间 1.2 节点安全上下文配置 指定容器中运行进程的用户ID 组织容器以Root用户运行 使用特权模式运行容器，对宿主节点内核具有完全的访问权限 通过添加或禁用内核功能，配置细粒度内核访问权限 设置SELinux选项，加强对容器的限制 阻止对容器根文件系统的写入 容器使用不同用户运行时共享存储卷 1.3 集群级别PodSecurityPolicy 是否允许Pod使用宿主节点的PID、IPC、网络命名空间 Pod允许绑定的宿主节点端口 容器运行时允许使用的用户ID runAsUser\fsGroup\supplementalGroup 是否允许拥有特权模式容器的pod 允许添加那些内核功能，默认添加那些内核功能，总是禁用那些内核功能 允许容器使用那些SELinux选项 容器是否允许使用可写的根文件系统 允许容器在哪些文件系统组下运行 允许Pod使用哪些类型的存储卷 对不同用户与组分配不同的PodSecurityPolicy 1.4 隔离Pod的网络 对一个命名空间启用网络隔离 同一命名空间内限制部分Pod访问一个服务端Pod

关键词：mysql复制（异步复制），mysql异步复制 核心原理： 　　mysql 复制流程原理 　　　　 　　一个事务在 mysql异步复制中的流程与生命周期 　　 　　一个事务，在传统半同步的复制流程 　　 #mysql主从基本实验 步骤目录： 　　前提 　　异步复制（asynchronous ） 　　#【0】主从均开启binlog，设置server-id 　　#【1】准备复制账户 　　#【2】在主库上，设置读锁定有效。以便获取一个一致性的快照（flush table with read lock） 　　#【3】show master status;获取主库当前的二进制日志名和偏移量pos位置。 　　#【4】备份主库还原到从库（直接copy,或者mysqldump） 　　　　　解锁主库（unlock tables;） 　　#【5】跳过从线程启动Mysql （mysqld_safe --skip-slave-start &） 　　#【6】在mysql下配置从库复制线程（change master to ） 　　#【7】在mysql下启动从线程并验证 　　#【8】开始验证 　　#【9】故障诊断 　　#【10】主从挂了怎么快速切换恢复 　　#【11】一主一从结构迁移从库架构图 　　#【12】半同步复制 　　#【13】复制的日常管理与维护 详情： 前提： 　　（0）测试环境

1.关闭防火墙 systemctl stop firewalld && systemctl disable firewalld 2.关闭selinux vim /etc/sysconfig/selinux 修改 SELINUX=disabled 3.安装keepalived等 yum -y install keepalived ipvsadm net-tools gcc gcc-c++ make popt-devel kernel-devel openssl-devel #设置开机启动 systemctl enable keepalived 4.修改keepalived.conf vim /etc/keepalived/keepalived.conf keepalived.conf 配置，注意修改ip和端口 ! Configuration File for keepalived global_defs { router_id lvs1 #router_id 机器标识，通常为hostname，但不一定非得是hostname。故障发生时，邮件通知会用到。 } vrrp_instance VI_1 { #vrrp实例定义部分 state MASTER #设置lvs的状态，MASTER和BACKUP两种，必须大写，只能一个MASTER interface ens33 #设置对外服务的接口

心得：9章以后，讲的快。需要提前预习。熟悉HTTPD，SELinux的服务。 来源： oschina 链接： https://my.oschina.net/wjp29/blog/4937908