运维工作

一：工作职责：

1、负责内网外网服务器的正常运行与维护*

2、配合开发人员要求搭建的开发环境*

3、服务于公司人员且解决电脑疑难问题

 

二：工作具体内容：

101.201.237.0 60888 dreamlive@2016!!!  运维登录机

1、162服务器是同线上服务器，163服务器是向线上服务器推送代码，

2、164/165/166 是线上大数据服务器，jira数据库在166服务器上

3、168是：线上辅助服务器

3.1　　　　pptpd（端口1723）（vpn）：通过在家里或者有网络的地方，windows 创建vpn连接、

　　　　　　　　　　　　　 填写公司公网服务器出口ip、填写路由器里配置的用户名、密码即可

　　　　　　　　　　　　　 /etc/pptpd.conf    主配置文件

　　　　　　　　　　　　  /etc/ppp/chap-secrets              用户名密码在这里

　　　　　　　　　 

3.2　　　　openvpn(端口8371)：客户端需要有认证、私钥、服务端的公钥、

　　　　　　　　　　　连接服务端的文件，相比pptp更加安全、/etc/openvpn/ 主目录在这里

　　　　　　　　　　   openvpn --config /etc/openvpn/server.conf &     ###开启openvpn且放入后台

　　　　　　　　　　   killall -9 openvpn　　　　　　　　　　　　　　　 ###关闭openvpn

　　　　　　　　　　   /etc/openvpn/easy-rsa　　　　　　　　　　　　  #生成客户端服务端秘钥路径

　　　　　　　　　　　source ./vars　　　　　　　　　　　　　　　　　 #

　　　　　　　　　　  ./build-key  client　　  　　　　　　　　　　　　 #生成客户端秘钥

 　　　　　　　　　　

3.3　 　　　jira（默认服务端8005）（测试bug库软件）：

　　　　　　　　　　 /home/jira/atlassian-jira-6.3.6-standalone/bin   #进入到jiar的安装路径

　　　　　　　　　　./start-jira.sh && tailf ../logs/catalina.out          #开启jiar服务，并将日志输出到指定文件

　　　　　　　　　   /home/jira/jira-web/dbconfig.xml                     #连接的数据库名称、用户名密码等

　　　　　　　　　　killall -9  jira　　　　　　　　　　　　　　　　　　#杀掉后台进程

　　　　　　　　　　　

3.4　　　　 nginx（默认监听80端口）（将本机7070端口代理为activity.dreamlive.tv)：    

　　　　　　　　　　/usr/local/nginx/conf/vhost/activity.dreamlive.tv 里面写入了代理模块

　　　　　　　　　  /usr/local/nginx/bin/ nginx 开启   -s  stop、restart、reload  

3.5　　　　 svn（端口3690）（存放代码）：在/home/svnserver                 

　　　　　　　      svnserve  -d  -r  /home/svnserver   是开启svn并放入后台，关闭则：killall -9 svn

　　　　　　　　　cd /home/svnserver/     #如下是创建仓库

　　　　　　　　　svnadmin create dreamstat  #仓库名

　　　　　　　　　cp  yunwei/conf/serve.conf  dreamstat/conf   #将其它仓库下的权限文件拷过来

　　　　　　　　　vim  authz       #声明仓库名和指定用户名的权限

　　　　　　　　　vim  passwd    #声明用户名密码

3.5.2:老业务git仓库

　　　　　　　　　  老业务的阿里云git服务器

　　　　　　　　　　　git用户登陆  /home/git/repositories/  为git仓库

　　　　　　　　　　　vim .gitosis.conf  访问哪个仓库哪个权限，如：shuyou@dreamlive.tv

　　　　　　　　   　　下载git客户端

　　　　　　　　　　　右击git bash here,生成git用户公私钥：ssh-keygen -t rsa

　　　　　　　　　　　去c盘用户下就可以看到.ssh目录下面复制id_rsa.pub文件下内容

　　　　　　　　　　　到git 服务器端的git用户 vim .ssh/authorized_keys 复制到底下(务必注意此文件最后或中间不能出现空格，并复制上一个认证的信息到no-pty下)

　　　　　　   　　　　输入git地址如下：git@121.42.49.217:dream_android_v2.git

　　　　

3.6　　　　 lnmp环境：通过一键安装脚本、或者一个个安装（php端口：9000）

3.7　　　　 tomcat：168服务器上给开发测试用

3.8　　　　 samba

　　　　　　　　　　　　主配置文件：/etc/samba/smb.conf

　　　　　　　　　　　　先创建用户useradd 并设置密码

　　　　　　　　　　　　进入主配置文件添加   

[gujie]
path = /home/gujie/
browseable = yes
writable = yes
create mask = 0777
public = yes

根据需要更改内容或权限即可

　　　　　　　　　　　　去/home下创建smb的密码：smbpasswd -a gujie

　　　　　　　　　　　　重启service smb restart

 

四：管理线上服务器地址：

　　　　　　https://10.10.10.145/vpn/sts/      #用户名密码看yunwei表

五：脚本存放路径：

　　　　　　/data/sh/

　　　　　　

六：常用命令：

　　　　　　du -h --max-depth=1 | grep G | sort -n   #统计出有哪些G大的文件

　　　　　　xfs_growfs /dev/mapper/centos-root       #此命令是用于扩展玩逻辑卷后立即应用分区的命令

　　　　　　pscp -h log_placement_iplist -l root chpass.txt /root/     #批量传文件

　　　　　　pssh -h api_iplist -l root -P "service php-fpm reload"      #批量执行命令

　　　　　　

　　　　　　wget -q -O - http://linux.dell.com/repo/hardware/dsu/bootstrap.cgi | bash

　　　　　　yum install dell-system-update  #这两句 是修复xenserver yum源出错问题的

　　　　　　curl -X POST -F "filename=@zabbix" http://59.110.145.201/upload/test -voa   #测试客户端推流的上传带宽

6.1、解决ssh启动失败，无法连接22端口

　　　　　　chown -R root.root /var/empty/sshd

　　　　　　chmod 744 /var/empty/sshd

　　　　　　service sshd restart

 

6.2 Tomcat  普通用户无法启动80端口问题

　　　　　　是因为只有root用户才可以使用1024以下端口

　　　　　　如果是dream用户执行则需要在catalina.sh里面开头的#！/bin/bash下加入如下

　　　　　　其意思是指定jdk运行的目录

　　　　　　export JAVA_HOME=/home/dream/java/jdk1.8.0_60
　　　　　　export JAVA_HOME=/home/dream/java/jdk1.8.0_60/jre

 

七：华为路由器配置nat

<u200>sys
[u200]interface G
[u200]interface GigabitEthernet 0/1
[u200-GigabitEthernet0/1]display this
[u200-GigabitEthernet0/1] nat server protocol tcp global 39.155.172.129 8371 inside 192.168.2.222 8371

[u200-GigabitEthernet0/1] undo nat server protocol tcp global 39.155.172.129 8371 inside 192.168.2.222 8371

[u200-GigabitEthernet0/1]save

 八：openvpn配置文件server.conf

port 8371
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 192.168.90.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
push "route 10.10.10.0 255.255.255.0"
push "dhcp-option DNS 221.130.33.52"
push "dhcp-option DNS 202.106.0.20"
client-to-client
keepalive 10 120
;cipher AES-256-CBC #这里默认开启加密，要注释掉
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

 

添加防火墙规则让路由出去

firewall-cmd --zone=public --list-all

###iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j MASQUERADE  

firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter POSTROUTING 0 -t nat -o eth0 -j MASQUERADE

firewall-cmd --add-port=3128/tcp --permanent

firewall-cmd --permanent --add-service=http

firewall-cmd --reload

就要新建一个服务，在/usr/lib/firewalld/services，随便拷贝一个xml文件到一个新名字，比如myservice.xml,把里面的

<?xml version="1.0" encoding="utf-8"?>

<service>
<short>Transmission-client</short>
<description>Transmission is a lightweight GTK+ BitTorrent client.</description>
<port protocol="tcp" port="51413"/>
</service>

short改为想要名字（这个名字只是为了人来阅读，没有实际影响。重要的是修改 protocol和port。修改完保存。我的经验是这是要重启firewalld服务，systemctl restart firewalld.service，否则可能提示找不到刚才新建的service。然后把新建的service添加到
firewalld

firewall-cmd --permanent --add-service=myservice