随笔分类 - linux
摘要:1 环境搭建 实验环境拓扑如下: 客户端windows主机在互联网上通过teleport堡垒机平台对内网主机nginx进行登录维护。 注意:如果使用teleport的免密登录nginx主机,需要提前实现teleport主机的针对nginx主机基于秘钥的验证。 ##2 teleport工具搭建 tel
阅读全文
摘要:SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。而且,SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道”(tunneling),这是因为 SSH 为其他 TCP 链接提供了一个安全的通道来进行传输而得
阅读全文
摘要:SSH服务 1. SSH服务概述 ssh: (secure shell) 为建立在应用层基础上的安全协议,端口号为22/tcp。 1.1 SSH服务介绍 ssh实现的功能: 通过使用SSH,可以把所有传输的数据进行加密,可以有效防止类似Telnet安全验证缺陷带来的中间人攻击(key验证),而且也能
阅读全文
摘要:1. iptables介绍及工作原理 1.1 防火墙概述 防火墙分类: 从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护,比如Windows。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的服务器集群。 从物理上讲,防火墙可以
阅读全文
摘要:1. 智能DNS 1.1 智能DNS概述 智能DNS就是根据用户的来源地域,自动智能化判断来路IP返回给用户,而不需要用户进行选择。 智能DNS实现的主要功能: 可以根据用户来路和运营商智能判断最优访问线路; 服务器故障自动替换宕机节点,保障最优访问线路; 负载均衡:对于流量比较大的网站,可以把流量
阅读全文
摘要:1. DNS子域 子域即为主域下的一个子域名,当一个子域的流量过大时,主域的DNS服务器可以把一个子域的查询授权给一台专门的子域服务器,称为子域授权或子域委派。 1.1 子域授权环境说明 父域:xuzhichao.com 主DNS服务器:主机名:dns01;地址:192.168.20.70; 从DN
阅读全文
摘要:1. DNS主从服务器 1.1 主从服务器概述 辅助DNS是DNS容灾备份服务:在主DNS和辅DNS之间建立区域数据传输机制,当主DNS遇到故障或者服务中断时,辅DNS仍可以继续提供解析服务,因此保障业务稳定运行。例如阿里云提供的主从服务器223.5.5.5和223.6.6.6 辅助DNS的优势:
阅读全文
摘要:##1 DNS配置示例 ###1.1 DNS解析类型 DNS在一个区域中有正向解析和反向解析两种类型: 正向解析: FQDN->IP 反向解析: IP->FQDN 反向解析用到根域下一个特殊的名为ARPA域,叫反向解析域; 反向解析域下面有一个in-addr,再往下为IP地址; 以172.20.0.
阅读全文
摘要:##1 bind自带客户端命令 ###1.1 rndc命令 rndc命令(remote name domain controller)默认与bind安装在同一主机,且只能通过127.0.0.1连接named进程。 提供辅助性的管理功能,端口为953/tcp。 命令语法为: rndc COMMAND
阅读全文
摘要:1. bind服务 1.1 bind概述 BIND 是由美国加州大学开发并且维护的,BIND是一个开源、稳定、且应用广泛的DNS服务。 开源:指 BIND 服务源代码是开放的; 稳定:指 BIND 服务运行非常稳定; 广泛:政府企业、单位机构、学校、等; BIND提供域名解析服务、权威域名服务、DN
阅读全文
摘要:1.1 DNS服务概述 DNS(Domain Name System) 是 ”域名系统“ 英文缩写,它所提供的服务是用来将域名转换为 IP 地址或把IP地址转换为域名的工作。 DNS为应用层协议,基于C/S架构,服务器端口号使用情况为,客户端向服务器查询时候用到53/udp,DNS主从复制时用到53
阅读全文
摘要:1. LVS+keepalived实现高可用 LVS 可以实现负载均衡功能,但是没有健康检查机制,如果一台 RS 节点故障,LVS 任然会将请求调度至该故障 RS 节点服务器;可以使用 Keepalived 来实现解决: 1.使用 Keepalived 可以实现 LVS 的健康检查机制, RS 节点
阅读全文
摘要:1. LVS调度算法详解 1.1 静态调度算法 静态:仅根据算法本身进行调度,不考虑后端实际负载情况(起点公平)。 1.1.1 RR调度算法 RR:round robin 轮询调度算法,将每一次用户的请求,轮流分配给 Real Server节点。 LVS配置示例: [root@lvs-01 ~]#
阅读全文
摘要:持久连接: 持久连接用于实现无论使用任何调度算法,在一段时间内(默认300s ),能够实现将来自同一个地址的请求始终发往同一个RS。 语法格式: ipvsadm -A|E -t|u|f service-address [-s scheduler] [-p [timeout]] 选项 在生成lvs规则
阅读全文
摘要:防火墙标记的作用是:借助于防火墙标记来分类报文,然后基于标记定义集群服务;可将多个不同的应用使用同一个集群服务进行调度。 实现方法: 在Director主机打标记,作用在mangle表的PREROUTING链上 格式 iptables -t mangle -A PREROUTING -d $vip
阅读全文
摘要:1. LVS DR模型搭建 1.1 DR模型网络规划 规划要点: 在生产环境中,客户端与企业互联网出口设备不会时同一网段地址,此处我们规划为同一网段地址,但是没有在客户端上配置网关,因此我们需要在企业出口设备上把LVS的VIP地址192.168.50.100做地址映射或端口映射,映射到企业出口防火墙
阅读全文
摘要:1. LVS NAT模型搭建 1.1 NAT模型网络规划 规划要点: 在生产环境中,客户端与企业互联网出口设备不会时同一网段地址,此处我们规划为同一网段地址,但是没有在客户端上配置网关,因此我们需要在企业出口设备上把LVS的VIP地址192.168.50.100做地址映射或端口映射,映射到企业出口防
阅读全文
摘要:1. 负载均衡集群概述 Cluster:集群,为解决某个特定问题将多台计算机组合起来形成的单个系统。 LB:Load Balancing,负载均衡集群 将用户的请求按照一定的比例均匀的发布到不同的服务器上,该系统使负载可以在计算机群集中尽可能平均地分摊处理。 负载均衡集群按照工作的协议层次可以分为四
阅读全文
摘要:1. keepalived+nginx实现WEB负载均衡高可用集群 nginx作为负载均衡设备可以将流量调度到后端WEB集群中,但是nginx本身没有做到高可用,需要结合keepalived技术解决nginx的单点故障问题,因此通常需要nginx结合keepalived技术实现架构的高可用。 1.1
阅读全文
摘要:1. keepalived安装配置 1.1 keepalived安装环境 keepalived可以直接使用yum方式进行安装: [root@nginx-lb01 ~]# yum install keepalived [root@nginx-lb01 ~]# rpm -q keepalived kee
阅读全文