FTP在服務(wù)器中是門戶集的應(yīng)用，幾乎人人都有接觸。先森在公司上班也有三個(gè)月了，F(xiàn)TP的搭建也有了自己的一個(gè)文檔，最近都沒有怎么更新博客了，所以把自己用的部署文檔整理一下發(fā)布出來(lái)，有問題還請(qǐng)指點(diǎn)。公司服務(wù)器用的FTP服務(wù)器都是清一色的vsftpd，所以本文是用vsftpd搭建FTP服務(wù)器。另外，先森發(fā)現(xiàn)，萬(wàn)網(wǎng)免費(fèi)虛擬主機(jī)用的FTP也是vsftpd。vsftpdvsftpd安裝安裝沒有什么說(shuō)的，vsftpd可以直接yum安裝，也可以下載rpm包安裝：rpm -ivh vsftpd-2.2.2-11.el6_4.1.x86_64.rpm因?yàn)橄壬玫氖荂entOS 6.8的系統(tǒng)，默認(rèn)安裝的vsftpd版本為2.2.2的。相關(guān)命令如下:# 啟動(dòng)ftp服務(wù)service vsftpd start# 查看ftp服務(wù)狀態(tài)service vsftpd status # 重啟ftp服務(wù)service vsftpd restart# 關(guān)閉ftp服務(wù)service vsftpd stop創(chuàng)建FTP用戶首先創(chuàng)建一個(gè)不能登錄系統(tǒng)的用戶：useradd -d /web/data/ftp -s /sbin/nologin -M xsftpuseradd參數(shù)解釋：-d：設(shè)置用戶根目錄-s：設(shè)置用戶登錄后所用的shel-M：創(chuàng)建用戶不自動(dòng)創(chuàng)建根目錄設(shè)置用戶權(quán)限到文件夾chown -R xsftp /web/data/ftp設(shè)置權(quán)限chmod 777  /web/data/ftp設(shè)置密碼passwd amtftp -> 密碼 -> 確認(rèn)密碼有時(shí)候需要修改FTP用戶的根目錄，下面說(shuō)下怎么修改。usermod -d /usr/newfolder -u uid usernameuid：用戶UID，可在/etc/passwd中查到。username：用戶名修改配置文件vsftpd的配置配置文件：/etc/vsftpd/vsftpd.confvi /etc/vsftpd/vsftpd.conf修改以下參數(shù)：anonymous_enable=NO# YES改為NO，禁止匿名用戶登錄取消注釋：chroot_local_user=YES#是否將所有用戶限制在主目錄,YES為啟用，NO或者注釋為禁用末尾添加：pasv_enable=yes        #開啟FTP被動(dòng)模式pasv_max_port=6666pasv_min_port=5555    # FTP被動(dòng)模式所用端口范圍5555到6666保存退出防火墻iptables的配置，開啟FTP端口vim /etc/sysconfig/iptables-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 5555:6666 -j ACCEPTservice iptables restart【限制用戶只能訪問其主目錄】很多情況下，我們希望限制ftp用戶只能在其主目錄下（root dir）下活動(dòng)，不允許他們跳出主目錄之外瀏覽服務(wù)器上的其他目錄，這時(shí)候我就需要使用到chroot_local_user,chroot_list_enable,chroot_list_file這三個(gè)選項(xiàng)了。chroot_local_user#是否將所有用戶限制在主目錄,YES為啟用，NO禁用.(該項(xiàng)默認(rèn)值是NO,即在安裝vsftpd后不做配置的話，ftp用戶是可以向上切換到要目錄之外的)chroot_list_enable#是否啟動(dòng)限制用戶的名單 YES為啟用，NO禁用(包括注釋掉也為禁用)chroot_list_file=/etc/vsftpd/chroot_list#是否限制在主目錄下的用戶名單至于是限制名單還是排除名單，這取決于chroot_local_user的值，我們可以這樣記憶： chroot_local_user總是一個(gè)全局性的設(shè)定，其為YES時(shí)，全部用戶被鎖定于主目錄，其為NO時(shí)，全部用戶不被鎖定于主目錄。那么我們勢(shì)必需要在全局設(shè)定下能做出一些“微調(diào)”，即，我們總是需要一種“例外機(jī)制"，所以當(dāng)chroot_list_enable=YES時(shí)，表示我們“需要例外”。而”例外“的含義總是有一個(gè)上下文的，即，當(dāng)”全部用戶被鎖定于主目錄“時(shí)（即chroot_local_user=YES），"例外"就是：不被鎖定的用戶是哪些；當(dāng)"全部用戶不被鎖定于主目錄"時(shí)（即chroot_local_user=NO），"例外"“就是：要被鎖定的用戶是哪些。這樣解釋和記憶兩者之間的關(guān)系就很清晰了！

先森剛接觸運(yùn)維，當(dāng)然要學(xué)習(xí)部署各種集群環(huán)境，從最開始的LVS+nginx搭建，到現(xiàn)在Keepalived+lvs+nginx+tomcat搭建，集群的搭建也開始慢慢的得心應(yīng)手了。不過，前進(jìn)的道路上總是荊棘遍布。先森的LVS用的是DR模式下的RR輪詢算法，這個(gè)算法會(huì)實(shí)現(xiàn)的效果是每個(gè)訪問會(huì)輪流分布到后端服務(wù)器1、2、3..上面去，后端服務(wù)器相當(dāng)于在和訪問打車輪戰(zhàn)。keepalived+lvs+nginx+tomcat拓?fù)鋱D然而，先森環(huán)境部署好之后，要刷新很久之后，才換切換到另一個(gè)后端服務(wù)器，雖然這也是一定意義上的達(dá)到了目標(biāo)，但心中總還是有個(gè)疙瘩。那么為什么會(huì)出現(xiàn)這樣的問題呢？影響因素經(jīng)過先森的測(cè)試，影響刷新輪詢的配置keepalived、Nginx、Tomcat分別有一個(gè)，也就是一共有三個(gè)配置會(huì)影響到。keepalived配置首先，在keepalived的配置文件中，存在一個(gè)會(huì)話保持時(shí)間的配置。vim /etc/keepalived/keepalived.confpersistence_timeout 50    #50秒為默認(rèn)值會(huì)話保持時(shí)間這里有個(gè)默認(rèn)為50秒的會(huì)話保持時(shí)間。如果設(shè)置了這一項(xiàng)，那么久會(huì)等待50秒后才會(huì)切換realserver。如果上面的這樣配置已經(jīng)刪除或注釋，但問題依舊存在，那么一定就是Nginx和Tomcat的配置問題了。Nginx配置編輯打開到nginx的配置文件：vim /usr/local/nginx/conf/nginx.conf在http模塊下面就存在影響刷新輪詢的配置：Nginx的配置在nginx.conf中，有一項(xiàng)配置：keepalive_timeout  65;這是nginx默認(rèn)的連接超時(shí)時(shí)間，默認(rèn)為65秒。將數(shù)字改為0即可?；蛘甙焉蠄D中65那行注釋，0那行取消注釋就好。Tomcat配置同樣的，在Tomcat中也有相關(guān)配置。同樣編輯打開Tomcat的配置文件：vim /web/soft/tomcat/conf/server.xml找到設(shè)置Http訪問端口那一段：Tomcat的配置在server.xml中，設(shè)置外部訪問端口那一段，有個(gè)connectionTimeout的設(shè)置，即連接超時(shí)時(shí)間：connectionTimeout="20000"這個(gè)值默認(rèn)是2000毫秒，將其改為10毫秒左右即可。不可以改為0，設(shè)置為0表示永不超時(shí)。警告總體來(lái)說(shuō)，上面的三個(gè)配置都是修改的會(huì)話保持時(shí)間。但是會(huì)話保持時(shí)間是不能隨意修改的。什么是會(huì)話保持呢？會(huì)話保持是指在負(fù)載均衡器上有一種機(jī)制，在作負(fù)載均衡的同時(shí)，還保證同一用戶相關(guān)連的訪問請(qǐng)求會(huì)被分配到同一臺(tái)服務(wù)器上。會(huì)話保持有什么作用呢？舉例說(shuō)明一下如果有一個(gè)用戶訪問請(qǐng)求被分配到服務(wù)器A，并且在服務(wù)器A登錄了，并且在很短的時(shí)間，這個(gè)用戶又發(fā)出了一個(gè)請(qǐng)求，如果沒有會(huì)話保持功能的話，這個(gè)用戶的請(qǐng)求很有可能會(huì)被分配到服務(wù)器B去，這個(gè)時(shí)候在服務(wù)器B上是沒有登錄的，所以你要重新登錄，但是用戶并不知道自己的請(qǐng)求被分配到了哪里，用戶的感覺就是登錄了，怎么又要登錄，用戶體驗(yàn)很不好。所以，切記的是，修改上面的三項(xiàng)會(huì)話保持時(shí)長(zhǎng)的配置僅僅只是用于環(huán)境測(cè)試，如果在生產(chǎn)環(huán)境，一定要按照需求設(shè)置。

我始終覺得，在Xshell中ssh連接服務(wù)器，敲了很多命令，想要回去查看直接命令的結(jié)果的時(shí)候，一行一行的命令容易看花眼，不能準(zhǔn)確的在一行行命令中，找到輸入命令的那一行。代碼看花了眼在搜教程的時(shí)候，我無(wú)意間看到一個(gè)教程中的終端截圖了，別人的命令提示符“#”號(hào)是紅色的，我頓時(shí)眼前一亮，我覺得這樣的識(shí)別度就比較高了。但是當(dāng)時(shí)不知道這是怎么實(shí)現(xiàn)的，還以為是Xshell的配置，還在顏色配置中找了半天，無(wú)果后只能暫時(shí)放棄。紅色提示符后來(lái)終于找到了設(shè)置方法，原來(lái)是linux的終端命令提示符的變量PS1。初階用法其實(shí)PS1就是用來(lái)設(shè)置命令提示符格式的環(huán)境變量。我的設(shè)置方法是，在~/.bashrc末尾添加PS1的變量，再刷新一下就可以了。也可以在/etc/profile中添加。vim ~/.bashrcPS1="[\u@\h \W]\[\e[31;40m\]\\$ \[\e[0m"  #末尾添加source ~/.bashrc    # 刷新這個(gè)變量初看是不怎么看的懂的，但是它的規(guī)則其實(shí)也很簡(jiǎn)單。下面是需要顯示的信息代碼：\d ：代表日期，格式為weekday month date，例如："Mon Aug 1"\H ：完整的主機(jī)名稱。例如：我的機(jī)器名稱為：fc4.linux，則這個(gè)名稱就是fc4.linux\h ：僅取主機(jī)的第一個(gè)名字，如上例，則為fc4，.linux則被省略\t ：顯示時(shí)間為24小時(shí)格式，如：HH：MM：SS\T ：顯示時(shí)間為12小時(shí)格式\A ：顯示時(shí)間為24小時(shí)格式：HH：MM\u ：當(dāng)前用戶的賬號(hào)名稱\v ：BASH的版本信息\w ：完整的工作目錄名稱。家目錄會(huì)以 ~代替\W ：利用basename取得工作目錄名稱，所以只會(huì)列出最后一個(gè)目錄\# ：下達(dá)的第幾個(gè)命令\$ ：提示字符，如果是root時(shí)，提示符為：# ，普通用戶則為：$下面是設(shè)置這些代碼顏色的代碼：前景    背景    顏色-----------------------------30    40    黑色31    41    紅色32    42    綠色33    43    黃色34    44    藍(lán)色35    45    紫紅色36    46    青藍(lán)色37    47    白色我配置的很簡(jiǎn)單，就是增加了一個(gè) # 號(hào)為紅色：PS1="[\u@\h \W]\[\e[31;40m\]\\$ \[\e[0m"其實(shí)背景色可以不用設(shè)置，那么就是這樣：PS1="[\u@\h \W]\[\e[31m\]\\$ \[\e[0m"效果如下：展示效果實(shí)際上還有很多自定義的樣式，比如：PS1="\[\e[37;40m\][\[\e[32;40m\]\u\[\e[37;40m\]@\h \[\e[35;40m\]\W\[\e[0m\]]\\$ "效果如下:其他樣式由上面兩個(gè)案例其實(shí)可以看出，設(shè)置顏色的方式，是在顯示信息代碼的前面加上“\[\e[37;40m\]”的代碼，其中的數(shù)字就是前景色和背景色的數(shù)值。搞明白了規(guī)則，那么可以愉快的DIY了各種樣式高階用法如果說(shuō)上面只是初階用法的話，那么下面從張戈博客那里看到的用法可以稱的上為高階用法，可以避免很多生產(chǎn)環(huán)境中的錯(cuò)誤。在生產(chǎn)環(huán)境中，我們運(yùn)維工程師手底下隨隨便便可能就有成百上千臺(tái)的服務(wù)器， 連先森都有數(shù)十臺(tái)。而連接這些服務(wù)器一般都是用跳板機(jī)，由于這些機(jī)器一般都是克隆或者虛擬化出來(lái)的，所以登陸后的命令行提示符幾乎是一個(gè)模子刻出來(lái)的，比如都是：[root@localhost ~]#所以為了更好的區(qū)別服務(wù)器，張戈提出了優(yōu)化PS1的方式，讓命令提示符中囊括當(dāng)前服務(wù)器的IP地址，以及當(dāng)前路徑。設(shè)置的PS1代碼如下：export PS1='\[\e[32m\][\u@192.168.1.1:\[\e[m\]\[\e[33m\]\w\[\e[m\]\[\e[32m\]]\[\e[m\]\$ '前后效果如下：設(shè)置前后效果如果就這么簡(jiǎn)單，那么張戈就不是張戈了。服務(wù)器那么多，如果一臺(tái)一臺(tái)你慢慢找IP地址，然后慢慢設(shè)置，那就太慢了。而且就算你設(shè)置好，不知道什么時(shí)候IP地址就變了，你還得修改。所以張戈寫了一個(gè)據(jù)說(shuō)很簡(jiǎn)單，但我覺得還是很復(fù)雜的Shell腳本，來(lái)幫我們實(shí)現(xiàn)這個(gè)效果。#!/bin/sh##########################################################################             Update PS1 like [root@192.168.1.113 /data]#                ###########################################################################先判斷網(wǎng)卡是否存在，我這邊eth1是內(nèi)網(wǎng)網(wǎng)卡ifconfig eth1 >/dev/null 2>&1 if [[ $? != 0 ]]then   echo 'interface eth1 not exsit!';   exit 1fi#Centos/Redhat 7 ifconfig顯示的結(jié)果不是 inet addr: 而是 inet 直接加IP，所以這里需要判斷下：function Get_eth1IP(){  if [[ $1 -eq 7 ]]  then      #for centos 7      eth1_IP=$(ifconfig eth1 |awk '/inet / {print $2}'|awk '{print $1}')   else       eth1_IP=$(ifconfig eth1 |awk -F":" '/inet addr:/ {print $2}'|awk '{print $1}')   fi} test -f /etc/redhat-release && grep 7 /etc/redhat-release >/dev/null 2>&1 && Get_eth1IP 7test -f /etc/centos-release && grep 7 /etc/redhat-release >/dev/null 2>&1 && Get_eth1IP 7 || Get_eth1IP echo $eth1_IP | grep -E "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}"  >/dev/null 2>&1 if [[ $? != 0 ]]then    echo 'eth1_IP is empty!'    exit 1fifunction Export(){    echo "export PS1='\[\e[32m\][\u@${eth1_IP}:\[\e[m\]\[\e[33m\]\w\[\e[m\]\[\e[32m\]]\[\e[m\]\\$ '">>${1} && \    echo -e "\033[32m Update \033[0m \033[33m${1}\033[33m \033[32mSuccess! Please relogin your system for refresh... \033[0m"} function home_env(){    if [[ ! -z  $1 ]]    then        home=$1    else        home=/root    fi    #有的用戶可能會(huì)在家目錄下自定義一些配置，即 .proflie這個(gè)隱藏文件，所以也需要更新    test -f $home/.profile && (        sed -i '/export PS1=/d' $home/.profile        Export $home/.profile        )} #獲取當(dāng)前用戶id，如果是root組的則可以操作/etc/profileuserid=$(id | awk '{print $1}' | sed -e 's/=/ /' -e 's/(/ /' -e 's/)/ /'|awk '{print $2}')if [[ $userid = 0 ]]then    #for all    sed -i '/export PS1=/d' /etc/profile    Export /etc/profile     #for root    home_env     #如果其他用戶需要修改，只要開啟一下三行，并將other修改成用戶名    #id other >/dev/null 2>&1 && (    #    home_env ~other    #)else    #for userself    home_env ~fi注意：1、張戈將變量寫進(jìn)的是/etc/profile中，而不是我試用的~/.bashrc中。2、修改腳本中的網(wǎng)卡，張戈是eth1，而我是eth0 。如果不修改直接運(yùn)行的話，可能會(huì)直接被退出終端。所以使用以下命令替換eth1為自己的網(wǎng)卡名稱:sed -i 's/eth1/eth0/g' update_PS1.sh運(yùn)行腳本的方式，是source ./update_PS1.sh運(yùn)行腳本接著，重新登錄或者source /etc/profile就可以看到效果了：刷新變量如果你覺得這樣兩步實(shí)現(xiàn)麻煩，可以在腳本最后添加一行source /etc/profile 即可立即見效：一步見效但是我覺得這種樣式顏色有點(diǎn)單調(diào)，所以做了兩種改變格式：樣式改變PS1的樣式代碼就不用說(shuō)了，都是在張戈的基礎(chǔ)上修改一下。怎樣設(shè)置，就看個(gè)人喜好了。

先森在模擬搭建LVS+Keepalived的環(huán)境，LVS是做負(fù)載均衡的，Keepalived是做高可用的。在搭建好之后，先森遇到了一個(gè)奇怪的問題，兩個(gè)負(fù)載均衡器MASTER和BACKUP都搶占到了VIP。不過還好的是，實(shí)際上同一時(shí)間內(nèi)只有一個(gè)VIP在起作用。下面就來(lái)談?wù)勏壬慕鉀Q過程。解決過程通過不停的查找問題，我發(fā)現(xiàn)，只需要關(guān)閉備用負(fù)載均衡器的防火墻，那么主備服務(wù)器都有VIP的情況就會(huì)得以解決。由此可以肯定，問題就是出現(xiàn)在了防火墻這里。首先用tcpdump查看一下vrrp的組播情況，這個(gè)隨便在同網(wǎng)絡(luò)的任意一臺(tái)服務(wù)器抓包即可：tcpdump vrrp -n    # -n:不把主機(jī)的網(wǎng)絡(luò)地址轉(zhuǎn)換成名字查看下抓包的結(jié)果：tcpdump抓包由上圖可以看到，192.168.2.79和192.168.2.53兩個(gè)IP在輪流發(fā)送組播信號(hào)。而正常的應(yīng)該是由MASTER服務(wù)器發(fā)送組播，如果BACKUP收不到MASTER的組播信號(hào)了，那么判定MASTER宕機(jī)了，BACKUP就會(huì)接手VIP。2016年12月01日更新SElinux首先，先確定服務(wù)器的SElinux是否設(shè)置為關(guān)閉。一般都是將其關(guān)閉的，在CentOS先森嘗試了啟用，但是也沒有firewall-cmd這個(gè)命令，無(wú)法添加端口，所以還是將其關(guān)閉吧。查看SElinux的狀態(tài)：getenforce可能的結(jié)果有三個(gè)：Enforcing         #強(qiáng)制開啟Permissive        #寬容模式Disabled          #關(guān)閉如果是Enforcing強(qiáng)制模式，就需要關(guān)閉：setenforce 0    #設(shè)置為寬容模式但這樣只在本次生效，重啟服務(wù)器后將失效。如果要永久關(guān)閉，還需要修改配置文件：sed -i 's/=enforcing/=disabled/g' /etc/sysconfig/selinuxiptables防火墻如果將SElinux關(guān)閉問題依舊存在，則可能是防火墻將MASTER的VRRP組播給擋住了。首先將防火墻關(guān)閉，確定防火墻是否為罪魁禍?zhǔn)?。service iptables stop如果關(guān)閉防火墻，keepalived問題解決了，那么問題就簡(jiǎn)單了，我們只需要讓VRRP組播其通過防火墻即可。我們只需要在防火墻中增加一條規(guī)則即可：-A INPUT -p vrrp -j ACCEPT但是這里有個(gè)坑，默認(rèn)的防火墻中基本是如下配置：# Firewall configuration written by system-config-firewall# Manual customization of this file is not recommended.*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibitedCOMMIT添加規(guī)則一定不要在-A INPUT -j REJECT --reject-with icmp-host-prohibited之后，一定要加在其前面。防火墻配置這時(shí)候重啟防火墻后查看BACKUP的ip，就會(huì)發(fā)現(xiàn)VIP已經(jīng)不在了。再關(guān)閉一下MASTER的keepalived，并打開BACKUP的日志，就可以看到正確的內(nèi)容：tail -f /var/log/messagesKeepalived切換VIP總結(jié)如果不是防火墻的原因，那么久應(yīng)該仔細(xì)查看配置文件中的vrrp_sync_group中設(shè)置的VRRP組等設(shè)置是否相同，當(dāng)然還有其他的可能性，但大多都是VRRP組播信號(hào)的問題。在解決問題的過程中，排除法無(wú)疑是最簡(jiǎn)單粗暴定位問題的方法，要靈活運(yùn)用。Keepalived是個(gè)很好玩也很好用的軟件，建議朋友們多研究研究。

先森來(lái)公司試用也有一個(gè)半月了，從剛畢業(yè)到現(xiàn)在也成長(zhǎng)了很多。運(yùn)維工程師，最基本的當(dāng)屬各種命令，然后是各種服務(wù)的搭建部署了。先森這一個(gè)半月也不是白混的，也搭建了很多服務(wù)了，好久沒更新博客了，今天也把先森編譯安裝MySQL的過程寫出來(lái)。MySQL編譯安裝編譯安裝1、首先要先查看系統(tǒng)是否已經(jīng)創(chuàng)建過mysql用戶。使用下面的命令查看是否有mysql用戶及用戶組cat /etc/passwd    #查看用戶列表cat /etc/group   #查看用戶組列表2、如果沒有就創(chuàng)建groupadd mysqluseradd -g mysql mysql3、解壓安裝包到/usr/local/目錄下，并重命名為mysql。修改/usr/local/mysql權(quán)限：chown -R mysql:mysql /usr/local/mysql4、修改配置文件注：在啟動(dòng)MySQL服務(wù)時(shí)，會(huì)按照一定次序搜索my.cnf，先在/etc目錄下找，找不到則會(huì)搜索"$basedir/my.cnf"，在本例中就是 /usr/local/mysql/my.cnf，這是新版MySQL的配置文件的默認(rèn)位置！在CentOS 6.4版操作系統(tǒng)的最小安裝完成后，在/etc目錄下會(huì)存在一個(gè)my.cnf，需要將此文件更名為其他的名字，如：/etc/my.cnf.bak，否則，該文件會(huì)干擾源碼安裝的MySQL的正確配置，造成無(wú)法啟動(dòng)。mv /etc/my.cnf /etc/my.cnf.bak復(fù)制mysql服務(wù)啟動(dòng)配置文件cp /usr/local/mysql/support-files/my-medium.cnf /etc/my.cnf5、進(jìn)入安裝路徑，執(zhí)行初始化配置腳本，創(chuàng)建系統(tǒng)自帶的數(shù)據(jù)庫(kù)和表cd /usr/local/mysqlscripts/mysql_install_db --basedir=/usr/local/mysql --datadir=/usr/local/mysql/data --user=mysql6、添加到系統(tǒng)服務(wù)、啟動(dòng)MySQL添加服務(wù)，拷貝服務(wù)腳本到init.d目錄，并設(shè)置開機(jī)啟動(dòng)cp support-files/mysql.server /etc/init.d/mysqlchkconfig mysql onservice mysql start  --啟動(dòng)MySQL7、添加環(huán)境變量啟動(dòng)MySQL后，我們還無(wú)法直接使用“mysql”命令進(jìn)入數(shù)據(jù)庫(kù)，這時(shí)候還需要添加環(huán)境變量。修改/etc/profile文件，在文件末尾添加PATH=/usr/local/mysql/bin:$PATHexport PATH保存退出后，運(yùn)行下面的命令，讓配置立即生效source /etc/profile8、安全雖然我們這時(shí)候已經(jīng)可以直接進(jìn)入數(shù)據(jù)庫(kù)并未數(shù)據(jù)庫(kù)用戶設(shè)置密碼了，但是這樣并不安全。MySQL為我們提供了安全配置向?qū)_本mysql_secure_installation執(zhí)行 /usr/local/mysql/bin/mysql_secure_installation下面是執(zhí)行后的一些重要交互項(xiàng)，中間內(nèi)容省略：Enter current password for root (enter for none):<–初次運(yùn)行直接回車...Set root password? [Y/n] <– 是否設(shè)置root用戶密碼，輸入y并回車或直接回車New password: <– 設(shè)置root用戶的密碼Re-enter new password: <– 再輸入一次你設(shè)置的密碼...Remove anonymous users? [Y/n] <– 是否刪除匿名用戶,生產(chǎn)環(huán)境建議刪除，所以直接回車...Disallow root login remotely? [Y/n] <–是否禁止root遠(yuǎn)程登錄,根據(jù)自己的需求選擇Y/n并回車,建議禁止...Remove test database and access to it? [Y/n] <– 是否刪除test數(shù)據(jù)庫(kù),直接回車...Reload privilege tables now? [Y/n] <– 是否重新加載權(quán)限表，直接回車9、如果我們需要給其他數(shù)據(jù)庫(kù)用戶設(shè)置密碼，以root為例，執(zhí)行下面的命令設(shè)置密碼：mysql -uroot  mysql> SET PASSWORD = PASSWORD('123456');10、在安全向?qū)е形覀円呀?jīng)關(guān)閉了root用戶遠(yuǎn)程訪問，若因業(yè)務(wù)需要我們由需要設(shè)置root用戶遠(yuǎn)程訪問，那么執(zhí)行mysql> GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '123456' WITH GRANT OPTION;mysql> flush privileges;簡(jiǎn)單的解釋一下：*.*是指允許訪問任何數(shù)據(jù)庫(kù)與數(shù)據(jù)表；'root'@'%'：root是指定用戶，百分號(hào)是允許root用戶從任何網(wǎng)絡(luò)遠(yuǎn)程訪問數(shù)據(jù)庫(kù)，也可以是“192.168.2.%”這種形式。后面的123456就是遠(yuǎn)程訪問的密碼啦，不知道如果跳過上一步的設(shè)置密碼過程，直接在這里設(shè)置密碼，是否也能達(dá)到設(shè)置密碼的效果，先森還沒有嘗試過。如果知道的朋友可以告訴先森一聲。11、配置防火墻防火墻的3306端口默認(rèn)沒有開啟，若要遠(yuǎn)程訪問，需要開啟這個(gè)端口打開/etc/sysconfig/iptables在“-A INPUT –m state --state NEW –m tcp –p –dport 22 –j ACCEPT”，下添加：-A INPUT -m state --state NEW -m tcp -p -dport 3306 -j ACCEPT然后保存，并關(guān)閉該文件，在終端內(nèi)運(yùn)行下面的命令，重啟防火墻以刷新防火墻配置：service iptables restart12、創(chuàng)建數(shù)據(jù)庫(kù)CREATE DATABASE db_name DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;總結(jié)因?yàn)閿?shù)據(jù)庫(kù)可以說(shuō)是服務(wù)器中最重要的服務(wù)之一了，所以它的安全就顯得尤為重要。下面是先森的一些建議：1、最好不要設(shè)置遠(yuǎn)程訪問權(quán)限；2、不要開啟防火墻端口或使用默認(rèn)3306端口；3、盡量不要使用root這種默認(rèn)用戶；4、保證密碼的復(fù)雜性；5、做好數(shù)據(jù)庫(kù)備份。當(dāng)然做好數(shù)據(jù)庫(kù)的安全不僅僅是以上幾點(diǎn)。但如果連以上幾點(diǎn)都沒有做到，那么數(shù)據(jù)庫(kù)就非常危險(xiǎn)了。

我們?cè)谑褂梅?wù)器發(fā)布我們的網(wǎng)站或者生產(chǎn)環(huán)境中部署業(yè)務(wù)的時(shí)候，通常要考慮到文件的備份，而文件的備份比較高效的備份是增量備份，rsync軟件就是這樣的一個(gè)工具。為了實(shí)現(xiàn)多個(gè)服務(wù)器負(fù)載均衡，我們需要這幾個(gè)服務(wù)器之間進(jìn)行數(shù)據(jù)同步，而rsync軟件也能勝任，下面先森來(lái)介紹如何架設(shè)rsync服務(wù)器來(lái)達(dá)到文件增量備份和數(shù)據(jù)同步的功能。Rsync同步什么是rsyncRsync（remote synchronize）是一個(gè)遠(yuǎn)程文件同步工具;Rsync使用“Rsync算法”來(lái)同步文件,該算法只傳送兩個(gè)文件的不同部分,因此速度相當(dāng)快;Rsync是替代rcp的一個(gè)工具,目前由rsync.samba.org維護(hù),因而rsync.conf文件的格式類似于samba的主配置文件; Rsync可通過rsh或ssh使用,也能以daemon模式運(yùn)行,以daemon方式運(yùn)行時(shí),Rsync Server會(huì)打開一個(gè)873端口等待客戶端連接.連接時(shí),Rsync Server會(huì)檢查口令是否相符,若口令相符,則進(jìn)行文件傳輸.第一次會(huì)把整份文件傳輸一次,以后則為增量傳輸;Rsync支持大多數(shù)的類Unix系統(tǒng)(Linux、Solaris、BSD等);此外,在windows平臺(tái)也有相應(yīng)的版本,如cwRsync和Sync2NAS等工具。環(huán)境準(zhǔn)備既然是同步，首先我們需要準(zhǔn)備的是兩臺(tái)服務(wù)器。先森準(zhǔn)備的是虛擬機(jī)上的兩臺(tái)裝好CentOS 6.8的服務(wù)器。為了方便，我們稱其中主要使用的、產(chǎn)生數(shù)據(jù)的一臺(tái)為服務(wù)端。用于備份數(shù)據(jù)的那臺(tái)稱為客戶端。兩臺(tái)服務(wù)器都需要安裝rsync。rsyncf服務(wù)端rsync的安裝rsync有很多種安裝方式，最簡(jiǎn)單的是yum安裝，復(fù)雜一點(diǎn)的是編譯安裝，還有先森選擇的是rpm包安裝。先森rsync版本是的rsync-3.0.9-2.el6.rfx.x86_64.rpm，直接安裝即可。rpm -ivh rsync-3.0.9-2.el6.rfx.x86_64.rpmrsync的啟動(dòng)方法一：CentOS 默認(rèn)以 xinetd 方式運(yùn)行 rsync 服務(wù)。所以選擇這種方式啟動(dòng)還需要安裝超級(jí)守護(hù)進(jìn)程xinetd。yum install -y xinetdrsync 的 xinetd 配置文件在 /etc/xinetd.d/rsync。編輯rsync的xinetd配置文件/etc/xinetd.d/rsync文件，修改參數(shù) server_args = --daemon --config=/etc/rsyncd/rsyncd.conf可以配置rsync服務(wù)器啟動(dòng)時(shí)的參數(shù)。（一般不需要）要配置以 xinetd 運(yùn)行的 rsync 服務(wù)需要執(zhí)行如下的命令：chkconfig rsync onservice xinetd restart方法二：獨(dú)立運(yùn)行 rsync 服務(wù)最簡(jiǎn)單的獨(dú)立運(yùn)行 rsync 服務(wù)的方法是執(zhí)行如下的命令：/usr/bin/rsync --daemon#編輯 /etc/rc.local文件 加入/usr/bin/rsync --daemon保證每次開機(jī)啟動(dòng)都會(huì)自動(dòng)啟動(dòng)rsync服務(wù)。方法一的優(yōu)點(diǎn)是，開啟、停止rsync服務(wù)方便。方法二的優(yōu)點(diǎn)在于不用先安裝一個(gè)服務(wù)。如何選擇還是視使用情況而定了。一般來(lái)說(shuō)：rsync服務(wù)器負(fù)載比較高，則使用獨(dú)立啟動(dòng)模式rsync服務(wù)器負(fù)載較低，使用xinetd運(yùn)行方式rsync的配置rsync的主要有以下三個(gè)配置文件:rsyncd.conf (主配置文件)rsyncd.secrets (密碼文件)rsyncd.motd (rysnc服務(wù)器信息：連接后的歡迎信息)兩種 rsync 服務(wù)運(yùn)行方式都需要配置 rsyncd.conf，其格式類似于 samba 的主配置文件。# mkdir /etc/rsyncd# cd /etc/rsyncd# touch rsyncd.conf# touch rsyncd.secrets# touch rsyncd.motd配置文件 rsyncd.conf 默認(rèn)在 /etc 目錄下。為了將所有與 rsync 服務(wù)相關(guān)的文件放在單獨(dú)的目錄下，可以執(zhí)行如下命令：ln -s /etc/rsyncd/rsyncd.conf /etc/rsyncd.conf注：創(chuàng)建軟鏈接一定要用絕對(duì)路徑，用相對(duì)路徑會(huì)造成斷鏈。為了密碼安全，我們需要把rsyncd.secrets的權(quán)限設(shè)置為600chmod 600 rsyncd.secrets1、配置rsyncd.conf文件#服務(wù)器傳輸文件時(shí)用root 權(quán)限執(zhí)行 uid = rootgid = root#指定服務(wù)端口,默認(rèn)873port = 873use chroot = no#只讀，不讓客戶端上傳文件到服務(wù)器read only = yes#limit access to private LANs#限制能訪問該服務(wù)的網(wǎng)段hosts allow=192.168.0.0/255.255.0.0hosts deny=*#最大連接數(shù) max connections = 5#告訴進(jìn)程寫到該文件中 pid file = /var/run/rsyncd.pid#密碼存在哪個(gè)文件secrets file = /etc/rsyncd/rsyncd.secrets         #服務(wù)器信息定義指向該文件，該文件可寫服務(wù)器信息,歡迎的文字motd file = /etc/rsyncd/rsyncd.motd#rsync 服務(wù)器的日志log file = /var/log/rsync.log#這是傳輸文件的日志transfer logging = yes#日志文件格式log format = %t %a %m %f %bsyslog facility = local3timeout = 300 #超時(shí)時(shí)間# MODULE OPTIONS#模塊的名稱，可以自定義[testhome]#同步的目錄  path = /usr/local/nginx/ftplist=yes#忽略IO錯(cuò)誤ignore errors#驗(yàn)證用戶，我的用戶是rootauth users = rootcomment = test home#不同步的目錄exclude = .git/#模塊的名稱，可以自定義[datahome]#同步的目錄  path = /web/data#rsync 服務(wù)器上提供同步數(shù)據(jù)的目錄在服務(wù)器上模塊是否顯示列出來(lái)。list=yes#忽略IO錯(cuò)誤ignore errors#驗(yàn)證用戶，我的用戶是userauth users = user#注釋可以自己定義，寫什么都行，寫點(diǎn)相關(guān)的內(nèi)容就行comment = data home#不同步的目錄exclude = .git/2、配置rsyncd.secrets文件密碼文件： rsyncd.secrets的內(nèi)容格式：“用戶名:口令”例：root:123456user:123456為了密碼的安全性，我們要保證把權(quán)限設(shè)為600以及root權(quán)限chown root:root /etc/rsyncd/rsyncd.secretschmod 600 /etc/rsyncd/rsyncd.secrets3、配置rsyncd.motd文件這個(gè)文件是客戶端連接時(shí)看到的歡迎信息文件，內(nèi)容自定義，也可以為空：++++++++++++++++++++++++++++++++++++++Welcome++++++++++++++++++++++++++++++++++++++4、開啟防火墻873端口Linux 防火墻是用iptables，所以我們至少在服務(wù)器端要讓你所定義的rsync 服務(wù)器端口通過，客戶端上也應(yīng)該讓通過。iptables -A INPUT -p tcp -m state --state NEW  -m tcp --dport 873 -j ACCEPT/etc/rc.d/init.d/iptables save查看一下防火墻是不是打開了 873端口；iptables -L -n5、啟動(dòng)rsyncservice xinetd start6、查看服務(wù)是否運(yùn)行netstat -an | grep 873tcp        0      0 :::873                      :::*                        LISTEN      3399/xinetdrsyncf客戶端1、安裝客戶端也要安裝rsync，但是不用做配置，也不用啟動(dòng)，因?yàn)榭蛻舳藘H僅需要能夠運(yùn)行# rsync *** 這條命令yum install -y xinetdrpm -ivh rsync-3.0.9-2.el6.rfx.x86_64.rpm2、同步數(shù)據(jù)（1）方式一：rsync -avzP root@192.168.2.72::testhome  /tmp/david/參數(shù)說(shuō)明：-a --archive 歸檔模式，表示以遞歸方式傳輸文件，并保持所有文件屬性，等于-rlptgoD。-z 傳輸時(shí)壓縮；-P 傳輸進(jìn)度；-v --verbose 詳細(xì)模式輸出；-r 是遞歸；-l 是鏈接文件，意思是拷貝鏈接文件；-p 表示保持文件原有權(quán)限；-t 保持文件原有時(shí)間；-g 保持文件原有用戶組；-o 保持文件原有屬主；-D 相當(dāng)于塊設(shè)備文件。root是認(rèn)證用戶，IP地址是服務(wù)端的IP，testhome是配置文件中寫的模塊名稱，/tmp/david是指保存到客戶端的位置。（2）方式二：rsync -avzP  --delete root@192.168.2.72::testhome  /tmp/david/這回我們引入一個(gè) –delete 選項(xiàng)，表示客戶端上的數(shù)據(jù)要與服務(wù)器端完全一致，如果 linuxsirhome目錄中有服務(wù)器上不存在的文件，則刪除。最終目的是讓linuxsirhome目錄上的數(shù)據(jù)完全與服務(wù)器。上保持一致；用的時(shí)候要小心點(diǎn)，最好不要把已經(jīng)有重要數(shù)所據(jù)的目錄，當(dāng)做本地更新目錄，否則會(huì)把你的數(shù)據(jù)全部刪除。（3）方式三：rsync -avzP  --delete  --password-file=rsync.password  root@192.168.2.72::testhome  /tmp/david/這次我們加了一個(gè)選項(xiàng) –password-file=rsync.password ，這是當(dāng)我們以linuxsir用戶登錄rsync服務(wù)器同步數(shù)據(jù)時(shí)，密碼將讀取 rsync.password 這個(gè)文件。這個(gè)文件內(nèi)容只是服務(wù)端中rsync中設(shè)置的root認(rèn)證用戶的密碼。在你需要的地方創(chuàng)建rsync.password文件，然后只保存密碼在其中：touch rsync.passwordecho "123456" > rsync.passwordchmod 600 rsync.password3、用crontab讓客戶端自動(dòng)與服務(wù)端同步數(shù)據(jù)我們?cè)?etc/cron.daily.rsync中創(chuàng)建了一個(gè)文件名為：root.sh ，并且是權(quán)限是 755mkdir /etc/cron.daily.rsynccd /etc/cron.daily.rsynctouch root.shchmod 755 root.sh編輯root.sh，內(nèi)容如下：vim root.sh#!/bin/sh#192.168.2.72 testhome backup/usr/bin/rsync -avzP --delete --password-file=/etc/rsyncd/rsyncd.secrets root@192.168.2.72::testhome /tmp/david/:wq然后創(chuàng)建定時(shí)任務(wù)：crontab -e*/1 * * * * /usr/bin/run-parts  /etc/cron.daily.rsync  1>  /dev/null表示每分鐘執(zhí)行一次/etc/cron.daily.rsync里的腳本。查看定時(shí)任務(wù)：crontab -l當(dāng)然，如果你覺得創(chuàng)建腳本麻煩的話，也可以直接將命令寫在定時(shí)任務(wù)中。crontab -e*/1 * * * * usr/bin/rsync -avzP --delete --password-file=/etc/rsyncd/rsyncd.secrets root@192.168.2.72::testhome /tmp/david/測(cè)試測(cè)試的話非常簡(jiǎn)單，只需要在服務(wù)端同步文件夾內(nèi)增加或刪除文件，過一分鐘后到客戶端上看效果即可?？偨Y(jié)配置Rsync的環(huán)境一定要確保防火墻873端口打開，以及SELinux關(guān)閉，否則肯定會(huì)出錯(cuò)的。在配置的過程中可能會(huì)出現(xiàn)這樣那樣的問題，先森也會(huì)整理一篇問題總結(jié)，后續(xù)分享。Rsync與Crontab搭配起來(lái)同步并不是最好的同步方案，Rsync可以與其他工具使用使得同步更安全、準(zhǔn)確，請(qǐng)悉知。

先森工作三個(gè)星期了，從最初的基礎(chǔ)命令學(xué)習(xí)，到基礎(chǔ)環(huán)境搭建，再到現(xiàn)在的高可用負(fù)載均衡集群搭建，都通通過了一遍，下周也要開始接觸現(xiàn)網(wǎng)服務(wù)器了。在這三周，做的東西都越來(lái)越難，越來(lái)越麻煩，LVS就是其中之一。LVS是Linux Virtual Server的簡(jiǎn)稱，也就是Linux虛擬服務(wù)器, 是一個(gè)由章文嵩博士發(fā)起的自由軟件項(xiàng)目。章文嵩博士曾是阿里巴巴副總裁、技術(shù)總監(jiān)等，現(xiàn)任滴滴出行副總裁。LVS有三種負(fù)載均衡模式，分別是LVS-DR、LVS-TUN、LVS-NAT。讓先森郁悶的是，先森用虛擬機(jī)除了LVS-DR模式，LVS-TUN和LVS-NAT先森都沒有搭建成功。LVS體系結(jié)構(gòu)首先需要普及一下LVS的體系結(jié)構(gòu)。LVS體系結(jié)構(gòu)圖使用LVS架設(shè)的服務(wù)器集群系統(tǒng)有三個(gè)部分組成：最前端的負(fù)載均衡層，用Load Balancer表示。Load Balancer層：位于整個(gè)集群系統(tǒng)的最前端，有一臺(tái)或者多臺(tái)負(fù)載調(diào)度器（Director Server）組成，LVS模塊就安裝在Director Server上，而Director的主要作用類似于一個(gè)路由器，它含有完成LVS功能所設(shè)定的路由表，通過這些路由表把用戶的請(qǐng)求分發(fā)給Server Array層的應(yīng)用服務(wù)器（Real Server）上。同時(shí)，在Director Server上還要安裝對(duì)Real Server服務(wù)的監(jiān)控模塊Ldirectord，此模塊用于監(jiān)測(cè)各個(gè)Real Server服務(wù)的健康狀況。在Real Server不可用時(shí)把它從LVS路由表中剔除，恢復(fù)時(shí)重新加入。中間的服務(wù)器群組層，用Server Array表示。Server Array層：由一組實(shí)際運(yùn)行應(yīng)用服務(wù)的機(jī)器組成，Real Server可以是WEB服務(wù)器、MAIL服務(wù)器、FTP服務(wù)器、DNS服務(wù)器、視頻服務(wù)器中的一個(gè)或者多個(gè)，每個(gè)Real Server之間通過高速的LAN或分布在各地的WAN相連接。在實(shí)際的應(yīng)用中，Director Server也可以同時(shí)兼任Real Server的角色。最底端的數(shù)據(jù)共享存儲(chǔ)層，用Shared Storage表示。Shared Storage層：是為所有Real Server提供共享存儲(chǔ)空間和內(nèi)容一致性的存儲(chǔ)區(qū)域，在物理上，一般有磁盤陣列設(shè)備組成，為了提供內(nèi)容的一致性，一般可以通過NFS網(wǎng)絡(luò)文件系統(tǒng)共享數(shù)據(jù)，但是NFS在繁忙的業(yè)務(wù)系統(tǒng)中，性能并不是很好，此時(shí)可以采用集群文件系統(tǒng)，例如Red hat的GFS文件系統(tǒng)，oracle提供的OCFS2文件系統(tǒng)等。在用戶看來(lái)，所有的內(nèi)部應(yīng)用都是透明的，用戶只是在使用一個(gè)虛擬服務(wù)器提供的高性能服務(wù)。LVS三種模式區(qū)別：$IPVSADM -a -t 192.168.31.166:80 -r 192.168.21.100:80 -m -w 1  //-a增加一個(gè)real server  -m NAT模式 -g dr模式 -t tun模式  -w權(quán)重NAT模式：realserver不需要公網(wǎng)ip，director負(fù)責(zé)接受請(qǐng)求和返回請(qǐng)求。DR模式/TUN模式：每個(gè)realserver都需要有公網(wǎng)ip，返回請(qǐng)求不需要經(jīng)過director，director只負(fù)責(zé)分發(fā)接受的請(qǐng)求。DR模式和TUN模式區(qū)別：TUN模式realserver和dr通信使用隧道（修改了ip包頭），DR模式不使用隧道（修改MAC地址）。LVS-DR模式搭建搭建成功后，其實(shí)你會(huì)發(fā)現(xiàn)LVS-DR是非常簡(jiǎn)單的。每個(gè)realserver都需要有公網(wǎng)ip，返回請(qǐng)求不需要經(jīng)過director，director只負(fù)責(zé)分發(fā)接受的請(qǐng)求。搭建環(huán)境先森是用虛擬機(jī)搭建的，準(zhǔn)備了三個(gè)安裝了CentOS的虛擬機(jī)。系統(tǒng)版本：CentOS 6.8外部IP地址內(nèi)部IP地址角色192.168.2.27/2410.10.10.99/24LVS調(diào)度器（虛擬機(jī)）192.168.2.66/24 10.10.10.100/24RS1（虛擬機(jī)）192.168.2.44/2410.10.10.101/24RS2（虛擬機(jī)）192.168.2.233/24無(wú)客戶機(jī)（自己電腦）本次搭建的拓?fù)鋱D如下，圖中的192.168.2.51實(shí)為192.168.2.27：LVS-DR拓?fù)鋱D調(diào)度器服務(wù)器要安裝ipvsadm，兩臺(tái)真實(shí)服務(wù)器要運(yùn)行Apache或者Nginx等web服務(wù)器。Director上需要安裝ipvsadm：yum install -y ipvsadm兩個(gè)real server 上都安裝apache：yum install -y httpdDR 負(fù)載均衡器配置ipvsadm有自己的命令，但是一般都是用shell腳本把需要做的設(shè)置寫出來(lái)，然后運(yùn)行shell來(lái)完成設(shè)置。首先進(jìn)入一個(gè)存放shell腳本的目錄，這個(gè)目錄自行選擇。先森選擇將shell腳本放置/usr/local/bin目錄下。cd /usr/local/bin用vim直接打開一個(gè)不存在的shell文件，保存的時(shí)候會(huì)自動(dòng)創(chuàng)建好。vim lvs_dr.sh打開后添加如下內(nèi)容：#！/bin/sh VIP=192.168.2.27       # 均衡器外網(wǎng)IP DIP=10.10.10.99        # 均衡器內(nèi)網(wǎng)IP RIP1=10.10.10.100      # 真實(shí)服務(wù)器的內(nèi)網(wǎng)IP RIP2=10.10.10.101 . /etc/rc.d/init.d/functions         case "$1" in         start)         echo "start LVS of DirectorServer"         #Set the Virtual IP Address         /sbin/ifconfig eth0:1 $DIP netmask 255.255.255.0 up    # 給均衡器添加一個(gè)內(nèi)容IP         /sbin/route add -host $DIP dev eth0:1                  # 給內(nèi)網(wǎng)IP添加路由         #Clear IPVS Table         /sbin/ipvsadm -C       # 手工清空原來(lái)表內(nèi)容         #Set Lvs         /sbin/ipvsadm -A -t $VIP:80 -s rr              # -A添加地址，-t指定VIP TCP端口，-s指定調(diào)度算法：rr輪詢算法         /sbin/ipvsadm -a -t $VIP:80 -r $RIP1:80 -g     # -a指定真實(shí)服務(wù)器， -t lvs上VIP，-r真實(shí)服務(wù)器ip及端口，-g先擇DR模式（-m為NAT模式）         /sbin/ipvsadm -a -t $VIP:80 -r $RIP2:80 -g         #Run Lvs         /sbin/ipvsadm         ;;         stop)         echo "close LVS Directorserver"         /sbin/ipvsadm -C         /sbin/ifconfig eth0:1 down         ;;         *)         echo "Usage： $0 {start|stop}"         exit 1         esac保存并退出：:wq給lvs_dr.sh添加可執(zhí)行權(quán)限：chmod +x lvs_dr.shRS 真實(shí)服務(wù)器配置兩臺(tái)real server也需要添加一個(gè)shell腳本，腳本的內(nèi)容大致相同。還是進(jìn)入一個(gè)保存腳本的目錄：cd /usr/local/bin編輯本不存在的shell腳本：vim lvs_dr_rs.sh在腳本內(nèi)加入如下內(nèi)容：#!/bin/bash VIP=192.168.2.27       # 均衡器的VIP地址 RIP=10.10.10.100       # 要給本地服務(wù)器設(shè)置的內(nèi)網(wǎng)地址 LOCAL_Name=50bang BROADCAST=192.168.2.255  #vip's broadcast . /etc/rc.d/init.d/functions case "$1" in     start)      echo "reparing for Real Server"        echo "1" >/proc/sys/net/ipv4/conf/lo/arp_ignore        echo "2" >/proc/sys/net/ipv4/conf/lo/arp_announce        echo "1" >/proc/sys/net/ipv4/conf/all/arp_ignore        echo "2" >/proc/sys/net/ipv4/conf/all/arp_announce        ifconfig lo:0 $VIP netmask 255.255.255.255 broadcast $BROADCAST up#為什么要綁定VIP呢？因?yàn)镈R模式原理是LVS調(diào)度器修改mac地址為真實(shí)服務(wù)器地址，報(bào)文的目的IP還是VIP沒修改，，網(wǎng)卡只會(huì)把目的MAC和目的IP都是自己的報(bào)文上送CPU，所以真實(shí)服務(wù)器上必須>配置VIP!#為什么使用lo口呢？因?yàn)閘o口為本地環(huán)回口，防止本地局域網(wǎng)IP地址沖突!        ifconfig eth0:1 $RIP netmask 255.255.255.0 up   # 為本地服務(wù)器設(shè)置一個(gè)內(nèi)網(wǎng)IP         /sbin/route add -host $VIP dev lo:0         ;;     stop)         ifconfig lo:0 down         ifconfig eth0:1 down        echo "0" >/proc/sys/net/ipv4/conf/lo/arp_ignore        echo "0" >/proc/sys/net/ipv4/conf/lo/arp_announce        echo "0" >/proc/sys/net/ipv4/conf/all/arp_ignore        echo "0" >/proc/sys/net/ipv4/conf/all/arp_announce echo "close LVS Real Server"         ;;     *)         echo "Usage: lvs {start|stop}"         exit 1 esac退出保存：:wq依舊添加可執(zhí)行權(quán)限：chmod +x lvs_dr_rs.sh運(yùn)行腳本DR 負(fù)載均衡器：./lvs_dr.sh startDR運(yùn)行腳本RS 真實(shí)服務(wù)器:./lvs_dr_rs.sh startRS運(yùn)行腳本檢查網(wǎng)卡：ifconfigDR均衡器的網(wǎng)卡信息RS服務(wù)器的網(wǎng)卡信息查看ipvs設(shè)置ipvsadm -ln測(cè)試運(yùn)行RS服務(wù)器上的Apache或Nginx、Tomcat等任何web服務(wù)器，記得開啟防火墻iptables的端口。為了方便測(cè)試，可以把Apache的默認(rèn)頁(yè)面內(nèi)容改為“web1”和“web2”:echo "web1" >/var/www/html/index.html然后在電腦上瀏覽器訪問設(shè)置的VIP地址，即192.168.2.27，不停刷新查看效果。如果配置成功則會(huì)看到頁(yè)面在“web1”和“web2”上輪流切換。第一次打開刷新一次如此，就是先LVS-DR的負(fù)載均衡。實(shí)際上，LVS-DR還經(jīng)常和Keepalived搭配起來(lái)實(shí)現(xiàn)高可用+負(fù)載均衡。這個(gè)先森也實(shí)現(xiàn)了，真的是非常簡(jiǎn)單呢，后面會(huì)繼續(xù)分享。

Linux系統(tǒng)，CentOS操作系統(tǒng)如何設(shè)置禁止別人ping我們自己的服務(wù)器，下面給大家介紹一些常用的方法。首先我們要明白的是，ping用的是icmp協(xié)議。禁止ping實(shí)際上是在對(duì)icmp協(xié)議進(jìn)行操作。Linux CentOS操作系統(tǒng)如何設(shè)置禁止別人ping服務(wù)器方法有兩種方法一：以root賬戶進(jìn)入系統(tǒng)，然后編輯文件icmp_echo_ignore_all[root@centOS ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all    ## 禁用[root@centOS ~]# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all    ## 啟用此上兩條命令的效果實(shí)時(shí)生效，可以用另外的機(jī)器ping來(lái)測(cè)試是否生效。以上方式只是臨時(shí)性的禁ping重啟后會(huì)失效，如果想要重啟過后也不能ping可以做如下操作:在/etc/rc.d/rc.local中增加一行echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all另外可以在配置文件 /etc/sysctl.conf 文件中增加一行net.ipv4.icmp_echo_ignore_all=1方法二：使用IPTables禁止PING這下是別人不能ping你，你也不能ping別人，其實(shí)使用iptable最簡(jiǎn)單iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROPiptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j ACCEPTiptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.29.1 -j DROPiptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.29.1 -j ACCEPT

先森之前在騰訊云買了一臺(tái)屬于Linux操作系統(tǒng)的CentOS 7.1 64位云服務(wù)器，再買了一個(gè).cn的域名，共計(jì)一元錢。關(guān)于購(gòu)買的事情先森曾經(jīng)也發(fā)文炫耀過《直播了一段用騰訊云校園計(jì)劃1元購(gòu)買免費(fèi)域名+專享服務(wù)器及安全認(rèn)證》。雖然4月份就買了云服務(wù)器了，但是一直也沒時(shí)間折騰，直到六一兒童節(jié)騰訊云給我發(fā)了一封郵件，我決定不忍了，開始動(dòng)這臺(tái)云服務(wù)器。騰訊云恭喜先森畢業(yè)了在先森正在為畢業(yè)傷感的時(shí)候，騰訊云跑來(lái)恭喜我畢業(yè)了，并且還宣布將不再向先森發(fā)送學(xué)生特權(quán)代金券，這不是火上澆油嗎？為了不讓先森每個(gè)月交的1元錢白花，先森決定用這個(gè)騰訊云服務(wù)器搭建一個(gè)WordPress網(wǎng)站。但是沒想到，第一次折騰服務(wù)器，連怎么用Xshell連接服務(wù)器都搞了很久。整明白后其實(shí)還是很簡(jiǎn)單，今天將過程整理一下。為什么要用Xshell登錄？主要是因?yàn)榉奖?，Xshell可以在Windows界面下用SSH來(lái)訪問遠(yuǎn)端不同系統(tǒng)下的服務(wù)器，從而比較好的達(dá)到遠(yuǎn)程控制終端的目的。騰訊云服務(wù)器的控制臺(tái)中其實(shí)就有登錄入口，是通過一個(gè)網(wǎng)頁(yè)來(lái)連接服務(wù)器的。雖然也比較方便了，但是如果每次去管理服務(wù)去還打開瀏覽器，再打開網(wǎng)頁(yè)，實(shí)在有點(diǎn)麻煩了。騰訊云 云主機(jī) 控制臺(tái)web登錄在這里可以使用賬號(hào)密碼登錄，而在Xshell中是不能用密碼登錄的，因?yàn)轵v訊云服務(wù)器的SSH配置中默認(rèn)把密碼連接關(guān)閉了的。關(guān)于賬號(hào)密碼在購(gòu)買云服務(wù)器的時(shí)候，騰訊云在系統(tǒng)通知和郵件都有做下發(fā)提醒：騰訊云服務(wù)器的賬號(hào)密碼用Xshell連接1.SSH密鑰。在購(gòu)買服務(wù)器的前文中提到過，購(gòu)買的時(shí)候需要提前創(chuàng)建一組SSH密鑰，購(gòu)買的服務(wù)器中就會(huì)加載上公鑰，密鑰則是在創(chuàng)建時(shí)保存到了自己的電腦上，這個(gè)很重要。因?yàn)轵v訊云默認(rèn)關(guān)閉了SSH密碼連接，所以我們需要使用密鑰連接。SSH密鑰 控制臺(tái)2.騰訊云安全組。這個(gè)安全在有什么用，先森也沒有具體的了解，只是看其備注，好像要SSH連接就需要開啟的樣子，所以先森就加入云服務(wù)器了。備注內(nèi)容：該安全組將只暴露Linux SSH登錄的tcp 22端口到公網(wǎng)，內(nèi)網(wǎng)所有端口全通，您的CVM如有業(yè)務(wù)需要放通其它端口（如80、443等）到公網(wǎng)，建議選擇按需新建的安全組。騰訊云安全組可以測(cè)試一下不加入云服務(wù)器是否無(wú)法連接，無(wú)法連接再加入也不遲。3.Xshell連接。首先需要準(zhǔn)備的是，在騰訊云控制臺(tái)查看自己的公網(wǎng)IP地址，然后確定創(chuàng)建的SSH密鑰在本機(jī)的位置。3.1 打開Xshell 5軟件，在左上角點(diǎn)擊新建新建會(huì)話3.2 在新建會(huì)話的屬性中，名稱自定義，協(xié)議選擇SSH，主機(jī)填寫公網(wǎng)IP，端口號(hào)默認(rèn)22，其他選項(xiàng)就可以先不用管了。新建會(huì)話的屬性3.3 填寫完之后點(diǎn)擊確認(rèn)，在新彈出來(lái)的窗口中選擇創(chuàng)建的會(huì)話連接：選擇會(huì)話連接3.4 點(diǎn)擊連接后在新的窗口中輸入需要登錄的用戶名，默認(rèn)一般為root，為了方便以后的登錄，最好勾選記住用戶名：輸入用戶名3.5 輸入用戶名，點(diǎn)擊確認(rèn)后，會(huì)彈出輸入密碼的窗口。但是先森說(shuō)過多次，騰訊云服務(wù)器的SSH服務(wù)默認(rèn)關(guān)閉了密碼登錄，所以這時(shí)候我們需要用SSH密鑰文件驗(yàn)證連接。在新的窗口中點(diǎn)擊瀏覽，再選擇用戶密鑰：用戶密鑰然后選擇導(dǎo)入，找到存放在本地的SSH密鑰，確認(rèn)導(dǎo)入：導(dǎo)入密鑰3.6 導(dǎo)入密鑰之后點(diǎn)擊確定，在密鑰下拉欄中選擇剛才導(dǎo)入的密鑰。為了方便以后登錄，記得勾選右下角的記住密碼。接著直接點(diǎn)擊確認(rèn)，不用輸入密碼。選擇密鑰3.7 選擇好密鑰確定之后，如果操作無(wú)誤就可以連接到服務(wù)器了，以后就可以方便的管理服務(wù)器了。連接成功總結(jié)本文算是顯示真實(shí)開始折騰服務(wù)器的一個(gè)開篇，培訓(xùn)了那么就的Linux終于也開始正式用于實(shí)踐操作了。本文只是做一個(gè)記錄，就這個(gè)教程而言太過小白了，各位前輩肯定是用不上的，希望能夠幫助到一些比我還白的小白吧。

近期幫助一位站長(zhǎng)解決了網(wǎng)站無(wú)法訪問的問題， 顯示錯(cuò)誤“The requested URL '/' was not found on this server.（ 請(qǐng)求的URL(對(duì)象)在服務(wù)器找不到 ）”。結(jié)果，原因僅僅是因?yàn)榫W(wǎng)站根目錄沒有.htaccess文件。.htaccess文件就此，先森開始重新認(rèn)識(shí).htaccess文件。發(fā)現(xiàn)其實(shí)先森本站上對(duì).htaccess的運(yùn)用所發(fā)布的文章都已經(jīng)有幾篇了：虛擬主機(jī)屏蔽IP地址或IP段的方法忘給主域名解析后對(duì)301跳轉(zhuǎn)的一些研究Apache上WordPress免插件生成適應(yīng)360站長(zhǎng)平臺(tái)sitemap.xml的php代碼認(rèn)識(shí).htaccess.htaccess的運(yùn)用竟然如此之多，先森不禁有點(diǎn)吃驚。趕緊百度安利一波關(guān)于htaccess文件的知識(shí)。htaccess文件是Apache服務(wù)器中的一個(gè)配置文件，它負(fù)責(zé)相關(guān)目錄下的網(wǎng)頁(yè)配置。通過htaccess文件，可以幫我們實(shí)現(xiàn)：網(wǎng)頁(yè)301重定向、自定義404錯(cuò)誤頁(yè)面、改變文件擴(kuò)展名、允許/阻止特定的用戶或者目錄的訪問、禁止目錄列表、配置默認(rèn)文檔等功能。大部分的主機(jī)供應(yīng)商都支持自定義,htaccess文件，先森使用的阿里云虛擬主機(jī)，.htaccess文件還是自己上傳的。建站初期，我們只需要有個(gè).htaccess文件存在即可，里面放些初始配置語(yǔ)句即可：<IfModule mod_rewrite.c>RewriteEngine OnRewriteBase /RewriteRule ^index\.php$ - [L]RewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule . /index.php [L]</IfModule>其實(shí)很簡(jiǎn)單的就可以看出，上面這段初始配置中，就包括了定義index.php文件為首頁(yè)默認(rèn)文件的相關(guān)配置，這也就是那位站長(zhǎng)網(wǎng)站不能訪問的原因了。先森上面提到的三篇文章就分別使用了允許/阻止特定的用戶或者目錄的訪問、網(wǎng)頁(yè)301重定向、改變文件擴(kuò)展名的功能，.htaccess的功能可謂非常強(qiáng)大。在使用虛機(jī)不能接觸.conf配置文件的情況下，.htaccess能給我們提供不小的便利。一些雜談先森培訓(xùn)紅帽Linux，在培訓(xùn)到RHCE的時(shí)候，終于接觸到Apache的配置了。老師教了我們?nèi)绾卧诜?wù)端主機(jī)上配置虛擬主機(jī)，自然接觸到了自定義配置文件。自定義配置文件是在/etc/httpd/conf.d/下，隨便創(chuàng)建一個(gè)以.conf結(jié)尾的文件即可。其中涉及到的301重定向和禁止訪問，先森看那些配置語(yǔ)句，是越看越熟悉，原來(lái)和.htaccess的是一樣的。先森曾經(jīng)對(duì)WordPress緩存插件WP Super Cache的工作方式產(chǎn)生了疑問，它是如何訪客訪問的頁(yè)面是其保存在另一個(gè)文件夾內(nèi)的文件的呢，明明沒有跳轉(zhuǎn)什么的？先森鉆了很久的牛角尖，而后頓悟，在其設(shè)置中有寫入.htaccess的規(guī)則，就是這些規(guī)則讓訪問的鏈接與其緩存文件對(duì)應(yīng)。不過htaccess再怎么有用，它也只是分布式配置文件，要是httpd.conf中把開關(guān)一關(guān)，它也就沒用了。所以有條件的還是直接折騰服務(wù)器的配置文件吧，這樣更有意思。如果你還是一名在校大學(xué)生，可以試試騰訊云的學(xué)生機(jī)：直播了一段用騰訊云校園計(jì)劃1元購(gòu)買免費(fèi)域名+專享服務(wù)器及安全認(rèn)證