所有文章

我们的宿主机上做了4网卡bonding，然后需要上升到br，两个网卡都需要做上vlan。 比如172.18.30.1，想在上面增加一个VLAN段202，然后在上面生产一台虚机172.18.19.2 就需要增加一个bond0.202以及br0.202 做法如下: cd /etc/sysconfig/network-scripts cp ifcfg-bond0.199 ifcfg-bond0.202 vi ifcfg-bond0.202 DEVICE=bond0.202 ONBOOT=yes USERCTL=no BRIDGE=br0.202 VLAN=yes cp ifcfg-br0.199 ifcfg-br0.199 vi ifcfg-br0.202 DEVICE=br0.202 BOOTPROTO=static ONBOOT=yes TYPE=Bridge 然后启动这两个网卡，启动顺序很重要！！！ ifup bond0.202 ifup br0.202 注意，执行完以后务必检查一下两个网卡是否UP 然后产虚机就好 ./vm.sh create -b br0.202 -c 4 -m 4096 -d 40 -i 172.18.19.2 -k 255.255.255.0 -g 172.18.19.254 -q 172.18.30.1 -r 172.18.30.2 ucarp-18-19-2

我们有两个出口，一个从无锡出，一个从世纪互联出 这台机器的em1接世纪互联，em2接无锡尚航，两个网关，有ipv6和ipv4 ISP 1: Gateways: 172.16.9.254 2001:db8:a::1 Interface: em1 ISP 2: Gateways: 172.18.9.254 2001:db8:b::1 Interface: em2 那么这台机器的ECMP等价路由这么做： ip route replace default proto static scope global \ nexthop dev em1 via 172.16.9.254 weight 1 \ nexthop dev em2 via 172.18.9.254 weight 1 ip -6 route replace default proto static scope global \ nexthop dev em1 via 2001:db8:a::1 weight 1 \ nexthop dev em2 via 2001:db8:b::1 weight 1 这两条命令需要放到 /etc/rc.d/rc.locl 或者ifup里面去 ...

审计的要求： 线上环境研发只能有只读权限 那只能曲线救国了，两个用户，supdev是运维用来管理的，logview是研发用来只读日志的 一、首先确定系统有supdev用户存在 id supdev 通常supdev的id是511 二、增加新用户logview 我们确定logview的id是512，group是和supdev同组 useradd -u 512 -g supdev logview 三、程序的app以及数据目录不是在supdev的home目录下，而是在/data/servers下 所以我们把/data/servers下的目录都改成750，文件都改成640 #!/bin/sh find /export/servers/ -type d ! -perm 0750 -exec chmod 0750 {} find /export/servers/ -type f ! -perm 0640 -exec chmod 0640 {} # ansible 模块 - name: make dirs 0755 command: find {{ your_path }} -type d ! -perm 0750 -exec chmod 0750 {} \; - name: make files 0644 command: find {{ your_path }} -type f ! -perm 0640 -exec chmod 0640 {} \; 这样就可以了。logview可以去到/data/servers目录，可以看文件，但无法执行。 ...

H3C服务器主板时间不准确也很讨厌，看主板日志时间都是错的，没办法，修改一下。 H3C服务器BIOS的NTP设置方法： 修改主服务器： ipmitool -I lanplus -H 10.18.$1 -U admin -P Password@_ raw 0x32 0xA8 0x01 服务器名的HEX字符串 修改辅服务器： ipmitool -I lanplus -H 10.18.$1 -U admin -P Password@_ raw 0x32 0xA8 0x02 服务器名的HEX字符串 修改第三个服务器： ipmitool -I lanplus -H 10.18.$1 -U admin -P Password@_ raw 0x32 0xA8 0x05 服务器名的HEX字符串 方法很简单，但是服务器名的HEX字符串如何得到？ echo -n "172.18.30.1" | od -A n -t x1 | sed "s/ / 0x/g" 0x31 0x37 0x32 0x2e 0x31 0x38 0x2e 0x33 0x30 0x2e 0x31 修改NTP服务器1为172.18.30.1 ...

traefik使用digicert付费的证书和使用letencrypt免费证书的方法不一样，下面说一下怎么配置： traefik.yml里面就没有任何配置 log: level: DEBUG api: insecure: false dashboard: true entryPoints: http: address: ":80" #http: # redirections: # entryPoint: # to: https # scheme: https https: address: ":443" providers: file: directory: /export/servers/traefik/dynamic watch: true 所有的配置都放到到/export/servers/traefik/dynamic目录下了，动态更新： certs.yml来定义证书选项 tls: certificates: - certFile: "/export/servers/traefik/ddky.crt" keyFile: "/export/servers/traefik/ddky.key" options: default: sniStrict: true minVersion: VersionTLS12 cipherSuites: - TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 - TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 - TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 - TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 test7-01.yml单独test7.ddky.com的配置 ...

在172.18.30.1和172.16.60.10上 使用vm.sh创建虚机时，会报错 - Resizing the disk to 80G ... ERR: Could not resize disk. 去 /export/kvm/虚机目录下查看log Could not open '/var/tmp/.guestfs-101448/appliance.d/root': No such file or directory 解决方法很简单，清除掉Cache即可： rm -rf /var/tmp/.guestfs-0/ 附上CentOS7安装 kvm 的命令： yum install qemu-kvm libvirt libvirt-python libguestfs-tools virt-install

终于遇到了inode不够了，细碎文件爆棚了，导致inode不够了。 XFS 文件系统本质上是没有 inode 的限制的 只有一个缺省的限制，使用现有文件系统的 25% 来存储 inode 信息。 这个缺省的配置在大多数情况下都是够用的。 某些情况下不够用，可以删除一些文件来缓解。 终极办法是增大这个 25% 的阈值来解决： root@zombie:~# xfs_info /srv/backup/ metadane=/dev/mapper/slow-backup isize=256 agcount=17, agsize=2621440 blks = sectsz=512 attr=2 data = bsize=4096 blocks=44564480, imaxpct=25 = sunit=0 swidth=0 blks naming =version 2 bsize=4096 ascii-ci=0 log =internal bsize=4096 blocks=20480, version=2 = sectsz=512 sunit=0 blks, lazy-count=1 realtime=brak extsz=4096 blocks=0, rtextents=0 上面，我们看到 imaxpct=25 ，就是这个配置了。 增大的方法： xfs_growfs -m 30 这样就增大到 30% 了

在机器上执行命令free -g 和 free -k 看看有多少空闲 8G的Swap交换空间都被用光了！！！ 再用kb的单位看看，一共8388604，基本用光掉了 查看是哪些进程使用了交换空间： find /proc -maxdepth 2 -path "/proc/[0-9]*/status" -readable -exec awk -v FS=":" '{process[$1]=$2;sub(/^[ \t]+/,"",process[$1]);} END {if(process["VmSwap"] && process["VmSwap"] != "0 kB") printf "%10s %-30s %20s\n",process["Pid"],process["Name"],process["VmSwap"]}' '{}' \; | awk '{print $(NF-1),$0}' | sort -h | cut -d " " -f2- 6504的qemu-kvm用掉了4.8G，看起来不太直观。 find /proc -maxdepth 2 -path "/proc/[0-9]*/status" -readable -exec awk -v FS=":" -v TOTSWP="$(cat /proc/swaps | sed 1d | awk 'BEGIN{sum=0} {sum=sum+$(NF-2)} END{print sum}')" '{process[$1]=$2;sub(/^[ \t]+/,"",process[$1]);} END {if(process["VmSwap"] && process["VmSwap"] != "0 kB") {used_swap=process["VmSwap"];sub(/[ a-zA-Z]+/,"",used_swap);percent=(used_swap/TOTSWP*100); printf "%10s %-30s %20s %6.2f%\n",process["Pid"],process["Name"],process["VmSwap"],percent} }' '{}' \; | awk '{print $(NF-2),$0}' | sort -hr | head | cut -d " " -f2- ...

Linux下多线程下载工具，且支持断点续传，机房传文件必备： axel -s 9000000 -a -n 5 -o ord_his.dmp http://172.16.24.2:8080/ord_his.dmp -s 限速，9000000是70M带宽，不加s就是100M榨干 -n 线程，缺省是4 -o 目的文件 -a 进度条压缩展示，必须加，否则会进度满天飞 注意：axel 是可以自动断点续传的

suricata 是跟snort差不多的一个入侵检测工具，加上elk的图形界面，非常的好看。 原理是suricata的log发到elk里，这样就能通过kibana进行分析了 环境： 1、物理机需要开16G内存，16CPU，都不太够 2、物理机172.18.30.2的br3是交换机的Mirror口，进入的全部流量都被镜像了一份 3、suricata-18-31-31是虚机，需要将30.2的br3挂进来 virsh attach-interface --domain suricata-18-31-31 --type bridge --source br3 --model e1000 --config --live 同时在31.31里，ifconfig up eth1把网卡起起来 tcpdump -i eth1有数据即可 4、首先安装java rpm -ivh jdk-8u201-linux-x64.rpm 安装： 一、编译安装suricata yum -y install epel-release yum -y install jq cargo openssl-devel PyYAML lz4-devel gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel GeoIP-devel wget https://www.openinfosecfoundation.org/download/suricata-4.1.8.tar.gz tar zxvf suricata-4.1.8.tar.gz cd suricata ./configure --libdir=/usr/lib64 --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua --enable-geoip --enable-profiling make make install-full 验证一下 suricata -V This is Suricata version 4.1.8 RELEASE 查看build参数 suricata --build-info suricata就装好了，还需要配一下suricata-update，规则才是最主要的，装好后最好每天更新一下规则 ...