记录关于系统运维,虚拟化云计算,数据库,网络安全等各方面问题,
Nginx + Tomcat + HTTPS 配置原来不需要在 Tomcat 上启用 SSL 支持 之前在网上搜索到的很多文章在描述 Nginx + Tomcat 启用 HTTPS 支持的时候,都必须在 Nginx 和 Tomcat 两边同时配置 SSL 支持。但我一直在想为什么就不能按照下面的方式来配置呢?就是 Nginx 上启用了 HTTPS,而 Nginx 和 Tomcat 之间走的却是普通的 HTTP 连接。但是搜索很多没有解决办法,最后还是老老实实的 Nginx 和 Tomcat 同时配置的 SSL 支持。最近给 OSChina 买了个新的支持 *.oschina.net 泛域名的证书,然后我又开始偷懒的想为什么 Tomcat 一定要配 HTTPS 呢? 没道理啊。然后潜心搜索终于找到了解决方案。原来却是如此的简单。最终配置的方案是浏览器和 Nginx 之间走的 HTTPS 通讯,而 Nginx 到 Tomcat 通过 proxy_pass 走的是普通 HTTP 连接。下面是详细的配置(Nginx 端口 80/443,Tomcat 的端口 8080):Nginx 这一侧的配置没什么特别的:upstream tomcat { server 127.0.0.1:8080 fail_timeout=0; } # HTTPS server server { listen 443 ssl; server_name localhost; ssl_certificate /Users/winterlau/Desktop/SSL/oschina.bundle.crt; ss...
1. 概述我们在考虑MySQL数据库的高可用的架构时,主要要考虑如下几方面:1.1 如果数据库发生了宕机或者意外中断等故障,能尽快恢复数据库的可用性,尽可能的减少停机时间,保证业务不会因为数据库的故障而中断。1.2 用作备份、只读副本等功能的非主节点的数据应该和主节点的数据实时或者最终保持一致。1.3 当业务发生数据库切换时,切换前后的数据库内容应当一致,不会因为数据缺失或者数据不一致而影响业务。关于对高可用的分级在这里我们不做详细的讨论,这里只讨论常用高可用方案的优缺点以及高可用方案的选型。2. 高可用方案2.1. 主从或主主半同步复制使用双节点数据库,搭建单向或者双向的半同步复制。在5.7以后的版本中,由于lossless replication、logical多线程复制等一些列新特性的引入,使得MySQL原生半同步复制更加可靠。常见架构如下:  通常会和proxy、keepalived等第三方软件同时使用,即可以用来监控数据库的健康,又可以执行一系列管理命令。如果主库发生故障,切换到备库后仍然可以继续使用数据库。优点:架构比较简单,使用原生半同步复制作为数据同步的依据;双节点,没有主机宕机后的选主问题,直接切换即可;双节点,需求资源少,部署简单;缺点:...
一、背景云鼎实验室曾分析不少入侵挖矿案例,研究发现入侵挖矿行为都比较粗暴简单,通过 top 等命令可以直接看到恶意进程,挖矿进程不会被刻意隐藏;而现在,我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。 二、入侵分析本次捕获案例的入侵流程与以往相比,没有特殊的地方,也是利用通用漏洞入侵服务器并获得相关权限,从而植入挖矿程序再进行隐藏。通过对几个案例的分析,我们发现黑客主要是利用 Redis 未授权访问问题进行入侵,对于该问题的说明可以参考我们过去做的一些分析:https://mp.weixin.qq.com/s/inazTPN5mHJYnt2QDliv8w在服务器被入侵后,首先可以明显感觉到服务器的资源被占用而导致的操作迟缓等问题,通过一些常规手段可以发现一些异常信息,但又看不到进程信息:通过 top 命令,可以看到显示的 CPU 使用率较低,但 ni 值为 100 ;同时通过 /proc/stat 计算 CPU 使用率又基本是 100% 。通过 netstat 查看端口监听情况,也可以看到异常的连接。通过在 Virustotal 查询 IP,可以看到 DNS 指向为矿池域名。通过 find 命令查找入侵时间范围内变更的文件,对变更文件的排查...
OpenSSH-7.9p1安装方案 Introduction to OpenSSH The OpenSSH package contains ssh clients and the sshd daemon. This is useful for encrypting authentication and subsequent traffic over a network. The ssh and scp commands are secure implementations of telnet and rcp respectively. This package is known to build and work properly using an LFS-8.4 platform. Package Information Download (HTTP): http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.9p1.tar.gz Download MD5 sum: c6af50b7a474d04726a5aa747a5dce8f Download size: 1.5 MB Estimated disk space required: 39 MB (add 12 MB for tests) ...
引言MegaCli是一个非常有用的工具,无论是创建raid、获取raid信息还是修改raid设置。本文focus在BBU和write policy以及disk cache policy信息的获取和修改。是否存在BBU如何查看是否存在BBU:/opt/MegaRAID/MegaCli/MegaCli64 -AdpBbuCmd -aAll当没有BBU时,输出如下:root@yb-test:/opt/MegaRAID/MegaCli# ./MegaCli64 -AdpBbuCmd -aAll Adapter 0: Get BBU Status Failed. FW error description: The required hardware component is not present. Exit Code: 0x22 BBU的相关信息如果系统存在BBU的话,输出的信息如下: root@node-2:/opt/MegaRAID/MegaCli# ./MegaCli64 -AdpBbuCmd -Aall BBU status for Adapter: 0 BatteryType: iBBU-09 Voltage: 3996 mV Current: 0 mA Temperature: 53 C **Battery State: Optimal** Design Mode : 48+ Hrs retention with a non-transparent learn cycle and moderate service life. BBU Firmware Status: Charging Status : None Voltage : OK Temperature ...
 
0
Linux RAID 阵列卡优化 我们的生产服务器经常会做raid存储,但是单单做了raid就能保证性能高效和数据安全吗?答案是否定的,我们一般建议使用带电池保护的RAID卡,这样既能保证性能有能保证数据安全,但是也需要经常对电池进行维护;由于成本原因一般的RAID卡会使用锂电池,因为锂电池有较强的惰性,它在非充电状态下会缓慢地自放电(电池特性),一段时间后电量就会和刚充满电时不同,为了能够及时校准电量避免电池因为自放电而导致电量不明确,于是阵列卡控制器会对电池进行周期性地充放电操作(Relearn),以此保证电量的准确性,同时还可以判断电池是否故障或者老化。  查看RAID卡电池情况MegaCli64 -AdpBbuCmd -GetBbuStatus -aAll如果返回如下错误那么可能是RAID卡BUU电池有问题或者没有电池保护功能:Adapter 0: Get BBU Status Failed.FW error description:  The required hardware component is not present. Exit Code: 0x22查看当前RAID卡缓存策略MegaCli64 -LDinfo -Lall -aAllDefault Cache Policy: WriteThrough, ReadAheadNone, Direct, No Write Cache if Bad BBUCurrent Cache Policy: WriteThrough, ReadAheadNone, Direct, No Wr...
三大主流软件负载均衡器对比(LVS 、 Nginx 、Haproxy) 这个是网上摘来的,总结的比较精简,可以帮助快速了解三大主流软件负载均衡器区别(LVS 、 Nginx 、Haproxy)LVS:1、抗负载能力强。抗负载能力强、性能高,能达到F5硬件的60%;对内存和cpu资源消耗比较低2、工作在网络4层,通过vrrp协议转发(仅作分发之用),具体的流量由linux内核处理,因此没有流量的产生。2、稳定性、可靠性好,自身有完美的热备方案;(如:LVS+Keepalived)3、应用范围比较广,可以对所有应用做负载均衡;4、不支持正则处理,不能做动静分离。5、支持负载均衡算法:rr(轮循)、wrr(带权轮循)、lc(最小连接)、wlc(权重最小连接)6、配置 复杂,对网络依赖比较大,稳定性很高。Ngnix:1、工作在网络的7层之上,可以针对http应用做一些分流的策略,比如针对域名、目录结构;2、Nginx对网络的依赖比较小,理论上能ping通就就能进行负载功能;3、Nginx安装和配置比较简单,测试起来比较方便;4、也可以承担高的负载压力且稳定,一般能支撑超过1万次的并发;5、对后端服务器的健康检查,只支持通过端口来检测,不支持通过url来检测。6、Nginx对请求的异步处理可以帮助节点服务器减轻负载;7、...
本文简单记录下Linux环境下lvs-dr模式(基于请求包mac地址欺骗)负载均衡简单配置,揭开这个神秘东西的面纱,让你10钟搞定配置lvs。 环境配置:    三台centos 6.5 调度器:        DIP:192.168.1.11   VIP:192.168.1.110 web服务器: RIP:192.168.1.9     RIP:192.168.1.10 一,前期服务器环境搭建 (1) 配置lamp环境,这里不做演示。 (2)关闭selinux和所有web服务器上的iptables (3)设置时间同步,保证服务器时间一致(后期nfs或数据同步用到,包括session同步需要) 二,配置LVS1,调度器安装ipvsadm和keepalived首先安装依赖包: yum -y install gcc make openssl-devel openssl net-snmp net-snmp-devel popt popt-devel安装ipvs和keepalived: yum install ipvsadm  keepalived  -y 并设置下:chkconfig ipvsadm onchkconfig keepalived on修改keepalived.conf配置文件:global_defs { router_id LVSTEST #负载均衡器标识,同一网段内,可以相同 }  vrrp_instance LVSTEST { state MASTER #主调度器 interface eth0 ...
本文简单记录下Linux环境下lvs-nat模式(基础调度器路由转发)负载均衡简单配置,揭开这个神秘东西的面纱,让你五分钟钟搞定配置LVS-NAT。 环境配置:    三台centos 6.5 调度器:        DIP:192.168.1.11   VIP:192.168.1.110 web服务器: RIP:192.168.1.9     RIP:192.168.1.10 一,前期服务器环境搭建由于是之前kvm克隆了dr模式下的服务器,这里和dr下边的IP和服务器环境信息是一样的。只不过是web服务器取消了arp禁响应和VIP配置。 (1) 配置lamp环境,这里不做演示。 (2)关闭selinux、调度器和所有web服务器上的iptables (3)设置时间同步,保证服务器时间一致(后期nfs或数据同步用到,包括session同步需要) 二,配置调度器1,开启IP转发 vi /etc/sysctl.confnet.ipv4.ip_forward = 1sysctl -p可以查看是否开启。2,调度器安装ipvsadm和keepalived 首先安装依赖包: yum -y install gcc make openssl-devel openssl net-snmp net-snmp-devel popt popt-devel安装ipvs和keepalived: yum install ipvsadm  keepalived  -ychkconfig ipvsadm onchkconfig keepalived on修改keepalived....
nginx集群中如何使用Memcached实现Session共享 这几天在实现nginx集群的过程中,发现session使用存在问题,登录页面后有时候需要重复登录,和开发部沟通后,决定采用memcached来实现session的共享,这也是各大型网站推荐的方式。开发部开始写了一些用memcache来保存session的代码后,测试效果不是很理想,还是存在问题,后来在一个blog上发现可以直接在php.ini中设定使用memcache作为session处理,而且无须另外编码,大大较少了开发成本,方法是:修改php.ini中的以下值session.save_handler = memcachesession.save_path = ‘tcp://192.168.100.100:12000’ 重新启动apache,查看phpinfo就知道设置是否生效。如果只想在特定的应用里使用memcache储存session,可以使用ini_set的方法对以上两个参数进行设定:ini_set(“session.save_handler”, “memcache”);ini_set(“session.save_path”, “192.168.100.100:12000”);注:使用多个 memcached server 时用逗号”,”隔开,可以带额外的参数”persistent”、”weight”、”timeout”、”retry_interval” 等等,类似这样的:”tcp://host:port?persistent=1&weight=2,tcp://host2:port2″。要测试一下是否真正用上了mem...
    总共209页,当前第11页 | 页数:
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
  11. 11
  12. 12
  13. 13
  14. 14
  15. 15
  16. 16
  17. 17
  18. 18
  19. 19
  20. 20
  21. 21