第七章
RAID(独立冗余磁盘阵列)
RAID技术通过把多个硬盘设备组合在一个容量更大,安全性更好的磁盘阵列,并把数据切割成多个区段后分别存放在各个不同的物理硬盘设备上,然后利用分散读写技术来提升磁盘阵列整体的性能,同时把多个重要数据的副本同步到不同的物理硬盘设备上,从而起到了(优点:)非常好的数据冗余备份效果。
RAID0
(等量模式)
此技术把多块物理硬盘设备(至少两块)通过硬件或软件的方式串联在一起,组成一个大的卷组,并将数据依次写入到各个物理硬盘中。
特点:1 数据分开存放。 2 读写速度无要求。3 数据依次写入到物理硬盘中。 缺点(1 任意一块硬盘发生故障将导致整个系统的数据都受到破坏;2 不具备数据备份和错误修复能力。)优点(1 有效提升硬盘数据的吞吐速度。)
RAID1
(映射或镜像模式)
此技术把两块以上的硬盘设备进行绑定,在写入数据时将数据同时写入到多块硬盘中,当其中一块发生故障时一般会立即自动的以热交换的方式来恢复数据的正常使用。
特点: 缺点(1 硬盘设备的利用率下降,两块真实利用率50%,三块33%左右... 2 增大了系统功能的负载。)优点(增加了数据的安全性)
RAID5
(性能与数据备份均衡考虑)
此技术实际上没有备份硬盘中的真实数据信息,而是把硬盘设备的数据奇偶校验信息保存到其他除自身意外的其他每一块硬盘设备中,以此当硬盘设备出现问题时通过此信息尝试重建损坏的数据。
特点:优点(1 其中任何有一块硬盘设备损坏不至于出现致命缺陷。 2 兼顾了硬盘读写速度,数据安全性与存储成本问题。)
RAID10
(至少4块硬盘设备)
此技术就是RAID1+RAID0技术的一个“组合体”,至少需要4块硬盘来组建。
特点:优点(损坏的不是同一组中的所有硬盘时,最多可损坏50%的硬盘设备而不丢失数据。2 性能最好。3 读写速度最高)
LVM(逻辑卷管理器)
此是linux系统用于对硬盘分区进行管理的一种机制,创建初衷是为了解决硬盘设备在创建分区后不易修改分区大小的缺陷。LVM中最底层,可理解为物理硬盘,硬盘分区或RAID磁盘阵列。
部署逻辑卷
(LVM核心理念)用卷组中空间的资源建立的,并逻辑卷在建立后可动态的扩展或缩小空间。
部署LVM时,需要逐个配置物理卷,卷组,逻辑卷。
| 功能/命令 | 物理卷管理 | 卷组管理 | 逻辑卷管理 |
| 扫描 | pvscan | vgscan | lvscan |
| 建立 | pvcreate | vgcreate | lvcreate |
| 显示 | pvdisplay | vgdisplay | lvdisplay |
| 删除 | pvremove | vgremove | lvremove |
| 扩展 | vgextend | lvextend | |
| 缩小 | vgreduce | lvreduce |
小-->大(物理卷-->卷组-->逻辑卷)
部署步骤:
1 让新添加的两块硬盘设备支持LVM技术(目的:更好演示LVM理念中用户无需关心底层物理硬盘设备的特性)。 pvcreate /dev/sdb/ /dev/sdc
2 把两块硬盘设备加入到storage卷组中,再查看卷组的状态。
vgcreate storage /dev/sdb/ /dev/sdc
vgdisplay
3 切割出一个约为150MB的逻辑卷
lvcreate -n vo -l 37 storage
lvdisplay
4 把生成好的逻辑卷进行格式化,并挂载使用。
mkfs.ext4 /dev/storage/vo
mkdir /linuxprobo
mount /dev/storage/vo /linuxprobe
5 查看挂载状态,并写入到配置文件,使其永久生效。
df -h
echo "/dev/storage/vo /linuxprobe ext4 defaults 0 0" >> /etc/fstab
第八章
策略与规则链
防火墙会从上至下来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。若没有匹配项则执行默认的策略。防火墙策略规则的设置有两种:1 是“通" (即放行)。2 是 “堵”(即阻止)。 当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通);如果防火墙的默认策略为允许时,就要设置拒绝规则,防火墙也就失去了防范的作用。
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,依据数据包处理位置的不同进行分类:
1 在进行路由选择前处理数据包( PREROUTING );
2 处理流入的数据包(INPUT);(使用最多)
3 处理流出的数据包( OUTPUT );
4 处理转发的数据包(FORWARD);
5 在进行路由选择后处理数据包( POSTROUTING );
iptables中服务:
ACCEPT:允许流量通过。
REJECT:拒绝流量通过。(拒绝流量后再回复一条"您的信息已收到,但被扔掉了"。)
LOG:记录日志信息。
DROP:拒绝流量通过。 (直接将流量丢弃而不相应)
iptables中基本的命令参数
iptables命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,匹配成功则根据策略规则所预设的动作来处理这些流量,防火墙策略规则的匹配顺序是从上至下的,因此优先级较高的策略规则放到前面,以免发生错误。
| -p -F -L | 设置默认策略 清空规则链 查看规则链 |
| -A -I num | 在规则链的末尾 / 头部加入新规则 |
| -D num | 删除某一条规则 |
| -s | 匹配来源地址IP/MASK.加叹号"!” 表示除这个IP外 |
| -d | 匹配目标地址 |
| -i 网卡名称 -0网卡名称 | 匹配从这块网卡流入 / 流出的数据 |
| -P | 匹配协议,如TCP、UDP、ICMP |
| --dport num -sport num | 匹配目标 / 来源端口号 |
| -j | 执行动作 |
命令举例:1 在此命令后添加-L参数查看已有的防火墙规则链 iptables -L
2 把INPUT规则链的默认策略设为拒绝 iptables -P INPUT DROP (回车) iptables -L
3 将INPUT规则链设置为只允许指定的主机访问本机的22端口,拒绝来自其他所有主机的流量(允许动作放在拒绝动作前面,否则所有流量会被拒绝掉导致任何主机都无法访问我们的服务。)
iptables -I INPUT -s 192.168.10.0/24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT
iptables -L
终端管理工具
| --get -default-zone | 查询默认的区域名称 |
| --set -default- zone=<区域名称> | 设置默认的区域,使其永久生效 |
| --get-zones --get-services | 显示可l用的区域 显示预先定义的服务 |
| --get-active- zones | 显示当前正在使用的区域与网卡名称 |
| --add-source= -- remove- source= | 将 / 不再将 源自此IP或子网的流量导向指定的区域 |
| --add-interface=<网卡名称> --change- interface=<网卡名称> |
将源自该网卡的所有流量都导向某个指定区域 将某个网卡与区域进行关联 |
| --list-all --list-all- zones | 显示当前 / 所有 区域的网卡配置参数、资源、端口以及服务等信息 |
| --add-service=<服务名> -- remove-service=<服务名> |
设置默认区域允许该服务的流量 设置默认区域允许该端口的流量 设置默认区域不再允许该服务的流量 设置默认区域不再允许该端口的流量 |
| --reload | 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则 |
| --panic-on --panic-off | 开启 / 关闭 应急状况模式 |
使用firewalld配置的防火墙策略默认为运行时(Runtime)模式,又称为当前生效模式,并随着系统的重启会失效。若让配置策略一直存在,要使用永久模式(Permanent),方法是在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数。但只有在系统重启后才能自动生效,若立即生效则手动执行firewall-cmd--reload命令。
第九章