kaoa000的专栏——非淡泊无以明志，非宁静无以致远

使用IP地址访问，请求的Host就是一个IP，反代给tomcat时，使用的是defaultHost，响应的是tomcat主页，如果使用域名web1.test.com，请求报文的Host就是域名web1.test.com，反代给tomcat时，使用的是testapp，响应的就是testapp的主页index.jsp。它通过JNDI实现；定义连接器时可以配置的属性非常多，通常定义HTTP连接器时必须定义的属性只有“port”，定义AJP连接器时必须定义的属性只有"protocol"，因为默认的协议为HTTP。

4、引擎(Engine)：引擎通常是指处理请求的Servlet引擎组件，即Catalina Servlet引擎，它检查每一个请求的HTTP首部信息以辨别此请求应该发往哪个host或context，并将请求处理后的结果返回相应的客户端（实际上就是一个中转工厂，接收并记录请求，然后进行分析，确定并发往对应host、context，然后将host、context的返回结果直接或再处理后返回归给客户端）。为何引擎是容器类组件，大概是因为其可以存储请求和响应的内容，起到保存的作用，所以叫做容器吧。

如果请求是可缓存的，则转移到vcl_hash()，计算key的哈希值，然后判断是否在缓存中命中，即缓存中是否有此请求所需的结果响应报文，如果没有命中，则转移至vcl_miss()，由vcl_miss()转移至vcl_fetch()，到后端服务器请求内容，然后缓存，然后转移至vcl_deliver()，封装成响应报文，返回给客户端；file：单个文件，重启后失效，不支持持久机制；此时访问不同的页面，会轮询的在两个服务器中切换，达到轮询的效果，一旦访问了一个页面，再次访问时，因为缓存，都是同一个服务器的页面。

反向代理，接受客户端的请求报文，将请求拆封后，构建新的请求报文，以代理主机的名义向后端服务器发起请求，在接到服务器的响应报文后，将响应报文拆封后重新封装成新的响应报文，返回给客户端。然后进行访问测试，第一次访问一个网页，如http://192.168.61.129/test1.html，如果返回的是node2服务器，那么以后不论从哪个客户端访问test1.html，返回的都是node2服务器内容，即根据uri的hash值，被固定转发到node2上。HAProxy主要实现的均衡代理调度的功能，实现负载均衡。

高可用集群的基础架构是Corosync，cman作为Corosync的插件使用（5版本及以前版本是cman作为基础架构），引入了rgmanager作为资源组管理器，所有的服务都可以配置到资源组中，内核中的文件系统GFS是全局文件系统，一方面可以作为本地文件系统使用，与VFS兼容，另一方面，通过DLM分布式锁管理器，达成多个节点对同一共享存储的同时读写功能，而各个节点上，通过dlm_controld守护进程，完成对DLM的控制，通过gfs_controld守护进程，借助DLM层完成对共享文件系统的操作。

有了IPSAN，就可以基于IPSAN的存储做高可用集群，如MySQL高可用集群，关键点在于定义Initiator资源，在活动节点上，Initiator资源要实现发现Target和登录Target，定义文件系统资源，挂载发现的Target，当节点出现故障，需要转移时，文件系统资源要卸载Target，Initiator资源要登出Target。同样如果几个节点同时写了这个文件，最后文件的结果，取决于谁最后操作了这个文件，所以，如果是对这个分区执行有写操作的动作，一般不能同时几个主机加载，否则会造成文件错乱。

那么实现Target这一系列功能的设备，完全可以是一台主机，这台主机拥有以太网接口，可以接收处理TCP/IP报文，然后内核中增加iSCSI层和SCSI层，实现对SCSI报文的处理，如果本机有SCSI磁盘，通过SCSI驱动读写本机的SCSI存储磁盘，如果本机是其他存储设备，如IDE磁盘，则将SCSI的指令转换为IDE的指令，然后可以调用本机的磁盘驱动完成读写IDE磁盘。而NAS是由存储（Target）组织文件系统，并且向外输出的是文件系统接口，主机的处理要简单的多，更多的压力在存储端。

mysql的高可用集群，就是保证在提供mysql服务的节点出现故障无法提供服务时，集群将服务转移到另一节点，同时保证数据一致，关键点就是数据，mysql程序在每个节点都需要安装，然后数据库数据文件保存在共享存储或镜像存储中，这里就是使用drbd镜像存储，在一个节点出现问题，mysql服务转移到另一个节点，同时数据也是使用本节点上的镜像数据，保证服务及数据的一致，保证服务高可用。但是，一定要注意的是，这两个ceshitxt文件不是同一个文件，而是不同磁盘上的两个不同的文件，只不过内容一致。

在使用DRBD时，在Buffer Cache与Disk Scheduler之间插入了一个DRBD层，这个DRBD层截取Buffer Cache流向Disk Scheduler的数据流，将其复制一份，其中一份传递到Disk Scheduler，保存到本地磁盘中，一份通过网络（即TCP/IP协议），经由网卡传输到另一台设备上，在另一台设备上，网卡接收数据报文，经由TCP/IP协议将报文解封为DRBD报文，由DRBD调用DIsk Scheduler，最终保存到这一台设备的磁盘中，实现数据的镜像保存。

一般需要安装heartbeat-2.1.4-12.el6.x86_64.rpm，是主程序，heartbeat-gui-2.1.4-12是GUI类型的配置接口，heartbeat-stonith-2.1.4-12是STONITH类型节点隔离的程序，一般的，heartbeat依赖此程序，heartbeat-pils-2.1.4-12是heartbeat依赖的一些文件。资源有三个：ip，httpd，Filesystem，这里的ip是fip，即floating ip，浮动ip，要在节点间转移。

即每个资源对当前节点的粘性都是50，三个资源的总粘性就是150，集群刚启动时，服务会在node1，因为webvip对node1的粘性是100，node1出现故障，假设转移到node2，当node1再次恢复后，服务不会转回，因为node2的粘性值150，而node1的只是100。排列约束，colocation，表示一种合适的顺序，或是托管，把事务移动或放置在一起，在这里，就是定义前面的三个资源要在一起，统一托管到一个节点，即所有的资源要运行于一个节点，不能分散到不同的节点运行。

配置文件中配置了totem，即集群的特征标志，如集群名等，在心跳信息中会携带，节点列表，即集群中包含的各节点信息，quorum，法定票数，即仲裁，这里的仲裁者是corosync_votequorum，即corosync自己的仲裁程序。对于两节点系统，因为在全局设置中，即/etc/corosync/corosync.conf中，quorum中two_node: 1，即设置为双节点系统，所以即使一个节点掉电，只剩一个节点，其依然是with quorum。

CLM是在集群中描述集群节点的信息和集群节点的配置信息。keepalived中，通过在Messaging Layer中传递的heartbeat以及集群事务决策信息，由keepalived的程序仲裁谁是主设备，通过优先级进行仲裁，这涉及两个问题，一是仲裁的依据，这里是优先级，当然也可以是其他的信息，二是谁来仲裁以及如何实现主备切换，这里是keepalived进程本身进行仲裁，然后通过vrrp script脚本实现优先级的改变达到主备切换，当然也可以是其他单独的程序来实现仲裁和切换。

可以看到，不同的远程节点上都生成了/tmp/varstest.txt,并且其内容是各个节点对应的ipv4，这说明，对于Facts中的返回的信息，会对应每一台host生成对应的变量，并赋予各自对应的信息，即这个Facts变量是一个主机变量，在对应的主机（远程节点）运行task时，都可以使用这些变量，并且这些变量相对于主机来说是局部变量，即只能在这台主机使用，但是每台主机都会有相同的Facts局部变量。：这种定义的变量，也是主机变量，只不过是我们自定义的，其作用域仅限于对应的主机，类似Facts变量。

如 syslinux 用于从微软的文件系统 fat 16/32 引导，isolinux 用于从光盘引导，pxelinux 用于从网络引导，extlinux 用于从 ext2/3 文件系统引导。bootp：boot protocol，用于无盘工作站，需要一块特殊网卡，启动时能发送RARP报文，RARP是已知MAC，需要获取一个IP。option项配置可以在全局配置，也可以在subnet中配置，也可以在subnet下的host中配置，适用最近生效原则，同时配置，以最近的配置生效。

停止128上的nginx，129获得VIP，即123，BACKUP转换为MASTER，继续提供服务，实现高可用。当128上的nginx再次启动后，又抢回VIP。配置keepalived，实现高可用，128和129上使用keepalived的配置VIP为123，当其中的MASTER中的nginx出现故障down掉时，VIP地址转移到BACKUP上，继续服务。可以看到，启动时，node1成为master，发送了一封邮件，当手动切换，即创建down文件后，发送了node1成为backup邮件。

对于返回结果为1，说明返回为假，说明不正常，就要执行weight，即instance的优先级priority与weight的和，即100-2，原先是100，减为98，小于备用节点的99，备用节点将成为主节点。以lvs为例，两台设备上都配备了ipvs和相同的规则，现在就是提供相同入口的问题，即配置vip，我们知道，两台主机不能同时配置相同的一个ip，这就要求，工作中的设备（主设备）一开始拥有vip，作为服务的入口，当主设备出现故障，vip能够转移至备用设备上，以相同的入口，继续提供服务。

使用Nginx也可以实现集群功能，Nginx实现反向代理，实现的是七层上的转发，要求Nginx本身就是一个WEB服务器，监听在80端口，然后按照不同的请求，对后端业务服务器，这里叫做upstream server，上游服务器，再发起请求，获得结果后返回给客户端。访问192.168.61.129时，访问的是nginx的/usr/share/nginx/html/下的index.html，访问192.168.61.129/form/时，会访问192.168.61.130/bbs/下的index.html。

如上图，从1.2来的ARP请求报文，从1.1接口进入主机，请求3.1的MAC地址，那么，如果arp_ignore为0，则响应任意网卡上接收到的对本机IP地址的arp请求（包括环回网卡上的地址），而不管该目的IP是否在接收网卡上，就是说，主机要对此请求报文进行响应，因为3.1是本主机的一个IP，不管这个报文是从哪个接口进来的，从2.1或3.1或4.1进来的，都进行响应；关键是构建这个转发网络。0：响应任意网卡上接收到的对本机IP地址的arp请求（包括环回网卡上的地址），而不管该目的IP是否在接收网卡上。

HP（HPC）：高性能集群（高性能计算集群），High Performance（High Performance Computing Cluster），向量机，并行处理集群。通过修改请求报文的目标IP地址（同时可能修改目标端口）至挑选出的某RS的RIP地址实现转发；这个单个集群系统可以扩展，系统扩展的方式：scale up，向上扩展，更换更好的主机；：不修改请求报文的IP首部，而是通过在原有的IP首部（cip <--> vip）之外，再封装一个IP首部（dip <--> rip）；

sendfile：对一个客户端请求的资源的读写过程基本如下：用户空间进程-->read系统调用-->磁盘IO将文件从磁盘DMA到内核空间缓存-->内存拷贝到用户空间缓存-->打包为响应报文 -->send系统调用 --> 用户空间缓存拷贝到内核写缓存-->网络IO，通过网卡发送。--with-ld-opt=OPTIONS - 通过连接器的附加参数，用于FreeBSD中的PCRE库，同样需要指定–with-ld-opt=”-L /usr/local/lib”。

而在用户进程这边，整个进程会被阻塞。我理解的IO操作，这里主要是集中于read和write过程，是针对服务器进程，即业务进程来说的，在listen阶段，accept阶段，服务端进程也可能阻塞，实际也是一种IO，网络IO，集中于网络层，是用户空间的进程进行IO操作，执行了系统调用，系统调用执行的是网络读写，read和write更多是执行的磁盘IO。一般的，一个进程只处理一个IO流，但是在WEB服务中，一个进程处理两个IO流，一个是网络IO，接受客户端的请求和向客户端响应，一个是磁盘IO，获取用户请求的资源。

对于SNAT，主要用于内网主机访问外网服务器，从上图可以看出，如果不经过地址转换，请求报文是可以到达外网服务器的，但是外网服务器的响应报文，因为其目的地址是内网地址CIP，所以是无法在外网中路由的，无法返回响应报文，这就是需要SNAT的原因；此时的响应报文，其目的地址就是转换后的源地址FIP，可以到达NATServer，在到达NATServer后，第一步要进行目的地址转换，将FIP转换为CIP，即在PREROUTING转换，否则，进行路由后在转换，路由的结果可能就是错误的。这就是DNAT，目的地址转换。

连接追踪模版中不存在此连接相关的信息条目，因此，将其识别为第一次发出的请求；（1）装载ftp追踪时的专用的模块：modprobe nf_conntrack_ftp。：NEW状态之后，连接追踪模版中为其建立的条目失效之前期间内所进行的通信的状态；此时，F1和F2之间的web和ping都不通了。做网络防火墙，需要主机有两块及以上网卡，两个网卡接在不同的网络中。此时，WEB通了，PING还是不通，实现单独放行WEB的目的。如ftp协议中的命令连接与数据连接之间的关系；

所以，Linux的防火墙其实是iptables/netfilter，相当于一个C/S架构，netfilter是一个框架，主要是内核中的部分，定义了五个链及各种功能，这五个链，在程序的实现上就是一些特殊函数，叫做hooks function，钩子函数，意思是说，报文经过时，要被这些钩子函数勾过来，在这个函数中过一遍，这个钩子函数中又能定义很多其他函数，实现不同功能或进行规则匹配，报文经过这些函数或规则的匹配后，按照不同的结果被执行不同的动作，以此来达成对报文的控制。一个是nat功能，即网络地址转换；

对主机名的解析，先从file中查找，没有找到，即状态为NOTFOUND，行为采取默认continue，就是继续找下一个存储，即nis，如果nis中也没有找到，即状态为NOTFOUND，默认是继续去找dns，这里设置了[NOTFOUND=return]，就改变了nis的行为，找不到就返回了，不找了。：与required类似，该模块必须返回成功才能通过认证。通用框架：与各存储交互的实现，以及各种辅助性功能，如密码认证通过，但是用户是被锁定状态，也不能允许认证通过，再比如，修改密码是的复杂度不符合时的处理等。

然后是 Device Drivers ---> 下的 Network device support ---> 选中，然后进入其子菜单，选择：Ethernet driver support (NEW) ---> ，其下提供了各种网卡的驱动，只选择Intel的1000GE。在目标机上，使用passwd重置一遍密码，结果就通过了，通过后，xshell不显示终端界面，原因是目标机上/dev/pts没有挂载成功，在前面，/etc/fstab中设置的devpts挂载没起作用。

总的配置就是：先配置内核是64位的，然后配置动态加载模块支持，在其子菜单下选择可以动态卸载，其后配置块设备支持，再配置CPU，支持多核和选择CPU类型，再配置总线选项，配置PCI支持选项，最后设备驱动配置，先配置SCSI设备，支持SCSI disk，即scsi磁盘，然后是硬盘设备配置，这里是Fusion MPT device。对磁盘进行分区，对一个基本Linux，分区一般最少3个：boot分区，根(/)分区和swap分区，对于最精简的linux，swap可以不使用，所以，指定boot和根/分区就可以了。

NFS的过程描述如下：本地主机访问远程主机的111端口，即RPC公共服务，进程为portmapper，获取mountd进程的端口，mountd进程启动时在portmapper中注册，由portmapper随机分配一个端口，然后本地主机在使用获得mountd端口，访问mountd进程，由mountd分配令牌，最后，本地主机使用得到的令牌，访问2049端口进程，即nsfd进程，进行网络文件系统的操作。1）、两个主机用户之间的映射关系，两个主机的用户一致，则一一对应就可以，如果id相同但用户名不同怎么办？

配置虚拟用户具有不同的访问权限：与上一个使用文件的虚拟用户一样，vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以定义其ftp服务访问权限，每个虚拟用户的配置文件名同虚拟用户的用户名。创建FTP根目录及虚拟用户映射的系统用户，vsftpd虚拟用户需要有一个对应的系统用户帐号（该帐号无需设置密码及登录Shell），该用户帐号的宿主目录作为所有虚拟用户登录后的共同FTP根目录。可以看到，使用系统用户，登录的默认路径是系统用户的家目录，而且可以切换到其他系统路径，这是很危险的操作。

取消黄色的--with-apxs2=/usr/local/apache/bin/apxs，这个是将php编译成httpd的模块，--enable-maintainer-zts，线程安全，fpm模式下，不是启用httpd的线程，无需线程安全。错误的关键点在少了两项配置：--enable-ssl和--with-ssl，一开始，一直使用--with-openssl，在httpd中应该使用--with-ssl选项。--with-apr-util=/usr/local/apr-util，指明apr-util位置。

下载：mariadb-5.5.68-linux-x86_64.tar.gz（在下载时，看到还有mariadb-5.5.68-linux-systemd-x86_64.tar.gz，应该是对systemd的支持，即可以使用systemd进行管理），是通用二进制包。其中，data目录用于存储数据库数据的，一般单独存放于一个挂载的设备上，因为数据是不断增加变化的，所以存放的设备一般要能够随时扩展，因为数据重要，所以最好有快照或备份功能，这里实验将其安装在LVM上的xfs系统上。关系型数据库的一种开源实现；

查找资料后，原因是CENTOS 是 64bit的，在编译配置中并没有指定 --with-included-apr的具体引用路径，导致找不到相应的库文件，而 --with-included-apr 默认是查找/usr/lib下的库文件，正确的引用应该是安装的apr的库文件，在第3步中安装的位置。这类情况在64bit下非常常见。2、拷贝解压后的wordpress目录至/www/htdocs/wordpress45/ ：cp -r wordpress/ /www/htdocs/wordpress45/

curl是基于URL语法在命令行方式下工作的文件传输工具，支持FTP，FTPS，HTTP，HTTPS，GOPHER，TELNET，DICT，FILE及LDAP等协议。curl支持HTTPS认证，并支持HTTP的PSOT、PUT等方法，FTP上传，Kerberos认证，HTTP上传，代理服务器，cookies，用户名/密码认证，下载文件断点续传，上载文件断点续传，http代理服务器管道（proxy tunneling），还支持IPv6，socks5代理服务器，通过http代理服务器上传文件到FTP服务器等。

应用层实现应用协议，主要运行于用户空间，像前面学到的dns，ssh都是应用层协议，本事是一种协议，而这种协议的实现需要一个载体，这就是bind和openssh。当然，在这个概念里，主机也是一台设备。Scheme://Server:port/path/to/resource，（path/to/resource最终通过映射，映射到具体文件系统中的特定文件）在/www/htdocs下创建bbs目录，其下创建index.html，访问：http://192.168.138.139/bbs/index.html。

错误排除：修改/usr/local/openssl/ssl/openssl.cnf配置文件，将其中的dir = ./demoCA，修改为dir=/etc/pki/CA应该就可以了。1）导出二进制命令路径，需要将路径输出到PATH环境变量中：在/etc/profile.d/下建立named.sh文件，内容如下： export PATH=/usr/local/bind9/bin:/usr/local/bind9/sbin:$PATH。xinetd代瞬时守护进程监听，在有用户访问时，唤醒瞬时守护进程。

如上面的ops.mytest.com子域中有一台主机要访问其父域中的一台主机，如www.mytest.com，因为ops.mytest.com子域名称服务器并不知道这个域名的地址，它只能去问根，因为它只知道根的位置，而不会去问其父域mytest.com的名称服务器，这显然有些啰嗦且不合理，于是在子域中可以定义转发服务器，即指定一个区域，在自己不负责解析的时候，转发给这个指定的区域。3、配置从服务器成为正向解析的从服务器，从服务器只需要定义区域，而不需要提供解析库文件，解析库文件从其他服务器中传递过来；

上面图示是一个理论上的过程，但是如果这样，客户机会很麻烦，实际中，客户机不会频繁的去访问各个域管理机，而是会直接问询设置中的域服务器，我们的主机IP地址设置中都会设置主DNS服务器地址，备DNS服务器地址等，客户机是访问这个DNS服务器的，由他来完成上面的过程。一般域名是指的一个范围，而常说的访问某个域名，如www.abc.com，说的是主机的域名，即主机名加上域名，域名最右边是点号，代表根，必须要有的，平时使用没有是因为软件帮我们自动添加。}，recursion yes表示允许递归查找。

随机数生成器：熵池，用于存储随机数，随机数是由随机事件产生的，如敲击键盘、磁盘I/o等，两个伪设备，用于生成随机数。1、进入CA根目录，生成CA的私钥，按照上面的配置CA根目录是/etc/pki/CA，CA自己的私钥为/etc/pki/CA/private/cakey.pem。这个httpd.csr，就是一个待签发的证书，所谓签发，就相当于CA用自己的印戳在这个文件上盖上印，实际就是CA用自己的密钥在这个文件上数字签名。不同的服务，不同的证书，不同的密钥，使用者先向RA申请生成密钥。

按行读取文件，将读取的内容以-F指定的分隔符（默认为空白字符）进行分隔，形成多个部分，将不同的部分赋值给awk的内置位置变量，如$1，$2，$3...，而$0表示整行。sub（r，s，[t]）：以r表示的模式来查找t所表示的字符中的匹配的内容，并将其第一次出现替换为s所表示的内容；gsub（r，s，[t]）：以r表示的模式来查找t所表示的字符中的匹配的内容，并将其所有出现替换为s所表示的内容；split（s，a[，r]）：以r为分隔符切割字符s，并将切割后的结果保存至a所表示的数组中；