1.ckafka访问控制和访问认证
ckafka提供两种访问控制形式,一种为ACL,一种为SASL加密认证。ACL配置为全局生效,而SASL为接入时认证生效。当接入为内网接入时,可以选择不用接入路由认证,直接访问;通过公网ip接入,需要选择SASL加密方式,此方式需要设置认证用户,以及该用户是否可以通过的ACL策略,消费者和生产者需要配置用户和密码,以便于访问认证。
***这里有个问题,当采用SASL方式时,若不添加用户,这样还需要认证吗?还是说必须添加用户密码认证,未证实
2./proc/interrupts对应列的解释和说明
第一列是终端号,不显示没有安装处理程序的中断线
第二列是已接收的中断数目
第三列是处理这个中断的中断控制器。XT-PIC对应于标准的PC可编程中断控制器。
最后一列是与这个中断相关的设备名。如果中断是共享的,会将这条中断线上所有的设备都列出来。
注:关于更详细的显示每个终端号的中断,可以查看/proc/stat文件
/proc/stat 文件,从intr行看起,第一个数字代表所有中断的总和,后面依次从0开始分别对应不同终端号的中断数
3.firewalled命令
--------------------------------------------------------------
火墙的各类配置文件存储在/usr/lib/firewalld和/etc/firewalld/中的各种xml文件里
firewalld的操作:
yum install firewalld firewall-config ##安装firewalld与图形界面
firewall-config ##打开图形界面
systemctl status firewalld ##查看火墙状态
systemctl start firewalld ##开启火墙服务
systemctl stop firewalld ##关闭火墙服务
systemctl enable firewalld ##开机自动开启
systemctl disable firewalld ##开机不自启
systemctl mask firewalld ##冻结火墙服务
systemctl unmask firewalld ##解冻火墙服务
firewall-cmd --state ##查看火墙的状态
firewall-cmd --get-default-zone ##查看火墙默认的域
firewall-cmd --get-active-zone ##查看火墙活动的域
firewall-cmd --get-zones ##查看火墙所有可用的域
firewall-cmd --zone=public --list-all ##列出制定域的所有设置
firewall-cmd --get-services ##列出所有预设服务
firewall-cmd --list-all ##列出默认区域的设置
firewall-cmd --list-all-zones ##列出所有区域的设置
firewall-cmd --set-default-zone=dmz ##设置默认区域为dmz
firewall-cmd --add-source=172.25.254.44 --zone=trusted ##添加172.25.254.44到trusted域中去
firewall-cmd --remove-source=172.25.254.44 --zone=trusted ##删除172.25.254.44到trusted域中去
firewall-cmd --remove-interface=eth1 --zone=public ##删除public域中的eth1接口
firewall-cmd --add-interface=eth1 --zone=trusted ##添加trusted域中一个接口eth1
firewall-cmd --add-service=http ##添加http服务到火墙中
firewall-cmd --add-port=8080/tcp ##添加端口为8080,协议为tcp的到火墙中
firewall-cmd --permanent --add-service=http ##永久添加http到火墙中
**-permanent参数表示永久生效设置,如果没有指定-zone参数,则加入默认区域
firewall-cmd --zone=public --list-ports ##列出public域中端口
firewall-cmd --permanent --zone=public --add-port=8080/tcp ##添加端口
firewall-cmd --zone=public --add-port=80/tcp --permanent (--permanent永久生效,没有此参数重启后失效)
firewall-cmd --permanent --zone=public --remove-port=8080/tcp ##删除端口
firewall-cmd --add-service=ssh --permanent ##永久添加ssh服务(添加完后重新加载一下就可以查看了)
vim /etc/firewalld/zones/public.xml ##编写public域的配置文件,可以加服务(本次实验添加lftp)
irewall-cmd -reload ##重新加载火墙,不会立即中断当前使用的服务
firewall-cmd --complete-reload ##重新加载火墙,会立即中断当前正在使用的服务
通过firewall-cmd 工具,可以使用 --direct选项再运行时间里增加或移除链。如果不熟悉iptables,使用直接接口非常危险,因为您可能无意间导致火墙被入侵。直接端口模式适用于服务或程序,以便在运行时间内增加特定的火墙规则。直接端口模式添加的规则优先于应用。
firewall-cmd --direct --get-all-rules ##列出规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 2 -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT ##在filter表中的INPUT链中第二条加入允许接受tcp协议的172.25.254.44的数据包通过端口22(sshd)访问该主机
firewall-cmd --direct --remove-rule ipv4 filter INPUT 2 -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT ##移除
firewall-cmd --direct --add-rule ipv4 filter INPUT 2 ! -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT ##添加除了44主机以外的任何主机都可以访问
cat /etc/services | grep ssh ##查看与ssh有关的服务信息
##端口转发(地址伪装)
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.44 ##别的主机通过22端口访问该主机的时候伪装到172.25.254.44主机上(要开启伪装才可成功)
firewall-cmd --permanent --add-masquerade ##开启伪装
firewall-cmd--reload ##需要重新加载
firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.44 ##移除
firewall-cmd --permanent --remove-masquerade ##关闭伪装
##实现路由功能(连接不同的ip进行地址伪装)
在服务器上配两个网卡eth0:172.25.254.144 eth1:192.168.0.144
客户端:192.168.0.244
firewall-cmd --add-rich-rule="rule family=ipv4 source address=172.25.254.144 masquerade"
firewall-cmd --add-masquerade ##开启伪装
firewall-cmd --get-icmptypes
firewall-cmd --add-icmp-block=destination-unreacheable ##ping的时候显示目的地不可达
firewall-cmd --remove-icmp-block=destination-unreacheable ##移除
firewall-cmd --add-icmp-block=echo_sed
firewall-cmd --add-icmp-block=echo-request
firewall-cmd --remove-icmp-block=echo-request
firewall-cmd --add-icmp-block=echo-request --timeout=5 ##
--------------------------------------------------------------
4.关于cls日志服务索引检索
需要检索服务,首先需要开启索引,根据自身日志信息特点,判断是否要开启大小写区分以及键值索引,关于键值索引意为根据自身是否有特殊key需要特殊分隔符号去做拆分,以方便后期检索,来选择此功能。
https://cloud.tencent.com/document/product/614/16981
5.elasticsearch关于bulk批量操作功能
bulk允许在一个请求中进行多个操作(create、index、update、delete),也就是可以在一次请求裡做很多事情
也由于这个关系,因此bulk的请求体和其他请求的格式会有点不同
bulk的请求模板:
分成action、metadata和doc三部份
action : 必须是以下4种选项之一
index(最常用) : 如果文档不存在就创建他,如果文档存在就更新他
create : 如果文档不存在就创建他,但如果文档存在就返回错误,使用时一定要在metadata设置_id值,他才能去判断这个文档是否存在
update : 更新一个文档,如果文档不存在就返回错误,使用时也要给_id值,且后面文档的格式和其他人不一样
delete : 删除一个文档,如果要删除的文档id不存在,就返回错误,使用时也必须在metadata中设置文档_id,且后面不能带一个doc,因为没意义,他是用_id去删除文档的
metadata : 设置这个文档的metadata,像是_id、_index、_type...
doc : 就是一般的文档格式
注:bulk 如果一次性数据过多,很容易导致超时。可以在ES源码更改这个超时时间,可以设置长点。
6.cos内外网访问测试方法
https://cloud.tencent.com/document/product/436/31315
cos会根据DNS智能调度,如果cos存储桶和客户操作在同一地域,则会根据DNS智能调度走内网,否则则会走外网访问。可以根据nslookup的返回结果来做判断。测试cos内网是否通,无法直接通过ICMP协议ping,traceroute等命令来测试,可以尝试Telnet来测试一下是否通。
7.windows下的.gz文件,直接上传到Linux系统下的解压
这种情况下,tar命令正常已经无法解压,需要用gzip或者gunzip命令来解压,当然还会存在一种情况,当gzip解压后的文件还是无法直接访问,因为解压后的文件还是由tar命令打包过的,这时就需要再用tar命令来解包一下才可以正常访问
8.关于单方向网络排查思路
首先确认网络是否通和是否丢包ping测试---其次确认网络访问其他页面或视频是否正常---再次确认其他情况怎么样---最后让客户根据网卡抓包,并将包反馈给我们分析---检查客户网络出口流量占用情况,是否超过带宽限制
