【笔记】Linux就该这么学-第十六课第十六、十七章

代理缓存服务

正向代理模式一般用于企业局域网之中，让企业用户统一地通过Squid服务访问互联网资源，这样不仅可以在一定程度上减少公网带宽的开销，而且还能对用户访问的网站内容进行监管限制，一旦内网用户访问的网站内容与禁止规则相匹配，就会自动屏蔽网站。

反向代理模式一般是为大中型网站提供缓存服务的，它把网站中的静态资源保存在国内多个节点机房中，当有用户发起静态资源的访问请求时，可以就近为用户分配节点并传输资源，因此在大中型网站中得到了普遍应用

 

yum install squid

 

Squid服务程序的配置文件也是存放在/etc目录下一个以服务名称命名的目录中

常用的Squid服务程序配置参数以及作用

http_port 3128  监听的端口号
cache_mem 64M  内存缓冲区的大小
cache_dir ufs /var/spool/squid 2000 16 256  硬盘缓冲区的大小
cache_effective_user squid 设置缓存的有效用户
cache_effective_group squid               设置缓存的有效用户组
dns_nameservers IP地址  一般不设置，而是用服务器默认的DNS地址
cache_access_log /var/log/squid/access.log  访问日志文件的保存路径
cache_log /var/log/squid/cache.log  缓存日志文件的保存路径
visible_hostname linuxprobe.com  设置Squid服务器的名称

 

systemctl restart squid

systemctl enable squid

 

Squid服务程序默认使用3128、3401与4827等端口号，因此可以把默认使用的端口号修改为其他值，以便起到一定的保护作用

在/etc目录下的Squid服务程序同名目录中找到配置文件，把http_port参数后面原有的3128修改为10000，即把Squid服务程序的代理服务端口修改成了新值。

最后重启服务程序

vim /etc/squid/squid.conf

http_port 10000

 

systemctl restart squid

systemctl enable squid

 

semanage port -l | grep squid_port_t

 

semanage port -a -t squid_port_t -p tcp 10000

 

semanage port -l | grep squid_port_t

 

ACL访问控制

当将Squid服务程序部署为公司网络的网关服务器后，Squid服务程序的访问控制列表（ACL）功能将发挥它的用武之地。它可以根据指定的策略条件来缓存数据或限制用户的访问

 

只允许IP地址为192.168.10.20的客户端使用服务器上的Squid服务程序提供的代理服务，禁止其余所有的主机代理请求。

vim /etc/squid/squid.conf

26 acl client src 192.168.10.20

31 http_access allow client
32 http_access deny all

上面的配置参数其实很容易理解。首先定义了一个名为client的别名。这其实类似于13.6节讲解的DNS分离解析技术，当时我们分别定义了两个名为china与american的别名变量，这样当再遇到这个别名时也就意味着与之定义的IP地址了。保存配置文件后重启Squid服务程序，这时由于客户端主机的IP地址不符合我们的允许策略而被禁止使用代理服务

 

禁止所有客户端访问网址中包含linux关键词的网站

vim /etc/squid/squid.conf

26 acl deny_keyword url_regex -i linux

31 http_access deny deny_keyword

systemctl restart squid

 

禁止所有客户端访问某个特定的网站

vim /etc/squid/squid.conf

26 acl deny_url url_regex http://www.linuxcool.com

31 http_access deny deny_url

systemctl restart squid

 

禁止员工在企业网内部下载带有某些后缀的文件

vim /etc/squid/squid.conf

26 acl badfile urlpath_regex -i \.mp3$ \.rar$

31 http_access deny badfile

 

iSCSI技术实现了物理硬盘设备与TCP/IP网络协议的相互结合，使得用户可以通过互联网方便地访问远程机房提供的共享存储资源

 

创建RAID磁盘阵列

使用mdadm命令创建RAID磁盘阵列。其中，-Cv参数为创建阵列并显示过程，/dev/md0为生成的阵列组名称，-n 3参数为创建RAID 5磁盘阵列所需的硬盘个数，-l 5参数为RAID磁盘阵列的级别，-x 1参数为磁盘阵列的备份盘个数。在命令后面要逐一写上使用的硬盘名称

mdadm -Cv /dev/md0 -n 3 -l 5 -x 1 /dev/sdb /dev/sdc /dev/sdd /dev/sde

 

记录UUID

mdadm -D /dev/md0

UUID : 3370f643:c10efd6a:44e91f2a:20c71f3e

 

配置iSCSI服务端

yum -y install targetd targetcli

 

启动iSCSI的服务端程序targetd

systemctl start targetd

systemctl enable targetd

 

配置iSCSI服务端共享资源

targetcli

在执行targetcli命令后就能看到交互式的配置界面了。在该界面中可以使用很多Linux命令，比如利用ls查看目录参数的结构，使用cd切换到不同的目录中。/backstores/block是iSCSI服务端配置共享设备的位置。我们需要把刚刚创建的RAID 5磁盘阵列md0文件加入到配置共享设备的“资源池”中，并将该文件重新命名为disk0，这样用户就不会知道是由服务器中的哪块硬盘来提供共享存储资源，而只会看到一个名为disk0的存储设备。

 

创建iSCSI target名称及配置共享资源

/> cd iscsi
/iscsi> 
/iscsi> create
Created target iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80.
Created TPG 1.
/iscsi> cd iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80/
/iscsi/iqn.20....d497c356ad80> ls
o- iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 ...... [TPGs: 1]
  o- tpg1 ............................................... [no-gen-acls, no-auth]
    o- acls .......................................................... [ACLs: 0]
    o- luns .......................................................... [LUNs: 0]
    o- portals .................................................... [Portals: 0]
/iscsi/iqn.20....d497c356ad80> cd tpg1/luns
/iscsi/iqn.20...d80/tpg1/luns> create /backstores/block/disk0 
Created LUN 0.

 

设置访问控制列表（ACL）

/iscsi/iqn.20...d80/tpg1/luns> cd ..
/iscsi/iqn.20...c356ad80/tpg1> cd acls 
/iscsi/iqn.20...d80/tpg1/acls> create iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client
Created Node ACL for iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client
Created mapped LUN 0.

 

设置iSCSI服务端的监听IP地址和端口号

/iscsi/iqn.20...d80/tpg1/acls> cd ..
/iscsi/iqn.20...c356ad80/tpg1> cd portals 
/iscsi/iqn.20.../tpg1/portals> create 192.168.10.10
Using default IP port 3260
Created network portal 192.168.10.10:3260.

 

配置妥当后检查配置信息，重启iSCSI服务端程序并配置防火墙策略

/iscsi/iqn.20.../tpg1/portals> ls /
o- / ........................... [...]
  o- backstores................. [...]
  | o- block ................... [Storage Objects: 1]
  | | o- disk0 ................. [/dev/md0 (40.0GiB) write-thru activated]
  | o- fileio .................. [Storage Objects: 0]
  | o- pscsi ................... [Storage Objects: 0]
  | o- ramdisk ................. [Storage Objects: 0]
  o- iscsi ..................... [Targets: 1]
  | o- iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 .... [TPGs: 1]
  |   o- tpg1 .................. [no-gen-acls, no-auth]
  |     o- acls ........................................................ [ACLs: 1]
  |     | o- iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client [Mapped LUNs: 1]
  |     |   o- mapped_lun0 ............................................. [lun0 block/disk0 (rw)]  
    o- luns .................... [LUNs: 1]
  |     | o- lun0 .............. [block/disk0 (/dev/md0)]
  |     o- portals ............. [Portals: 1]
  |       o- 192.168.10.10:3260  [OK]
  o- loopback .................. [Targets: 0]
/> exit
Global pref auto_save_on_exit=true
Last 10 configs saved in /etc/target/backup.
Configuration saved to /etc/target/saveconfig.json
[root@linuxprobe ~]# systemctl restart targetd
[root@linuxprobe ~]# firewall-cmd --permanent --add-port=3260/tcp 
success 
[root@linuxprobe ~]# firewall-cmd --reload 
success

在参数文件配置妥当后，可以浏览刚刚配置的信息，确保与下面的信息基本一致。在确认信息无误后输入exit命令来退出配置。注意，千万不要习惯性地按Ctrl + C组合键结束进程，这样不会保存配置文件，我们的工作也就白费了。最后重启iSCSI服务端程序，再设置firewalld防火墙策略，使其放行3260/tcp端口号的流量。

配置Linux客户端

yum install iscsi-initiator-utils

 

编辑iSCSI客户端中的initiator名称文件，把服务端的访问控制列表名称填写进来，然后重启客户端iscsid服务程序并将其加入到开机启动项中

[root@linuxprobe ~]# vim /etc/iscsi/initiatorname.iscsi
InitiatorName=iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client
[root@linuxprobe ~]# systemctl restart iscsid
[root@linuxprobe ~]# systemctl enable iscsid

 

iSCSI客户端访问并使用共享存储资源的步骤很简单，只需要记住刘遄老师的一个小口诀“先发现，再登录，最后挂载并使用”。iscsiadm是用于管理、查询、插入、更新或删除iSCSI数据库配置文件的命令行工具，用户需要先使用这个工具扫描发现远程iSCSI服务端，然后查看找到的服务端上有哪些可用的共享存储资源。其中，-m discovery参数的目的是扫描并发现可用的存储资源，-t st参数为执行扫描操作的类型，-p 192.168.10.10参数为iSCSI服务端的IP地址

iscsiadm -m discovery -t st -p 192.168.10.10

 

在使用iscsiadm命令发现了远程服务器上可用的存储资源后，接下来准备登录iSCSI服务端。其中，-m node参数为将客户端所在主机作为一台节点服务器，-T  iqn.2003-01. org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80参数为要使用的存储资源（大家可以直接复制前面命令中扫描发现的结果，以免录入错误），-p 192.168.10.10参数依然为对方iSCSI服务端的IP地址。最后使用--login或-l参数进行登录验证

iscsiadm -m node -T iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 -p 192.168.10.10 --login

 

在iSCSI客户端成功登录之后，会在客户端主机上多出一块名为/dev/sdb的设备文件

file /dev/sdb

 

直接格式化并挂载使用

mkfs.xfs /dev/sdb

mkdir /iscsi

mount /dev/sdb /iscsi

df -h

 

由于/dev/sdb是一块网络存储设备，而iSCSI协议是基于TCP/IP网络传输数据的，因此必须在/etc/fstab配置文件中添加上_netdev参数，表示当系统联网后再进行挂载操作，以免系统开机时间过长或开机失败

vim /etc/fstab

UUID=eb9cbf2f-fce8-413a-b770-8b0f243e8ad6 /iscsi xfs defaults,_netdev 0 0

 

如果我们不再需要使用iSCSI共享设备资源了，可以用iscsiadm命令的-u参数将其设备卸载

iscsiadm -m node -T iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 -u