lvm逻辑卷
logical volume manager
将底层物理硬盘封装起来,以逻辑卷给上层系统
逻辑卷大小可以调整,不会丢失现有数据
新加入硬盘也不会改变上层的逻辑卷
动态的磁盘管理机制
pe physical extend 默认4m
pv physical volume
vg volume group 卷组
lv logical volume 逻辑卷
/dev/vgname/lvname
1)物理磁盘被格式化为pv,空间被分为一个个pe
2)不同的pv加入同一个vg,不同的pv的pe全部进入vg的pe池内
3)lv基于pe创建,大小为pe的整数倍,组成lv的pe可能来自不同的物理磁盘
4)lv现在就直接可以格式后挂载使用
5)lv扩充实际是增加组成lv的pe的数量,其过程不会丢失原始数据
lvm逻辑卷基本管理操作
1.将物理磁盘设备初始化为物理卷
pvcreate 磁盘
pvcreate /dev/sdb /dev/sdc
查看 pvs或者pvdisplay
2.创建卷组,并将pv加入卷组中
vgcreate 名字 /dev/sdb /dev/sdc
查看 vgs或者vgdisplay
3.基于卷组创建逻辑卷
lvcreate -n mylv -l 2G 名字
查看 lvs或者lvdisplay
4.为创建好的逻辑卷创建文件系统
mkfs.ext4 /dev/名字/mytv
5.将格式化好的逻辑卷挂载使用
mount /dev/名字/mytv /mnt
删除lvm
一定要按照路径删除
1删除lv
lvremove 路径
2删除vg
vgremove 路径
3删除pv
pvremove 路径
lvm逻辑卷的拉伸与缩小
拉伸逻辑卷可以在线执行,不需要卸载逻辑卷
1.保证vg中有足够的空闲空间
vgdisplay
2.扩充逻辑卷
lvextend -L +1G /dev/名字/mylv
3.查看扩充后lv大小
lvdisplay
4.更新文件系统
resize2fs /dev/名字/mylv
5.查看更新后文件系统
df -h
卷组拉伸
1.将要添加到vg的硬盘格式化为pv
pvcreate /dev/sdd
2.将新的pv添加到指定卷组中
vgextend 名字 /dev/sdd
3.查看
vgdisplay
缩小逻辑卷
必须要离线执行
1.卸载已经挂载的逻辑卷
umount 路径
2.缩小文件系统
resize2fs 路径 1G
3.缩小lv
lvreduce -L -1G 路径
4.查看缩小的lv
ivdisplay
5.挂载
mount 路径 /mnt
缩小卷组
1.将一个pv从卷组中移除
vgreduce 名字 /dev/sdd
2.查看
vgdisplay
高级权限管理ACL
ACL access control list
允许对文件或者文件夹进行灵活,复杂的权限设置
ACL需要在挂载文件的时候打开ACL功能
mount -o acl /dev/sda5 /mnt
查看文件的acl设置
getfacl 文件名
针对一个用户对文件进行acl设置
setfacl -m u:用户名:rxx 文件
针对组对文件进行acl设置
setfacl -m g:组名:rwx 文件
删除acl设置
setfacl -x u:用户名 文件
RAID原理基础
影响计算机性能的组件:cpu,主板总线,内存io,硬盘io,网卡io
raid 廉价磁盘冗余列阵技术是通过多磁盘
并行运行来提高计算机的存储io性能
现代riad共有7类
raid 0 读写性
raid 1 读写性 冗余
raid 5 读写性 冗余(1块)
raid 6 读写性 冗余(2块)
raid0至少使用2块磁盘,读写时,将数据
分别写到多块硬盘的方式来提高读写性能
raid1至少使用2块磁盘,在写数据时,将数据复制写到多块磁盘
在读时,以提供冗余性。同时从多块硬盘读取数据,以提高读性能
raid5至少3块,与raid0类似,在写数据时进行奇偶校验运算,将校验信息同时保存
在硬盘上,校验信息可以进行数据恢复使用
读性能接近raid0,写性能较raid0弱
可以接受一块硬盘损坏
raid6至少四块硬盘,类似于raid5,会比raid5多保存一份校验信息
所以冗余性较raid5有所提升
读性能接近raid5,写较raid5弱一点
可以接受2块硬盘损坏
raid实现方式有两种
软件raid
硬件raid
raid的配置
软件raid通过mdadm这个程序实现
支持级别有raid0,1,4,5,6
/dev/mdn n为第几个raid
raid的信息保存在
创建raid0
mdadm -C /dev/md0 -a yes -l 0 -n 2 /dev/sdb /dev/sdc
raid1,raid4等类似,-x可以指定备份磁盘
-C 创建一个新的raid
-a 自动创建对应设备
-l 指定要创建的raid级别
-n 指定磁盘的数量
创建好raid之后,创建一个配置文件
mdadm -D --scan > /etc/mdadm.conf
创建文件系统之后挂载使用
mkfs.ext4 /dev/md0
mount /dev/mdo /mnt
查看详细信息
mdadm -D /dev/mdo
cat /proc/mdstat
关闭前卸载
mdadm -S /dev/mdo
启用
mdadm -R /dev/mdo
模拟故障
命令模拟一个磁盘的故障
mdadm /dev/md0 -f /dev/sdb
可以将故障磁盘移除
mdadm /dev/mdo -r /dev/sdb
换上新的硬盘后,可以将新的硬盘添加到riad中
mdadm /dev/md0 -a /dev/sdb
linux网卡绑定,子接口
查看网卡状态
mii-tool eth0
ethtool eth0 网卡物理特征
ethtool -l eth0 网卡驱动信息
ethtool -S eth0 网卡状态
IP别名
支持一个物理网卡配置多个ip地址,用来实现类似
子接口之类的功能,称为ip别名
系统默认启用、NetworkManager对网卡管理
如果使用子接口需要禁用NetworkManager
service NetworkManager
chkconfig NetworkManager off
之后可以使用ip命令临时创建一个ip别名
ip addr add 10.1.1.1/24 dev eth0 label eth0:0
eth0:0中第二个0为别名编号,第二个可以命名为eth0:1
如果需要永久保存,需要在/etc/sysconfig/network-scripts/创建
文件
ifcfg-eth0:0
内容:
DEVICE=eth0:0
IPADDR=10.1.1.1
PREFIX=24
ONPARENT=yes
多网卡绑定
多块物理网卡绑定为一个逻辑网卡
可以提高带宽和稳定性
网卡绑定模式
模式0 平衡轮训
模式1 主动备份
模式3 广播
网卡绑定设置
创建配置文件
/etc/sysconfig/network-scripts/ifcfg-bund0
DEVICE=eth0
IPADDR=192.168.1.12
PREFIX=24
ONBOOT=yes
BOOTPROTO=none
USERCTL=no
BOUNDING_OPS="mode=1 miimon=50"
之后修改每个物理网卡
/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
MASTER=bond0
SLAVE=yes
ONBOOT=yes
BOOTPROTO=none
USERCTL=no
然后在bond网卡添加驱动支持
/etc/modprobe.d/bonding.conf
alias bound0 bonding
selinux基础
secure enhanced linux
是内核级机制
修改后需要重新启动
对进程和系统资源做出限制
基本概念:域和上下文
域用来对进程限制(domain)
上下文用来对资源进行限制(context)
ps -Z 查看进程的域
ls -Z 查看文件的上下文
策略
定于策略控制哪些域可以访问上下文
目标策略定义只有目标进程受到selinux限制
其他的在非限制模式下,只显示网络
三种模式
强制:所有违反的都禁止
允许:违反的不会禁止,但会警告
禁用:禁止selinux
配置文件/ete/sysconfig/selinux
查看当前selinux工作状态
getenforce
设置当前selinux工作状态
serenforce [0|1]
恢复文件默认的上下文
restorecon -R -v /var/www
改变文件的上下文
chcon --reference=/etc/named.conf.orig /etc/named.conf
假设我们需要搭建一个web服务器,网页文件保存
在/var/www/html目录中
1用户在其家目中编辑了一个网页,并将
其通过mv命令移动到/var/www/html
2将selinux设置为enforcing状态,通过浏览器
访问该网页
3查看/var/log/audit/auditlog中的报错信息
4通过restorecon命令或chcon命令进行修复
网络访问控制
netfilter模块实现
通关iptables程序对netfilter进行管理
netfilter可以对数据进行允许,丢弃,修改操作
netfilter支持通过以下方式对数据包进行分类
源ip程序
目标ip程序
使用接口
使用协议
端口号
连接状态
filter用以对数据进行过滤
nat对数据包的源,目标地址修改
mangle对数据包进行高级修改
作为服务器使用
过滤到本机:input filter
过滤本机发出的:output filter
作为路由器使用
过滤转发的 forward filter
对转发的数据的源,目标ip进行修改:forward nat
创建规则
iptables -t filter -A INPUT -s 192.168.1.1 -j DROP
表 链 匹配属性 动作
表:规定使用的表
链:规定过滤点
匹配属性:规定匹配数据包的特整
匹配后的动作:放行,丢弃,记录
列出iptables规则
iptables -L
插入规则
iptables -I INPUT 3 -p tcp --dport 22 -j ACCEpt
删除规则
iptables -D INPUT 3
iptables -D INPUT -s 192.168.1.2 -j DROP
删除所有
iptables -F
匹配参数
基于ip地址
-s 192.168.1.1
-d 10.0.0.0/8
基于接口
-l eth0
-o eth1
排除参数 所有不来自
-s '!' 192.168.1.0/24
基于协议及端口
-p tcp --dport 23
-p udp --sport 53
-p icmp
控制到本机的流量
iptables -A INPUT -s 192.168.1.100 -j DROP
iptables -A INPUT -p tcp --dport 808
路由
禁止数据转发
禁止从192.168.1.0/24 到10.1.1.0/24 的流量
iptables -A FORWARD -s 192.168.1.0/24 -d 10.1.1.0/24 -j DROP
配置文件保存
文件/etc/sysyconfig/iptables
保存命令 service iptables save
如果远程操作,必须添加一条来自客户端主机的ssh流量的规则
防止自己被锁在外面
扫一扫
286
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
