2021-07-24

最新推荐文章于 2022-04-29 16:42:14 发布
最新推荐文章于 2022-04-29 16:42:14 发布
阅读量210 收藏
点赞数
文章标签: linux 数据库 iptables 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45874669/article/details/119056954
版权

ORACLE RAC集群访问策略限制

背景:为了数据库集群服务器的安全,需要对RAC集群做防火墙的策略限制,增加集群系统安全性。

首先需要了解RAC集群特性才能做出相应设置
RAC集群是为了提高数据库的容错率、可扩展性。通过多节点之间的负载均衡,提高最大连接数和并发时间。

集群配置信息在host文件中:
public ip用于集群向外部统一提供网络连接,是本机物理网卡提供的ip
private ip用于集群之间的keepalive等存活性检测,private ip必须在同一网段中
virtual ip需要和物理网卡在同一网段,当其中某一台服务器宕机后vip会漂移到其他存活节点上,避免整个集群挂掉。
scan ip用于DNS和GNS解析。

在本例中使用iptables进行配置,配置后不能影响RAC集群服务。可能会由于配置的错误导致RAC集群之间不能进行互相通信,影响数据存储。

首先下载iptables
yum install -y iptables

修改防火墙配置
vi /etc/sysconfig/iptables

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-N whitelist
-A whitelist -s (public ip) -j ACCEPT
-A whitelist -s (private ip) -j ACCEPT
-A whitelist -s (scan ip) -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0:1 -j ACCEPT
-A INPUT -p tcp -j whitelist
-A INPUT -p udp -j whitelist
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

其中需要注意以下几点:
1.需要放行所有的ip地址
2.RAC集群中使用到了udp和tcp协议,私网通信使用的是udp协议,需要配置放行
3.通过绑定private ip网卡的方式进行放行
4.如果需要应用在iptables的出口方向需要改成以下配置:
-A INPUT -m state --state ESTABLISHED,RELATED -j whitelist

最后启用墙即可:
systemctl enable iptables
systemctl restart iptables

关闭使用如下命令:
systemctl disable iptables 避免服务器重启导致的无法访问
systemctl stop iptables

Jacky-hang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
nutanix文件服务器方案,Nutanix-CE版部署指南(一)
weixin_35457966的博客
08-04 2346
一, Nutanix CE版简介1.1基本介绍Nutanix CE = Community Edition,即社区版。是Nutanix官方推出的免费版本。Community Edition是一个纯软件方案,可运行在几乎任何标准x86服务器上。其不仅是免费的,而且还是功能齐全的 Nutanix 虚拟计算平台,其中主要包括“Acropolis”和“Prism”两部分。对用户而言,可以使用CE版来...
linux下防火墙加白名单
热门推荐
linuxlsq的博客
08-28 3万+
linux系统中安装yum install iptables-services 然后 vi /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Sun Aug 28 12:14:02 2016 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTP
细说oracle 11g rac 的ip地址
mws1108的博客
08-14 2604
oracle11g开始,设置了SCAN ip,除此之外还有public ip,virtual ip,private ip,容易让人犯晕。 下面逐一解释: public ip:     类似与单实例的oracle数据库ip,主要用于管理\访问。 virtual ip(vip):    oracle在rac架构中专用,这个vip用于实现故障转移,当一个节点发生故障时,其v
ORACLE RAC开启防火墙
胖哥真不错的博客
12-04 3847
背景:由于安全检查的要求,需要开启服务器的防火墙,但是服务器上部署着ORACLE RAC集群;防火墙开启后,必须保障ORACLE RAC正常运行。 修改防火墙: vi /etc/sysconfig/iptables # sample configuration for iptables service # you can edit this manually or use syste...
ssh白名单_通过白名单iptables限制ip规避漏洞
weixin_34804678的博客
12-29 1324
前因:系统扫描出两个漏洞。1:数据库oracle漏洞。2:openssh漏洞。linux操作系统 redhat4.7企业版,oracle11g解决思路:1 oracle补丁一般是收费的,而且漏洞对数据库其实没有太多影响,不建议打补丁。2 升级openssh,但是操作系统版本是在太老了。客户要求升级ssh到最新8.3版本,且不说4.7的操作系统支不支持8.3的ssh,即使支持,升级ssh也需要依赖z...
2021-07-24 时间处理 例2021-07-23T01:45:00.000Z
weixin_42597658的博客
07-24 2170
最近使用比较多的小tips 时间戳处理,例如2021-07-23T01:45:00.000Z renderTime(date) { var dates = new Date(date).toJSON(); return new Date(+new Date(dates) + 8 * 3600 * 1000).toISOString().replace(/T/g, ' ').replace(/\.[\d]{3}Z/, '') } 处理后的样式如下 2021-07-21
idea连接虚拟机spark(2021-07-24
qq_38220334的博客
07-24 3608
说明:本地在idea连接虚拟机时遇到了很多问题,为了以后避免入坑,特记录文档如下,包括我搭建的集群环境及idea中是怎么配置的,中间遇到问题报错记录及解决方法 一、集群环境: 大数据各个组件版本 192.168.15.10 192.168.15.11 192.168.15.12 jdk1.80 √ √ √ hadoop-2.6.1 √ √ √ mysql5.7 √ hive √ Scala √ √ √ spark √ √ √ 二、本地windows环境: 1.
AIOC工具箱授权码2021-07-24到期
qq_44785837的博客
07-09 2799
还有九台机器可连
2021-07-28
lixiaoxianer的博客
07-28 3953
kubeadmin 安装k8s1.20集群 标签(空格分隔): kubernetes架构系列 一:k8s1.20.x 的重要更新 二:k8s1.20.x 的安装 2.1 :高可用Kubernetes集群规划 2.2 yum 的更新配置 (所有节点全部安装) 一:k8s1.20.x 的重要更新 1、Kubectl debug 设置一个临时容器 2、Sidecar 3、Volume:更改目录权限,fsGroup 4、ConfigMap和Secret K8S官网:https://kubernetes.io/
2021-07-24_132607_424870429_419753492.zip
08-05
标题中的"2021-07-24_132607_424870429_419753492.zip"可能表示这个压缩包是在2021年7月24日13时26分创建或更新的,数字可能是某种随机生成的唯一标识符,用于区分不同的文件。描述中的“MOSS实时抓取”暗示了这些...
johanazhu#leetcode#【Day 76 】2021-07-24 - 28 实现 strStr() - KMP1
最新发布
07-25
题目地址:思路对于js来说就一行看解题思路使用 KMP 实现代码* @param {string} haystack* @param {string} need
工业数字化转型状况[2021-07-07](24页).pdf
05-21
【工业数字化转型状况】报告揭示了2021年企业在应对新冠疫情挑战时,对数字化转型的重视程度。美国参数技术公司(PTC)指出,许多企业加大了对数字化转型的投资,但转型的成功率并不高。这份报告深入分析了企业数字化...
Screencast 2021-07-19 11:24:12.mp4
07-19
Screencast 2021-07-19 11:24:12.mp4
金融时报-2021-10-07.pdf
11-16
欧元对英镑汇率则从0.851升至0.85,而日元对美元和英镑的汇率分别下跌至111.24和150.93,显示出日元的贬值。瑞士法郎对欧元和英镑的汇率也有所变动。 【商品市场动态】 石油价格出现下滑,WTI原油和布伦特原油分别...
Pipeline-Trigger-2021-04-07T23-24-34.883Z:为工具链创建
04-08
标题中的“Pipeline-Trigger-2021-04-07T23-24-34.883Z:为工具链创建”暗示了这是一个关于自动化工作流程的项目,具体是针对2021年4月7日晚11点24分34秒的一次触发器设置。在软件开发领域,"Pipeline"通常指的是持续...
记一次Oracle 12C 两节点rac无法运行的解决过程
weixin_45873022的博客
04-29 1795
服务器环境 操作系统:Linux 红旗7.4 数据库版本:Oracle12C 集群:两节点rac 客户例行重启服务器后,发现crs无法启动,发来两张图。 根据经验,导致crs无法正常启动的原因有多种情况,主要涉及到网卡配置,磁盘挂载失败,ssh失效等情况。河南邮储视频监控系统数据库服务器于2020年4月也出现过rac无法启动情况,最终排查是两台服务器心跳网卡配置错误导致。本次问题也是该问题,但由于解决问题时操作失误,导致解决问题时路线有所偏移。 检查服务器IP配置时发现,两台服务器心跳.
2021-2022收藏的精品资料2021-2022年APQP全套表单——新产品质量策划进度计划APQP.doc
09-16
3. **编制新产品项目APQP开发计划**:开发部负责制定详细的新产品项目APQP开发计划(TR-0701-07),明确各个阶段的目标和时间表。 4. **设计输入评审**:APQP小组对设计输入进行评审,编写设计评审报告(TR-0701-08...
室内最后100米配送机器人[2021-07-26](15页).pdf
05-23
穿山甲机器人的配送机器人如餐宝和AMY,能够替代部分人工服务,24小时不间断工作,无需工资,降低运营成本。此外,它们具有智能化的特点,如AMY的人形设计和语音对话功能,可以增强用户体验,而餐宝S9则具备高精度的...
CVE-2021-3156:在Debain 10上利用Sudo堆溢出(CVE-2021-3156)
04-05
Version 2.28 Checksum (sha256): dedb887a5c49294ecd850d86728a0744c0e7ea780be8de2d4fc89f6948386937Debain 10: Linux debian 4.19.0-10-amd64 #1 SMP Debian 4.19.132-1 (2020-07-24) x86_64 GNU/Linux Linu

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值