我们在 RHEL 8.6 Linux 服务器上使用了 15TB 的磁盘。这些磁盘用于 HDFS 文件系统。与其他 4TB 或 8TB 磁盘相比,我们注意到数据节点的日志性能有所下降。为了了解使用 4TB 或 8TB 磁盘的 Hadoop 集群与使用 16TB 磁盘的较新 Hadoop 集群之间的区别,我们进行了许多检查。在 Google 上搜索后,我们发现磁盘上创建的文件系统是 ext4。我想知道 ext4 能否用于 15TB 这样的大磁盘。所以我的问题是:ext4 是否支持 15TB 这样的超大磁盘?或者在 15TB 的磁盘上使用 XFS 是否更好?
我正在尝试使用我的 Windows CA 颁发 *.internal Web 服务器证书,然后将其导入 PFSense 并与 HAProxy 一起使用。
- 在 CA 上,我已经打开了本地计算机范围内的证书管理器。
- 我导航到
Personal
,Certificates
右键单击,然后Request New Certificate
- 在
Certificate Enrollment
我选择上Active Directory Enrollment Policy
并单击下一步。 - 我选择
Web Server
证书模板并设置以下详细信息:
主题选项卡
Common Name: *.internal
DNS Name: *.internal
私钥选项卡
Make Private Key Exportable
- 然后我点击“注册”。证书出现在我的个人存储中。我导出证书(包含私钥),然后将其导入 PFSense。
- 我配置了 HAProxy,使用证书进行 SSL 卸载。当我浏览网站时,收到以下错误:
我在证书方面缺少什么/做错了什么?这是浏览网站后从浏览器下载的证书:
-----BEGIN CERTIFICATE-----
MIIFlzCCBH+gAwIBAgITXwAAAFLqU+W8kyBCaAAAAAAAUjANBgkqhkiG9w0BAQsF
ADBWMRMwEQYKCZImiZPyLGQBGRYDb3JnMRwwGgYKCZImiZPyLGQBGRYMdW5rbm93
bnJlYWxtMSEwHwYDVQQDExh1bmtub3ducmVhbG0tQUxERVJBQU4tQ0EwHhcNMjUw
NDIxMDE1MzU0WhcNMjcwNDIxMDE1MzU0WjAVMRMwEQYDVQQDDAoqLmludGVybmFs
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0EJjEPYpn0SiGf0ww0Sb
mJjZHivy/Jp3XXG7R2aTjM1ppmemLYLwAyDzGTf7kb65IyoTxS9phf4CDgNjHO8L
yo3pShcpJ18OTSKtws/HcZ6aK7cBRcX1uUw3qBi+VVF9HSBSWJeD0W9xvjThnjsM
yjSRhpEz1kiNHLrM8MP7/UYxPLgUgixe3cIMSM3gpHJnavXJAyUQ84qdy3AbAKEd
2Z3TCK5DNcwoKX5t9fhH2HPEK7FPvUr0PMcxzj7qOqP0XnesKvRrIthSr2W80Zwo
hhn/o1Qqm64cI+fLkledUO3DcyeDwpFDZKxVNa55+zZ6FClBQfbPRuGC4XUD7aat
4QIDAQABo4ICnTCCApkwIQYJKwYBBAGCNxQCBBQeEgBXAGUAYgBTAGUAcgB2AGUA
cjATBgNVHSUEDDAKBggrBgEFBQcDATAOBgNVHQ8BAf8EBAMCBaAwHQYDVR0OBBYE
FMFXqU+0hAXEkDgI190PJmbU+FyYMBUGA1UdEQQOMAyCCiouaW50ZXJuYWwwHwYD
VR0jBBgwFoAUXh9BpJsAXE9DJWXlDJC1uE3Mx3kwggEkBgNVHR8EggEbMIIBFzCC
AROgggEPoIIBC4aBxWxkYXA6Ly8vQ049dW5rbm93bnJlYWxtLUFMREVSQUFOLUNB
LENOPWFsZGVyYWFuLENOPUNEUCxDTj1QdWJsaWMlMjBLZXklMjBTZXJ2aWNlcyxD
Tj1TZXJ2aWNlcyxDTj1Db25maWd1cmF0aW9uLERDPXVua25vd25yZWFsbSxEQz1v
cmc/Y2VydGlmaWNhdGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVjdENsYXNzPWNS
TERpc3RyaWJ1dGlvblBvaW50hkFodHRwOi8vY3JsLmFsZGVyYWFuLnVua25vd25y
ZWFsbS5vcmcvdW5rbm93bnJlYWxtLUFMREVSQUFOLUNBLmNybDCBzwYIKwYBBQUH
AQEEgcIwgb8wgbwGCCsGAQUFBzAChoGvbGRhcDovLy9DTj11bmtub3ducmVhbG0t
QUxERVJBQU4tQ0EsQ049QUlBLENOPVB1YmxpYyUyMEtleSUyMFNlcnZpY2VzLENO
PVNlcnZpY2VzLENOPUNvbmZpZ3VyYXRpb24sREM9dW5rbm93bnJlYWxtLERDPW9y
Zz9jQUNlcnRpZmljYXRlP2Jhc2U/b2JqZWN0Q2xhc3M9Y2VydGlmaWNhdGlvbkF1
dGhvcml0eTANBgkqhkiG9w0BAQsFAAOCAQEAXAUSsAEV0tbjjJenu7RLtDWJcAvv
OlM86V9pQnJOjRovhImWql0Z/zByCtZrr0YmxVnV/Gnb3WWrKV20nHyaTrMXFD41
niiG58wddBTKo4eVP+GtBmosSpbdZQ09wBMI5b7c9IojlXv7Gt0vhxE25lg/Ie95
Ufi4RCnxIN3Af3EMhHIDcVbi87Mwenthf2KUMQbMTGuYkcFKgUJJgKvHFQE/0cij
R1wpiayy0yzYkNClly3IGCtgHiMOv5pDiFJEhVv9W5KlQNN0wGEdTXkbkwfj+ZwM
hSB1zJILyy6Eg+494qlvA0GMIAYEDCUy9h+xM8lp14Z4WV5a9Z8oTwzepQ==
-----END CERTIFICATE-----
我有一个 IPtables 匹配为-m policy --dir out --pol ipsec --mode tunnel --tunnel-src 1.1.1.2 --tunnel-dst 1.1.1.1
。我知道此匹配在兼容模式下与 nftables 兼容xt "policy"
,但我需要使用 nftables 语法,以便仅使用nft
并从中备份。
而且nftables v0.9.3 (Topsy)
它不支持兼容模式xt "policy"
。我也试过了,ipsec out ip saddr 1.1.1.2 ip daddr 1.1.1.1
但似乎既不能在这个版本上运行,也不能nftables v1.0.9 (Old Doc Yak #3)
像预期的那样运行。
我使用获得的令牌az account get-access-token
在 Azure 上部署经过微调的 GPT、更新它们(例如,更改它们的最大命中率)或删除它们。
我在https://learn.microsoft.com/en-us/cli/azure/account?view=azure-cli-latest上读到:
az account get-access-token
:获取实用程序访问 Azure 的令牌。令牌有效期至少为 5 分钟,最长为 60 分钟。如果未指定订阅参数,则使用当前帐户。
目前我获得的代币有效期为15分钟。
如何更改通过 获取的令牌的有效期az account get-access-token
?
我正在使用 OCSP 设置 CA,但收到了验证错误。
设置非常简单
- CA 在默认的 C: 文件夹中发布 CRL
- CA 在 AIA 字段中发布 OCSP URL
- OCSP 撤销配置正在运行(绿色复选标记),且 OCSP 证书(仍然有效)
- IIS Web 服务器正在运行 OCSP 目录
- DNS 通过目录指向正确的 IP
我按照以下步骤撤销了我在此过程中制作的一些测试证书:
- 手动发布吊销文件夹
- 设置包含带有 OCSP URL 的根证书的 GPO,以检查有效性,即使原始证书未在其 AIA 字段中包含它
在测试有效性时,我遇到了一些错误。
错误 1:
在上图中,CRL 确认证书已过期且无效。
然而,我仍然在用它,只是因为我预料它会报错。结果并没有。我可以正常访问该网站,没有任何问题,也没有收到无效的警告。
错误 2:
GPO 会引导客户端设备检查 OCSP,以验证那些原本未包含 OCSP 的证书。令人惊讶的是,我的 OCSP 甚至无法正常工作。我以前certutil -url
确认过,得到的是“状态:不成功”。我找不到任何可能的状态列表,但我猜应该会看到“已撤销”或“已过期”之类的信息。
环境:
- 操作系统:Oracle Linux 9.5(systemd 252)
- 文件系统:XFS
- 存储:通过 multipathd 的 IBM SAN LUN(ALUA 配置)
- 设备:
/dev/mapper/mpath[a-d]1
- 安装选项:
rw,relatime,seclabel,attr2,inode64,logbufs=8,logbsize=32k,noquota,_netdev
- 系统没有内存压力,CPU 使用率为零(非生产预部署)
问题:像 cp、rsync 甚至直接 dd(使用 iflag=direct 或 oflag=direct)这样的简单文件操作,在 XFS 文件系统之间来回执行时,速度都极其缓慢(低至 2 MB/s),即使复制小文件(例如 50 MB)也是如此。然而,在使用 fio 测试时,我获得了极佳的吞吐量——无论是对已挂载的文件系统还是直接对设备(例如/dev/mapper/mpathc1
) ,读取速度都高达 3 GB/s,写入速度高达 1.8 GB/s。
甚至cat file > /dev/null
显示 3.2 MB/s,而相同文件的 fio 显示 2-3 GB/s。
我尝试过的方法:
- 使用 iflag=direct/oflag=direct 禁用缓存
- 在同步和异步挂载选项之间切换(无影响)
- 测试了 I/O 统计和 cgroups(运行良好)
- 已验证的 ALUA 和多路径优先级(适当平衡,无路径错误)
- 使用 nice、ionice、systemd-run --scope 与 IOWeight、CPUWeight
- 使用 strace 分析,显示正常的复制循环(读/写系统调用)
- 将零设置为
/proc/sys/vm/dirty_ratio
和dirty_background_ratio
- 确保
multipath.conf
配置正确(循环、no_path_retry 等)
值得注意的行为:
- 对设备的所有读/写命令(例如,dd、cat、cp、rsync)都运行得非常慢。
- fio 运行完美——基于文件和基于原始设备的测试。
- 该问题似乎与 SAN 无关或与带宽限制无关。
- I/O 统计数据(iostat、vmstat、iotop)显示这些缓慢操作期间的活动很少。
- 文件系统无损坏——XFS 挂载正常,无任何日志或 dmesg 错误。系统全新。
问题:如何解释 fio 与 cp 或 rsync 等基本文件操作之间的巨大性能差异?
[root@oracle01 ~]# fio --name=read_test --filename=/u01/oradata/edm/testfile --rw=read --bs=64k --size=50M --iodepth=32 --numjobs=4 --time_based --runtime=10s --ioengine=libaio --group_reporting
{...}
Jobs: 4 (f=4): [R(4)][100.0%][r=42.3MiB/s][r=676 IOPS][eta 00m:00s]
[root@oracle01 ~]# fio --name=read_test --filename=/u01/oradata/edm/testfile --rw=read --bs=64k --size=50M --iodepth=32 --numjobs=4 --time_based --runtime=10s --ioengine=libaio --group_reporting --direct=1
{...}
Jobs: 4 (f=4): [R(4)][100.0%][r=3523MiB/s][r=56.4k IOPS][eta 00m:00s]
[root@oracle01 ~]# rsync -ah --progress OracleLinux-R9-U5-x86_64-dvd.iso /u01/oradata/edm/tesst
sending incremental file list
OracleLinux-R9-U5-x86_64-dvd.iso
7.18M 0% 1.56MB/s 2:11:12 ^C
dir out mark
我在 xfrm 策略方面遇到了问题。我已经在 strongswan 配置中设置了mark_in
,mark_out
并建立了 ipsec 连接。我还添加了一些简单的 iptables 规则来标记数据包,并仅在匹配成功时进行检查(这仅用于测试目的,因此除了不匹配的 ipsec 相关数据包外,其他所有数据包都会被允许通过)。
eth3 连接到隧道此侧后面的客户端
eth8 用于隧道
StrongSwan配置:
connections {
tun_p1 {
local_addrs=1.1.1.2
remote_addrs=1.1.1.1
send_cert=never
unique=replace
version=2
mobike=no
keyingtries=5
dpd_delay=30
dpd_timeout=90
rekey_time=3600s
over_time=120s
rand_time=60
children {
tun_1 {
local_ts=3.3.3.0/24
remote_ts=2.2.2.0/24
mode=tunnel
ipcomp=no
dpd_action=trap
start_action=start
close_action=none
rekey_time=28800s
# Marks are here
mark_out=0x1000/0xff000
mark_in=0x100000/0x100000
}
}
local {
auth=psk
id=1.1.1.2
}
remote {
auth=psk
id=1.1.1.1
}
}
}
XFRM 政策:
root@ubuntu-24:~# ip xfrm policy
src 3.3.3.0/24 dst 2.2.2.0/24
dir out priority 375423
mark 0x1000/0xff000
tmpl src 1.1.1.2 dst 1.1.1.1
proto esp spi 0xc862dc7c reqid 1 mode tunnel
src 2.2.2.0/24 dst 3.3.3.0/24
dir fwd priority 375423
mark 0x100000/0x100000
tmpl src 1.1.1.1 dst 1.1.1.2
proto esp reqid 1 mode tunnel
src 2.2.2.0/24 dst 3.3.3.0/24
dir in priority 375423
mark 0x100000/0x100000
tmpl src 1.1.1.1 dst 1.1.1.2
proto esp reqid 1 mode tunnel
IPtables配置:
*raw
:PREROUTING ACCEPT
:OUTPUT ACCEPT
-A PREROUTING -i eth3 -j TRACE
COMMIT
*mangle
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:INPUT ACCEPT
:OUTPUT ACCEPT
:FORWARD ACCEPT
:IPsec -
-A PREROUTING -i eth8 -p esp -d 1.1.1.2 -s 1.1.1.1 -j MARK --set-mark 0x100000/0x100000
-A FORWARD -i eth3 -o eth8 -j MARK --set-mark 0x1000/0xff000
-A POSTROUTING -j IPsec
-A IPsec -m mark --mark 0x1000/0xff000 -m policy --dir out --pol ipsec --mode tunnel --tunnel-src 1.1.1.2 --tunnel-dst 1.1.1.1 -j RETURN
-A IPsec -m mark --mark 0x1000/0xff000 -j DROP
COMMIT
*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT
COMMIT
*filter
:INPUT ACCEPT
:OUTPUT ACCEPT
:FORWARD ACCEPT
:PolicyFilterChain -
-A FORWARD -j PolicyFilterChain
-A PolicyFilterChain -m state --state NEW,ESTABLISHED,RELATED -m mark --mark 0x100000/0x100000 -m policy --dir in --pol ipsec --mode tunnel --tunnel-src 1.1.1.1 --tunnel-dst 1.1.1.2 -j ACCEPT
-A INPUT -i eth8 -p udp --sport 500 --dport 500 -d 1.1.1.1 -s 1.1.1.2 -j ACCEPT
-A INPUT -i eth8 -p esp -d 1.1.1.2 -s 1.1.1.1 -j ACCEPT
COMMIT
当我从隧道另一端发送数据包时,一切正常,我收到了响应。问题出在dir out
隧道这一侧的数据包上。我知道它们会被标记,因为它们在策略检查后会被规则丢弃,但它们与 xfrm 策略不匹配,即使我没有丢弃它们,它们也没有被 xfrm 加密。
如果我注释-A IPsec -m mark --mark 0x1000/0xff000 -j DROP
规则,则数据包将以未加密的形式发送到另一端,尽管数据包上设置了标记。
评论删除后追踪:
TRACE: raw:PREROUTING:policy:2 IN=eth3 OUT= MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1
TRACE: mangle:PREROUTING:policy:2 IN=eth3 OUT= MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1
TRACE: nat:PREROUTING:policy:1 IN=eth3 OUT= MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1
TRACE: mangle:FORWARD:rule:1 IN=eth3 OUT=eth8 MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1
TRACE: mangle:FORWARD:policy:2 IN=eth3 OUT=eth8 MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1 MARK=0x1000
TRACE: filter:FORWARD:rule:1 IN=eth3 OUT=eth8 MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1 MARK=0x1000
TRACE: filter:PolicyFilterChain:return:3 IN=eth3 OUT=eth8 MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1 MARK=0x1000
TRACE: filter:FORWARD:policy:2 IN=eth3 OUT=eth8 MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1 MARK=0x1000
TRACE: mangle:POSTROUTING:rule:1 IN=eth3 OUT=eth8 MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1 MARK=0x1000
TRACE: mangle:IPsec:return:2 IN=eth3 OUT=eth8 MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1 MARK=0x1000
TRACE: mangle:POSTROUTING:policy:2 IN=eth3 OUT=eth8 MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1 MARK=0x1000
TRACE: nat:POSTROUTING:policy:1 IN=eth3 OUT=eth8 MAC=00:50:56:9f:3d:99:00:50:56:9f:c8:bc:08:00 SRC=3.3.3.3 DST=2.2.2.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=42626 DF PROTO=ICMP TYPE=8 CODE=0 ID=2584 SEQ=1 MARK=0x1000
TCP转储:
root@ubuntu-24:~# tcpdump -i eth8 proto 50 or host 3.3.3.3 -nn
17:58:41.992237 IP 3.3.3.3 > 2.2.2.2: ICMP echo request, id 2603, seq 1, length 64
^C
1 packet captured
1 packet received by filter
0 packets dropped by kernel
反转就可以了:
root@ubuntu-24:~# tcpdump -i eth8 proto 50 or host 3.3.3.3 -nn
18:00:04.880886 IP 1.1.1.1 > 1.1.1.2: ESP(spi=0xc98cba8d,seq=0x2), length 136
18:00:04.881265 IP 2.2.2.2 > 3.3.3.3: ICMP echo request, id 59100, seq 1, length 64
18:00:04.882554 IP 3.3.3.3 > 2.2.2.2: ICMP echo reply, id 59100, seq 1, length 64
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel
我知道问题出在mark_out
,因为如果我对其进行评论,一切都会按预期进行,但我需要标记。
环境:Windows Server 2019,林/域功能级别 - 2016,约 40 个域控制器,约 17 个站点
PKI 结构:我们从第三方获得证书。我们向他们提交 CSR,并从他们那里获得证书。过去和现在,证书链的顺序是:根证书 > 中间证书 > 机器/用户证书
我在一个站点上有服务器1和服务器2-4,它们各自都有证书。如果我从服务器2检查(使用Windows UI)这两台服务器的证书链,证书链看起来与预期一致。如果我从服务器1检查,两台服务器的证书链顶部都莫名其妙地出现了另一个证书。
这使得我的根 CA 证书看起来像是由另一个证书颁发的,但事实并非如此。
我想知道为什么从不同的服务器查看时这些证书在根目录显示不同的证书。
服务器 1 在漏洞报告中显示由不受信任的证书颁发。服务器 2 未出现在此列表中。生成这些报告的服务器是一台 Linux 服务器,并且似乎正在使用 OpenSSL 执行这些检查。
我们采取的另一个故障排除步骤是剪切一个新的证书。在我导入证书之前,它显示了一个预期的证书链。导入之后,那个神秘的证书又出现了,而且又出现在根证书上方。
因此,在我导入它之前,证书链看起来像 Root > Intermediate > Machine 在我导入它之后,它看起来像这样:Mysterious New Root > Previous Root > Intermediate > Machine
我有一台 Windows 10 电脑,原厂产自中国。现在它在美国。Windows 的区域设置最初是中国,但现在已更改为“美国”。
但是,当我浏览网页时,它会将我引导到中文版的网站。例如,Google.com 会部分显示中文。
这感觉就像我连接到了一个中国终端的VPN。但事实并非如此(至少就我所知)。
这台PC非常重要,因为它是工业激光切割机的控制器,并且内置在机器中。所以我无法轻易更换它。
我的互联网设置使用的是 DHCP,没有使用任何自定义 DNS 服务器。Windows 区域设置已设为“美国”。我已清除 Web 浏览器中的缓存。
有什么办法能让这台电脑像“普通”的美国电脑一样运行吗?或者,有没有办法判断这台电脑是否在我不知情的情况下通过VPN将流量路由到中国?
不知何故,我们的 iDRAC 条目从 DNS 中丢失了。
有没有办法从节点上运行的 Linux(RHEL 8)发现 iDRAC IP?
重新启动来检查物理控制台不是一个选择。