我收到了一封来自 AWS 的电子邮件,指示我为我的域续订 SSL 证书。
我的证书由 ACM 管理,我的 DNS 托管在 Route 53 中。
我按照此页面上提供的说明进行操作(我正在使用 DNS 验证):
https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-validate-dns.html
但是,按照说明操作后,我可以看到新证书已出现在 ACM 中:
Status: Issued
In Use: No
Renewal eligibility: Ineligible
我还可以看到在 Route 53CNAME中添加了一条新记录。
现在,概述更新证书步骤的文档未提供任何后续步骤,或者,如果不需要额外步骤,则更新新证书后的流程是什么。
我的假设是,一旦旧证书过期,新证书会自动接管,但是,我无法判断这是否真的会发生。
CNAME在使用 Route 53验证在 ACM 中续订证书后,我还需要采取任何其他步骤吗?
我对 AWS 比较陌生,我正在尝试为我的应用程序设计一个基础设施,我想知道是否应该在单个区域内使用一个或多个 VPC。
我的应用程序由几个不同的堆栈组成。例如,我有一个使用多个 EC2 实例的日志记录/监控堆栈。我还有 MongoDB 集群和 RabbitMQ 集群,每个集群都使用大量实例。在此旁边,我的实际应用程序堆栈也包含许多 EC2 实例。
我的问题是,我应该在单个 VPC 中运行这些堆栈中的每一个还是在各自的 VPC 中运行每个堆栈?如果我应该/可以在他们自己的 VPC 中运行这些堆栈,那么这些 VPC 中的大多数应该只能由我的应用程序访问。如果是这样,那么是否有可能/建议在每个 VPC 前面使用 ELB,或者是否有其他最佳做法?
我正在尝试为我的 OpenVPN 服务器创建一个高可用性环境。我通过拥有两个相同的 VPN 服务器并在我的客户端配置中指定多个远程服务器来做到这一点:
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote vpn1 1194
remote vpn2 1194
remote-random
这似乎有效。我有一个带有两个 VPN 服务器和两个客户端的 Vagrant 环境。一旦网络运行并且我在其中一台 VPN 服务器上停止 OpenVPN,另一台服务器就会接管。
但是,在另一台服务器接管之前,它实际上需要很长时间才能执行此操作。如果我的客户相互 ping 通,则在 ping 继续之前大约需要 3 分钟。我的猜测是客户端正在尝试重新连接,而超时是这里的问题。
在我的 OpenVPNclient.conf中,我使用了以下设置,但似乎没有任何区别(是的,我在更改配置后在客户端上重新启动 OpenVPN):
connect-retry 2
connect-retry-max 2
如何调整客户端的连接超时时间以使它们更快地切换到不同的 OpenVPN 服务器?
我正在运行一个 OpenVPN 网络,我网络中的一个 VPN 客户端是一个 Web 服务器,它提供对我的应用程序使用的一些内部服务的访问。
通常,在面向公众的 Web 服务器上,我会使用 iptables 打开端口 80,如下所示:
-A INPUT -p tcp --dport 80 -j ACCEPT
但是,为我的内部 Web 服务器执行此操作,这将暴露私有 IP ( 192.168.x.x) 上的端口 80,这是我不想要的,因为它可能允许同一网络上的其他 VM(不一定由我控制)访问到这台机器。
如何设置 iptables 规则,使端口 80 只能通过 VPN IP ( 10.8.x.x) 访问,以便只有我网络中的 VPN 客户端可以访问它?
我有一个基于 OpenVPN 的小型网络将一堆 VPS 捆绑在一起,我注意到当我添加一个新客户端并重新启动 OpenVPN 服务器以公开新客户端的 IP 地址时,已经连接的客户端将在 1 到 2 分钟后停止他们将能够再次看到 OpenVPN 服务器。
我测试的方法是让我已经连接的 VPN 客户端 ping VPN 服务器 ( ping 10.8.0.1)。当我添加一个新客户端时,我会在文件中创建一个包含新客户端 IP 地址的ccd/newclient文件。例如:
ifconfig-push 10.8.0.5 10.8.0.6
完成此操作后,我重新启动我的 OpenVPN 服务器service openvpn restart。此时,新客户端几乎可以立即看到服务器,但已经连接的客户端会停顿 1 到 2 分钟,之后它们将再次开始 ping。
我尝试service openvpn reload在 VPN 服务器上使用,但行为似乎是一样的。
在不影响网络中现有客户端的情况下,将新客户端添加到现有 OpenVPN 网络的最佳方法是什么?
我在 Apache mod_proxy 后面运行了 RabbitMQ,因此我可以通过端口 80 访问 Web 管理界面:
<VirtualHost *:80>
ServerName rabbit.example.com
ProxyRequests Off
ProxyPreserveHost On
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://localhost:15672/
ProxyPassReverse / http://localhost:15672/
<Location />
Order allow,deny
Allow from all
</Location>
</VirtualHost>
但是,这似乎可行,例如,当我转到“队列”页面并单击其中一个列出的队列时,我会得到一个“未找到”页面和一个如下所示的 URL:
http://rabbit.example.com/#/queues/%2F/myqueue
连接、频道等也是如此。我似乎只能访问首页,但任何更深层次的东西似乎都会导致未找到。
在 Apache mod_proxy 后面配置 RabbitMQ 的正确方法是什么?
我有两个网站,一个旧的和一个新的。我已在旧站点中设置重定向以指向新站点上的页面。但是,我在某些重定向上看到了一些奇怪的行为。
例如,我在旧站点的 .htaccess 中有以下重定向:
<IfModule mod_rewrite.c>
RewriteEngine On
Redirect 301 /car-finance/car-loan-comparison http://www.newsite.com/car-finance/car-finance-comparison
</IfModule>
当我转到旧站点时,/car-finance/car-loan-comparison我被重定向到/car-finance/car-loan-comparison导致 404 的路径上的新站点。
由于某种原因,旧路径应用于重定向中的域而不是重定向路径。
这是我在 newsite 的 .htaccess 中的内容:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} ^newsite\.com$ [NC]
RewriteRule ^(.*)$ http://www.newsite.com/$1 [L,R=301]
</IfModule>
非常感谢任何想法,
我在通过具有特殊字符的 SSH 执行远程命令时遇到问题。我正在尝试从 MySQL 导出数据库以进行备份。这是我在本地脚本中的命令:
#!/bin/bash
ssh user@host "mysqldump -u dbname -p'p$ssw0rd' --lock-tables=false dbname > ~/sites/mysite/backup/dbname.sql"
如您所见,我在密码周围使用了 ' 字符。当我执行此脚本时,出现以下错误:
mysqldump: Got error: 1045: Access denied for user 'dbname'@'localhost' (using password: YES) when trying to connect
但是,当我手动 ssh 进入机器并执行命令时,它执行得很好。我的印象是,通过 ssh 执行命令会丢失一些东西,密码也不会通过。
如何通过 ssh 执行带有特殊字符的命令?
在我的服务器上,我设置了多个用于不同目的的用户帐户,以将我的个人网站与我的半专业网站分开。
其中一些网站是 Wordpress 网站,我正在尝试启用图片上传。主目录中的文件显然归该特定用户所有,但是,我已将 Apache (www-data) 添加到该用户的组中,因此理论上,如果我提供一个目录及其内容chmod -R g+w,那么该目录应该可由 Apache 写入(和 PHP 进程),对吗?
正如您可能理解的那样,这不是当前正在发生的事情,我不确定如何进行这项工作。我不想要的是将所有文件分配给 www-data,然后将用户添加到 www-data 组。我认为这些文件首先应该属于用户,而 www-data 只有有限的权限。
修复和/或解决此问题的最佳方法是什么?
编辑:
感谢到目前为止的回复,我想指出的是,在我的开发机器 (Ubuntu) 上我有完全相同的设置。Eclipse 项目存储在我的主目录的子目录中,只需chmod -R g+w在所需目录上执行操作,我就可以让 Apache 下的 PHP 进程写入这些目录。我没有为此使用任何 ACL。
但是,出于某种原因,在我的服务器上这不起作用,这有点令人费解。
更新 2:
我的开发机器和我的服务器之间的区别可能是我的开发机器文件是这样的:
-rw-r--r-- 1 luke luke 34 2012-11-14 04:30 .some.file
在我的服务器上,它看起来像:
-rw-r--r-- 1 luke wheel 34 2012-11-14 04:30 .some.file
我猜这里的小组有影响力。
我最近设置了一个 Apache 2 Web 服务器,我注意到错误和访问日志中有很多行以以下序列开头(但更长)。有谁知道这是从哪里来的?
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ .......
我的设置是启用了 mod_balancer 的 Apache 2 负载平衡器和两个 Apache 2 Web 服务器。所有三台服务器都写入位于 NFS 上的共享上的相同日志文件。我的第一个猜测是我的问题与它有关,因为这是我过去使用的其他设置的唯一区别,但我不确定。
我已经在我的网络服务器上设置了 Cacti,它为我提供了平均负载和内存使用情况等图表,但我还想监控我的网站使用了多少带宽。
我一直在阅读一些 Cacti 文档,并尝试使用 Google 进行搜索,但似乎找不到任何可以向我解释如何执行此操作的内容。
更新:
难道我不应该在 Apache 上进行带宽测量,而是在较低级别的设备上?如果这会有所不同,我目前正在 EC2 实例上运行我的 LAMP 堆栈。
更新 2:
自从问了这个问题后,我实际上已经从 Cacti 转到了 Munin。并不是说一个比另一个更好,而仅仅是因为穆宁更适合我的需求,因为它开箱即用,它向我展示了我需要知道的一切。不过,我将来可能仍会使用 Cacti。
我在我的 Ubuntu/Apache Web 服务器上运行了一些 Trac 安装,我注意到当我在访问 Trac 页面时监控 CPU 使用率时,CPU 飙升至 100% 的情况并不少见。我担心只有一个用户访问系统时会发生这种情况。
有没有一种方法可以减少访问我的 Web 服务器上的 Trac 的 CPU 密集度?
我在我的网络上运行了许多虚拟服务器,我希望能够轻松克隆 Ubuntu Server 的基本安装。我使用 VBoxManage 命令克隆实际的硬盘,然后为我的 VM 创建一个新配置文件并复制原始 VM 的设置。
但是,当我启动到克隆的 VM 时,似乎存在网络问题。当我发出 PING 时,我收到消息“ Network unreachable”。我追查到克隆虚拟机的虚拟网卡具有与原始虚拟机不同的 MAC 地址这一事实。当我复制 MAC 地址时,克隆似乎工作正常。
如何让克隆的虚拟机拥有自己的 MAC 地址?
安装新的 Ubuntu 服务器(我个人使用 8.04 LTS)后,您如何在内存消耗、磁盘使用和速度方面对其进行优化?在开始构建服务器之前,您删除了哪些服务和预安装的软件包以使您的系统尽可能精简和简单?
我在 Virtual Box 中运行带有一堆虚拟服务器的 Ubuntu 桌面来测试东西等。过去我也一直在连接到其他类型的远程 VPS Linux 机器。目前我的.ssh/known_hosts文件中有一大堆键,其中大部分不再使用。
我想清理我的.ssh/known_hosts文件,但我怎么知道哪个密钥属于哪个主机?即我怎么知道我可以安全地移除哪些钥匙以及我应该留下哪些钥匙?
我想创建我的 Windows 分区的映像(以便以后可以恢复它),我想知道是否有人可以推荐任何能够做到这一点的实用程序?命令行或 GUI(首选 Gnome)都可以。
我将 subversion 托管设置为通过 Apache Web 服务器访问。一切运行良好。现在我想添加另一个 Web 服务器来在两个 Web 服务器之间分配负载。
让两个 Web 服务器同时访问我的 svn 存储库是否可以节省?普通的 fsfs 颠覆存储库类型是否足够保护我,或者我是否需要切换到 Berkely DB 来处理这类事情?
我已经使用 Linux 几年了,但我仍然没有弄清楚某些目录名称在 Unix 和类 Unix 系统上的来源或含义是什么。例如,什么etc代表或var?opt名字从何而来?
无论如何,当我们讨论这个话题时。有人可以清楚地解释哪个目录最适合做什么。我有时会混淆某些软件的安装位置,或者最适合安装软件的目录。
安装我的 Trac 实例后,我删除了匿名用户,因为我不希望匿名用户进入系统。但是,当浏览到 Trac 实例并且登录失败(身份验证由 Apache使用htpasswd文件处理)时,Trac 将显示错误页面并在右上角显示登录和首选项链接。单击“首选项”链接会将未经过身份验证的用户带到“首选项”页面,我可以在其中进行更改(例如时区等)。
我可以通过在 trac.ini 的 [ metanav ]部分将其设置为禁用来从菜单中删除Preferences链接:
[metanav]
prefs = disabled
然而,即使链接在视觉上不再存在,任何人仍然可以通过将/prefs添加到 URL 来导航到它。如何有效地删除Trac 中未经过身份验证的用户的首选项链接?
