主页 / user-129246

Castro Roy's questions

Martin Hope
Castro Roy
Asked: 2021-03-07 16:05:41 +0800 CST
  • 0

假设我有 5 个数据库要在我的应用程序中使用。该应用程序将被 +100k 用户使用。我计划将 RDS 集群与 Aurora PostgreSQL 一起使用。什么是最好的?

为每个数据库创建 1 个集群,我最终会得到 5 个集群,我认为这对性能有好处,但成本更高。

或者

创建一个具有足够资源(CPU、RAM 等)的单个集群,其中将包含 5 个数据库。

cluster postgresql amazon-web-services amazon-rds
Martin Hope
Castro Roy
Asked: 2020-06-27 11:04:32 +0800 CST
  • 1

我有一个ECS包含 3 个服务()的集群FARGATE,这 3 个服务位于私有子网中。1 是可通过面向 Internet 的负载均衡器公开访问的 Web 应用程序,另外 2 个只能从 Web 应用程序访问。对于内部通信,我使用的是服务发现名称。 在此处输入图像描述

一切正常,但现在我正在讨论是否需要在 Web 应用程序和 2 个内部服务之间设置一个内部负载均衡器,以防它们向外扩展/向内扩展。那么,如果我的内部服务之一向外扩展并且我使用服务发现名称进行内部通信,这就足够了吗?或者,我是否需要一个可以将流量路由到不同服务实例的内部负载均衡器?

这有意义吗?
在此处输入图像描述

load-balancing amazon-web-services amazon-ecs aws-fargate
Martin Hope
Castro Roy
Asked: 2015-06-10 07:36:41 +0800 CST
  • 0

我已经知道如何使用 设置防火墙iptables,但是在访问 IT 安全部门后,他们说我需要过滤OUTPUT,但是,这对我来说毫无意义,我真的可以找到我需要这样做的场景。所以,这是我的第一个问题:
我真的需要过滤OUTPUT吗?
OUTPUT默认接受所有并且没有规则。这是安全漏洞吗?

他们还说我有代表安全漏洞的规则,我不同意。让我们FORWARD以此为例:

-P FORWARD DROP
-A FORWARD -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -s XX.XX.XX.XX/24 -d XX.XX.XX.XX/32 -p tcp --dport 80 -j ACCEPT

他们说接受ESTABLISHED而不指定sourcedestination作为第一条规则是安全漏洞。真的吗?这是另一个安全漏洞吗?ACCEPT ESTABLISHED不指定sourceand是不好的做法destination

security
Martin Hope
Castro Roy
Asked: 2013-04-12 06:08:55 +0800 CST
  • 1

我的问题和标题一样简单:it is good and safe to use debian6 software raid?
它有多安全?
我可以进行软件 RAID 配置备份吗?
我如何处理硬盘问题/从硬盘问题中恢复?

我在网上看了很多书,但每个人都在谈论如何配置。我已经设法配置并安装了一个 Debian 压缩软件 RAID,但是,grub 引导加载程序会安装在两个磁盘中,还是我应该手动安装??

谢谢

debian
Martin Hope
Castro Roy
Asked: 2013-03-08 09:34:21 +0800 CST
  • 0

IS 的人要求我阻止没有主题(空主题)的邮件,我正在使用MDaemon 9.5.1,其中一个给了我这个规则 

[Rule015]
RuleName=no empy subject
Enable=No
ThisRuleCondition=All
ProcessQueue=LOCAL
Condition01=SUBJECT|reg exp|AND|^..+$|
Action01=skip rule|"1"
[Rule016]
RuleName=empty subject
Enable=No
ThisRuleCondition=All
ProcessQueue=BOTH
Condition01=SUBJECT|exists|AND|
Action01=send note|"to <$SENDER$>","from <[email protected]>","subject <Mail Rejected.>","x-flag=attach <$COPYOFMESSAGE$, MIME> -X","","Bla bla bla"
Action02=send note|"to <[email protected]>","from <[email protected]>","subject <Mail rejected notification.>","x-flag=attach <$COPYOFMESSAGE$, MIME> -X","","from:$SENDER$  ","to:$RECIPIENT$  ","subject: $SUBJECT$  ","date: $DATESTAMP$  ","time: $CURRENTTIME$"
Action03=delete|

我复制了这个cfrules.dat位于 MDaemon 安装目录的 app 文件夹中的表单文件,所以,他们说这是正确的设置,但是,这个规则并没有真正发挥作用,它阻止了没有主题的邮件和一些有主题的邮件一个主题,工人们现在抱怨很多,我想对安全和工人都满意。

所以,在这里需要帮助,我只是想阻止主题为空的邮件,但也可以按长度来阻止,直到现在我还没有成功

谢谢大家

mdaemon
Martin Hope
Castro Roy
Asked: 2012-12-06 14:14:07 +0800 CST
  • 1

我有一个小办公室,只有一个w2k3 sp2 DC(坏主意,但它是真实的),现在,我想干净地安装那台电脑,所以,我有另一个,安装w2k3 sp2,将它添加到域,dcpromo并设置它成为一个GC,直到现在一切正常,然后尝试dcpromo在中primary DC,但它失败了 

The box indicating that this domain controller is the last controller for the
domain mydomain.com is unchecked. However, no other Active Directory domain
controllers for that domain can be contacted.  

Do you wish to proceed anyway?  

If you click Yes, any Active Directory changes that have been made on this
domain controller will be lost.

因此,我开始按照此处所述将所有角色移动到新服务器,当角色一切正常时,我尝试做同样的事情,但得到了相同的结果。尝试将其DNS移至新服务器,但没有任何区别。关闭旧服务器,然后尝试登录到工作站,但失败了,说域不可用,也无法将新工作站添加到域中,所以我必须重新启动旧服务器。
所以,如果我成功地将所有角色和 dns 移动到新服务器:
为什么要dcpromo在旧服务器中给出这样的消息?
为什么如果我关闭旧服务器域不可用??
如果我成功地将所有角色和 dns 移动到新服务器,并且当我单击是时dcpromo在旧服务器发出警告,我会失去所有用户、计算机、ou 等吗?
我是否缺少一些步骤来完成这项工作??

希望你能帮我

谢谢

windows-server-2003
Martin Hope
Castro Roy
Asked: 2012-11-16 12:23:32 +0800 CST
  • 0

我有一台服务器ESX5,有一个Standar Switch连接了一个物理网卡的 (vswitch1),vswitch1 VLAN ID 设置为All(4095)这样它可以看到任何 VLAN 上的流量,连接到 vswitch1 我有 2 个虚拟机,分别是 Debian 6 和 XP SP2。至此一切正常,debian 的界面配置如下所示: 

auto eth0
iface eth0 inet static
    address 192.168.106.250
    netmask 255.255.255.0

auto vlan52
iface vlan52 inet static
    address 11.10.1.65
    netmask 255.255.255.248
    vlan_raw_device eth0

我也激活modprobe 8021q了并且没有 iptables 规则,所以,我没有丢包
现在,在 XP VM 中,有这个网络配置: 

IP Address: 11.10.1.66
Subnet Mask: 255.255.255.248

IP Address: 192.168.106.251
Subnet Mask: 255.255.255.0

如您所见,XP VM 有 2 个 IP 地址,因此,从 XP ping 到192.168.106.250OK,但是,从 XP ping 11.10.1.65 失败,然后在 XP VM using 中Wireshark,您可以看到类似这样的内容 

Source                Destination           Protocol Length Info
11.10.1.66            11.10.1.65            ICMP     74     Echo (ping) request  id=0x0200, seq=2816/11, ttl=128
Vmware_aa:3d:e6       Broadcast             ARP      42     Who has 11.10.1.65?  Tell 11.10.1.66
Vmware_aa:3d:e1       Vmware_aa:3d:e6       ARP      60     11.10.1.65 is at 00:50:56:aa:3d:e1
11.10.1.66            11.10.1.65            ICMP     74     Echo (ping) request  id=0x0200, seq=1280/5, ttl=128
Vmware_aa:3d:e1       Broadcast             ARP      64     Who has 11.10.1.66?  Tell 11.10.1.65
Vmware_aa:3d:e1       Broadcast             ARP      64     Who has 11.10.1.66?  Tell 11.10.1.65
11.10.1.66            11.10.1.65            ICMP     74     Echo (ping) request  id=0x0200, seq=1536/6, ttl=128

依此类推,但 ping 不起作用,我也尝试使用 putty 使用 ssh 连接到 11.10.1.65 但它也失败了。

然后我决定在工作中测试物理网络,其中我有 2 个共享 vlan ID 的物理交换机(其他人配置了交换机,但我可以访问配置),交换机上存在 vlan 52,debian 有一个vlan52同样,这里有一些开关配置

#SWITCH 1
vlan 51
  description DPC
vlan 52
  description OBEM
#
interface GigabitEthernet0/0/22
 description LAN_DPC
 port hybrid pvid vlan 51
 port hybrid untagged vlan 3 51 to 63
 ip-subnet-vlan enable


#SWITCH 2
vlan 51
  description DPC
vlan 52
  description OBEM
#
interface Ethernet0/0/1
 port hybrid pvid vlan 52
 port hybrid untagged vlan 51 to 52
#
interface GigabitEthernet0/0/1
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 50 to 52
 stp disable

开关是Huawei Quidway S3300 Series

因此,我将我的笔记本电脑连接到Ethernet0/0/1SWITCH 2,从我的笔记本电脑(IP 11.10.1.67)ping 到 11.10.1.65,结果相同,即使在Wireshark捕获中也是如此。

我不是交换机配置方面的专家,我什至不完全知道配置中的某些部分是什么意思,例如port trunk allow-pass vlan 50 to 52port hybrid untagged vlan 51 to 52也许你可以推荐一个好的关于这个的文档。

但是现在,我真正头疼的是如何让它工作,因为我真的需要它,我需要所有这些 vlan 通过防火墙的单个 NIC,现在我真的被卡住了,如果你认为我需要改变开关中的东西,我可以做到,正如我所说的,我可以访问,所以,希望你能帮助我

谢谢

debian
Martin Hope
Castro Roy
Asked: 2012-11-10 08:53:19 +0800 CST
  • 1

我有一台带有 ESX5 的服务器,有一个大约有 20 个 vlan 的交换机,这就是设置中继端口的方式

interface GigabitEthernet0/1/1
 description ToOper
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 2 to 14
 stp disable
 ntdp enable
 ndp enable
 bpdu enable

然后,我使用 vSphere Client 创建了一个标准交换机 ( sw1),VLAN ID 设置为All (4095),我还使用 Debian 6 创建了一个 VM,网卡连接sw1

auto vlan10
iface vlan10 inet static
    address 11.10.1.0
    netmask 255.255.255.224
    mtu 1500
    vlan_raw_device eth0

auto vlan14
iface vlan14 inet static
    address 11.10.1.65
    netmask 255.255.255.248
    mtu 1500
    vlan_raw_device eth0

所以,当我使用重新启动网络时/etc/init.d/networking restart,出现了这个错误

Reconfiguring network interfaces...SIOCSIFADDR: No such device
vlan14: ERROR while getting interface flags: No such device
SIOCSIFNETMASK: No such device
SIOCSIFBRDADDR: No such device
vlan14: ERROR while getting interface flags: No such device
SIOCSIFMTU: No such device
vlan14: ERROR while getting interface flags: No such device
Failed to bring up vlan14.
done.

这只是错误的一部分,所以,我的问题是:这可能吗?我的意思是,我试图使用 ESX 虚拟机、VLANS 等实现的目标是 Debian 问题吗?可以解决吗?我读到过一个z25_persistent-net.rules在 Debian 中命名的文件,但它不存在于我的安装中。在里面

vSphere Networking for ESX5指南中,您可以阅读:
如果输入 0 或将选项留空,端口组只能看到未标记(非 VLAN)的流量。如果输入 4095,端口组可以看到任何 VLAN 上的流量,同时保持 VLAN 标签不变。

所以,从理论上讲,它应该有效,对吧?

希望你能帮我解决这个问题

谢谢

debian
Martin Hope
Castro Roy
Asked: 2012-09-15 17:20:53 +0800 CST
  • 3

我有一个用于 http 和 ftp 连接的 squid 代理服务器,我正在尝试使用 filezilla 打开 ftp,但它总是失败并显示错误消息:

Status: Connection with proxy established, performing handshake...
Response:   Proxy reply: HTTP/1.0 403 Forbidden
Error:  Proxy handshake failed: ECONNRESET - Connection reset by peer
Error:  Connection timed out
Error:  Failed to retrieve directory listing

我嗅探流量,并且 filezilla 正在尝试连接到不同的端口并且代理拒绝它看起来,这是嗅探结果的一部分

CONNECT 201.150.36.227:61179 HTTP/1.1
Host: 201.150.36.227:61179
User-Agent: FileZilla

每次都是不同的端口,所以,我不能在鱿鱼中允许它,而且,我将 filezilla 设置为使用主动连接,结果相同,被动连接,结果再次相同,所以,我没有子弹了,并且我需要你的帮助,也许 filezilla 或 squid 中的设置可以完成这项工作,所以,在这里帮忙

这是 filezilla 的完整日志

    Status: Connecting to uhma.mx through proxy
Status: Connecting to 172.19.216.13:3128...
Status: Connection with proxy established, performing handshake...
Response:   Proxy reply: HTTP/1.0 200 Connection established
Status: Connection established, waiting for welcome message...
Response:   220 ProFTPD 1.3.3a Server (a3 FTP CUATRO) [201.150.36.227]
Command:    USER uhmamx
Response:   331 Password required for uhmamx
Command:    PASS *******
Response:   230 User uhmamx logged in
Status: Connected
Status: Retrieving directory listing...
Command:    PWD
Response:   257 "/" is the current directory
Command:    TYPE I
Response:   200 Type set to I
Command:    PASV
Response:   227 Entering Passive Mode (201,150,36,227,238,251).
Command:    MLSD
Status: Connecting to 172.19.216.13:3128...
Status: Connection with proxy established, performing handshake...
Response:   Proxy reply: HTTP/1.0 403 Forbidden
Error:  Proxy handshake failed: ECONNRESET - Connection reset by peer
Error:  Connection timed out
Error:  Failed to retrieve directory listing
ftp
Martin Hope
Castro Roy
Asked: 2012-08-16 08:56:44 +0800 CST
  • 4

我几乎是 linux 的新手,所以,这是我的情况,我有一台安装了 debian 6 和 Webmin 1.570 的电脑(简单的方法),我想更改系统时区,我知道在 Windows 服务器中,我'我在

(GMT-05:00) Eastern Time(USA & Canada)

但是我在 webmin 选项中没有看到类似的东西,我正在谷歌上搜索,但什么也找不到,所以,有人可以为我指出正确的时区吗?

谢谢

debian
Martin Hope
Castro Roy
Asked: 2012-07-23 06:42:45 +0800 CST
  • 0

我正在尝试打开一个网络,但我的鱿鱼阻止了那个 url,在 squid.conf 中,我有这个 

acl neverallow url_regex -i "/usr/local/squid/etc/blacklist/neverallow"
http_access deny neverallow

如果我评论该http_access行,我就可以打开 url,所以,我打开文件寻找域名,或者看起来像我试图打开的 url 的东西,但是我找不到任何东西自己的眼睛,所以,我不是 linux 专家,我不知道如何用谷歌搜索这个,我的问题是,有没有一种方法可以手动(命令、程序等)测试我的 url '试图用保存在文件中的那些打开并知道哪一个是匹配的?

我正在使用 Debian 6

squid