Jim Dennis's questions

TL;DR OpenBSD 基于策略的路由对多宿主服务器/网关的情况有帮助吗？如果是这样，我该如何配置它？

长表

我正在管理一个带有两个 ISP 链接和通往远程路由节点的 VPN 隧道的 OpenBSD。

最初，我们使用了多个具有不同指标的默认路由——首选路由通过静态 IP 地址和 NAT 路由器，而 NAT 路由器又具有动态分配的地址（它基本上是一个电缆调制解调器）。

在实践中，这并不理想，但效果很好。从网关建立的新连接（以下简称“gw”）如果启动，将选择速度更快、延迟更低的路由；如果链路断开，则通过电缆调制解调器出去。入站连接只能通过更好的路由，因为其他 IP 地址位于 NAT 之后（无法从外部路由。

现在，我们需要通过额外的代理/VPN 路由器节点将流量路由到“云端”，以降低静态 IP 地址上的 DDoS 风险。

那些通过隧道连接到网关。

第一的。然后我们发现我们的管理员访问权限会偶尔下降。

更复杂的是，此网关具有到特定 VLAN 的附加活动接口。他们与这个问题无关，但不能被打扰。

可能的解决方案

我的印象是我们应该使用基于策略的路由rdomains。我想这意味着我为我的三个涉及的接口中的每一个创建路由表，并且其中任何一个（包括tun0隧道接口）上的任何连接都应该通过该域的表进行路由（因此每个都可以有自己的默认路由）。

我在正确的轨道上吗？

这是一个图表和一个经过清理的列表（如果接口设置）：

________
| 隧道| _______
 ~+~~~~ | GW |======++
    | ~+~+~+~ ||                   
    | _________ | | | ||                                        
    +-----| prefISP |-------------+ | | __||____ .........               
           ~~~~~~~w~ | +-----| 开关 |-----( 集群 )                           
                                    | ~~~~~~~~ ^^^^^^^^^           
           _________ .....|...... ||                              
          | fallISP |----------( LAN / WiFi )===++
           ~~~~~~~~~ ^^^^^^^^^^^^

    图：通过隧道、首选 ISP 以及访问 GW 或集群（通过 GW 或从 LAN）访问 GW 时，我想避免非对称路由。


 清理界面信息：

    em3：inet 123.45.67.118 网络掩码 0xfffffff8 广播 123.45.67.119 描述：prefISP
    em0：inet 10.1.1.100 网络掩码 0xffffff00 广播 10.1.1.255 描述：fallISP
    tun0：inet 192.168.2.2 --> 192.168.2.1 网络掩码 0xffffff00 描述：隧道
    em1: VLAN_TRUNK
          vlan1000：inet 172.29.1.1 网络掩码 0xffffff00 广播

如前所述：em3是我们到首选（更快）ISP 的链接；tun0通过它；em0与办公室 LAN/Wifi 位于同一网段，作为我们的后备 ISP；并且 GW 具有到集群和交换机的附加链接。

我在我自己的 linode 上托管了一个域，在bind9下我在 AWS 中也有一个 VPC，我想在 Route53 下维护一个 DNS 子域。我尝试按照以下说明操作： http: //docs.aws.amazon.com/Route53/latest/DeveloperGuide/MigratingSubdomain.html

对我的/etc/bind9/named.conf进行了以下更改：

  zone "aws.starshine.org" {
      type slave;
      file "/var/lib/bind/aws.starshine.org";
      masters { 205.251.197.214;
                205.251.195.5;
                205.251.198.215;
                205.251.192.111;
        };
  };

那里的 IP 地址是从这里收集的：

 for i in "ns-1494.awsdns-58.org" "ns-773.awsdns-32.net" "ns-1751.awsdns-26.co.uk" "ns-111.awsdns-13.com"; do
     echo -en "$i\t"; dig +short "$i";
     done

...这些名称是从该命令的输出中粘贴的：

aws route53 get-hosted-zone --id /hostedzone/Z24Z8xxxxxxxIN

如果我运行如下命令：dig aws.starshine.org。@ns-111.awsdns-13.com我看到了 SOA 记录。如果我添加ns，我会看到 Amazon NS 记录。但是，如果我通过普通 NDS 或通过我自己的权威 DNS 服务器查询 starshine.org，我看不到委托。

这是我从几个dig命令中得到的：

dig aws.starshine.org @ns.starshine.org.

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> aws.starshine.org @ns.starshine.org.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 49466
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;aws.starshine.org.             IN      A

apogee:/var/lib/bind# dig aws.starshine.org

;; ...
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 41291
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;aws.starshine.org.             IN      A

;; AUTHORITY SECTION:
starshine.org.          200     IN      SOA     ns1.starshine.org. hostmaster.starshine.org. 2014091602 2000 1000 691200 600

我不明白为什么在这些情况下我会得到 NXDOMAIN 和 SERVFAIL。我已经完全重新启动了我的 BIND 服务器进程（/etc/init.d/bind9 restart）。

我在日志中看到以下内容：

Nov 23 05:26:26 apogee named[1438]: zone aws.starshine.org/IN/internal-in: Transfer started.
Nov 23 05:26:27 apogee last message repeated 2 times

那么，我在代表团中做错了什么？我是否需要在 AWS Route53 端启用某些功能？它向我展示了 SOA 和 NS 记录（以及我添加的一条 A 记录，可以查询只是找到。

（将我的resolv.conf（例如在 VPC 中的节点上）设置为指向 AWS DNS 名称服务器确实可以让我看到预期的子域。（但是，这会破坏所有其他 DNS 并显示以下消息：状态：拒绝和警告：递归请求但不可用。

我忘了在我之前的帖子中提到它，但我的 starshine.org 区域文件中也确实有 IN NS“胶水”记录，如下所示：

;; GLUE for aws.starshine.org hosted in AWS:
aws.starshine.org.      IN  NS  ns-1494.awsdns-58.org.
                        IN  NS  ns-773.awsdns-32.net.
                        IN  NS  ns-1751.awsdns-26.co.uk.
                        IN  NS  ns-111.awsdns-13.com.

ns-1494.awsdns-58.org.      IN A   205.251.197.214
ns-773.awsdns-32.net.       IN A   205.251.195.5
ns-1751.awsdns-26.co.uk.    IN A   205.251.198.215
ns-111.awsdns-13.com.       IN A   205.251.192.111

我还尝试将转发器列表添加到我的named.conf：

zone "aws.starshine.org" {
    type forward;
    forwarders { 205.251.197.214;
                 205.251.195.5;
                 205.251.198.215;
                 205.251.192.111;
        };
    };

有没有办法从给定的 Redis 进程中获取网络/带宽指标？我在 INFO 命令的输出中遗漏了什么？一些补丁或编译时配置选项？

或者我是否需要添加一些iptables数据包计数命令并编写一些东西来轮询这些命令？

我正在创建一套自我培训练习和指南（可能最终是一系列视频或 Slideshare 演示文稿），涵盖一系列系统管理和“操作”相关主题。

我的计划是制作原型并展示它们，主要假设学生将创建 AWS 账户并使用 EC2 实例和一组有限的相关资源完成示例。我建议学生使用一些较便宜的 VPS 提供商（例如 Linode）创建一个基本实例，作为他们大部分工作的“大本营”，然后在每次练习期间启动实例（主要是 t1.micro，如果可能的话） ，并在每次工作会话后关闭它们。（目标是使这些对资助他们自己的专业教育的学生可行......所以我将花费额外的精力来实践和练习课程设计，以最大限度地减少服务成本）。

该计划将主要根据需要为 CentOS、Debian、Ubuntu 和 FreeBSD 使用免费的 AWS Marketplace AMI。（我最终还将探索替代云，除非 Amazon Inc. 赞助我的项目）——尽管我可能会基于这些创建一些自定义 AMI，并将它们作为我产品的一部分发布到市场。

早期课程将强调 Python Boto 的使用（到目前为止，这是我所熟悉的），我正在构建的一些工具将帮助管理每个学生创建的基础设施......我将让学生自始至终使用 Ansible大多数练习（用于会话设置和实例集合的拆除）。一套课程将在 Puppet 上，另一套课程将涵盖 Chef。后面的大部分课程（Hadoop、Cassandra、MongoDB、Zookeeper）都会（要求/假设？）学生正在使用其中之一来构建他们的集群。

最后，这让我想到了我的问题。（为漫无边际的序言道歉，但感觉有必要设置上下文）。

昨晚我设置了最简单的 Puppet（版本 3）配置，这对系统管理的学生可能很有用。一对 CentOS 6.4 实例，一个作为 puppetmaster，另一个作为客户端。我使用丑陋的 ec*.internal 名称（在主机文件和配置中）将它们连接在一起。然后进行更改（在我的 site.pp 清单中创建用户、组和 ssh 密钥条目）并确认它们正在工作（在客户端上运行 puppet agent --test 命令）。自然最大的障碍是：更改安全组配置、禁用默认的 CentOS IPTables 配置、禁用 SELinux 强制模式以及摆弄dns_alt_names =puppetmaster 的 /etc/puppet/puppet.conf 中的指令。（稍后我会弄清楚如何正确地向 Ruby/Apache/Passenger 组件授予必要的 SELinux 权限以重新启用 SELinux）。

今晚，当我正要从上次停下的地方开始时，我突然意识到（相当晚了）我真的需要稳定的 IP 和反向 DNS 来实现这个模型。在每个工作会话开始时，必须重新配置 puppet master 并重新生成其 PEM 证书以及所有客户的证书，这将比教育更乏味（并且编写所有脚本对任何正常的未来工作环境都几乎没有适用性。

所以，呃，需要分配一个弹性 IP（至少一个）并为其请求一个反向 DNS 条目……或者我需要重新进行我的假设并将这些练习基于一组先决条件 VPC 集-补课。

现在我刚刚设置了 EIP 并输入了 PTR 覆盖的请求（顺便说一下，这似乎与 Amazon 的工作流程中的一些 STMP 启用请求表混为一谈）。

我正在寻找关于我是否应该围绕 VPC 执行此操作的建议（并预测在该虚拟网络中设置 DNS 服务器的课程，可能托管在 puppetmaster 本身上，至少最初是这样），或者我是否应该围绕使用一到两个通用名称的弹性 IP（作为不同的练习，可能稍后会迁移到 HAProxy 或类似前端后面的 puppetmaster 服务）。

建议？批评？

我的印象是，可能有多个 JobTracker 节点配置为共享同一组 MR (TaskTracker) 节点。我知道，按照惯例，Hadoop 集群中的所有节点都应该具有相同的配置文件集（通常在/etc/hadoop/conf/--- 至少对于 Hadoop 的 Cloudera 分发版（CDH）而言）。我们可以在中定义多个作业跟踪器mapred-site.xml吗？类似于：

<configuration>
   <property>
     <name>mapred.job.tracker</name>
     <value>jt01.mydomain.not:8021</value>
   </property>
   <property>
     <name>mapred.job.tracker</name>
     <value>jt02.mydomain.not:8021</value>
   </property>
...
</configuration>

或者是否有其他一些允许的语法？

这样做的含义是什么。每个 JobTracker 是否获取有关每个 TaskTracker 节点上负载的信息。换句话说，两个 JobTracker 是否可以仅根据来自 TT 的八卦信息来协调跨 TT 节点的调度，或者他们是否需要相互交谈？

这在任何地方都有记录吗？