在自动安装服务器时,我不明白如何解决先有鸡还是先有蛋的问题。
我有一系列可以通过 PXE 重建的服务器。当一台机器被重建时,它会从一个 Apache 服务器加载它需要的所有设置——包括它在以后使用不同服务时用来验证自己的私有证书。此 Apache 服务器通过其 IP 地址识别客户端,以便为它们提供用于给定服务器的配置或证书,或者拒绝提供它。
但是,客户端的 IP 地址可能会被欺骗。MAC地址也一样,如果在某个时候我也添加了这种验证。
为了安全地获取其配置和私有证书,通过 PXE 引导的机器应该已经有一个证书,它可以在与 Apache 服务器通信时使用它。但是,这看起来不太可能,因为从 PXE 引导的机器要么是全新的,要么会在安装过程中格式化其磁盘。
我错过了什么吗?如何在没有欺骗风险的情况下识别新机器?
我应该使用包含私钥的始终连接的 USB 密钥吗?或者还有其他选择吗?
我希望属于不同 VLAN 的设备具有不同的路由器。例如:
我这样配置 ISC DHCP 服务器:
subnet 10.0.10.0 netmask 255.255.255.0 {
option subnet-mask 255.255.0.0;
option routers 10.0.10.1;
...
pool {
failover peer "dhcp-primary";
max-lease-time 1800;
range 10.0.10.200 10.0.10.210;
}
}
subnet 10.0.11.0 netmask 255.255.255.0 {
option subnet-mask 255.255.0.0;
option routers 10.0.11.1;
...
pool {
failover peer "dhcp-primary";
max-lease-time 1800;
range 10.0.11.200 10.0.11.210;
}
}
host nmap-tests {
hardware ethernet de:ad:c0:de:ca:fe;
fixed-address 10.0.11.6;
}
不幸的是,这不起作用。当我运行nmap --script broadcast-dhcp-discover时,转储tcpdump -n -i eth0 port bootps or port bootpc -v显示原始请求:
0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from de:ad:c0:de:ca:fe ...
和回应:
10.0.10.5.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, ...
Your-IP 192.168.1.205
Client-Ethernet-Address de:ad:c0:de:ca:fe
鉴于配置,我希望 DHCP 服务器以固定地址 10.0.11.6 进行响应,而不是池中的 IP 地址。
配置有什么问题?
我(仍在)尝试在 3 级交换机(Netgear GS516TP)上正确配置 VLAN。
基本场景:VLAN 10、11、12 三个 VLAN,分别有 3 个端口和 3 台机器。
VLAN 10 具有未标记的端口 g10、g11 和 g12。
VLAN 11 具有未标记的端口 g10 和 g11。同样,VLAN 12 具有未标记的端口 g10 和 g12。
目标是让属于 VLAN 11 和 VLAN 12 的机器能够与 VLAN 10 中的机器通信。但是,来自 VLAN 11 的机器应该对 VLAN 12 中的机器一无所知(反之亦然)。
当所有三台机器都使用网络掩码 255.255.0.0 时,路由配置设置如下:
现在,问题。当我从 10.0.10.5 向 10.0.11.5 发送 TCP 或 UDP 数据包时(例如通过 do nc -n 10.0.11.5 100),我可以在属于 VLAN 12 的机器上运行的 Wireshark 中看到这个数据包。它不能反过来工作,但是,即从 10.0.11.5 发送的数据包在 VLAN 12 中不可见。
我应该怎么做才能使来自 VLAN 11 的以机器为目标的数据包永远不会到达属于 VLAN 12 的端口?
有很多关于如何使用RJ45 压接工具的视频和说明。我见过一些,我什至测试过压接工具,但我仍然不明白它是如何工作的。
压接工具内的八根线到底发生了什么,为什么在将电缆放入压接工具之前不需要去除八根线的绝缘层?
我想设置多个 VLAN,以便能够将不同类型的设备相互隔离。更具体地说,我想限制 Wi-Fi 设备在探索网络时可以看到的内容:例如,它们可以通过 HTTP 访问反向代理,但它们不应该能够访问 syslog 服务器或嗅探 SNMP v1/v2 流量,他们也不应该首先知道有 syslog 服务器或 SNMP 流量。
我正在使用 Netgear ProSafe 智能交换机来设置 VLAN。我有:
/etc/network/interfaces测试机器。这是网络的简化视图:
我期待能够在 and 之间进行通信test2,test1但事实并非如此。目前:
test2:~ ping 192.168.252.1作品。test2:~ ping 8.8.8.8没有,也没有ping 192.168.1.5or ping 192.168.1.1or ping 192.168.1.3。test1:~ ping 192.168.252.2不起作用。test2:~ nc -u 192.168.1.5 53有效(如果 192.168.1.5 处于监听模式,使用nc -ul 53)。test1:~ nc -u 192.168.252.2不起作用。nc在 TCP 模式下在任何一个方向上都不起作用。交换机显示的路由表在学习路由列表中列出了这两个 VLAN,指示每条路由的正确 VLAN。同一开关显示 ARP 缓存,其中包含所有四台机器的正确 MAC 地址。
我应该为 VLAN 间通信做哪些额外的事情?
我正在使用Google Domains来管理我拥有的域的 DNS。在 Google Domains 中,我配置了_acme-challenge具有特定值的 TXT 记录。我期望在执行以下操作时看到这个值:
dig -t TXT pelicandd.com @ns-cloud-e1.googledomains.com
但相反,我得到:
; <<>> DiG 9.11.3-... <<>> -t TXT pelicandd.com @ns-cloud-e1.googledomains.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19716
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;pelicandd.com. IN TXT
;; AUTHORITY SECTION:
pelicandd.com. 300 IN SOA ns-cloud-e1.googledomains.com. cloud-dns-hostmaster.google.com. 20 21600 3600 259200 300
;; Query time: 16 msec
;; SERVER: 216.239.32.110#53(216.239.32.110)
;; WHEN: Thu Aug 06 22:12:23 CEST 2020
;; MSG SIZE rcvd: 132
为什么我看不到 TXT 记录?我究竟做错了什么?
我有一堆由 Chenbro 制造的机架式机箱,它们出售时没有机架式导轨。
我有机会购买了一堆技嘉制造的二手机架安装导轨。我在网上找不到任何关于孔的确切位置的示意图(有照片,但不够精确)。
我应该看什么才能知道它们是否兼容?
一般来说,大多数机架安装导轨是否在孔的位置方面使用某种标准以便与大多数机箱兼容,或者每个公司更喜欢有自己的标准,这与其他公司的大多数机箱不兼容?
导轨似乎适用于 1U 服务器。我的机箱是 4U(但不是特别重,因为它们里面大部分都是空的)。有关系吗?
我有一个 CNAME RR,它指向与 $ORIGIN 中定义的域相同的域:
$TTL 604800
$ORIGIN example.com。
...
在一个 10.0.0.5
www IN CNAME example.com。
是否必须在此处在规范名称中指定 FQDN,或者我可以使用以下表格来代替?
www IN CNAME @
或者:
www IN CNAME
我检查了 Ron Aitchison 的Pro DNS 和 BIND 10,以及Wikipedia 上的 CNAME 记录文章,但没有人解释这是否允许(并且两个来源都在示例中放置了 FQDN)。
最近参观一个小型数据室,我注意到一台服务器的冗余电源通过一个 C14 分路器连接,该分路器又连接到一个 UPS 的单个插座。
我告诉向我展示数据室的人,在我看来,这是没有意义的:如果一个人只有一个 UPS,那么两个 PSU 中只应该连接一个。他回答说,对于冗余 PSU,最好将两个 PSU 都连接起来,即使通过分离器也是如此;否则,即只连接一个,将对连接的 PSU 造成不必要的压力。
这是什么压力?在连接两个 PSU 的普通配置中,第一个 PSU 不是在完成所有工作吗,另一个仅在第一个 PSU 发生故障或断开连接时使用?
我使用 Nginx 服务器作为反向代理。它同时为 HTTP 和 HTTPS 流量提供服务,并将调用分派到多个仅支持 HTTP 的网站。
最近,我希望能够加密 Nginx 和底层服务器之间的流量。Nginx 仍然像以前一样解密它从 Internet 接收到的 HTTPS 流量,但随后应该使用带有不同证书的 HTTPS 来访问底层服务器。
我开始按照官方文档更改配置。但是,proxy_ssl on只能在一个stream级别内设置,而不能http。这可以通过nginx -twhich 显示包含proxy_ssl on;以下错误的行来确认:
此处不允许使用“proxy_ssl”指令 [...]
我的困难是我使用 Nginx 来记录流量、添加标题等,所以我必须使用http. 如果我的理解是正确的,那么stream当 Nginx 用于直接传输 HTTPS 流量时需要级别,没有解密它的能力(即 SSL Pass-thru),这不是我的情况。
我可以让 Nginx 通过 HTTPS 连接到底层服务器,同时仍然使用http级别及其所有好处,例如日志记录和更改标头吗?
当前配置:
http {
proxy_set_header ... # Logging and custom headers.
...
upstream demo-failover {
server demo1.example.com:443 weight=1000 max_fails=0;
server demo2.example.com:443 backup;
}
server {
listen 80 proxy_protocol;
listen 443 ssl http2 proxy_protocol;
server_name demo.example.com;
# HTTPS configuration for public exchange (Internet <-> Nginx).
ssl_certificate /.../fullchain.pem;
ssl_certificate_key /.../privkey.pem;
ssl_stapling on;
ssl_stapling_verify on;
# HTTPS configuration for private exchange (Nginx <-> underlying server).
proxy_ssl on; # This is the line which is invalid.
proxy_ssl_trusted_certificate /.../ca.pem;
proxy_ssl_certificate /.../demo.pem;
proxy_ssl_certificate_key /.../demo.key;
proxy_ssl_verify on;
proxy_ssl_verify_depth 2;
proxy_ssl_session_reuse on;
if ($scheme = http) {
return 301 https://$server_name$request_uri;
}
location / {
proxy_pass http://demo-failover;
proxy_next_upstream error timeout invalid_header;
proxy_connect_timeout 2;
proxy_redirect off;
proxy_http_version 1.1;
}
}
}
我注意到一台使用 Debian 的机器上的一个奇怪行为,我无法在另一台运行 Ubuntu 的机器上重现。virsh当以普通用户的身份列出网络时,它会显示一个空列表:
~$ virsh net-list --all 名称 状态 Autostart Persistent -------------------------------------------------- --------
使用 运行相同的命令时sudo,它会显示默认连接:
~$ sudo virsh net-list --all 名称 状态 Autostart Persistent -------------------------------------------------- -------- 默认激活 否 是
文件本身的权限似乎设置正确:
~$ ls -l /etc/libvirt/qemu/networks 共 8 个 drwxr-xr-x 2 root root 4096 Jul 1 18:19 自动启动 -rw-r--r-- 1 root root 228 Jul 1 18:19 default.xml
用户属于kvm和libvirtd组。
怎么了?为什么我不能以普通用户的身份列出网络?
我想要一个中央 collectd 服务器,它从其他服务器收集统计信息,将其存储到 RRD 文件并将其转发到 logstash。
/etc/collectd/collectd.conf以下是中央服务器上的相关部分:
<Plugin network>
<Listen "0.0.0.0" "25826">
</Listen>
</Plugin>
<Plugin network>
<Server "192.168.1.24" "25827">
</Server>
</Plugin>
<Plugin rrdtool>
DataDir "/var/lib/collectd/rrd"
CacheTimeout 120
CacheFlush 900
</Plugin>
服务器成功接收来自其他服务器的指标并将它们存储在 RRD 文件中。ls /var/lib/collectd/rrd表明这部分运作良好。
但是,只有服务器的数据会发送到 logstash。通过网络从其他机器传输到该服务器的数据不会重新发送到 Logstash。事实上,根据collectd 邮件列表:
[T]通过网络插件发送的值被标记,以避免多次可能的循环重传。
有没有办法表明我确实希望重新传输这些值?
如果没有,我应该怎么做?我应该从每台机器直接将数据发送到logstash吗?
我有一个 DHCP 服务器用于无人值守安装 Debian:从 PXE 引导,然后使用预种子安装操作系统。
DHCP 服务器(Debian 的isc-dhcp-server软件包)被配置为在分发新租约时执行操作(执行 HTTP POST):
subnet 192.168.0.0 netmask 255.255.252.0 {
[...]
filename "pxelinux.0";
on commit {
set client_ip = binary-to-ascii(10, 8, ".", leased-address);
execute("curl", "-X", "POST", [...])
}
}
[...]
host vmhost2 {
hardware ethernet 00:19:66:60:c3:61;
fixed-address 192.168.1.13;
}
我注意到在无人值守的安装过程中,HTTP POST 进行了两次:第一次是在机器启动几秒钟后(这是预期的),大约三十秒后 Debian 安装程序正在配置网络。
我没想到第二个请求。其实这是对应的preseed配置:
di netcfg/get_hostname 字符串 vmhost2 di netcfg/get_domain 字符串 pelicandd.com di netcfg/choose_interface 选择自动 di netcfg/disable_autoconfig 布尔值 true di netcfg/disable_dhcp 布尔值 true di netcfg/dhcp_failed 说明 di netcfg/dhcp_options 选择手动配置网络 di netcfg/get_ipaddress 字符串 192.168.1.13 di netcfg/get_netmask 字符串 255.255.252.0 di netcfg/get_gateway 字符串 192.168.1.1 di netcfg/get_nameservers 字符串 192.168.1.3 192.168.1.4 8.8.8.8 8.8.4.4 di netcfg/confirm_static boolean true
我认为该netcfg/disable_dhcp选项表明安装程序不需要联系 DHCP 服务器,但它仍然需要。
问题:
尽管有预置选项,为什么安装程序第二次联系 DHCP 服务器?
有没有办法阻止它这样做,或者通过预置选项,或者通过修改 ISC DHCP 服务器的配置以忽略第二个租约?
我尝试同时在同一个主板上使用:
三个 LR-DIMM 记忆棒,
四个 RDIMM 记忆棒。
服务器拒绝启动;当我使用三个 LR-DIMM 棒或四个 RDIMM 棒时,服务器成功启动。但是,我还没有测试过不同的配置和不同的插槽,以完全确定是两种类型的混合会阻止服务器启动。
根据此主板(华硕Z9PR-12)的手册:
您可以使用本节中的内存配置将 1GB、2GB、4GB、8GB、16GB 和 32GB* RDIMM 或 1GB、2GB、4GB 和 8GB* UDIMM 或 8GB、16GB 和 32GB* LR-DIMM 安装到 DIMM 插槽中
我不确定手册中“或”的使用是否表明不能也不应该混合不同类型的内存,例如在我的例子中,LR-DIMM 和 RDIMM。
问题:
一般来说,服务器主板同时只支持一种类型是常见的吗?在我的情况下,服务器是否有可能由于其他原因而没有启动,例如使用了错误的插槽?
从技术上讲,是什么阻止了主板同时使用不同类型的内存?如果使用两个 CPU,我可以将 LR-DIMM 内存放入与 CPU 1 关联的插槽,将 RDIMM 内存放入与 CPU 2 关联的插槽吗?
尝试同时使用这两种类型是否有损坏主板或内存的风险?
我有一个路由器配置为将所有传入流量发送到单个反向代理机器。
这台机器托管 Nginx,它根据域名将流量转发到不同的服务器。例如,http://a.example.com/被转发到服务器 A,而http://b.example.com/被重定向到服务器 B。
我如何为远程桌面连接做同样的事情?换句话说,如果我有服务器 C 和 D 托管 Windows,我如何在网络外部通过 c.example.com:3389 连接到服务器 C 并通过 d.example.com:3389 连接到 D?
在几个大型网站上,我看到从http://www.example.com/重定向到http://www2.example.com/
这样的例子之一是 Netflix。
我的假设是,这用于:
甚至在到达负载均衡器之前将负载分配到数据中心(来自某些 IP 的客户端www2.在会话期间被重定向到,而其他 IP 仍在使用www.),
或者,在维护操作期间,不太可能将用户切换到另一个数据中心。我说“不太可能”,因为这些切换非常频繁——我几乎不怀疑前端负载均衡器上的维护操作经常进行。
在第一种情况下,这种技术有什么好处?
在第二种情况下,DNS 记录的更改还不够吗?
我正在尝试为通过 Apache 2 访问的 SVN 存储库配置权限。我想要的是让任何人访问根目录,同时将经过身份验证的用户限制为子目录。例子:
/demo
/demo/project1
/demo/project1/sensitive-data # This path should require user authentication.
/demo/project2
起初,我认为这很简单:
<Location /demo>
DAV svn
SVNPath /home/svn/demo
AuthType Basic
AuthName demo
AuthUserFile /etc/subversion/passwd
<LimitExcept GET PROPFIND OPTIONS REPORT>
Require valid-user
</LimitExcept>
</Location>
<Location /demo/project1/sensitive-data>
DAV svn
Require valid-user
</Location>
通过 HTTP 使用时(例如使用 CURL),Apache 符合配置:我可以访问:
正如预期的那样,我HTTP 401 Unauthorized在尝试检索http://example.com/demo/project1/sensitive-data时得到了一个。
另一方面,做:
svn checkout http://example.com/demo/ .或者:svn checkout http://example.com/demo/project1/ .检索整个目录树,包括demo/project1/sensitive-data.
至少,svn checkout http://example.com/demo/project1/sensitive-data/ .要求输入密码。
我应该如何配置权限以限制对sensitive-data目录的访问svn checkout http://example.com/demo/ .?
我的路由器每四十秒广播一次(发送到 224.0.0.1)。这被UFW捕获,它在 syslog 中存储了一个日志条目:
1 月 5 日 03:49:02 日志内核:[ 1184.788900] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:40:5a:9b:5c:9c:fd:08: 00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x80 TTL=1 ID=0 DF PROTO=2
我即将建立一个系统日志服务器,它将从网络的 50 台机器中收集消息。每 40 秒用 50 条消息污染 syslog 让我很恼火,不幸的是路由器本身是不可配置的。
有没有办法防止记录那些特定的消息(按源和目标过滤),同时仍然记录被防火墙阻止的其他条目?
据我了解,绑定带来的好处之一是能够提高 LAN 中两台机器之间的网络速度。
绑定 [...] 意味着将多个网络接口 (NIC) 组合到单个链路,提供高可用性、负载平衡、最大吞吐量或这些的组合。
来源:Ubuntu 文档,强调我的。
我在两台服务器上配置了绑定;两者都有两个 1Gbps NIC 适配器。在使用iperf测试这些服务器之间的速度时,报告指出:
balance-rr绑定模式时为 930 至 945 Mbits/sec。802.3ad,802.3ad.一个有趣的事情是,当使用802.3ad,ifconfig表示实际上所有RX都在eth0(2.5 GB 与几 KB/MB)并且都TX在eth1机器 A 上,而在机器 B 上则相反。
当要求iperf使用多个连接(iperf -c 192.168.1.2 -P 10)时,得到的总和与使用单个连接时显示的结果非常接近。
两台机器连接到一个 Netgear GS728TS,它正确配置了 LACP(我希望),两个 LAG 分别覆盖两个端口。启用 IEEE 802.3x 模式。
iperf适合这种测试吗?如果是的话,我有什么遗漏吗?
我有一堆虚拟机(Ubuntu Server 14.04)托管在单个真实服务器(带有 KVM 的 Ubuntu Server 14.04)上。虚拟机的数量不断增加,我很快就会拥有超过 254 个。
去测试,
我/etc/network/interfaces将网络掩码从真实服务器更改255.255.255.0为255.255.254.0. 真实服务器的IP地址是192.168.1.30。
我对 进行了类似的操作virsh net-edit default,将网络掩码更改virbr0为255.255.254.0。
我也将交换机的网络掩码更改255.255.254.0为。
我像这样更改了测试虚拟机的配置:
auto eth0
iface eth0 inet static
address 192.168.2.35
netmask 255.255.254.0
network 192.168.1.0
broadcast 192.168.2.255
gateway 192.168.1.1
dns-nameservers 192.168.1.13
dns-search example.com
这是当前状态:
我无法192.168.2.35从真实服务器 ping:它只是停留在“PING 192.168.2.35 (192.168.2.35) 56(84) 字节数据”。停止时(Ctrl+C),它会抱怨:“143 个数据包已传输,0 个已接收,100% 数据包丢失,时间 142134 毫秒”。
虚拟机192.168.2.35无法 ping 任何东西(交换机、真实服务器和 google.com 都没有),前两个抛出“连接:网络无法访问”错误,或者抛出“ping:未知主机 google.com”最后一个。
虚拟机可以 ping 自己。
我的配置有什么问题?