我正在 AWS 环境中设置 MQ 代理。
MQ 代理将由在该 AWS 环境中运行的服务以及在其他位置运行的服务使用。
AWS 环境中部署的所有其他服务都在私有子网中运行,因此我倾向于在私有子网中部署 MQ 代理,并设置网络负载均衡器以将外部流量传递到 MQ 代理。
但是,出于实际目的,我也可以将 MQ 代理部署到公共子网。这样,我只需配置一个安全组(并跳过网络负载均衡器)即可将代理公开到公共互联网。
我倾向于私有子网部署,但我不完全确定增加的配置开销(网络负载均衡器)是否能带来任何真正的好处。
进行 MQ 代理的私有子网部署有什么好处?
我有一个 PD(受电设备:Ubiquity AirCube ISP接入点)和一个 PSE(电源设备:TP-Link TL-SG1005P交换机)。
我的理解是有两种供电方式:A和B。这种情况下的PSE(交换机)支持A。我的理解也是PD(接入点)要兼容,它需要同时支持A和 B。换句话说,PSE 控制使用哪一个。
目前TP-Link的PoE交换机都是标准PSE,基于方案A设计,线对1/2为无源极,线对3/6为正极。
PSE,而不是 PD,决定使用功率模式 A 还是 B。标准不允许仅实现模式 A 或模式 B 的 PD。
我使用 CAT5e 电缆将 PD 直接连接到 PSE。电缆从 PSE 上的端口 1 连接到 PD 上的 24v PoE IN 端口。
PD不指示电源,所以要么我做错了,要么设备不兼容。
关于 PoE 设备的工作原理,我是否遗漏了什么?
当我查看来自各种云托管提供商的磁盘(块设备)存储选项时,我通常会看到以下数字:
我对底层技术一无所知。
即使这些云提供商会使用一些可用的较慢 SSD 选项(常规消费类 SATA SSD),其中一些磁盘的 IOPS 规格也适用于 90.0000 及以上范围内的读取和写入(查看 860 EVO SSD 2.5)。NVMe SSD 将提供更好的吞吐量。即使这些云提供商将这些 SSD 磁盘堆叠到某种存储集群中,我仍然会惊讶地看到 IOPS 会从 90.000 下降到 3.000。
我觉得这些数字没有可比性,即使使用了相同的指标 (IOPS)。
云提供商列出的磁盘 IOPS 与磁盘制造商列出的磁盘 IOPS 应该如何理解?
我有一个正在执行的 docker compose (3) 文件docker stack deploy。我在 Jenkins 管道中执行此操作。
我处理标签的方式是我设置了一个环境变量API_TAG,并且(相关部分)相应的 docker compose 文件看起来像这样。
version: '3'
services:
api:
image: registry:5000/api:${API_TAG}
如何处理我不只是构建的堆栈/docker compose 文件中其他服务的标签?我正在处理的管道只构建一个 api 应用程序,而不是它所依赖的三个数据库。但是,这些数据库也有特定的标签(不仅仅是latest)。我真的需要在 swarm 集群中查询当前正在运行的服务和这些数据库的标签,这样docker stack deploy就不会弄乱任何东西吗?
当我查看 时docker_gwbridge,我看到该主机上的所有容器都是桥的成员。
bridge name bridge id STP enabled interfaces
docker_gwbridge 8000.0242e581b3f5 no veth0987748
veth21aa5ea
veth358d367
veth473e3a5
vetha199713
vethf482f5f
vethf4ceab6
但是,主机上的物理接口怎么可能不是该网桥的成员呢?该文档将这个网络描述为离开 Docker swarm 集群的流量的出口桥。也就是说,最有可能离开主机的流量。当没有物理接口参与桥接时,什么机制确保进入docker_gwbridge(从任何给定容器)的数据包最终将主机留在物理接口上?
我很难弄清楚HEALTHCHECK在 swarm 模式下运行 Docker 时真正使用的是什么。
有一个地方建议Docker 将重新启动一项被认为不健康的任务。另一个地方解释说 Docker 将停止向不健康的任务发送流量。Docker 文档本身只解释了HEALTHCHECK指令是什么,以及如何配置它。它没有试图解释当任务不健康时会发生什么。
换句话说,我正在努力寻找一个清晰可靠的解释来解释HEALTCHECK真正的作用。
此外,查看Docker REST API,这个特定的数据(任务是否健康)甚至没有暴露给任务(尽管它暴露给容器)。这使得使用该指标来监控 Docker Swarm 变得很困难,因此在我看来,这也不是该指标的主要目的。
当在 swarm 模式下运行 Docker 时任务变得不健康时会发生什么?
让我们假设一个 3 节点的 Docker 集群。这些节点之一,资源紧张。一些在 CPU 或 RAM 方面可能非常贪婪的服务碰巧在同一主机上启动。
Docker 是否会随时检查其他节点是否有更少的工作要做,并将一项或多项服务从压力节点迁移到压力较小的节点之一?
Docker 中是否有任何内置功能来处理这个问题,或者迁移最终是否会是例如 OOM 杀手取出容器的结果?
我有两台主机,它们将使用 Docker Engine Swarm 运行 Web 环境。我可以将所有服务器角色放在同一个覆盖网络中,但我想将 Web 容器和数据库容器放在不同的网络中。
我知道 Docker Engine Swarm - 对于每个服务 - 都会为相关覆盖网络创建一个 DNS 条目,并在参与该服务的容器之间分配流量。Docker Engine Swarm 负责给定覆盖网络内的 Docker 主机之间的路由。这都很好。
但是,如何让 Web 节点解析并路由到位于另一个覆盖网络上的数据库节点?
我们目前正在使用 Docker 进行开发,并且目前正在研究如何使用 Docker 在其他环境(例如登台和生产环境)中运行我们的软件。
我们现在要做的是用 Jenkins 编译我们的 Java 软件,然后 - 在同一个 Jenkins 构建中 - 还构建一个 Docker 映像,Java 软件将使用 docker-compose 在其中运行。
现在,在构建 Docker 映像之后,我们需要将该映像传送到运行软件的(远程)Docker 主机。这个远程 Docker 主机与运行 Jenkins 的主机不同。我相信我们可以通过遵循这个问题的公认答案来做到这一点。
但是,一旦图像被复制到 Docker 主机 - 我们如何启动该图像docker-compose?我们复制的图像只是图像 - 而不是docker-compose.yml文件或Dockerfile就此而言。
当我查看 Windows Server DNS 管理器中的域名列表时,我看到一长串与客户端关联的 A 记录。为什么每个客户都获得 A 记录 - 真的有必要吗?
我终于能够在我的计算机 (strongswan) 和 Zyxel Zywall 110 之间建立一条隧道并运行。
我正在使用证书进行连接,从日志来看,实际的 VPN 连接似乎已经建立。
May 4 14:14:49 user charon-nm: 10[IKE] authentication of 'remote.company.com' with RSA signature successful
May 4 14:14:49 user charon-nm: 10[IKE] IKE_SA Company[1] established between 192.168.43.101[C=NO, CN=user]...X.X.X.X[remote.company.com]
May 4 14:14:49 user charon-nm: 10[IKE] scheduling rekeying in 35793s
May 4 14:14:49 user charon-nm: 10[IKE] maximum IKE_SA lifetime 36393s
May 4 14:14:49 user charon-nm: 10[CFG] handling INTERNAL_IP4_NETMASK attribute failed
May 4 14:14:49 user charon-nm: 10[IKE] installing new virtual IP 192.168.100.6
May 4 14:14:49 user charon: 14[KNL] 192.168.100.6 appeared on wlan0
May 4 14:14:49 user avahi-daemon[645]: Registering new address record for 192.168.100.6 on wlan0.IPv4.
May 4 14:14:49 user charon-nm: 10[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
May 4 14:14:49 user charon-nm: 10[IKE] CHILD_SA Company{1} established with SPIs c71e085c_i 46449091_o and TS 192.168.100.6/32 === X.X.X.X/32
May 4 14:14:49 user NetworkManager[1076]: <info> VPN connection 'Company' (IP4 Config Get) reply received from old-style plugin.
May 4 14:14:49 user NetworkManager[1076]: nm_ip4_config_add_nameserver: assertion 'nameserver > 0' failed
May 4 14:14:49 user NetworkManager[1076]: nm_ip4_config_add_wins: assertion 'wins > 0' failed
May 4 14:14:49 user NetworkManager[1076]: nm_ip4_config_add_wins: assertion 'wins > 0' failed
May 4 14:14:49 user NetworkManager[1076]: <info> Tunnel Device: tun0
May 4 14:14:49 user NetworkManager[1076]: <info> IPv4 configuration:
May 4 14:14:49 user NetworkManager[1076]: <info> Internal Address: 192.168.100.6
May 4 14:14:49 user NetworkManager[1076]: <info> Internal Prefix: 32
May 4 14:14:49 user NetworkManager[1076]: <info> Internal Point-to-Point Address: 0.0.0.0
May 4 14:14:49 user NetworkManager[1076]: <info> Maximum Segment Size (MSS): 0
May 4 14:14:49 user NetworkManager[1076]: <info> Forbid Default Route: yes
May 4 14:14:49 user NetworkManager[1076]: <info> Internal DNS: 192.168.16.2
May 4 14:14:49 user NetworkManager[1076]: <info> DNS Domain: '(none)'
May 4 14:14:49 user NetworkManager[1076]: <info> No IPv6 configuration
May 4 14:14:49 user charon-nm: 14[KNL] interface tun0 activated
May 4 14:14:49 user charon: 07[KNL] interface tun0 activated
May 4 14:14:49 user kernel: [15417.710286] brcmsmac bcma0:1: brcms_ops_bss_info_changed: arp filtering: 2 addresses (implement)
May 4 14:14:49 user charon-nm: 05[KNL] 192.168.100.6 appeared on tun0
May 4 14:14:49 user charon: 11[KNL] 192.168.100.6 appeared on tun0
May 4 14:14:50 user NetworkManager[1076]: <info> VPN connection 'Company' (IP Config Get) complete.
但是,即使 VPN 似乎已建立,但输出ipsec statusall似乎并不一致。
Status of IKE charon daemon (strongSwan 5.1.2, Linux 3.19.0-33-generic, x86_64):
uptime: 4 hours, since May 04 09:57:53 2016
malloc: sbrk 2568192, mmap 0, used 330496, free 2237696
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 rdrand random nonce x509 revocation constraints pkcs1 pkcs7 pkcs8 pkcs12 pem openssl xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity addrblock
Listening IP addresses:
192.168.43.101
192.168.100.6
10.0.3.1
192.168.100.6
Connections:
Security Associations (0 up, 0 connecting):
none
最后,输出ip route show给了我以下内容。
default via 192.168.43.1 dev wlan0 proto static
10.0.3.0/24 dev lxcbr0 proto kernel scope link src 10.0.3.1
192.168.43.0/24 dev wlan0 proto kernel scope link src 192.168.43.101 metric 9
VPN 连接已配置网络管理器,我正在使用证书建立连接。我无法访问已建立 VPN 连接的网络上的任何资源。
我在配置中遗漏了什么吗?我会错过什么?
我打算租用一台物理服务器并在该服务器上的 LXC 容器中运行 MySQL。我想使用 cgroup 限制来控制 MySQL 实例的最大内存使用量:
lxc.cgroup.memory.limit_in_bytes = 8192M
这将有效地控制容器可能使用多少内存,但top或free在容器内部仍会报告 LXC 主机(物理服务器)的总体内存。我不是 Linux 如何管理一般内存的专家,但我假设 - 在物理机器上 - 如果 Linux 看到它即将达到物理内存限制,它将开始交换。Linux 是否以相同的方式处理“有效”内存限制(无论是 cgroup 限制还是物理限制),无论它是在容器内还是在物理主机上运行?
如果我要设置物理服务器来运行关键业务网站,我绝对会在该环境中构建冗余。我会努力避免单点故障,并且至少为每个角色运行两台服务器(两台 Web 服务器、两台数据库服务器等)。即使我选择为这些服务器添加一个虚拟化层,我仍然会努力实现冗余(并且在这种情况下还要确保例如数据库分布在不同的主机上)。
但是,我不确定这种思维方式是否适用于基于例如 openstack 的云服务器产品。首先,我总是可以运行两台 Web 服务器和两台数据库服务器,但我怎么知道我的两台数据库服务器不在同一台物理主机上运行?其次,我对开放堆栈如何操作虚拟机一无所知。单个虚拟机甚至绑定到特定主机,还是有一个物理硬件池,虚拟机在其中混杂在一起?
我是否应该将开放堆栈云服务器视为 VPS/VM 风格的另一种方式?我应该像规划物理服务器还是普通的旧虚拟服务器一样规划开放堆栈云服务器
我有一个运行 Jenkins 的主机服务器。我希望 Jenkins 自动创建新容器并使用 SALT 准备这些容器。最终目的是使用这些容器来测试代码。
创建新容器,安装 salt-minion,然后为服务器配置 salt 的最佳方法是什么?
我已经尝试过类似的东西,lxc-attach -n myContainer -- salt-call --local state.highstate但我在这样做时遇到了问题。如果我在命令行上手动运行 lxc-attach -n [name] -- [command] 它可以工作。但是,从脚本中执行此操作会给我带来错误。
lxc-start -n "$1" -d
lxc-attach -n "$1" -- apt-get update
...结果是...
Starting the container 'test2'...
Err http://archive.ubuntu.com trusty InRelease
Err http://archive.ubuntu.com trusty-updates InRelease
Err http://archive.ubuntu.com trusty Release.gpg
Could not resolve 'archive.ubuntu.com'
Err http://security.ubuntu.com trusty-security InRelease
Err http://security.ubuntu.com trusty-security Release.gpg
Could not resolve 'security.ubuntu.com'
Err http://archive.ubuntu.com trusty-updates Release.gpg
Could not resolve 'archive.ubuntu.com'
Reading package lists... Done
W: Failed to fetch http://archive.ubuntu.com/ubuntu/dists/trusty/InRelease
...以及更多错误。我以同一用户身份在命令行上手动运行脚本和命令。
我在这里做错了什么?
我有一个包含数十万个文件的目录。文件通常如下所示:CED375_description_01.jpg. 我需要将此文件移动到另一个目录,但需要将文件移动到结构/ced/ced375/ced375_description_01.jpg中。
我有什么选择来实现这一目标?
我是 Logstash 的新手,我正在尝试了解输入、过滤器和输出如何协同工作。我知道有多种输入、过滤器和输出,但我不知道 Logstash 如何在内部处理消息。
假设我配置了一个 syslog 输入,并且我希望将 syslog 事件作为 GELF 发送到日志索引。我可以使用 syslog 输入,也可以使用 GELF 输出。但是,我是否有责任(使用过滤器)根据来自 syslog 事件的值填充正确的 GELF 字段?
我是否应该将事件(来自输入过滤器)视为具有命名字段(某种键:值数组)的实体,然后使用过滤器来确保输出可以获取正确的数据?
由于各种原因,我们遵循内部 DNS 方案,其中“www.test.com”的内部测试站点将是“p.test-tst.com.local”。我不会详细说明为什么我们最终采用了我们正在使用的方案。
现在,我可以将 'p.test-tst.com.local'、'p.test-tst.de.local'、'p.test-tst.co.uk.local' (等等)添加到 Nginx此特定测试站点的配置文件。但是,难道没有更灵活的方式来做到这一点吗?我能否以某种方式让 Nginx 接受“p.test.tst.com.local”,并让它在内部将其重写为“www.test.com”,以便网站(在 Drupal 上运行)认为请求是针对“ www.test.com'?
这会很好的主要原因之一是,当涉及到语言处理(为“com.local”设置语言)时,我不必考虑向 Drupal 添加更多逻辑。
我是 SAS 扩展器的新手,我正在努力把事情做好。我了解 SAS 扩展器在与支持扩展器的 SAS 控制器一起使用时,允许您利用控制器上支持的驱动器的全部容量。
但是,假设我有一个带有 4 个 SSF-8087 端口的 SAS 控制器,它本身可以支持 16 个磁盘。据我所知,我可以将这些端口中的每一个连接到扩展器以增加磁盘容量。
但是,SAS 控制器是否会“看到”所有磁盘,就像它们直接连接到控制器而不是通过扩展器一样。我可以将控制器视为网络中的交换机吗?我能否从扩展器 1 和扩展器 3 上的磁盘创建 RAID?
更新:
我真的没有需要使用 SAS 扩展器的特定项目。我只是好奇它们是如何工作的,并且正在考虑如果我将一个或多个 SAS 扩展器与在我们的一台服务器上运行的 LSI MegaRAID 控制器 (9260-16i) 一起使用,它会如何工作。但是,我并没有真正考虑过“本地”磁盘和另一个机箱中的磁盘之间的区别。LSI MegaRAID 控制器有 4 个 SFF-8087 端口,这使其能够容纳 16 个驱动器。
我有一个在服务器上运行的 LSI MegaRAID 9260-16i 卡,它一直在记录错误
Controller ID: 0 Transient error detected while communicating with PD: -:-:1
我在任何地方(文档、谷歌、论坛等)都找不到关于此消息的任何信息。这条消息是什么意思?
使用 rsnapshot 进行备份时,“ [...] 我们首先将以前的备份复制到并行目录结构中,创建所有目录并为所有文件建立硬链接。” . 这一切都很好。
我假设这意味着初始备份将永远保留?“较新”的备份只会(通过硬链接)指向较旧的备份,所以我假设任何给定的硬链接指向的实际文件需要永远保留才能不破坏东西?
这个假设对吗?