Nuno's questions

假设我docker-subdomain.mydomain.com指向 Docker 容器中的网站，并host-subdomain.mydomain.com指向主机本身中的网站。这两个网站都在相同的主机和 IP 地址中。

当 Docker 内部的 PHP 代码docker-subdomain.mydomain.com调用，并记录调用者的 IP 地址时，它似乎是一个以“172.”开头的 IP 地址，这意味着它是 docker 容器的私有 IP 地址curl。host-subdomain.mydomain.comhost-subdomain.mydomain.com

我想知道如何使用私有 IP 地址，如果 DNShost-subdomain.mydomain.com是公共 IP，那么我认为它会使用外部接口进行连接？（就像当 PHP 脚本curl在 Docker 外部的主机本身中执行时发生的那样）

Docker如何知道host-subdomain.mydomain.com指向同一个主机？

--

注意：我不是在问如何绕过/改变这种行为——我只是好奇，因为它正在做我想做的事情，但我不明白为什么。

在我拥有的带有 HDD 或 SSD 的服务器上，我有一个定期运行的 cron：

/usr/sbin/smartctl --test=short/long /dev/sd1

（对于每个磁盘）

当它运行时，它只是查看 的输出/usr/sbin/smartctl -c /dev/sd1，循环直到它不再包含：

[0-9]+% of test remaining.

然后检查它是否在没有错误的情况下完成：

(   0)  The previous self-test routine completed

但是，从 7.0 版开始，它似乎smartctl还不支持对 NVMe 的测试，并且按照：https ://www.smartmontools.org/wiki/NVMe_Support

它确实说

smartd 守护进程跟踪运行状况 (-H)、错误计数 (-l error) 和温度 (-W DIFF,INFO,CRIT)

但实际运行测试的是什么？除非我们运行短/长测试，否则我不确定是否输出-H和更新？-l

我也读过关于nvme-cli，但我似乎没有找到用它在磁盘上运行健康测试的方法。

有任何想法吗？

在这里使用 CentOS 7。

ServerA 需要有一个 ServerB 的目录挂载在一个位置，具有写权限。

为此，我一直在使用 SSHFS。我发现 SSHFS 非常稳定（100% 可靠），而 NFS 不是那么稳定，除了很难配置，而且默认情况下会公开，等等......

使用 SSHFS，我必须在 ServerB 上创建一个本地用户，并将其私钥放在 ServerA 上，以设置挂载。

但是，如果有人入侵了 ServerA，黑客将能够通过使用该用户及其私钥登录到 ServerB 来访问 ServerB 上任何地方可能具有“其他”读取权限的任何目录/文件。

有什么办法可以防止这种情况，让这个用户可以访问的唯一目录就是需要挂载在ServerA上的目录吗？

我正在研究设置 smartmontools。

我想控制测试何时运行。我正在考虑跑步：

/usr/sbin/smartctl --test=short /dev/sdX (每周)
/usr/sbin/smartctl --test=long /dev/sdX (每月)

如果发现错误，请发送电子邮件/警报。

1）我是否正确地说，如果我在 cron 中设置了上述内容，我不需要在后台运行“smartd”守护进程？

2）如果我运行上面的测试并禁用“smartd”，启用离线数据收集有什么好处吗？

3) 困扰我的最后一件事是，我在文档中看到启用/禁用 --smart、--offlineauto 和 --saveauto 的命令在 ATA 规范中被列为过时。这是否意味着所有这些功能在 ATA 设备上都已过时/无用？

在每次启动时，我的机器（CentOS 7）都会安装所有这些：

# df -h
Filesystem      Size  Used Avail Use% Mounted on
/dev/sda1        30G  2.6G   28G   9% /
devtmpfs        287M     0  287M   0% /dev
tmpfs           294M     0  294M   0% /dev/shm
tmpfs           294M   34M  261M  12% /run
tmpfs           294M     0  294M   0% /sys/fs/cgroup

但我的 /etc/fstab 只包含这些：

# cat /etc/fstab
UUID=823db525-82d9-467e-acdf-7379cbd85171 /    xfs     defaults        0 0

“tmpfs”的所有挂载都将在哪里定义？
我在哪里可以配置它们的尺寸？

如果我在 /etc/fstab 中添加更多条目，例如：

tmpfs       /dev/shm     tmpfs   defaults,noatime      0 0

这会导致与启动时已经安装的任何设置发生冲突吗？

我有一台设置为 RAID 1 的繁忙服务器。该应用程序（在 PHP 中运行）对数据库 (MariaDB) 的读/写非常密集。

一个 cronjobsmartctl每天运行一个简短的测试并检查 和 的smartctl -H输出mdadm -D。

有时我想运行一个长时间的测试，但我担心它对性能的影响。我读到它可能需要几个小时才能完成。如果它在运行时导致服务器性能下降，我的用户将受到 5 个多小时的影响。

所以，这里有几个问题：

1) 长时间的智能测试通常会影响对用户重要的性能吗？

2) 由于我有 RAID 1 并进行了短期测试，是否还需要长期测试？

3) 如果我发现长时间测试对服务器性能造成问题，有没有办法停止它？

tcp_rfc1337 设置似乎有 TIME-WAIT 暗杀的解决方案。

第一个问题是旧的重复数据可能在新连接中被错误地接受，导致发送的数据损坏。
第二个问题是，由于旧的重复数据包进入新的连接，连接可能会变得不同步并进入 ACK 循环，这将变得不同步。
第三个也是最后一个问题是旧的重复数据包可能会错误地进入新建立的连接并终止新连接。

从我读到的内容来看，为了解决问题，该设置所做的是在套接字处于其 TIME-WAIT 状态时忽略 RST (reset) 数据包。

那么，为什么默认情况下不启用此设置？使用这个有什么缺点？

当我研究阻止 SYN 泛洪攻击时，我实际上了解了这个变量。您认为此设置有助于阻止它们吗？

我想编写一个脚本，在我遇到 SYN 泛滥时获取我需要的所有统计信息（顶级 IP、使用的内存、netstat 等），并写入报告文件。

那么，当内核警告“端口 XXX 上可能出现 SYN 泛滥”时，是否可以触发脚本/命令？

6 月 27 日 22:12:21 xxxx 内核：[xxxx.xxxx] 端口 443 上可能发生 SYN 泛洪。发送 cookie。6 月 27 日 22:13:22 xxxx 内核：[xxxx.xxxx] 端口 443 上可能出现 SYN 泛洪。发送 cookie。6 月 27 日 22:14:25 xxxx 内核：[xxxx.xxxx] 端口 443 上可能发生 SYN 泛洪。发送 cookie。

我的网站一直有几个在线用户。服务器使用 Apache/PHP、数据库和 Memcached。在正常使用时，该应用程序运行良好且快速。

但是，服务器有时会出现“SYN 泛洪”攻击。我真的相信/怀疑这些是故意的，而不是由我们的合法用户造成的。（当有些人注册新帐户并试图制造麻烦时，它们似乎会发生）

6 月 27 日 22:12:21 xxxx 内核：[xxxx.xxxx] 端口 443 上可能发生 SYN 泛洪。发送 cookie。6 月 27 日 22:13:22 xxxx 内核：[xxxx.xxxx] 端口 443 上可能出现 SYN 泛洪。发送 cookie。6 月 27 日 22:14:25 xxxx 内核：[xxxx.xxxx] 端口 443 上可能发生 SYN 泛洪。发送 cookie。

不幸的是，当这种情况发生时，我的整个流量都会受到影响：

[2016 年 6 月 27 日星期一 22:15:28.842067] [mpm_event:error] [pid 12022:tid 132875292207712] AH00485：记分牌已满，不在 MaxRequestWorkers

我的 MaxRequestWorkers 是 600。过去我已经增加了几次。
最近我也增加到net.ipv4.tcp_max_syn_backlog了ListenBackLog5000。
我的服务器有 16GB RAM 和 1Gbps 带宽。

我很不高兴似乎有人可以轻松控制我的网站是否存在。
可以做些什么来阻止这种情况？

另外，netstat现在似乎给了我连接到服务器的 IP。
是否有可能在过去的特定时间获得顶级 IP？