user784637's questions

我正在使用 AWS 网络负载均衡器。当我发出nslookup dualstack.app.elb.us-east-2.amazonaws.com时，输出是

Non-authoritative answer:
Name:   dualstack.app.elb.us-east-2.amazonaws.com
Address: 3.xxx.xxx.176
Name:   dualstack.app.elb.us-east-2.amazonaws.com
Address: 18.xxx.xxx.40

我注意到这些 IP 中的每一个都位于不同的可用区域中，并且一次只有一个 IP 有效。dualstack.app.elb.us-east-2.amazonaws.com/healthcheck向via发出请求curl只有一半的时间有效。但是，从我的浏览器发出相同的请求 100% 的时间都有效，因为 chrome 有自己的处理循环 DNS 的方法（相关：https ://serverfault.com/a/774411，https : //serverfault.com /a/852421 )

这是 NLB 的预期行为，即当存在多个 IP 时，一次只有一个 IP 可以工作？

我为我的 puppetmaster 创建了一个 A 记录。如果这个 ip 地址上的 puppetmaster 出现故障，我必须从新的 ip 地址生成一个新的，我可以将与 A 记录中的主机名关联的 ip 地址更改为新框的地址。

我希望我的所有 puppetclients 都能够仅通过 A 记录中的主机名连接到新的 puppetmaster。

$ dig puppetmaster.mywebsite.com

;; ANSWER SECTION:
puppetmaster.mywebsite.com.  300     IN      A       1.2.3.4

我的客户有主机名puppetclient-01，我的主人有主机名puppetmaster

在我的 puppet 客户端上，我没有将主机名解析为puppetmaster特定 IP 的条目，/etc/hosts因为如果puppetmaster出现故障并且我必须从新 ip 启动新的 puppet master，我想避免更改/etc/hosts客户端中的所有文件。

在我对默认值所做的唯一更改中，添加了/etc/puppet/puppet.conf这个puppetclient-01

[agent]
server = puppetmaster.mywebsite.com

在puppetclient-01我运行这个

root@puppetclient-01:~# puppet agent --test
info: Creating a new SSL key for puppetclient-01
info: Caching certificate for ca
info: Creating a new SSL certificate request for puppetclient-01
info: Certificate Request fingerprint (md5): 12:34:56:78:CB:81:62:2E:5F:AB:40:54:D0:A1:37:95
Exiting; no certificate found and waitforcert is disabled

然后puppetmaster我运行这个

oot@puppetmaster:~# puppetca --sign puppetclient-01
notice: Signed certificate request for puppetclient-01
notice: Removing file Puppet::SSL::CertificateRequest puppetclient-01 at '/var/lib/puppet/ssl/ca/requests/puppetclient-01.pem'

然后puppetclient-01当我尝试木偶奔跑时

root@puppetclient-01:~# puppet agent --test
info: Caching certificate for puppetclient-01
err: Could not retrieve catalog from remote server: Server hostname 'puppetmaster.mywebsite.com' did not match server certificate; expected puppetmaster
warning: Not using cache on failed catalog
err: Could not retrieve catalog; skipping run
err: Could not send report: Server hostname 'puppetmaster.mywebsite.com' did not match server certificate; expected puppetmaster

为什么我会收到错误消息Server hostname 'puppetmaster.mywebsite.com' did not match server certificate; expected puppetmaster？

我需要在etc/puppet/puppet.conf客户端或主机上更改任何指令以使其正常工作吗？

我正在使用 nagios check_load 插件。

我有以下行/etc/nagios/nrpe.cfg

command[check_load]=/usr/lib/nagios/plugins/check_load -w $ARG1$ -c $ARG2$

在我的 icinga 服务器上，/etc/icinga/objects/localhost_icinga.cfg我有以下服务定义

define service{
        use                             generic-service
        host_name                       prod-01
        service_description             Prod Load
        check_command                   check_nrpe!check_load!15,10,5!30,25,20
}

当我检查我的 icinga 仪表板时，它将此检查列为粉红色的未知错误。我需要更改配置以使一切正常工作吗？

这是我的一个片段/etc/puppet/puppet.conf

[main]
modulepath = /etc/puppet

当我尝试在init.pp文件中使用此路径时出现错误

etc/puppet/modules/fangs/manifests# puppet apply init.pp
err: /Stage[main]//File[/tmp/test]: Could not evaluate: Could not retrieve information
from environment production source(s) puppet:///modules/fangs/files/sample.txt at /etc/puppet/modules/fangs/manifests/init.pp:7
notice: Finished catalog run in 0.05 seconds

这是我的init.pp文件的内容

file { '/tmp/test':
    ensure => file,
    mode => '0777',
    source => "puppet:///modules/fangs/files/sample.txt",
#    source => "/etc/puppet/modules/fangs/files/sample.txt",
}

当我使用source => "/etc/puppet/modules/fangs/files/sample.txt",带有完整文件路径而不是模块路径的注释源时，它可以正常运行puppet://。

如何修复我的模块路径以确保它正常工作？

我注意到在许多跟踪路由中，当* * * Request timed out出现在中间跳的某个地方时，数据包能够到达后续设备。

  3    13 ms     8 ms     9 ms  pos-0-3-0-0-cr01.newyork.ny.ibone.comcast.net [68.86.90.57]
  4    95 ms   100 ms     9 ms  xe-10-1-0.edge1.NY.exampleISP1.net [10.78.169.45]
  5     *        *        *     Request timed out.
  6   809 ms   808 ms     * ms  nyc-core-01.inet.example2.com [192.168.33.10]

在第 5 跳，当请求超时时，数据包怎么可能到达第 6 台设备？我假设“* * * 请求超时”意味着第 5 个设备由于某种原因无法访问（例如，它不接受 icmp 数据包。）

我正在运行 centos 5.8 并试图确定正在运行的守护进程。

我以 root 用户身份登录，但是当我输入service --status-all或chkconfig --list得到bash: service: command not found.

如何确定正在运行的守护进程？

我开始在centos上使用puppet并且对一些事情感到困惑。首先，手册页存在puppet-master但不存在，puppetmaster即使 /etc/init.d 中的守护进程是puppetmaster

运行命令$ puppet-master --version返回 bash: puppet-master: command not found。

我如何知道我正在为主服务器和客户端运行什么版本？

我可以使用创建实例时生成的私钥 .pem 以 root 用户身份 ssh 进入 ec2 实例。

$ ssh -i Desktop/key.pem [email protected]

然后我创建了一个新用户

$ useradd dummy

当我运行以下命令以虚拟用户身份登录时

$ ssh -i Desktop/key.pem [email protected]

我收到以下错误

Permission denied

如何以虚拟用户身份 ssh 进入新实例？

/etc/hosts我在 ubuntu 12.04 机器上有以下文件

127.0.0.1 localhost
10.248.27.66 ec2-50-112-220-110.us-west-2.compute.amazonaws.com puppetmaster

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

但是 host 命令不能puppetmaster正确解析名称，而 telnet 命令可以

root@ip-10-248-34-162:/home/ubuntu# host puppetmaster
Host puppetmaster not found: 3(NXDOMAIN)

root@ip-10-248-34-162:/home/ubuntu# telnet puppetmaster 8140
Trying 10.248.27.66...
Connected to ec2-50-112-220-110.us-west-2.compute.amazonaws.com.
Escape character is '^]'.

为什么主机命令不解析 /etc/hosts 中的条目？

我开始使用以下指南在 ec2 上使用 puppet。

https://help.ubuntu.com/12.04/serverguide/puppet.html

在最后一步，当我尝试从 puppet master 签署 puppet 客户端时，出现以下错误

root@ip-10-248-27-66:/home/ubuntu# puppetca --sign ec2-54-245-56-210.us-west-2.compute.amazonaws.com
err: Could not call sign: Could not find certificate request for ec2-54-245-56-210.us-west-2.compute.amazonaws.com

这是/etc/hosts人偶大师的输出

127.0.0.1 localhost puppetmaster
10.248.34.162 ec2-54-245-56-210.us-west-2.compute.amazonaws.com puppet

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

这是/etc/hosts木偶客户端上的输出

127.0.0.1 localhost
10.248.27.66 ec2-50-112-220-110.us-west-2.compute.amazonaws.com puppetmaster

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

我遵循了此处的故障排除建议https://serverfault.com/a/388973/85577

楼主跑了吗

root@ip-10-248-27-66:/home/ubuntu# service puppetmaster status
 * master is running

主机名“puppet”或“puppet.abc.com”是否从代理解析？

我将如何检查这个？我是否只是通过 telnet 连接到puppetmaster端口 8140（主机命令无法解决问题，但 telnet 命令可以）？

root@ip-10-248-34-162:/home/ubuntu# host puppetmaster
Host puppetmaster not found: 3(NXDOMAIN)

主服务器上的 TCP 端口 8140 是否可以从代理访问（尝试：telnet puppet 8140）？

root@ip-10-248-34-162:/home/ubuntu# telnet puppetmaster 8140
Trying 10.248.27.66...
Connected to ec2-50-112-220-110.us-west-2.compute.amazonaws.com.
Escape character is '^]'.

代理上的系统日志说什么？

Apr 11 17:57:41 ip-10-248-34-162 puppet-agent[3897]: Could not request certificate: getaddrinfo: Name or service not known

在代理上尝试 puppet agent --test，它将尝试连接到 master 并留在前台以显示输出。

root@ip-10-248-34-162:/home/ubuntu# puppet agent --test
err: Could not request certificate: getaddrinfo: Name or service not known
Exiting; failed to retrieve certificate and waitforcert is disabled

编辑

感谢 dawud，因此/etc/hosts根据此命令输入的条目是正确的

$ getent hosts puppetmaster
10.248.27.66 ec2-50-112-220-110.us-west-2.compute.amazonaws.com puppetmaster

但是当我尝试这个时我得到一个错误

$ puppet agent --test --waitforcert 5
err: Could not request certificate: Connection refused - connect(2)
err: Could not request certificate: Connection refused - connect(2)

我很好奇StrictHostKeyChecking=no命令中的选项ssh -o StrictHostKeyChecking=no user@domain。

设置此选项是否会影响创建 SSH 连接的速度？

有没有办法确定您从浏览器访问的 ec2 实例的 IP 地址？

弹性负载均衡器的粘性可以设置为三个选项之一

1. 禁用粘性
2. 启用负载均衡器生成的 Cookie 粘性
3. 启用应用程序生成的 Cookie 粘性

2) 和 3) 之间有什么区别？

适用于 www.mysite.com 或 mysite.com 的 RewriteCond 是什么？

我试过了，但我的浏览器出现重定向错误

RewriteCond %{HTTP_HOST} ^(www\.mysite|mysite)\.com [NC]

编辑

<Directory /var/www/maintenance/public_html>
        Options +FollowSymlinks
        RewriteOptions inherit
        RewriteEngine on
        #
        RewriteCond %{HTTP_HOST} ^example\.com$ [NC]
        RewriteRule ^ http://www.example.com/ [R=301,L]

        RewriteCond %{HTTP_HOST} ^www.example\.com$ [NC]
        RewriteRule ^/. http://www.example.com/ [R=301,L]
</Directory>

我有两个两个文件/etc/apache2/sites-available/foo和/etc/apache2/sites-available/foo_maintenance

我使用的重写规则/etc/apache2/sites-available/foo是

<Directory /var/www/public_html>
        Options +FollowSymlinks
        RewriteOptions inherit
        RewriteEngine on
        #
        RewriteCond %{HTTP_HOST} ^mysite\.com [NC]
        RewriteRule ^(.*)$ http://www.mysite.com/$1 [R=301,L]
</Directory>

这样所有mysite.com/*重定向到www.mysite.com

在我关闭网站进行维护后，如果用户导航到网站的子页面，如 mysite.com/subdir/something.php，我想将他们重定向到 www.mysite.com，以便维护的 index.html页面将被显示。

将所有流量从任何子页面重定向到的重写规则是什么www.mysite.com？

什么是 Filesmatch 的正确正则表达式以防止访问除系统管理员指定的少数文件之外的所有文件？

这是我得到的最接近的单个文件。但不幸的是，该指令允许访问与foo.php.

<FilesMatch "^(?!foo\.php)$">    
      deny from all
</FilesMatch>

例如，如果上面的指令设置在bar.htm同一目录中，那么foo.php某人可以从中访问它www.mysite.com/bar.htmhttpd.conf

有人可以给我一个例子，说明如何防止在单个 FilesMatch 指令中访问除以下文件以外的所有文件吗？

• foo.php
• 栏.htm
• 其他/somestuff.js

我目前拒绝访问除该文件外的所有子目录和文件 /var/www/subdir/file.php

<Directory /var/www/*>
    Allow from None
    Order allow,deny
</Directory>

<Location /subdir/file.php>
      Order allow,deny
      allow from all
</Location>

我怎样才能保护这个文件htpasswd？我尝试了以下语法，但没有用：

<Directory /var/www/*>
    Allow from None
    Order allow,deny
</Directory>

<Location /subdir/file.php>
      Order allow,deny
      allow from all

      AuthType Basic
      AuthName "Restricted Access"
      AuthUserFile /var/www/private_html/passwords/allowed-users
      Require user me
</Location>

编辑 这是我的整个httpd.conf文件

<Directory /var/www/public_html/*>
        Allow from None
        Order allow,deny
</Directory>

<Location /hello1.php>

        AuthType Basic
        AuthName "Restricted Access"
        AuthUserFile /var/www/private_html/passwords/allowed-users
        Require user me

        SetEnvIf Request_URI "(/hello1.php)$" allow

        Order allow,deny
        Allow from env=allow
        Satisfy any

</Location>

我正在阻止对文件的所有访问

<Directory /var/www/*>
    Allow from None
    Order allow,deny
</Directory>

除了以下两个文件

<Location /subdir/file.php>
      Order allow,deny
      allow from all
</Location>


<Location /subdir2/file2.php>
      Order allow,deny
      allow from all
</Location>

有什么办法可以允许从同一个指令访问这两个文件

<Location /subdir/file.php, /subdir2/file2.php>
      Order allow,deny
      allow from all
</Location>

所以我不需要<Location>为每个文件创建一个新指令

我目前拒绝使用以下访问所有子目录和文件

<Directory /var/www/*>
    Allow from None
    Order allow,deny
</Directory>

我将如何添加例外以允许访问具有路径的文件/var/www/subdir/file.php

据我了解，AMI 包含系统的所有文件，包括已编译的内核。

从快照创建 AMI 时，您可以指定内核 ID（例如 aki-*）。那么为什么在从已经指定了内核 ID 的 AMI 启动实例时需要指定内核 ID？