GNUer's Blog

使用docker machine创建swarm集群 准备干净的vm模版，clone出4台。ip规划如下 enp0s3 外网网卡，桥接模式，dhcp enp0s8 内网网卡，bridge到bridge0(192.168.1.1/24) 打通centos-console 到其他几个服务区的信任登陆 centos-console 192.168.1.10 centos-test1 …

用iptables对访问特定地址的端口做转换 公司内有1个巨老的系统，一直访问着我们提供的老API。当我们的API升级后因为新接手这个老系统的人都没法去升级调用API的接口。 因为自己这边负责的API回滚的代价太大，临时在老的服务器上换了1个端口把老的API启动起来。并提供了1个iptables供对方服务器重定向访问的端口。 源ip：10.1.1.1 API IP：192.168.1.1 API …

sysdig入门之DNS/NTP分析 sysdig是个小巧的系统诊断工具。一方面可以帮助排查应用的瓶颈，另外一方面也可做异常排查的诊断工具观察进程的一些行为。 以前一直有个问题困扰着我，大量老机房下线时，基础的DNS服务下线非常麻烦。虽然能在dns服务器上抓包查看client段的ip并刷新client机器的resolv.conf配置，但是很多应用需要重启才能使用新的resolv.conf内的DNS …

openssh 开启sftp日志 默认情况下，连接sftp服务器(openssh内建的sftp server)时在服务器只能留下一个登陆连接的信息。为了便于知晓在一段时间内到底有哪些客户端来访问过本地的文件，可以通过调整sftp的日志。 修改/etc/ssh/sshd_config，在sftp配置行添加”-l INFO” 完成配置 # override default of no …

saltstack 定时任务设置 在使用salt做配置管理的时候，有时希望minion上能自动执行特定sls定义的动作，这个时候可以借助schedule来做。 在pillar内定义好schedule的内容 schedule: dnsmaster: function: state.sls args: - dns.dnsmaster seconds: 10 pillar的top.sls里定义某 …

filter-aaaa测试 近期内部的递归服务器上有大量的AAAA查询，因为一些非主流NS的不响应AAAA记录，使得递归服务器上递归量比较大。 bind9内开始支持filter-aaaa-v4/v6，主要的作用其实只是对相应的报文里作删除AAAA记录（如有）。单独验证了一下 filter-aaaa-on-v4 1.1 默认为no 如果有AAAA记录会全量返回 AAAA记录 如果没AAAA记录返 …

bind rpz使用注意事项 bind rpz和rrl作为bind 10里默认包含的2个模块，为bind的安全提供了有力的支撑。但实际使用不当会事得其反。 [ response-policy { zone zone_name [ policy (given | disabled | passthru | drop | nxdomain | nodata | cname domain) ] [ …

使用iptables过滤特定域名请求 参考网上找的资料，写了一个简单的脚本，输入域名可以生成使用iptables封禁dns请求的规则，使用于内部递归dns的一些基本防护。 #!/bin/bash create_iptables(){ name=$1 string=$( echo $name|awk -F '.' …

升级http 2.0 近两年tengine和nginx的在新特性的支持上差距越来越大。处于尝试新事物的好奇，动手升级到nginx-1.9.9。整个过程非常曲折，不再细说。。 主要的配置差异实际很小 listen 443 ssl so_keepalive=on spdy; 改为 listen 443 ssl so_keepalive=on http2; 但是因为之前开启 …

dns glue引起的异常排除 近期内部开发反馈某些合作方的域名无法解析。团内同事分析发现这些域名都是托管在相同的一个域名厂商上,而且都是刷新cache后刚开始能解析，过段时间不能解析。 efly.cc bhc888.net 直接dig的时候返回信息如下 ; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> efly.cc …