如何让SElinux和Docker并存

作为Redhat/Centos/Fedora 系的Linux特性之一,SElinux是一个相对简单易用安全管理工具。具体的细节我们这边就先不展开,简单的举个例子就是,假设现在某个网站的漏洞允许用户上传一个页面文件(比如php文件)到任意目录,如果有了SELinux的保护,不同的MAC权限保证了上传的文件依然无法被执行。

继续阅读“如何让SElinux和Docker并存”
推荐阅读:
自打从硬件方向研究性能优化起,
之前我们通过几个概念简单的介绍
这一段时间,凡是提及容器技术的

硬件中断问题和性能优化

自打从硬件方向研究性能优化起,感觉自己入了一个大坑。很多原来看起来都是天经地义的调用个接口就搞定的事儿,现在都有了不得不吐的槽。OK,这次就从硬件中断说起。

首先,啥是硬件中断?作为一个经历过非即插即用时代的老人来说,之前的硬件板卡安装之前都需要配置IRQ跳线来支持,每个硬件在系统中都有一个唯一的IRQ编号用于通讯。打个比方,一块网卡在收到了网络信号之后(仅仅是信号,还不能用”数据包“来称呼),主动发送中断到CPU;而CPU将会立即停下手边的活以便对这个中断信号进行分析。这是一种类似推送的机制。

继续阅读“硬件中断问题和性能优化”

推荐阅读:

之前我们通过几个概念简单的介绍

这一段时间,凡是提及容器技术的

Kubernetes的部署

之前我们通过几个概念简单的介绍了一下K8S的架构。这次我们就从头开始完成一个2节点(1 master,1 node)的K8S集群的安装部署。我的部署是通过两台Centos7的虚拟机实现的,他们的IP为192.168.0.1~2。

继续阅读“Kubernetes的部署”

推荐阅读:

自打从硬件方向研究性能优化起,

这一段时间,凡是提及容器技术的

容器和虚机

这一段时间,凡是提及容器技术的话题总会成为热门。外界的声音似乎一致认为容器技术,或者说docker.com推出的,通过简单的docker命令管理和使用的,从docker image部署出来的docker 容器(真绕!)将会成为下一个取代各式虚拟机的技术。事实真的如此吗?

继续阅读“容器和虚机”

推荐阅读:

自打从硬件方向研究性能优化起,

之前我们通过几个概念简单的介绍

从Ganglia故障说起

ganglia是现在市面上比较流行的一个集群健康状态监控系统。它能够提供一整套的图形化报表用以完整的监控集群中各个节点的CPU/内存/网络以及其他需要监控的信息。

这次呢是我们搭建的一套环境,通过ganglia监控,但看似所有的配置都正确,可ganglia的前端主机(web-front)始终无法得到应有的数据。

继续阅读“从Ganglia故障说起”

推荐阅读:

自打从硬件方向研究性能优化起,

之前我们通过几个概念简单的介绍

Linux下连接trunk端口

将vlan用于网络管理是非常普遍的情况。当然通常情况下说,既然划分了vlan,势必要求的是各个vlan之间的相对隔离。你可以通过双网卡或多网卡的dual house实现对于多个vlan的访问——尽管这是网络安全的大忌。在某些应用场景下实现n多vlan的同时访问,用网卡铺的方式是不现实的,这就要求主机必须有直接连接trunk端口并在内部自己进行vlan的管理。 继续阅读“Linux下连接trunk端口”

推荐阅读:

自打从硬件方向研究性能优化起,

之前我们通过几个概念简单的介绍

几个端口转发的例子

很多情况下,我们往往需要通过对某个端口进行转发(端口映射)实现某些特殊功能,比如堡垒机和负载均衡什么的。在这里我就稍微总结了几种最常用的端口转发方式供大家参考。

继续阅读“几个端口转发的例子”

推荐阅读:

自打从硬件方向研究性能优化起,

之前我们通过几个概念简单的介绍

一个被诅咒的IP

想必各位平时在用任何网络设备的时候,或多或少的都遇到过IP变成了169.254.x.x段IP的情况,这个网段的一个共同特点是无法连接到外网,如果你恰好用的是windows操作系统的话,这时会发现网络连接状态会有一个黄色的惊叹号弹出。这个网段的IP真的是被诅咒了吗?

继续阅读“一个被诅咒的IP”

推荐阅读:

自打从硬件方向研究性能优化起,

之前我们通过几个概念简单的介绍

说说chattr / lsattr

今天有个同事在配置Apache+SSL时遭遇了“root也无法删除的文件”,我一下子想到了一个很容易让人忽视的问题。

如果说Linux下的文件有哪些权限控制策略,初学者很容易的就会说是ACL 用户+权限系统;不上来就“关闭SELinux”的同学就会反应到SElinux这套“强制ACL”(mandatory access control)系统;然而即便知道也很难一下子想出来的是这套文件属性系统,从某种层面上也可以实现文件权限控制。

继续阅读“说说chattr / lsattr”

推荐阅读:

自打从硬件方向研究性能优化起,

之前我们通过几个概念简单的介绍

syslog-ng+mongodb构建集中日志服务

之前写过一篇关于syslog的东西,同时,对于mongodb来说,本站的介绍也不少,MongoDB一直是站长Litrin又爱又恨的no-sql数据库。

上次也说过,做一个集中化的日志系统,最为主要的优势在于它非常容易做日志分析和挖掘,而且对于松散的日志数据来说MongoDB又是一个很好的数据容器。说实话,Litrin很久之前就苦于自己写脚本将日志文件拆分后导入Mongo中进行数据分析,非常不方便。直到前些日子研究了一下syslog-ng,果然有人实现了这个插件——syslog直接写数据到MongoDB!

继续阅读“syslog-ng+mongodb构建集中日志服务”

推荐阅读:

自打从硬件方向研究性能优化起,

之前我们通过几个概念简单的介绍