还没想好用什么标题
这是一个专题 记录学习python标准库的笔记及心得
简单http服务 SimpleHTTPServer
使用 python -m SimpleHTTPServer 默认启动8000端口
源码:
1 | """Simple HTTP Server. |
接收GET,HEAD请求
先判断是否是目录,目录不加/会重定向,默认显示目录下的index.html/index.htm文件,如果没有上述文件将目录下文件列表显示
copyfile函数调用shutil基本库,以后再介绍
利用MIME进行文件类型判断
title: 迁移cnblog博客
date: 2018-03-18
categories: cnblogs
tags: life
写博客最怕就是这种迁来迁去的,太麻烦了
还好老早就使用markdown编写,纯文本直接复制就可以了,格式不会差到哪去的,最低的保障有了可是还是很麻烦
在cnblogs后台控制面板找到 博客备份, 这个可以将所有博客导出到一个xml文件中,确实方便了很多,感谢cnblogs
后面就是各自用办法解析xml的问题了
我这里直接使用bash来解析这个xml文件
代码如下
1 | #!/bin/bash |
这里几个说明:
yum provides xmllint查看属于哪个包 (Repo: base, Name: libxml2)最后按每条博客的标题生成一个markdown文件
附注:
毕竟不是python这种可以完美处理xml,可能会对解析xml的命令感到不解
这里我主要参考:https://unix.stackexchange.com/questions/83385/parse-xml-to-get-node-value-in-bash-script
也可以参考man手册,我这里之前用–xpath提取标题,导致编码有问题,使用这种方式可以正常处理
我把测试文件附加上
1 | <?xml version="1.0"?> |
参考使用方式
1 | { |
zabbix监控
通过导入/导出zabbix配置文件,我们可以将自己写好的模板等配置在网络上分享,我们也可以导入网络上分享的配置文件,配置文件有两种格式,分为xml与json,通过zabbix管理界面可以导出xml,通过zabbix api可以导出json与xml格式配置。
1 | <?xml version="1.0" encoding="UTF-8"?> |
1 | <?xml version="1.0" encoding="UTF-8"?> |
1 | <zabbix_export> |
1 | <version>2.0</version> |
1 | <date>2015-02-09T05:58:54Z</date> |
configuration>>templates>>勾选需要导出的模板>>左下角下拉列表选择”Export selected”,点击Go,保存xml即可。
如下是我的一个测试模板内容
1 | <?xml version="1.0" encoding="UTF-8"?> |
与模板相关的数据都在xml里,它link的模板”Template OS Linux”并未导出。而是通过如下元素将他关联起来,下回导入还会link一次。
1 | <templates> |
通过此方式,大家可以互相共享配置文件,提高效率。
来源:https://linux.cn/article-9394-1.html
OpenSSH 是 SSH 协议的一个实现。一般通过 scp 或 sftp 用于远程登录、备份、远程文件传输等功能。SSH能够完美保障两个网络或系统间数据传输的保密性和完整性。尽管如此,它最大的优势是使用公匙加密来进行服务器验证。时不时会出现关于 OpenSSH 零日漏洞的传言。本文将描述如何设置你的 Linux 或类 Unix 系统以提高 sshd 的安全性。
OpenSSH 服务支持各种验证方式。推荐使用公匙加密验证。首先,使用以下 ssh-keygen 命令在本地电脑上创建密匙对:
1024 位或低于它的 DSA 和 RSA 加密是很弱的,请不要使用。当考虑 ssh 客户端向后兼容性的时候,请使用 RSA密匙代替 ECDSA 密匙。所有的 ssh 密钥要么使用 ED25519 ,要么使用 RSA,不要使用其它类型。
1 | $ ssh-keygen -t key_type -b bits -C "comment" |
示例:
1 | $ ssh-keygen -t ed25519 -C "Login to production cluster at xyz corp" |
下一步,使用 ssh-copy-id 命令安装公匙:
1 | $ ssh-copy-id -i /path/to/public-key-file user@host |
示例:
1 | $ ssh-copy-id vivek@rhel7-aws-server |
提示输入用户名和密码的时候,确认基于 ssh 公匙的登录是否工作:
1 | $ ssh vivek@rhel7-aws-server |
OpenSSH 服务安全最佳实践
更多有关 ssh 公匙的信息,参照以下文章:
禁用 root 用户登录前,确认普通用户可以以 root 身份登录。例如,允许用户 vivek 使用 sudo 命令以 root 身份登录。
允许 sudo 组中的用户执行任何命令。 将用户 vivek 添加到 sudo 组中:
1 | $ sudo adduser vivek sudo |
使用 id 命令 验证用户组。
1 | $ id vivek |
在 CentOS/RHEL 和 Fedora 系统中允许 wheel 组中的用户执行所有的命令。使用 usermod 命令将用户 vivek 添加到 wheel 组中:
1 | $ sudo usermod -aG wheel vivek |
测试并确保用户 vivek 可以以 root 身份登录执行以下命令:
1 | $ sudo -i |
添加以下内容到 sshd_config 文件中来禁用 root 登录:
1 | PermitRootLogin no |
更多信息参见“如何通过禁用 Linux 的 ssh 密码登录来增强系统安全” 。
所有的密码登录都应该禁用,仅留下公匙登录。添加以下内容到 sshd_config 文件中:
1 | AuthenticationMethods publickey |
CentOS 6.x/RHEL 6.x 系统中老版本的 sshd 用户可以使用以下设置:
1 | PubkeyAuthentication yes |
默认状态下,所有的系统用户都可以使用密码或公匙登录。但是有些时候需要为 FTP 或者 email 服务创建 UNIX/Linux 用户。然而,这些用户也可以使用 ssh 登录系统。他们将获得访问系统工具的完整权限,包括编译器和诸如 Perl、Python(可以打开网络端口干很多疯狂的事情)等的脚本语言。通过添加以下内容到 sshd_config 文件中来仅允许用户 root、vivek 和 jerry 通过 SSH 登录系统:
1 | AllowUsers vivek jerry |
当然,你也可以添加以下内容到 sshd_config 文件中来达到仅拒绝一部分用户通过 SSH 登录系统的效果。
1 | DenyUsers root saroj anjali foo |
你也可以通过配置 Linux PAM 来禁用或允许用户通过 sshd 登录。也可以允许或禁止一个用户组列表通过 ssh 登录系统。
你需要明确禁止空密码账户远程登录系统,更新 sshd_config 文件的以下内容:
1 | PermitEmptyPasswords no |
为密匙使用强密码和短语的重要性再怎么强调都不过分。暴力破解可以起作用就是因为用户使用了基于字典的密码。你可以强制用户避开字典密码并使用约翰的开膛手工具来检测弱密码。以下是一个随机密码生成器(放到你的 ~/.bashrc 下):
1 | genpasswd() { |
运行:
1 | genpasswd 16 |
输出:
1 | uw8CnDVMwC6vOKgW |
你需要更新 iptables/ufw/firewall-cmd 或 pf 防火墙配置来为 ssh 的 TCP 端口 22 配置防火墙。一般来说,OpenSSH 服务应该仅允许本地或者其他的远端地址访问。
更新 /etc/sysconfig/iptables (Redhat 和其派生系统特有文件) 实现仅接受来自于 192.168.1.0/24 和 202.54.1.5/29 的连接,输入:
1 | -A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT |
如果同时使用 IPv6 的话,可以编辑 /etc/sysconfig/ip6tables (Redhat 和其派生系统特有文件),输入:
1 | -A RH-Firewall-1-INPUT -s ipv6network::/ipv6mask -m tcp -p tcp --dport 22 -j ACCEPT |
将 ipv6network::/ipv6mask 替换为实际的 IPv6 网段。
UFW 是 Uncomplicated FireWall 的首字母缩写,主要用来管理 Linux 防火墙,目的是提供一种用户友好的界面。输入以下命令使得系统仅允许网段 202.54.1.5/29 接入端口 22:
1 | $ sudo ufw allow from 202.54.1.5/29 to any port 22 |
更多信息请参见 “Linux:菜鸟管理员的 25 个 Iptables Netfilter 命令”。
如果使用 PF 防火墙 /etc/pf.conf 配置如下:
1 | pass in on $ext_if inet proto tcp from {192.168.1.0/24, 202.54.1.5/29} to $ssh_server_ip port ssh flags S/SA synproxy state |
ssh 默认监听系统中所有可用的网卡。修改并绑定 ssh 端口有助于避免暴力脚本的连接(许多暴力脚本只尝试端口 22)。更新文件 sshd_config 的以下内容来绑定端口 300 到 IP 192.168.1.5 和 202.54.1.5:
1 | Port 300 |
当需要接受动态广域网地址的连接时,使用主动脚本是个不错的选择,比如 fail2ban 或 denyhosts。
TCP wrapper 是一个基于主机的访问控制系统,用来过滤来自互联网的网络访问。OpenSSH 支持 TCP wrappers。只需要更新文件 /etc/hosts.allow 中的以下内容就可以使得 SSH 只接受来自于 192.168.1.2 和 172.16.23.12 的连接:
1 | sshd : 192.168.1.2 172.16.23.12 |
在 Linux/Mac OS X 和类 UNIX 系统中参见 TCP wrappers 设置和使用的常见问题。
暴力破解是一种在单一或者分布式网络中使用大量(用户名和密码的)组合来尝试连接一个加密系统的方法。可以使用以下软件来应对暴力攻击:
netfilter 和 pf 都提供速率限制选项可以对端口 22 的传入速率进行简单的限制。
以下脚本将会阻止 60 秒内尝试登录 5 次以上的客户端的连入。
1 | #!/bin/bash |
在你的 iptables 脚本中调用以上脚本。其他配置选项:
1 | $IPT -A INPUT -i ${inet_if} -p tcp --dport ${ssh_port} -m state --state NEW -m limit --limit 3/min --limit-burst 3 -j ACCEPT |
其他细节参见 iptables 用户手册。
以下脚本将限制每个客户端的连入数量为 20,并且 5 秒内的连接不超过 15 个。如果客户端触发此规则,则将其加入 abusive_ips 表并限制该客户端连入。最后 flush 关键词杀死所有触发规则的客户端的连接。
1 | sshd_server_ip = "202.54.1.5" |
端口敲门是通过在一组预先指定的封闭端口上生成连接尝试,以便从外部打开防火墙上的端口的方法。一旦指定的端口连接顺序被触发,防火墙规则就被动态修改以允许发送连接的主机连入指定的端口。以下是一个使用 iptables 实现的端口敲门的示例:
1 | $IPT -N stage1 |
更多信息请参见:
Debian / Ubuntu: 使用 Knockd and Iptables 设置端口敲门
用户可以通过 ssh 连入服务器,可以配置一个超时时间间隔来避免无人值守的 ssh 会话。 打开 sshd_config 并确保配置以下值:
1 | ClientAliveInterval 300 |
以秒为单位设置一个空闲超时时间(300秒 = 5分钟)。一旦空闲时间超过这个值,空闲用户就会被踢出会话。更多细节参见如何自动注销空闲超时的 BASH / TCSH / SSH 用户。
更新 sshd_config 文件如下行来设置用户的警示标语:
1 | Banner /etc/issue |
/etc/issue 示例文件:
1 | ---------------------------------------------------------------------------------------------- |
以上是一个标准的示例,更多的用户协议和法律细节请咨询你的律师团队。
禁止读取用户的 ~/.rhosts 和 ~/.shosts 文件。更新 sshd_config 文件中的以下内容:
1 | IgnoreRhosts yes |
SSH 可以模拟过时的 rsh 命令,所以应该禁用不安全的 RSH 连接。
禁用基于主机的授权,更新 sshd_config 文件的以下选项:
1 | HostbasedAuthentication no |
推荐你使用类似 yum、apt-get 和 freebsd-update 等工具保持系统安装了最新的安全补丁。
默认设置下用户可以浏览诸如 /etc、/bin 等目录。可以使用 chroot 或者其他专有工具如 rssh 来保护 ssh 连接。从版本 4.8p1 或 4.9p1 起,OpenSSH 不再需要依赖诸如 rssh 或复杂的 chroot(1) 等第三方工具来将用户锁定在主目录中。可以使用新的 ChrootDirectory 指令将用户锁定在其主目录,参见这篇博文。
工作站和笔记本不需要 OpenSSH 服务。如果不需要提供 ssh 远程登录和文件传输功能的话,可以禁用 sshd 服务。CentOS / RHEL 用户可以使用 yum 命令 禁用或删除 openssh-server:
1 | $ sudo yum erase openssh-server |
Debian / Ubuntu 用户可以使用 apt 命令/apt-get 命令 删除 openssh-server:
1 | $ sudo apt-get remove openssh-server |
有可能需要更新 iptables 脚本来移除 ssh 的例外规则。CentOS / RHEL / Fedora 系统可以编辑文件 /etc/sysconfig/iptables 和 /etc/sysconfig/ip6tables。最后重启 iptables 服务:
1 | # service iptables restart |
如果使用 6.7+ 版本的 OpenSSH,可以尝试下以下设置:
1 | #################[ WARNING ]######################## |
使用以下命令获取 OpenSSH 支持的加密方法:
1 | $ ssh -Q cipher |
OpenSSH安全教程查询密码和算法选择
在重启 sshd 前检查配置文件的有效性和密匙的完整性,运行:
1 | $ sudo sshd -t |
扩展测试模式:
1 | $ sudo sshd -T |
最后,根据系统的的版本重启 Linux 或类 Unix 系统中的 sshd 服务:
1 | $ [sudo systemctl start ssh][38] ## Debian/Ubunt Linux## |
作者是 nixCraft 的创始人,一个经验丰富的系统管理员和 Linux/Unix 脚本培训师。他曾与全球客户合作,领域涉及 IT,教育,国防和空间研究以及非营利部门等多个行业。请在 Twitter、Facebook、Google+ 上关注他。
via: https://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
来自: https://linux.cn/article-9365-1.html?utm_source=index&utm_medium=more
理解 udev 背后的基本概念,学习如何写简单的规则。
中等
在 GNU/Linux 系统中,虽然设备的底层支持是在内核层面处理的,但是,它们相关的事件管理是在用户空间中通过 udev 来管理的。确切地说是由 udevd 守护进程来完成的。学习如何去写规则,并应用到发生的这些事件上,将有助于我们修改系统的行为并使它适合我们的需要。
udev 规则是定义在一个以 .rules 为扩展名的文件中。那些文件主要放在两个位置:/usr/lib/udev/rules.d,这个目录用于存放系统安装的规则;/etc/udev/rules.d/ 这个目录是保留给自定义规则的。
定义那些规则的文件的命名惯例是使用一个数字作为前缀(比如,50-udev-default.rules),并且以它们在目录中的词汇顺序进行处理的。在 /etc/udev/rules.d 中安装的文件,会覆盖安装在系统默认路径中的同名文件。
如果你理解了 udev 规则的行为逻辑,它的语法并不复杂。一个规则由两个主要的节构成:match 部分,它使用一系列用逗号分隔的键定义了规则应用的条件,而 action 部分,是当条件满足时,我们执行一些动作。
讲解可能的选项的最好方法莫过于配置一个真实的案例,因此,我们去定义一个规则作为演示,当鼠标被连接时禁用触摸板。显然,在该规则定义中提供的属性将反映我的硬件。
我们将在 /etc/udev/rules.d/99-togglemouse.rules 文件中用我们喜欢的文本编辑器来写我们的规则。一条规则定义允许跨多个行,但是,如果是这种情况,必须在一个换行字符之前使用一个反斜线(\)表示行的延续,就和 shell 脚本一样。这是我们的规则:
1 | ACTION=="add" \ |
我们来分析一下这个规则。
首先,对已经使用以及将要使用的操作符解释如下:
== 是相等操作符,而 != 是不等于操作符。通过使用它们,我们可以确认规则上应用的键是否匹配各自的值。
= 是赋值操作符,是用于为一个键赋值。当我们想要赋值,并且想确保它不会被其它规则所覆盖,我们就需要使用 := 操作符来代替,使用这个操作符分配的值,它就不能被改变。
+= 和 -= 操作符各自用于从一个指定的键定义的值列表中增加或者移除一个值。
现在,来分析一下在这个规则中我们使用的键。首先,我们有一个 ACTION 键:通过使用它,当在一个设备上发生了特定的事件,我们将指定我们要应用的规则的具体内容。有效的值有 add、remove 以及 change。
然后,我们使用 ATTRS 关键字去指定一个属性去匹配。我们可以使用 udevadm info 命令去列出一个设备属性,提供它的名字或者 sysfs 路径即可:
1 | udevadm info -ap /devices/pci0000:00/0000:00:1d.0/usb2/2-1/2-1.2/2-1.2:1.1/0003:046D:C52F.0010/input/input39 |
上面截取了运行这个命令之后的输出的一部分。正如你从它的输出中看到的那样,udevadm 从我们提供的指定路径开始,并且提供了所有父级设备的信息。注意设备的属性都是以单数的形式报告的(比如,KERNEL),而它的父级是以复数形式出现的(比如,KERNELS)。父级信息可以做为规则的一部分,但是同一时间只能有一个父级可以被引用:不同父级设备的属性混合在一起是不能工作的。在上面我们定义的规则中,我们使用了一个父级设备属性:idProduct 和 idVendor。
在我们的规则中接下来做的事情是,去使用 ENV 关键字:它既可以用于设置也可以用于去匹配环境变量。我们给 DISPLAY 和 XAUTHORITY 分配值。当我们使用 X 服务器程序进行交互去设置一些需要的信息时,这些变量是非常必要的:使用 DISPLAY 变量,我们指定服务器运行在哪个机器上,用的是哪个显示和屏幕;使用 XAUTHORITY 提供了一个文件路径,其包含了 Xorg 认证和授权信息。这个文件一般位于用户的家目录中。
最后,我们使用了 RUN 字:它用于运行外部程序。非常重要:这里没有立即运行,但是一旦所有的规则被解析,将运行各种动作。在这个案例中,我们使用 xinput 实用程序去改变触摸板的状态。我不想解释这里的 xinput 的语法,它超出了本文的范围,只需要注意这个触摸板的 ID 是 16。
规则设置完成之后,我们可以通过使用 udevadm test 命令去调试它。这个命令对调试非常有用,它并不真实去运行 RUN 指定的命令:
1 | $ udevadm test --action="add" /devices/pci0000:00/0000:00:1d.0/usb2/2-1/2-1.2/2-1.2:1.1/0003:046D:C52F.0010/input/input39 |
我们提供给命令的是使用 --action 选项,以及设备的 sysfs 路径的模拟动作。如果没有报告错误,说明我们的规则运行的很好。要在真实的环境中去使用它,我们需要重新加载规则:
1 | # udevadm control --reload |
这个命令将重新加载规则文件,但是,它只对重新加载之后发生的事件有效果。
我们通过创建一个 udev 规则了解了基本的概念和逻辑,这只是 udev 规则中众多的选项和可能的设置中的一小部分。udev 手册页提供了一个详尽的列表,如果你想深入了解,请参考它。
bash history 显示时间 export HISTTIMEFORMAT='%F %T'
from: https://vms.drweb.com/virus/?i=15455134&lng=en
Linux.Siggen.180
Added to Dr.Web virus database: 2017-07-05
Virus description was added: 2017-07-05
Creates or modifies the following files:
Creates or modifies the following symlinks:
Launches itself as a daemon
Replaces the following system files:
Launches processes:
Modifies file access rights:
Creates or modifies files:
Deletes files:
Establishes connection:
DNS ASK:
from: https://yq.aliyun.com/ask/57692
wipefs是linux自带的程序,用来擦除文件系统数据,也就是下面那个人回答的。正常的wipefs,路径在/usr/bin/wipefs,如果你没有做设置,不会自启动,也不会大量占用cpu。你可以看一下是否是 /bin/wipefs 进程,如果是,应该是你的机器被黑了,这是别人在你机器上放了挖矿程序。
此程序会:
1.进行挖矿计算,大量占用cpu。
2.复制自己到/bin/wipefs,创建服务/etc/init.d/wipefs,在 /etc/rc.d 和 /etc/rc.d/rc.d 中创建链接以实现开机启动。
3.释放子程序到 /bin/ddus-uidgen,创建服务/etc/init.d/acpidtd,并在 /etc/rc.d 和 /etc/rc.d/rc.d 中创建链接以实现开机启动。
4.修改/etc/resolv.conf, 可能是为其连接矿机服务的域名做服务。
5.修改/etc/crontab, 为自己创建定时任务,每天12点与0点开始执行。(所以你会发现第二天又启动了)
你需要做的:
1.删除 /etc/crontab 中的定时任务。
2.删除以下文件:
/bin/wipefs
/etc/init.d/wipefs
/bin/ddus-uidgen
/etc/init.d/acpidtd
/etc/rc0.d/S01wipefs
/etc/rc1.d/S01wipefs
/etc/rc2.d/S01wipefs
/etc/rc3.d/S01wipefs
/etc/rc4.d/S01wipefs
/etc/rc5.d/S01wipefs
/etc/rc6.d/S01wipefs
/etc/rc.d/rc0.d/S01wipefs
/etc/rc.d/rc1.d/S01wipefs
/etc/rc.d/rc2.d/S01wipefs
/etc/rc.d/rc3.d/S01wipefs
/etc/rc.d/rc4.d/S01wipefs
/etc/rc.d/rc5.d/S01wipefs
/etc/rc.d/rc6.d/S01wipefs
/etc/rc0.d/acpidtd
/etc/rc1.d/acpidtd
/etc/rc2.d/acpidtd
/etc/rc3.d/acpidtd
/etc/rc4.d/acpidtd
/etc/rc5.d/acpidtd
/etc/rc6.d/acpidtd
/etc/rc.d/rc0.d/acpidtd
/etc/rc.d/rc1.d/acpidtd
/etc/rc.d/rc2.d/acpidtd
/etc/rc.d/rc3.d/acpidtd
/etc/rc.d/rc4.d/acpidtd
/etc/rc.d/rc5.d/acpidtd
/etc/rc.d/rc6.d/acpidtd
检查机器漏洞,ssh权限,防火墙等,避免机器再次被攻击。
来自: https://linux.cn/article-6624-1.html
Ceph 是一个将数据存储在单一分布式计算机集群上的开源软件平台。当你计划构建一个云时,你首先需要决定如何实现你的存储。开源的 Ceph 是红帽原生技术之一,它基于称为 RADOS 的对象存储系统,用一组网关 API 表示块、文件、和对象模式中的数据。由于它自身开源的特性,这种便携存储平台能在公有云和私有云上安装和使用。Ceph 集群的拓扑结构是按照备份和信息分布设计的,这种内在设计能提供数据完整性。它的设计目标就是容错、通过正确配置能运行于商业硬件和一些更高级的系统。
Ceph 能在任何 Linux 发行版上安装,但为了能正确运行,它需要最近的内核以及其它最新的库。在这篇指南中,我们会使用最小化安装的 CentOS-7.0。
1 | **CEPH-STORAGE** |
在安装 Ceph 存储之前,我们要在每个节点上完成一些步骤。第一件事情就是确保每个节点的网络已经配置好并且能相互访问。
** 配置 Hosts **
要在每个节点上配置 hosts 条目,要像下面这样打开默认的 hosts 配置文件(LCTT 译注:或者做相应的 DNS 解析)。
1 | # vi /etc/hosts |
1 | 45.79.136.163 ceph-storage ceph-storage.linoxide.com |
** 安装 VMware 工具 **
工作环境是 VMWare 虚拟环境时,推荐你安装它的 open VM 工具。你可以使用下面的命令安装。
1 | # yum install -y open-vm-tools |
** 配置防火墙 **
如果你正在使用启用了防火墙的限制性环境,确保在你的 Ceph 存储管理节点和客户端节点中开放了以下的端口。
你必须在你的 Admin Calamari 节点开放 80、2003、以及4505-4506 端口,并且允许通过 80 号端口访问到 Ceph 或 Calamari 管理节点,以便你网络中的客户端能访问 Calamari web 用户界面。
你可以使用下面的命令在 CentOS 7 中启动并启用防火墙。
1 | # systemctl start firewalld |
运行以下命令使 Admin Calamari 节点开放上面提到的端口。
1 | # firewall-cmd --zone=public --add-port=80/tcp --permanent |
在 Ceph Monitor 节点,你要在防火墙中允许通过以下端口。
1 | # firewall-cmd --zone=public --add-port=6789/tcp --permanent |
然后允许以下默认端口列表,以便能和客户端以及监控节点交互,并发送数据到其它 OSD。
1 | # firewall-cmd --zone=public --add-port=6800-7300/tcp --permanent |
如果你工作在非生产环境,建议你停用防火墙以及 SELinux 设置,在我们的测试环境中我们会停用防火墙以及 SELinux。
1 | # systemctl stop firewalld |
** 系统升级 **
现在升级你的系统并重启使所需更改生效。
1 | # yum update |
现在我们会新建一个单独的 sudo 用户用于在每个节点安装 ceph-deploy工具,并允许该用户无密码访问每个节点,因为它需要在 Ceph 节点上安装软件和配置文件而不会有输入密码提示。
运行下面的命令在 ceph-storage 主机上新建有独立 home 目录的新用户。
1 | [root@ceph-storage ~]# useradd -d /home/ceph -m ceph |
节点中新建的每个用户都要有 sudo 权限,你可以使用下面展示的命令赋予 sudo 权限。
1 | [root@ceph-storage ~]# echo "ceph ALL = (root) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/ceph |
现在我们会在 Ceph 管理节点生成 ssh 密钥并把密钥复制到每个 Ceph 集群节点。
在 ceph-node 运行下面的命令复制它的 ssh 密钥到 ceph-storage。
1 | [root@ceph-node ~]# ssh-keygen |
1 | [root@ceph-node ~]# ssh-copy-id ceph@ceph-storage |
SSH key
要配置 PID 数目的值,我们会使用下面的命令检查默认的内核值。默认情况下,是一个小的最大线程数 32768。
如下图所示通过编辑系统配置文件配置该值为一个更大的数。
更改 PID 值
配置并验证了所有网络后,我们现在使用 ceph 用户安装 ceph-deploy。通过打开文件检查 hosts 条目(LCTT 译注:你也可以用 DNS 解析来完成)。
1 | # vim /etc/hosts |
运行下面的命令添加它的库。
1 | # rpm -Uhv http://ceph.com/rpm-giant/el7/noarch/ceph-release-1-0.el7.noarch.rpm |
添加 Ceph 仓仓库
或者创建一个新文件并更新 Ceph 库参数,别忘了替换你当前的 Release 和版本号。
1 | [root@ceph-storage ~]# vi /etc/yum.repos.d/ceph.repo |
1 | [ceph-noarch] |
之后更新你的系统并安装 ceph-deploy 软件包。
我们运行下面的命令以及 ceph-deploy 安装命令来更新系统以及最新的 ceph 库和其它软件包。
1 | #yum update -y && yum install ceph-deploy -y |
使用下面的命令在 ceph 管理节点上新建一个目录并进入新目录,用于收集所有输出文件和日志。
1 | # mkdir ~/ceph-cluster |
1 | # ceph-deploy new storage |
设置 ceph 集群
如果成功执行了上面的命令,你会看到它新建了配置文件。
现在配置 Ceph 默认的配置文件,用任意编辑器打开它并在会影响你公共网络的 global 参数下面添加以下两行。
1 | # vim ceph.conf |
现在我们准备在和 Ceph 集群关联的每个节点上安装 Ceph。我们使用下面的命令在 ceph-storage 和 ceph-node 上安装 Ceph。
1 | # ceph-deploy install ceph-node ceph-storage |
安装 ceph
处理所有所需仓库和安装所需软件包会需要一些时间。
当两个节点上的 ceph 安装过程都完成后,我们下一步会通过在相同节点上运行以下命令创建监视器并收集密钥。
1 | # ceph-deploy mon create-initial |
Ceph 初始化监视器
现在我们会设置磁盘存储,首先运行下面的命令列出你所有可用的磁盘。
1 | # ceph-deploy disk list ceph-storage |
结果中会列出你存储节点中使用的磁盘,你会用它们来创建 OSD。让我们运行以下命令,请使用你的磁盘名称。
1 | # ceph-deploy disk zap storage:sda |
为了最后完成 OSD 配置,运行下面的命令配置日志磁盘以及数据磁盘。
1 | # ceph-deploy osd prepare storage:sdb:/dev/sda |
你需要在所有节点上运行相同的命令,它会清除你磁盘上的所有东西。之后为了集群能运转起来,我们需要使用以下命令从 ceph 管理节点复制不同的密钥和配置文件到所有相关节点。
1 | # ceph-deploy admin ceph-node ceph-storage |
我们快完成了 Ceph 集群设置,让我们在 ceph 管理节点上运行下面的命令检查正在运行的 ceph 状态。
1 | # ceph status |
如果你在 ceph status 中没有看到任何错误信息,就意味着你成功地在 CentOS 7 上安装了 ceph 存储集群。
在这篇详细的文章中我们学习了如何使用两台安装了 CentOS 7 的虚拟机设置 Ceph 存储集群,这能用于备份或者作为用于其它虚拟机的本地存储。我们希望这篇文章能对你有所帮助。当你试着安装的时候记得分享你的经验。
转自:https://linux.cn/article-8900-1.html?utm_source=index&utm_medium=moremore
bi bdisdbreak,但在程序第一次停住后会被自动删除snfinucphrbt使用 break 命令(缩写 b)来设置断点。
用法:
break 当不带参数时,在所选栈帧中执行的下一条指令处设置断点。break <function-name> 在函数体入口处打断点,在 C++ 中可以使用 class::function 或 function(type, ...) 格式来指定函数名。break <line-number> 在当前源码文件指定行的开始处打断点。break -N break +N 在当前源码行前面或后面的 N 行开始处打断点,N 为正整数。break <filename:linenum> 在源码文件 filename 的 linenum 行处打断点。break <filename:function> 在源码文件 filename 的 function 函数入口处打断点。break <address> 在程序指令的地址处打断点。break ... if <cond> 设置条件断点,... 代表上述参数之一(或无参数),cond 为条件表达式,仅在 cond 值非零时暂停程序执行。详见官方文档。
查看断点,观察点和捕获点的列表。
用法:
info breakpoints [list...]info break [list...]list... 用来指定若干个断点的编号(可省略),可以是 2, 1-3, 2 5 等。禁用一些断点。参数是用空格分隔的断点编号。要禁用所有断点,不加参数。
禁用的断点不会被忘记,但直到重新启用才有效。
用法:
disable [breakpoints] [list...]breakpoints 是 disable 的子命令(可省略),list... 同 info breakpoints 中的描述。启用一些断点。给出断点编号(以空格分隔)作为参数。没有参数时,所有断点被启用。
用法:
enable [breakpoints] [list...] 启用指定的断点(或所有定义的断点)。enable [breakpoints] once list... 临时启用指定的断点。GDB 在停止您的程序后立即禁用这些断点。enable [breakpoints] delete list... 使指定的断点启用一次,然后删除。一旦您的程序停止,GDB 就会删除这些断点。等效于用 tbreak 设置的断点。breakpoints 同 disable 中的描述。
详见官方文档。
在指定行或函数处清除断点。参数可以是行号,函数名称或 * 跟一个地址。
用法:
clear 当不带参数时,清除所选栈帧在执行的源码行中的所有断点。clear <function>, clear <filename:function> 删除在命名函数的入口处设置的任何断点。clear <linenum>, clear <filename:linenum> 删除在指定的文件指定的行号的代码中设置的任何断点。clear <address> 清除指定程序指令的地址处的断点。详见官方文档。
删除一些断点或自动显示表达式。参数是用空格分隔的断点编号。要删除所有断点,不加参数。
用法: delete [breakpoints] [list...]
详见官方文档。
设置临时断点。参数形式同 break 一样。
除了断点是临时的之外,其他同 break 一样,所以在命中时会被删除。
详见官方文档。
为表达式设置观察点。
用法: watch [-l|-location] <expr> 每当一个表达式的值改变时,观察点就会暂停程序执行。
如果给出了 -l 或者 -location,则它会对 expr 求值并观察它所指向的内存。例如,watch *(int *)0x12345678 将在指定的地址处观察一个 4 字节的区域(假设 int 占用 4 个字节)。
详见官方文档。
单步执行程序,直到到达不同的源码行。
用法: step [N] 参数 N 表示执行 N 次(或由于另一个原因直到程序停止)。
警告:如果当控制在没有调试信息的情况下编译的函数中使用 step 命令,则执行将继续进行,直到控制到达具有调试信息的函数。 同样,它不会进入没有调试信息编译的函数。
要执行没有调试信息的函数,请使用 stepi 命令,详见后文。
详见官方文档。
反向单步执行程序,直到到达另一个源码行的开头。
用法: reverse-step [N] 参数 N 表示执行 N 次(或由于另一个原因直到程序停止)。
详见官方文档。
单步执行程序,执行完子程序调用。
用法: next [N]
与 step 不同,如果当前的源代码行调用子程序,则此命令不会进入子程序,而是将其视为单个源代码行,继续执行。
详见官方文档。
反向步进程序,执行完子程序调用。
用法: reverse-next [N]
如果要执行的源代码行调用子程序,则此命令不会进入子程序,调用被视为一个指令。
参数 N 表示执行 N 次(或由于另一个原因直到程序停止)。
详见官方文档。
您可以使用 return 命令取消函数调用的执行。如果你给出一个表达式参数,它的值被用作函数的返回值。
用法: return <expression> 将 expression 的值作为函数的返回值并使函数直接返回。
详见官方文档。
执行直到选定的栈帧返回。
用法: finish 返回后,返回的值将被打印并放入到值历史记录中。
详见官方文档。
执行直到程序到达当前栈帧中当前行之后(与 break 命令相同的参数)的源码行。此命令用于通过一个多次的循环,以避免单步执行。
用法:until <location> 或 u <location> 继续运行程序,直到达到指定的位置,或者当前栈帧返回。
详见官方文档。
在信号或断点之后,继续运行被调试的程序。
用法: continue [N] 如果从断点开始,可以使用数字 N 作为参数,这意味着将该断点的忽略计数设置为 N - 1(以便断点在第 N 次到达之前不会中断)。如果启用了非停止模式(使用 show non-stop 查看),则仅继续当前线程,否则程序中的所有线程都将继续。
详见官方文档。
求值并打印表达式 EXP 的值。可访问的变量是所选栈帧的词法环境,以及范围为全局或整个文件的所有变量。
用法:
print [expr] 或 print /f [expr] expr 是一个(在源代码语言中的)表达式。
默认情况下,expr 的值以适合其数据类型的格式打印;您可以通过指定 /f 来选择不同的格式,其中 f 是一个指定格式的字母;详见输出格式。
如果省略 expr,GDB 再次显示最后一个值。
要以每行一个成员带缩进的格式打印结构体变量请使用命令 set print pretty on,取消则使用命令 set print pretty off。
可使用命令 show print 查看所有打印的设置。
详见官方文档。
检查内存。
用法: x/nfu <addr> 或 x <addr> n、f 和 u 都是可选参数,用于指定要显示的内存以及如何格式化。addr 是要开始显示内存的地址的表达式。
n 重复次数(默认值是 1),指定要显示多少个单位(由 u 指定)的内存值。
f 显示格式(初始默认值是 x),显示格式是 print('x','d','u','o','t','a','c','f','s') 使用的格式之一,再加 i(机器指令)。
u 单位大小,b 表示单字节,h 表示双字节,w 表示四字节,g 表示八字节。
例如:
x/3uh 0x54320 表示从地址 0x54320 开始以无符号十进制整数的格式,双字节为单位来显示 3 个内存值。
x/16xb 0x7f95b7d18870 表示从地址 0x7f95b7d18870 开始以十六进制整数的格式,单字节为单位显示 16 个内存值。
详见官方文档。
每次程序暂停时,打印表达式 EXP 的值。
用法: display <expr>, display/fmt <expr> 或 display/fmt <addr> fmt 用于指定显示格式。像 print 命令里的 /f 一样。
对于格式 i 或 s,或者包括单位大小或单位数量,将表达式 addr 添加为每次程序停止时要检查的内存地址。
详见官方文档。
打印自动显示的表达式列表,每个表达式都带有项目编号,但不显示其值。
包括被禁用的表达式和不能立即显示的表达式(当前不可用的自动变量)。
取消某些表达式在程序暂停时的自动显示。参数是表达式的编号(使用 info display 查询编号)。不带参数表示取消所有自动显示表达式。
delete display 具有与此命令相同的效果。
禁用某些表达式在程序暂停时的自动显示。禁用的显示项目不会被自动打印,但不会被忘记。 它可能稍后再次被启用。
参数是表达式的编号(使用 info display 查询编号)。不带参数表示禁用所有自动显示表达式。
启用某些表达式在程序暂停时的自动显示。
参数是重新显示的表达式的编号(使用 info display 查询编号)。不带参数表示启用所有自动显示表达式。
打印命令列表。
您可以使用不带参数的 help(缩写为 h)来显示命令的类别名的简短列表。
使用 help <class> 您可以获取该类中的各个命令的列表。使用 help <command> 显示如何使用该命令。
详见官方文档。
挂接到 GDB 之外的进程或文件。该命令可以将进程 ID 或设备文件作为参数。
对于进程 ID,您必须具有向进程发送信号的权限,并且必须具有与调试器相同的有效的 uid。
用法: attach <process-id> GDB 在安排调试指定的进程之后做的第一件事是暂停该进程。
无论是通过 attach 命令挂接的进程还是通过 run 命令启动的进程,您都可以使用的 GDB 命令来检查和修改挂接的进程。
详见官方文档。
启动被调试的程序。
可以直接指定参数,也可以用 set args 设置(启动所需的)参数。
例如: run arg1 arg2 ... 等效于
1 | set args arg1 arg2 ... |
还允许使用 >、 < 或 >> 进行输入和输出重定向。
详见官方文档。
打印整体栈帧信息。
bt 打印整体栈帧信息,每个栈帧一行。bt n 类似于上,但只打印最内层的 n 个栈帧。bt -n 类似于上,但只打印最外层的 n 个栈帧。bt full n 类似于 bt n,还打印局部变量的值。where 和 info stack(缩写 info s) 是 backtrace 的别名。调用栈信息类似如下:
1 | (gdb) where |
详见官方文档。
打印类型 TYPE 的定义。
用法: ptype[/FLAGS] TYPE-NAME | EXPRESSION
参数可以是由 typedef 定义的类型名, 或者 struct STRUCT-TAG 或者 class CLASS-NAME 或者 union UNION-TAG 或者 enum ENUM-TAG。
根据所选的栈帧的词法上下文来查找该名字。
类似的命令是 whatis,区别在于 whatis 不展开由 typedef 定义的数据类型,而 ptype 会展开,举例如下:
1 | /* 类型声明与变量定义 */ |
这两个命令给出了如下输出:
1 | (gdb) whatis var |
详见官方文档。
转自: https://mritd.me/2018/01/07/kubernetes-tls-bootstrapping-note/
前段时间撸了一会 Kubernetes 官方文档,在查看 TLS bootstrapping 这块是发现已经跟 1.4 的时候完全不一样了;目前所有搭建文档也都保留着 1.4 时代的配置,在看完文档后发现目前配置有很多问题,同时也埋下了 隐藏炸弹,这个问题可能会在一年后爆发…..后果就是集群 node 全部掉线;所以仔细的撸了一下这个文档,从元旦到写此文章的时间都在测试这个 TLS bootstrapping,以下记录一下这次的成果
阅读本文章前,请先阅读一下本文参考的相关文档:
TLS bootstrapping
Kubelet Server Certificate Bootstrap & Rotation
Using RBAC Authorization
Kubernetes 在 1.4 版本(我记着是)推出了 TLS bootstrapping 功能;这个功能主要解决了以下问题:
当集群开启了 TLS 认证后,每个节点的 kubelet 组件都要使用由 apiserver 使用的 CA 签发的有效证书才能与 apiserver 通讯;此时如果节点多起来,为每个节点单独签署证书将是一件非常繁琐的事情;TLS bootstrapping 功能就是让 kubelet 先使用一个预定的低权限用户连接到 apiserver,然后向 apiserver 申请证书,kubelet 的证书由 apiserver 动态签署;在配合 RBAC 授权模型下的工作流程大致如下所示(不完整,下面细说)
tls_bootstrapping
2.1、kubelet server
在官方 TLS bootstrapping 文档中多次提到过 kubelet server 这个东西;在经过翻阅大量文档以及 TLS bootstrapping 设计文档后得出,kubelet server * 指的应该是 kubelet 的 10250 端口 *;
kubelet 组件在工作时,采用主动的查询机制,即定期请求 apiserver 获取自己所应当处理的任务,如哪些 pod 分配到了自己身上,从而去处理这些任务;同时 kubelet 自己还会暴露出两个本身 api 的端口,用于将自己本身的私有 api 暴露出去,这两个端口分别是 10250 与 10255;对于 10250 端口,kubelet 会在其上采用 TLS 加密以提供适当的鉴权功能;对于 10255 端口,kubelet 会以只读形式暴露组件本身的私有 api,并且不做鉴权处理 *
总结一下,就是说 kubelet 上实际上有两个地方用到证书,一个是用于与 API server 通讯所用到的证书,另一个是 kubelet 的 10250 私有 api 端口需要用到的证书 *
2.2、CSR 请求类型
kubelet 发起的 CSR 请求都是由 controller manager 来做实际签署的,对于 controller manager 来说,TLS bootstrapping 下 kubelet 发起的 CSR 请求大致分为以下三种
3.1、Kubernetes TLS 与 RBAC 认证
在说具体的引导过程之前先谈一下 TLS 和 RBAC,因为这两个事不整明白下面的都不用谈;
TLS 作用
众所周知 TLS 的作用就是对通讯加密,防止中间人窃听;同时如果证书不信任的话根本就无法与 apiserver 建立连接,更不用提有没有权限向 apiserver 请求指定内容
RBAC 作用
当 TLS 解决了通讯问题后,那么权限问题就应由 RBAC 解决(可以使用其他权限模型,如 ABAC);RBAC 中规定了一个用户或者用户组(subject)具有请求哪些 api 的权限;* 在配合 TLS 加密的时候,实际上 apiserver 读取客户端证书的 CN 字段作为用户名,读取 O 字段作为用户组 *
从以上两点上可以总结出两点: 第一,想要与 apiserver 通讯就必须采用由 apiserver CA 签发的证书,这样才能形成信任关系,建立 TLS 连接;第二,可以通过证书的 CN、O 字段来提供 RBAC 所需的用户与用户组
3.2、kubelet 首次启动流程
看完上面的介绍,不知道有没有人想过,既然 TLS bootstrapping 功能是让 kubelet 组件去 apiserver 申请证书,然后用于连接 apiserver;* 那么第一次启动时没有证书如何连接 apiserver *?
这个问题实际上可以去查看一下 bootstrap.kubeconfig 和 token.csv 得到答案: * 在 apiserver 配置中指定了一个 token.csv 文件,该文件中是一个预设的用户配置;同时该用户的 Token 和 apiserver 的 CA 证书被写入了 kubelet 所使用的 bootstrap.kubeconfig 配置文件中;这样在首次请求时,kubelet 使用 bootstrap.kubeconfig 中的 apiserver CA 证书来与 apiserver 建立 TLS 通讯,使用 bootstrap.kubeconfig 中的用户 Token 来向 apiserver 声明自己的 RBAC 授权身份 *,如下图所示
first_request
在有些用户首次启动时,可能与遇到 kubelet 报 401 无权访问 apiserver 的错误;*
这是因为在默认情况下,kubelet 通过 bootstrap.kubeconfig 中的预设用户 Token 声明了自己的身份,然后创建 CSR 请求;但是不要忘记这个用户在我们不处理的情况下他没任何权限的,包括创建 CSR 请求;所以需要如下命令创建一个 ClusterRoleBinding,将预设用户 kubelet-bootstrap 与内置的 ClusterRole system:node-bootstrapper 绑定到一起,使其能够发起 CSR 请求 *
1 | kubectl create clusterrolebinding kubelet-bootstrap \ |
3.3、手动签发证书
在 kubelet 首次启动后,如果用户 Token 没问题,并且 RBAC 也做了相应的设置,那么此时在集群内应该能看到 kubelet 发起的 CSR 请求
bootstrap_csr
出现 CSR 请求后,可以使用 kubectl 手动签发(允许) kubelet 的证书
bootstrap_approve_crt
当成功签发证书后,目标节点的 kubelet 会将证书写入到 –cert-dir= 选项指定的目录中;注意此时如果不做其他设置应当生成四个文件
bootstrap_crt
而 kubelet 与 apiserver 通讯所使用的证书为 kubelet-client.crt,剩下的 kubelet.crt 将会被用于 kubelet server(10250) 做鉴权使用;注意,此时 kubelet.crt 这个证书是个独立于 apiserver CA 的自签 CA,并且删除后 kubelet 组件会重新生成它
单独把这部分拿出来写,是因为个人觉得上面已经有点乱了;这部分实际上更复杂,只好单独写一下了,因为这部分涉及的东西比较多,所以也不想草率的几笔带过
4.1、RBAC 授权
首先…首先好几次了…嗯,就是说 kubelet 所发起的 CSR 请求是由 controller manager 签署的;如果想要是实现自动续期,就需要让 controller manager 能够在 kubelet 发起证书请求的时候自动帮助其签署证书;那么 controller manager 不可能对所有的 CSR 证书申请都自动签署,这时候就需要配置 RBAC 规则,保证 controller manager 只对 kubelet 发起的特定 CSR 请求自动批准即可;在 TLS bootstrapping 官方文档中,针对上面 2.2 章节提出的 3 种 CSR 请求分别给出了 3 种对应的 ClusterRole,如下所示
1 | # A ClusterRole which instructs the CSR approver to approve a user requesting |
RBAC 中 ClusterRole 只是描述或者说定义一种集群范围内的能力,这三个 ClusterRole 在 1.7 之前需要自己手动创建,在 1.8 后 apiserver 会自动创建前两个(1.8 以后名称有改变,自己查看文档);以上三个 ClusterRole 含义如下
所以,如果想要 kubelet 能够自动续期,那么就应当将适当的 ClusterRole 绑定到 kubelet 自动续期时所所采用的用户或者用户组身上
4.2、自动续期下的引导过程
在自动续期下引导过程与单纯的手动批准 CSR 有点差异,具体的引导流程地址如下
从以上流程我们可以看出,我们如果要创建 RBAC 规则,则至少能满足四种情况:
1 | # 自动批准 kubelet 的首次 CSR 请求(用于与 apiserver 通讯的证书) |
4.3、开启自动续期
在 1.7 后,kubelet 启动时增加 --feature-gates=RotateKubeletClientCertificate=true,RotateKubeletServerCertificate=true 选项,则 kubelet 在证书即将到期时会自动发起一个 renew 自己证书的 CSR 请求;同时 controller manager 需要在启动时增加 --feature-gates=RotateKubeletServerCertificate=true 参数,再配合上面创建好的 ClusterRoleBinding,kubelet client 和 kubelet server 证才书会被自动签署;
注意,1.7 版本设置自动续期参数后,新的 renew 请求不会立即开始,而是在证书总有效期的 70%~90% 的时间时发起;而且经测试 1.7 版本即使自动签发了证书,kubelet 在不重启的情况下不会重新应用新证书;在 1.8 后 kubelet 组件在增加一个 –rotate-certificates 参数后,kubelet 才会自动重载新证书
4.3、证书过期问题
需要重复强调一个问题是: TLS bootstrapping 时的证书实际是由 kube-controller-manager 组件来签署的,也就是说证书有效期是 kube-controller-manager 组件控制的;所以在 1.7 版本以后(我查文档发现的从1.7开始有) kube-controller-manager 组件提供了一个 --experimental-cluster-signing-duration 参数来设置签署的证书有效时间;默认为 8760h0m0s,将其改为 87600h0m0s 即 10 年后再进行 TLS bootstrapping 签署证书即可。
5.1、主要流程细节
kubelet 首次启动通过加载 bootstrap.kubeconfig 中的用户 Token 和 apiserver CA 证书发起首次 CSR 请求,这个 Token 被预先内置在 apiserver 节点的 token.csv 中,其身份为 kubelet-bootstrap 用户和 system:bootstrappers 用户组;想要首次 CSR 请求能成功(成功指的是不会被 apiserver 401 拒绝),则需要先将 kubelet-bootstrap 用户和 system:node-bootstrapper 内置 ClusterRole 绑定;
对于首次 CSR 请求可以手动批准,也可以将 system:bootstrappers 用户组与 approve-node-client-csr ClusterRole 绑定实现自动批准(1.8 之前这个 ClusterRole 需要手动创建,1.8 后 apiserver 自动创建,并更名为 system:certificates.k8s.io:certificatesigningrequests:nodeclient)
默认签署的的证书只有 1 年有效期,如果想要调整证书有效期可以通过设置 kube-controller-manager 的 –experimental-cluster-signing-duration 参数实现,该参数默认值为 8760h0m0s
对于证书自动续签,需要通过协调两个方面实现;第一,想要 kubelet 在证书到期后自动发起续期请求,则需要在 kubelet 启动时增加 –feature-gates=RotateKubeletClientCertificate=true,RotateKubeletServerCertificate=true 来实现;第二,想要让 controller manager 自动批准续签的 CSR 请求需要在 controller manager 启动时增加 –feature-gates=RotateKubeletServerCertificate=true 参数,并绑定对应的 RBAC 规则;同时需要注意的是 1.7 版本的 kubelet 自动续签后需要手动重启 kubelet 以使其重新加载新证书,而 1.8 后只需要在 kublet 启动时附带 –rotate-certificates 选项就会自动重新加载新证书
5.2、证书及配置文件作用
token.csv
该文件为一个用户的描述文件,基本格式为 Token,用户名,UID,用户组;这个文件在 apiserver 启动时被 apiserver 加载,然后就相当于在集群内创建了一个这个用户;接下来就可以用 RBAC 给他授权;持有这个用户 Token 的组件访问 apiserver 的时候,apiserver 根据 RBAC 定义的该用户应当具有的权限来处理相应请求
bootstarp.kubeconfig
该文件中内置了 token.csv 中用户的 Token,以及 apiserver CA 证书;kubelet 首次启动会加载此文件,使用 apiserver CA 证书建立与 apiserver 的 TLS 通讯,使用其中的用户 Token 作为身份标识像 apiserver 发起 CSR 请求
kubelet-client.crt
该文件在 kubelet 完成 TLS bootstrapping 后生成,此证书是由 controller manager 签署的,此后 kubelet 将会加载该证书,用于与 apiserver 建立 TLS 通讯,同时使用该证书的 CN 字段作为用户名,O 字段作为用户组向 apiserver 发起其他请求
kubelet.crt
该文件在 kubelet 完成 TLS bootstrapping 后并且没有配置 –feature-gates=RotateKubeletServerCertificate=true 时才会生成;这种情况下该文件为一个独立于 apiserver CA 的自签 CA 证书,有效期为 1 年;被用作 kubelet 10250 api 端口
kubelet-server.crt
该文件在 kubelet 完成 TLS bootstrapping 后并且配置了 –feature-gates=RotateKubeletServerCertificate=true 时才会生成;这种情况下该证书由 apiserver CA 签署,默认有效期同样是 1 年,被用作 kubelet 10250 api 端口鉴权
kubelet-client-current.pem
这是一个软连接文件,当 kubelet 配置了 –feature-gates=RotateKubeletClientCertificate=true 选项后,会在证书总有效期的 70%~90% 的时间内发起续期请求,请求被批准后会生成一个 kubelet-client-时间戳.pem;kubelet-client-current.pem 文件则始终软连接到最新的真实证书文件,除首次启动外,kubelet 一直会使用这个证书同 apiserver 通讯
kubelet-server-current.pem
同样是一个软连接文件,当 kubelet 配置了 –feature-gates=RotateKubeletServerCertificate=true 选项后,会在证书总有效期的 70%~90% 的时间内发起续期请求,请求被批准后会生成一个 kubelet-server-时间戳.pem;kubelet-server-current.pem 文件则始终软连接到最新的真实证书文件,该文件将会一直被用于 kubelet 10250 api 端口鉴权
5.3、1.7 TLS bootstrapping 配置
apiserver 预先放置 token.csv,内容样例如下
1 | 6df3c701f979cee17732c30958745947,kubelet-bootstrap,10001,"system:bootstrappers" |
允许 kubelet-bootstrap 用户创建首次启动的 CSR 请求
1 | kubectl create clusterrolebinding kubelet-bootstrap \ |
配置 kubelet 自动续期,RotateKubeletClientCertificate 用于自动续期 kubelet 连接 apiserver 所用的证书(kubelet-client-xxxx.pem),RotateKubeletServerCertificate 用于自动续期 kubelet 10250 api 端口所使用的证书(kubelet-server-xxxx.pem)
1 | KUBELET_ARGS="--cgroup-driver=cgroupfs \ |
配置 controller manager 自动批准相关 CSR 请求,如果不配置 –feature-gates=RotateKubeletServerCertificate=true 参数,则即使配置了相关的 RBAC 规则,也只会自动批准 kubelet client 的 renew 请求
1 | KUBE_CONTROLLER_MANAGER_ARGS="--address=0.0.0.0 \ |
创建自动批准相关 CSR 请求的 ClusterRole
1 | # A ClusterRole which instructs the CSR approver to approve a user requesting |
将 ClusterRole 绑定到适当的用户组,以完成自动批准相关 CSR 请求
1 | # 自动批准 system:bootstrappers 组用户 TLS bootstrapping 首次申请证书的 CSR 请求 |
一切就绪后启动 kubelet 组件即可,不过需要注意的是 1.7 版本 kubelet 不会自动重载 renew 的证书,需要自己手动重启
5.4、1.8 TLS bootstrapping 配置
apiserver 预先放置 token.csv,内容样例如下
1 | 6df3c701f979cee17732c30958745947,kubelet-bootstrap,10001,"system:bootstrappers" |
允许 kubelet-bootstrap 用户创建首次启动的 CSR 请求
1 | kubectl create clusterrolebinding kubelet-bootstrap \ |
配置 kubelet 自动续期,RotateKubeletClientCertificate 用于自动续期 kubelet 连接 apiserver 所用的证书(kubelet-client-xxxx.pem),RotateKubeletServerCertificate 用于自动续期 kubelet 10250 api 端口所使用的证书(kubelet-server-xxxx.pem),–rotate-certificates 选项使得 kubelet 能够自动重载新证书
1 | KUBELET_ARGS="--cgroup-driver=cgroupfs \ |
配置 controller manager 自动批准相关 CSR 请求,如果不配置 –feature-gates=RotateKubeletServerCertificate=true 参数,则即使配置了相关的 RBAC 规则,也只会自动批准 kubelet client 的 renew 请求
1 | KUBE_CONTROLLER_MANAGER_ARGS="--address=0.0.0.0 \ |
创建自动批准相关 CSR 请求的 ClusterRole,相对于 1.7 版本,1.8 的 apiserver 自动创建了前两条 ClusterRole,所以只需要创建一条就行了
1 | # A ClusterRole which instructs the CSR approver to approve a node requesting a |
将 ClusterRole 绑定到适当的用户组,以完成自动批准相关 CSR 请求
1 | # 自动批准 system:bootstrappers 组用户 TLS bootstrapping 首次申请证书的 CSR 请求 |
一切就绪后启动 kubelet 组件即可,1.8 版本 kubelet 会自动重载证书,以下为 1.8 版本在运行一段时间后的相关证书截图