TCP/IP 协议按照层次分为 4 层:应用层、传输层、网络层、数据链路层。 对于分层这个概念,大家一定不陌生,比如我们的分布式架构体系中会分为业务层、服务层、基础支撑层。比如docker,也是基于分层来实现。所以我们会发现,复杂的程序都需要分层,这个是软件设计的要求,每一层专注于当前领域的事情。如果某些地方需要修改,我们只需要把变动的层替换掉就行,一方面改动影响较少,另一方面整个架构的灵活性也更高。 最后,在分层之后,整个架构的设计也变得相对简单了。
分层负载
了解了分层的概念以后,我们再去理解所谓的二层负载、三层负载、四层负载、七层负载就容易多了。
一次 http 请求过来,一定会从应用层到传输层,完成整个交互。只要是在网络上跑的数据包,都是完整的。可以有下层没上层,绝对不可能有上层没下层。
二层负载
二层负载是针对 MAC,负载均衡服务器对外依然提供一个 VIP(虚 IP),集群中不同的机器采用相同 IP 地址,但是机器的 MAC 地址不一样。当负载均衡服务器接受到请求之后,通过改写报文的目标 MAC 地址的方式将请求转发到目标机器实现负载均衡
二层负载均衡会通过一个虚拟 MAC 地址接收请求,然后再分配到真实的 MAC 地址
三层负载均衡
三层负载是针对 IP,和二层负载均衡类似,负载均衡服务器对外依然提供一个 VIP(虚 IP),但是集群中不同的机器采用不同的 IP 地址。当负载均衡服务器接受到请求之后,根据不同的负载均衡算法,通过 IP 将请求转发至不同的真实服务器
三层负载均衡会通过一个虚拟 IP 地址接收请求,然后再分配到真实的 IP 地址
四层负载均衡
四层负载均衡工作在 OSI 模型的传输层,由于在传输层,只有 TCP/UDP 协议,这两种协议中除了包含源 IP、目标 IP 以外,还包含源端口号及目的端口号。四层负载均衡服务器在接受到客户端请求后,以后通过修改数据包的地址信息(IP+端口号)将流量转发到应用服务器。
四层通过虚拟 IP + 端口接收请求,然后再分配到真实的服务器
七层负载均衡
七层负载均衡工作在 OSI 模型的应用层,应用层协议较多,常用 http、radius、dns 等。七层负载就可以基于这些协议来负载。这些应用层协议中会包含很多有意义的内容。比如同一个Web 服务器的负载均衡,除了根据 IP 加端口进行负载外,还可根据七层的 URL、浏览器类别来决定是否要进行负载均衡
比如:在nginx层做7层均衡,让一个uid的请求尽量落到同一个机器上
一. FTP 说明 linux 系统下常用的FTP 是vsftp, 即Very Security File Transfer Protocol. 还有一个是proftp(Profession ftp)。 我们这里也是简单的说明下vsftp的配置。 vsftp提供3种远程的登录方式: (1)匿名登录方式 就是不需要用户名,密码。就能登录到服务器电脑里面(2)本地用户方式 需要帐户名和密码才能登录。而且,这个帐户名和密码,都是在你linux系统里面,已经有的用户。 (3)虚拟用户方式 同样需要用户名和密码才能登录。但是和上面的区别就是,这个用户名和密码,在你linux系统中是没有的(没有该用户帐号)二. Vsftp的安装配置2.1 安装vsftp 的安装包,可以在安装里找到。 用yum 安装过程也很简单。 安装命令:yum install vsftpd2.2. 相关命令2.2.1 启动与关闭[root@singledb ~]# service vsftpd startStarting vsftpd for vsftpd:[ OK ][root@singledb ~]# service vsftpd stopShutting down vsftpd: [ OK ][root@singledb ~]# service vsftpd restartShutting down vsftpd: [FAILED]Starting vsftpd for vsftpd:[ OK ][root@singledb ~]# /etc/init.d/vsftpd startStarting vsftpd for vsftpd:[FAILED][root@singledb ~]# /etc/init.d/vsftpd stopShutting down vsftpd: [ OK ][root@singledb ~]# /etc/init.d/vsftpd restartShutting down vsftpd: [FAILED]Starting vsftpd for vsftpd:[ OK ][root@singledb ~]# /etc/init.d/vsftpd statusvsftpd (pid 3931) is running...[root@singledb ~]#2.2.2. 其他命令--查看vsftpd 启动状态[root@singledb ~]# chkconfig --list vsftpdvsftpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off[root@singledb ~]# chkconfig vsftpd on[root@singledb ~]# chkconfig --list vsftpdvsftpd 0:off 1:off 2:on3:on4:on5:on6:off 这里看到,默认情况下从2到5设置为on了。2到5是多用户级别。 这个对应的是linux不同的运行级别。我们也可以加level 选项来指定:[root@singledb ~]# chkconfig --level 0 vsftpd on [root@singledb ~]# chkconfig --list vsftpd vsftpd 0:on1:off 2:on3:on4:on5:on6:off我们看到0已经设置为on了。我们可以使用man chkconfig 来查看帮助:--level levelsSpecifies the run levels an operation should pertain to. It is given as a string of numbers from 0 to 7. For example, --level 35 specifies runlevels 3 and 5. 传统的init 定义了7个运行级(run level),每一个级别都代表系统应该补充运行的某些特定服务: (1)0级是完全关闭系统的级别 (2)1级或者S级代表单用户模式 (3)2-5 级 是多用户级别 (4)6级 是 重新引导的级别(1)查看防火墙我一般都是把系统的防火墙关闭了。 因为开了会有很多限制。[root@singledb ~]# /etc/init.d/iptables statusTable: natChain PREROUTING (policy ACCEPT)num target prot opt source destinationChain POSTROUTING (policy ACCEPT)num target prot opt source destination1MASQUERADE all -- 192.168.122.0/24!192.168.122.0/24 Chain OUTPUT (policy ACCEPT)num target prot opt source destination Table: filterChain INPUT (policy ACCEPT)num target prot opt source destination1ACCEPT udp -- 0.0.0.0/00.0.0.0/0 udp dpt:532ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:533ACCEPT udp -- 0.0.0.0/00.0.0.0/0 udp dpt:674ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:67Chain FORWARD (policy ACCEPT)num target prot opt source destination1ACCEPT all -- 0.0.0.0/0192.168.122.0/24state RELATED,ESTABLISHED2ACCEPT all -- 192.168.122.0/24 0.0.0.0/0 3ACCEPT all -- 0.0.0.0/00.0.0.0/0 4REJECT all -- 0.0.0.0/00.0.0.0/0 reject-with icmp-port-unreachable5REJECT all -- 0.0.0.0/00.0.0.0/0 reject-with icmp-port-unreachableChain OUTPUT (policy ACCEPT)num target prot opt source destinationYou have new mail in /var/spool/mail/root--添加开放21号端口:[root@singledb ~]# /sbin/iptables -I INPUT -p tcp --dport 21 -j ACCEPT[root@singledb ~]# /etc/init.d/iptables statusTable: natChain PREROUTING (policy ACCEPT)num target prot opt source destination Chain POSTROUTING (policy ACCEPT)num target prot opt source destination1MASQUERADE all -- 192.168.122.0/24!192.168.122.0/24 Chain OUTPUT (policy ACCEPT)num target prot opt source destinationTable: filterChain INPUT (policy ACCEPT)num target prot opt source destination1ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:212ACCEPT udp -- 0.0.0.0/00.0.0.0/0 udp dpt:533ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:534ACCEPT udp -- 0.0.0.0/00.0.0.0/0 udp dpt:675ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:67Chain FORWARD (policy ACCEPT)num target prot opt source destination1ACCEPT all -- 0.0.0.0/0192.168.122.0/24state RELATED,ESTABLISHED2ACCEPT all -- 192.168.122.0/24 0.0.0.0/0 3ACCEPT all -- 0.0.0.0/00.0.0.0/0 4REJECT all -- 0.0.0.0/00.0.0.0/0 reject-with icmp-port-unreachable5REJECT all -- 0.0.0.0/00.0.0.0/0 reject-with icmp-port-unreachableChain OUTPUT (policy ACCEPT)num target prot opt source destination--保存配置[root@singledb ~]# /etc/rc.d/init.d/iptables saveSaving firewall rules to /etc/sysconfig/iptables: [ OK ]--重启防火墙:[root@singledb ~]# service iptables {startstoprestart}(2)查看关闭selinux[root@singledb ~]# sestatusSELinux status: disabled我这里在安装 *** 作系统的时候就关闭了selinux,如果没有关闭,可以修改如下文件来关闭:[root@singledb ~]# cat /etc/sysconfig/selinux# This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:# enforcing - SELinux security policy is enforced.# permissive - SELinux prints warnings instead of enforcing.# disabled - SELinux is fully disabled.SELINUX=disabled# SELINUXTYPE= type of policy in use. Possible values are:# targeted - Only targeted network daemons are protected.# strict - Full SELinux protection.SELINUXTYPE=targeted[root@singledb ~]#保存退出并重启系统reboot三. FTP配置文件FTP 安装好之后,在/etc/vsftpd/目录下会有如下文件:[root@singledb ~]# cd /etc/vsftpd/[root@singledb vsftpd]# lsftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh[root@singledb vsftpd]#vsftpd.conf: 主配置文件ftpusers: 指定哪些用户不能访问FTP服务器user_list: 指定的用户是否可以访问ftp服务器由vsftpd.conf文件中的userlist_deny的取值来决定。[root@singledb vsftpd]# cat user_list# vsftpd userlist# If userlist_deny=NO, only allow users in this file# If userlist_deny=YES (default), never allow users in this file, and# do not even prompt for a password.# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers# for users that are denied.我们过滤掉#的注释后,查看一下vsftpd.conf 文件:[root@singledb ftp]# cat /etc/vsftpd/vsftpd.conf grep -v '^#'anonymous_enable=YESlocal_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESlisten=YESpam_service_name=vsftpduserlist_enable=yestcp_wrappers=YES至于这些参数的意思,在注释里有详细的说明。我们可以在vsftpd.conf 文件设置如下参数:(1)ftpd_banner=welcome to ftp service :设置连接服务器后的欢迎信息(2)idle_session_timeout=60 :限制远程的客户机连接后,所建立的控制连接,在多长时间没有做任何的 *** 作就会中断(秒)(3)data_connection_timeout=120 :设置客户机在进行数据传输时,设置空闲的数据中断时间(4)accept_timeout=60 设置在多长时间后自动建立连接(5)connect_timeout=60 设置数据连接的最大激活时间,多长时间断开,为别人所使用(6)max_clients=200 指明服务器总的客户并发连接数为200(7)max_per_ip=3 指明每个客户机的最大连接数为3(8)local_max_rate=50000(50kbytes/sec) 本地用户最大传输速率限制(9)anon_max_rate=30000匿名用户的最大传输速率限制(10)pasv_min_port=端口(11)pasv-max-prot=端口号 定义最大与最小端口,为0表示任意端口为客户端连接指明端口(12)listen_address=IP地址 设置ftp服务来监听的地址,客户端可以用哪个地址来连接(13)listen_port=端口号 设置FTP工作的端口号,默认的为21(14)chroot_local_user=YES 设置所有的本地用户可以chroot(15)chroot_local_user=NO 设置指定用户能够chroot(16)chroot_list_enable=YES(17)chroot_list_file=/etc/vsftpd/chroot_list(只有/etc/vsftpd/chroot_list中的指定的用户才能执行 )(18)local_root=path 无论哪个用户都能登录的用户,定义登录帐号的主目录, 若没有指定,则每一个用户则进入到个人用户主目录(19)chroot_local_user=yes/no 是否锁定本地系统帐号用户主目录(所有)锁定后,用户只能访问用户的主目录/home/user,不能利用cd命令向上转只能向下(20)chroot_list_enable=yes/no 锁定指定文件中用户的主目录(部分),文件:/chroot_list_file=path 中指定(21)userlist_enable=YES/NO 是否加载用户列表文件(22)userlist_deny=YES 表示上面所加载的用户是否允许拒绝登录(23)userlist_file=/etc/vsftpd/user_list 列表文件限制IP 访问FTP:#vi /etc/hosts.allowvsftpd:192.168.5.128:DENY 设置该IP地址不可以访问ftp服务FTP 访问时间限制:#cp /usr/share/doc/vsftpd-1.1.3/vsftpd.xinetd /etc/xinetd.d/vsftpd#vi /etc/xinetd.d/vsftpd/修改 disable = noaccess_time = hour:min-hour:min (添加配置访问的时间限制(注:与vsftpd.conf中listen=NO相对应)例: access_time = 8:30-11:30 17:30-21:30 表示只有这两个时间段可以访问ftpftp的配置基本上只有这些了。 默认情况下,ftp根目录是/var/ftp。 如果要修改这个目录位置,可以更改/etc/passwd 文件:[root@singledb ftp]# cat /etc/passwd grep ftpftp:x:14:50:FTP User:/var/ftp:/sbin/nologin创建一个用户来访问FTP,并指定该用户的FTP 目录:[root@singledb u02]# useradd -d /u02/qsftp qs[root@singledb u02]# passwd qsChanging password for user qs.New UNIX password:BAD PASSWORD: it is WAY too shortRetype new UNIX password:passwd: all authentication tokens updated successfully.这里指定的是/u02/qsftp 这个目录,要注意个目录的权限。更改用户不能telnet,只能ftp: usermod -s /sbin/nologin username //用户只能ftp,不能telnet usermod -s /sbin/bash username //用户恢复正常禁止用户ssh登陆 useradd username -s /bin/false 更改用户主目录: usermod -d /bbb username//把用户的主目录定为/bbb然后用qs这个用户就可以访问了。 以上只是一些简单的设置。 在用户权限这块还有很多内容可以研究。 比如特定用户的特定权限。 安全性等。 以后在研究了。指代不同TCP:是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP6:是互联网工程任务组设计的用于替代ipv4的下一代ip协议。功能不同TCP:适应支持多网络应用的分层协议层次结构,连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP6:ipv6具有更大的地址空间,ipv4中规定ip长度为32,最大地址个数为2^32,IPv6中ip地址的长度为128,即最大地址个数为2^128。与32位地址空间对比,其地址空间增加了2^128-2^32个。特点不同TCP:TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上 *** 作。TCP6:不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍。欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)