centos透明 centos如何安装软件
大家好,关于centos透明很多朋友都还不太明白,今天小编就来为大家分享关于centos如何安装软件的知识,希望对各位有所帮助!
centos7文件系统管理btrfs详解
一、基础简介
Btrfs(又名:B-tree, Butter FS, Better FS),GPL授权, Oracle从2007研发,写实复制更新机制 CoW,其主要是为了取代ext2,ext3,ext4,其主要功能有
例如我们现在去修改一个文件A,COW机制是先将目标文件A复制一份为文件B,那么我们修改文件时是修改的复制文件B,相当于对源文件A做了快照,如对文件B修改操作失误,可以有效的恢复源文件A。
多物理卷支持:btrfs可由多个底层物理卷组成,内建支持RAID(即支持条带、mirror等功能),以联机添加、移除,修改操作
支持b-tree文件功能即支持子卷功能,如在vg中创建lv一样
写时复制更新机制(英译CoW):复制、更新及替换指针,而非就地更新机制
数据及源数据校验码机制checksum:我们存储某个文件时,checksum会将数据的源数据和数据的校验码,分别通过文件的属性扩展进行保存,当我们再次读取数据时可以方便的检测数据是否受损,如果文件受损系统可以完成自动修复。
支持子卷sub_volume:可以在一个卷上创建子卷,然后分别挂载使用
快照:支持快照的快照功能即增量快照
透明压缩:即数据自动实现压缩和解压缩,以节约空间,会消耗一定的cpu的
:
二、文件系统创建
命令帮助btrfs--help
mkfs.btrfs
-L'LABEL'指定卷标
-d type: raid0,raid1, raid5, raid6, raid10, single指明数据存储类型
-m profile: raid0,raid1, raid5, raid6, raid10, single, dup指明源数据存储的机制
-O feature指明在格式化时使用的特性
-O list-all:列出支持的所有feature
man btrfs-filesystem查看更多的子命令
mount-t btrfs/dev/sdbMOUNT_POINT挂载文件系统
mount-o compress={lzo|zlib} DEVICE MOUNT_POINT透明压缩机制
btrfs filesystem resize VALUE MOUNT_POINT调整磁盘大小
btrfs devices [subcommand] args管理磁盘设备
btrfs-balancesubcomand|args均衡数据
btrfs subvolume [subcommand][args]创建子卷
btrfs snapshot创建快照
快照必须要与原卷在同一卷组中,子卷的快照必须要与子卷在同一个父卷中
btrfs subvolume delete snapshot-name删除子快照
三、创建应用示例
# fdisk-l查看存在的分区的磁盘
# mkfs.btrfs-Lmybtrfs/dev/sdb/dev/sdc将sdb、sdc磁盘创建成为一个btrfs系统
# btrfs filesystem show查看已经创建的btrfs文件系统
# blid/dev/sdb查看UUID是相同的(说明其实属于同一个卷的)
# mkdir/mybtrfs创建挂载点
# mount-t btrfs/dev/sda(挂载点是/dev/sda也是可以的)
# umount/dev/sda卸载
# mount-o compress=lzo/dev/sdb/mybtrs重新使用,此时就是自动压缩(透明压缩)
#btrfs filesystem resize-10G/mybtrfs
(btrfs filesystem resize调整磁盘大小)
# btrfs devices add/dev/sdd/mybtrfs自动磁盘扩展逻辑边界
# man btrfs-balance start/mytrfs
#btrfs-lalance start-mconvert=raid1/mytrfs修改元数据的raid级别
#btrfs balance status/mytrfs
# btrfs device delete/dev/sda/mybtrfs拆除设备,系统会自动移动数据
# btrfs sublimvolume create/mybtrfs创建子卷
# btrfs subvolume create/mybtrfs/logs创建logs子卷
umount/mybtrfs
mount/dev/sdb/mybtrfs可以卸载父卷,只挂着子卷
btrfs subvolume list/mybtrfs显示mybtrs
CentOS Stream 是稳定的 | 观点
CentOS Stream,作为RHEL的可靠持续交付平台,其稳定性一直以来都是关键的关注点。许多人曾担忧,将其从RHEL的下游项目转变为开发平台,是否意味着测试版的不稳定。然而,事实并非如此。红帽的转型背后,是现代化开发实践的引入,如持续集成和持续交付,以及更频繁的发布节奏和开源参与。
尽管外界看到的RHEL开发似乎没有太大改变,但幕后的改革旨在不影响客户的情况下改进开发流程。RHEL团队在2017年提出了大胆设想:将Linux的集成挑战提升到新的高度,通过自动化和协调多个开源项目的开发,以实现“随时就绪的RHEL”。持续集成闸门确保了每个变更都经过严格测试,而每夜组合的自动化则保证了稳定版本的每日交付。
尽管CentOS Stream与RHEL共享大部分源代码,但更新的发布遵循RHEL的质量控制流程,保证了发布的稳定性。RHEL的每夜构建即为CentOS Stream的更新,用户可以期待与RHEL同等的稳定体验。唯一的区别在于RHEL的EUS服务中的工作,这部分通常在非公开阶段完成,但在CentOS Stream中,用户可以看到的更新都经过了严格的测试和验证。
通过这些努力,CentOS Stream不仅达到了与RHEL相当的稳定水平,而且其开源性质使得整个开发过程更加透明,为社区贡献者提供了参与RHEL开发的机会。这是一个持续集成和交付的里程碑,标志着红帽在RHEL开发上的重大进步和对稳定性的承诺。
如何在CentOS或RHEL上搭建Squid透明Web代理系统
使用透明代理有几个好处。首先,对最终用户来说,透明代理可以改善上网浏览体验,因为缓存了经常访问的网站内容,同时给他们带来的配置开销最小。对管理员来说,透明代理可用于执行各种管理政策,比如内容/URL/IP过滤和速率限制等。
代理服务器充当客户端和目的地服务器之间的中介。客户端将请求发送到代理服务器,随后代理服务器评估请求,并采取必要的动作。在本教程中,我们将使用Squid搭建一个Web代理服务器,而Squid是一种健壮的、可定制的、稳定的代理服务器。就个人而言,大概一年来我管理着一台拖有400多个客户端工作站的Squid服务器。虽然平均而言我大概一个月就要重启一次服务,但处理器和存储使用率、吞吐量以及客户端响应时间都表现不错。
我们将配置Squid以获得下列拓扑结构。CentOS/RHEL设备有一块网卡(eth0)连接到专有局域网,另一块网卡(eth1)则连接到互联网。
Squid的安装
想使用Squid搭建透明代理系统,我们首先要添加必要的iptables规则。这些规则应该会帮助你开始上手,不过务必要确保它们与任何的现有配置没有冲突。
# iptables-t nat-A POSTROUTING-o eth1-j MASQUERADE# iptables-t nat-A PREROUTING-i eth0-p tcp--dport 80-j REDIRECT--to-port 3128
第一条规则将引起来自eth1(广域网接口)的所有出站数据包都有eth1的源IP地址(也就是启用NAT)。第二条规则将把来自eth0(局域网接口)的所有入站HTTP数据包(发往TCP 80)重定向至Squid侦听端口(TCP 3128),而不是直接将其转发到广域网接口。
我们使用yum,开始安装Squid。
# yum install squid
现在,我们将改动Squid配置,将其变成透明代理系统。我们将局域网子网(比如10.10.10.0/24)定义为有效的客户端网络。不是来自该局域网子网的任何流量将被拒绝访问。
# vim/etc/squid/squid.conf visible_hostname proxy.example.tst http_port 3128 transparent##定义我们的网络## acl our_network src 10.10.10.0/24##确保我们的网络允许访问## http_access allow our_network##最后拒绝其他的所有流量## http_access deny all
现在我们开启Squid服务,确保它已被添加到启动项。
# service squid start# chkconfig squid on
鉴于Squid已搭建并运行起来,我们可以测试其功能了,为此只需监测Squid日志。从连接至该局域网的计算机访问任何URL,你应该会在日志中看到类似以下的内容。
# tailf/var/log/squid/access.log 1402987348.816 1048 10.10.10.10 TCP_MISS/302 752 GET DIRECT/173.194.39.178 text/html 1402987349.416 445 10.10.10.10 TCP_MISS/302 762 GET DIRECT/173.194.78. 94 text/html
据日志文件显示,IP地址为10.10.10.10的机器试图访问google.com,Squid处理了这个请求。
一种最基本的Squid代理服务器现已准备就绪。在本教程的余下部分,我们将调整Squid的一些参数,以控制出站流量。请注意:这仅仅为了演示。实际的政策应加以定制,以满足你的具体要求。
准备工作
在开始配置之前,我们先明确几个要点。
Squid配置解析
在阅读配置文件时,Squid以一种自上而下的方式来解析文件。自上而下地解析规则,直到发现匹配为止。一旦发现匹配,该规则就被执行;其下面的其他任何规则将被忽视。所以,添加过滤规则的最佳实践就是,按下列顺序指定规则。
explicit allow
explicit deny
allow entire LAN
deny all
Squid重启与Squid重新配置
一旦Squid配置经过改动,Squid服务就需要重启。重启服务可能需要一段时间,有时要几分钟,长短取决于活动连接的数量。在这个期间,局域网用户无法访问互联网。想避免这种服务中断,我们可以使用下面这个命令,而不是使用“service squid restart”。
# squid-k reconfigure
该命令将允许Squid使用更新后的参数来运行,而不需要重启本身。
按照IP地址过滤局域网主机
在这个演示中,我们想要搭建这样的Squid:禁止拥有IP地址10.10.10.24的主机和IP地址10.10.10.25的主机访问互联网。为此,我们创建了一个文本文件“denied-ip-file”,里面含有所有被拒绝访问的主机的IP地址,然后将该文件添加到Squid配置中。
# vim/etc/squid/denied-ip-file 10.10.10.24 10.10.10.25# vim/etc/squid/squid.conf##首先我们创建访问控制列表(ACL),隔离被拒绝访问的IP地址##acl denied-ip-list src"/etc/squid/denied-ip-file"##然后,我们应用ACL## http_access deny denied-ip-list##明确拒绝## http_access allow our_network##允许局域网## http_access deny all##拒绝所有deny all##
现在我们需要重启Squid服务。Squid将不再认可来自这些IP地址的请求。如果我们检查squid日志,就会发现来自这些主机的请求处于“TCP_DENIED”状态。
过滤黑名单中的网站
这个方法将只适用于HTTP。假设我们想阻止badsite.com和denysite.com,就可以将这两个网址添加到文件,并且将引用添加到squid.conf。
# vim/etc/squid/badsite-file badsite denysite# vim/etc/squid/squid.conf## ACL定义##acl badsite-list url_regex"/etc/squid/badsite-file"## ACL应用## http_access deny badsite-list http_access deny denied-ip-list##之前设置,但这里不起作用## http_access allow our_network http_access deny all
请注意:我们使用了ACL类型“url_regex”,这将与所请求的URL中的“badsite”和“denysite”这两个词相匹配。也就是说,凡是在URL中含有“badsite”或“denysite”(比如badsite.org、newdenysite.com或otherbadsite.net)的请求一律被阻止。
合并多个ACL
我们将创建一个访问列表,阻止IP地址为10.10.10.200的客户端和IP地址为10.10.10.201的客户端访问custom-block-site.com。其他任何客户端都能够访问该网站。为此,我们将首先创建一个访问列表以隔离这两个IP地址,然后创建另一个访问列表以隔离所需的网站。最后,我们将同时使用这两个访问列表,以满足要求。
# vim/etc/squid/custom-denied-list-file 10.10.10.200 10.10.10.201# vim/etc/squid/custom-block-website-file custom-block-site# vim/etc/squid/squid.conf acl custom-denied-list src"/etc/squid/custom-denied-list-file" acl custom-block-site url_regex"/etc/squid/custom-block-website-file"## ACL应用## http_access deny custom-denied-list custom-block-site http_access deny badsite-list##之前设置,但这里不起作用## http_access deny denied-ip-list##之前设置,但这里不起作用## http_access allow our_network http_access deny all# squid-k reconfigure
被阻止的主机现在应该无法访问上述网站了。日志文件/var/log/squid/access.log应该含有相应请求的“TCP_DENIED”。
设定最大下载文件大小
Squid可以用来控制最大的可下载文件大小。我们想把IP地址为10.10.10.200的主机和IP地址为10.10.10.201的主机的最大下载大小限制在50MB。我们之前已经创建了ACL“custom-denied-list”,以隔离来自这些源地址的流量。现在,我们将使用同一个访问列表来限制下载文件大小。
# vim/etc/squid/squid.conf reply_body_max_size 50 MB custom-denied-list# squid-k reconfigure
建立Squid缓存层次体系
Squid支持缓存的方式是,将经常访问的文件存储在本地存储系统中。设想一下:你的局域网上有100个用户在访问google.com。要是没有缓存功能,就要为每一个请求单独获取Google标识或涂鸦。Squid可以将标识或涂鸦存储在缓存中,以便从缓存来提供。这不仅改善了用户感觉得到的性能,还减少了带宽使用量。这可以说是一举两得。
想启用缓存功能,我们可以改动配置文件squid.conf。
# vim/etc/squid/squid.conf cache_dir ufs/var/spool/squid 100 16 256
数字100、16和256有下列含义。
•为Squid缓存分配100 MB存储空间。如果你愿意,也可以加大所分配的空间。
•16个目录(每个目录里面含有256个子目录)将用于存储缓存文件。这个参数不应该改动。
我们可以通过日志文件/var/log/squid/access.log来证实Squid缓存是否被启用。如果缓存成功命中,我们应该会看到标有“TCP_HIT”的项。
总而言之,Squid是一种功能强大的、基于行业标准的Web代理服务器,被全球各地的系统管理员们广泛使用。Squid提供了简易的访问控制功能,可用于管理来自局域网的流量。它既可以部署到大企业网络中,也可以部署到小公司网络中。
