<![CDATA[阿权的书房]]> http://www.aslibra.com/blog/index.php zh-cn http://www.aslibra.com/blog/post/shell_mod.php <![CDATA[shell取余数]]> hqlulu <hqlulu@163.com> Fri, 03 Sep 2010 03:28:20 +0000 http://www.aslibra.com/blog/post/shell_mod.php date取得分钟数
$(()) 运算

#execute every 5 minutes
a=`date +%M`
b=$(( $a % 5 ))
if [ $b = 0 ] ; then
       echo "execute it"
else
       echo "Not execute"
fi

Tags - , ]]> http://www.aslibra.com/blog/post/MogileFS.php <![CDATA[MogileFS]]> hqlulu <hqlulu@163.com> Wed, 18 Aug 2010 10:10:47 +0000 http://www.aslibra.com/blog/post/MogileFS.php 官方介绍:

MogileFS分布式文件存储系统,是由Six Apart所开发的,下面我们就来列出他的一些特性进行简要介绍。

应用层——不需要特殊的核心组件

无单点失败——mogileFS分布式文件存储系统安装的三个组件(存储节点、跟踪器、跟踪用的数据库),均可运行在多个 机器上,因此没有单点失败。(你也可以将跟踪器和存储节点运行在同一台机器上,这样你就没有必要用4台机器)推荐至少两台机器。

自动的文件复制——基于不同的文件“分类”,文件可以被自动的复制到多个有足够存储空间的存储节点上,这样可以满足这个“类别”的最少复制要求。比如你有一个图片网站,你可以设置原始的JPEG图片需要复制 至少三份,但实际只有1or2份拷贝,如果丢失了数据,那么mogileFS分布式文件存储系统可以重新建立遗失的拷贝数。用这种办法,MogileFS(不做RAID)可以节约磁盘,否则你将存储同样的拷贝多份,完全没有必要。

“比RAID好多了”——在一个非存储区域网络的RAID(non-SAN RAID)的建立中,磁盘是冗余的,但主机不是,如果你整个机器坏了,那么文件也将不能访问。 mogileFS分布式文件存储系统在不同的机器之间进行文件复制,因此文件始终是可用的。

传输中立,无特殊协议——mogileFS分布式文件存储系统客户端可以通过NFS或HTTP来和MogileFS的存储节点来通信,但首先需要告知跟踪器一下。

简单的命名空间——文件通过一个给定的key来确定,是一个全局的命名空间。你可以自己生成多个命名空间,只要你愿意,不过这样可能在同一MogileFS中会造成key冲突。

不用共享任何东西——mogileFS分布式文件存储系统不需要依靠昂贵的SAN来共享磁盘,每个机器只用维护好自己的磁盘。

不需要RAID——在MogileFS中的磁盘可以是做了RAID的也可以是没有,如果是为了安全性着想的话RAID没有必要买了,因为mogileFS分布式文件存储系统已经提供了。

不会碰到文件系统本身的不可知情况——在mogileFS分布式文件存储系统中的存储节点的磁盘可以被格式化成多种格式(ext3,reiserFS等等)。mogileFS分布式文件存储系统会做自己内部目录的哈希,所以它不会碰到文件系统本身的一些限制,比如一个目录中的最大文件数。你可以放心的使用。

安装配置:

懒人安装法,只是整理了一下命令

rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm
yum install Perlbal
yum install perl-Perlbal-XS-HTTPHeaders
yum install perl-MogileFS*
yum install mogstored*
yum install mogilefsd*


没有细细研究,仅安装过可用,目前没有需求使用,所以没有进一步测试,详情参考后面的第二篇文章,很详细,相信照做没有问题。
以下命令仅供参考:

#初始化数据
mogdbsetup -dbhost=192.168.1.22 -dbport=3306 -dbname=mogilefs -dbuser=mogilefs -dbpassword=mogilefs
#运行监控
useradd mogile
sudo -u mogile mogilefsd --daemon
#运行存储
mogstored --daemon
#增加存储点
mogadm --lib=/usr/lib/perl5/site_perl/5.8.8/ --trackers=192.168.1.44:7001 host add aslibra --ip=192.168.1.44 --port=7500 --status=alive
mogadm --lib=/usr/lib/perl5/site_perl/5.8.8/ --trackers=192.168.1.44:7001 host list
#增加存储设备
mogadm --lib=/usr/lib/perl5/site_perl/5.8.8 --trackers=192.168.1.44:7001 device add aslibra 1

#存储
mogtool --trackers=192.168.1.44:7001 --domain=www.aslibra.com inject b.txt b.txt

#增加另外节点
mogadm --lib=/usr/lib/perl5/site_perl/5.8.8/ --trackers=192.168.1.44:7001 host add aslibra --ip=192.168.1.41 --port=7500 --status=alive
mogadm --lib=/usr/lib/perl5/site_perl/5.8.8 --trackers=192.168.1.44:7001 device add aslibra41 2

参考阅读文章:

1 How To Setup MogileFS
2 分布式文件系统MogileFS实践
3 Mogilefs PHP client 测试程序
4 Centos 4.6下初次尝试安装分布式文件系统 MogileFS

Tags - , ]]> http://www.aslibra.com/blog/post/perl-Unicode-String.php <![CDATA[perl程序缺少Unicode/String.pm]]> hqlulu <hqlulu@163.com> Wed, 04 Aug 2010 06:55:25 +0000 http://www.aslibra.com/blog/post/perl-Unicode-String.php
root@aslibra:~# ./axml2xml.pl
Can't locate Unicode/String.pm in @INC (@INC contains: /etc/perl /usr/local/lib/perl/5.10.0 /usr/local/share/perl/5.10.0 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.10 /usr/share/perl/5.10 /usr/local/lib/site_perl .) at ./axml2xml.pl line 24.
BEGIN failed--compilation aborted at ./axml2xml.pl line 24.


下载安装即可:

root@aslibra:/Data/tgz# wget http://search.cpan.org/CPAN/authors/id/G/GA/GAAS/Unicode-String-2.09.tar.gz
root@aslibra:/Data/tgz# tar xfz Unicode-String-2.09.tar.gz
root@aslibra:/Data/tgz# cd Unicode-String-2.09
root@aslibra:/Data/tgz/Unicode-String-2.09# perl Makefile.PL
root@aslibra:/Data/tgz/Unicode-String-2.09# make
cp String.pm blib/lib/Unicode/String.pm
cp lib/Unicode/CharName.pm blib/lib/Unicode/CharName.pm
......
Manifying blib/man3/Unicode::String.3pm
Manifying blib/man3/Unicode::CharName.3pm
root@aslibra:/Data/tgz/Unicode-String-2.09# make install
Files found in blib/arch: installing files in blib/lib into architecture dependent library tree
Installing /usr/local/lib/perl/5.10.0/auto/Unicode/String/String.bs
Installing /usr/local/lib/perl/5.10.0/auto/Unicode/String/String.so
Installing /usr/local/lib/perl/5.10.0/Unicode/String.pm
Installing /usr/local/lib/perl/5.10.0/Unicode/CharName.pm
Installing /usr/local/man/man3/Unicode::CharName.3pm
Installing /usr/local/man/man3/Unicode::String.3pm
Writing /usr/local/lib/perl/5.10.0/auto/Unicode/String/.packlist
Appending installation info to /usr/local/lib/perl/5.10.0/perllocal.pod


文件下载:Gisle Aas > Unicode-String > Unicode::String
Tags - , ]]> http://www.aslibra.com/blog/post/dnsmasq.php <![CDATA[介绍Dnsmasq]]> hqlulu <hqlulu@163.com> Mon, 26 Jul 2010 10:59:53 +0000 http://www.aslibra.com/blog/post/dnsmasq.php Dnsmasq是一个很实用的小工具,解决局域网的需求看来非常合适,特别是网关和防火墙上。

它可以提供如下几个实用的功能:
1 提供dns服务
2 优先使用本地自定义dns
3 提供dhcp服务

一般情况下,我们可以用bind解决dns的问题,dhcpd解决dhcp的问题,另外,还可以用ypbind解决自定义hostname解析的ip(当然还有用户的功能),它都解决了!很实用吧?这真的很吸引人,况且它一直在更新维护,最新版本是6月份的。

安装过程很简单:

wget http://www.thekelleys.org.uk/dnsmasq/dnsmasq-2.55.tar.gz
tar xfz dnsmasq-2.55.tar.gz
cd dnsmasq-2.55
make
make install
cp dnsmasq.conf.example /etc/dnsmasq.conf


运行起来就可以解决第一个问题:

[root@aslibra dnsmasq-2.55]# dnsmasq
[root@aslibra dnsmasq-2.55]# netstat -nlp|grep dnsmasq
tcp        0      0 0.0.0.0:53                  0.0.0.0:*                   LISTEN      25584/dnsmasq      
tcp        0      0 :::53                       :::*                        LISTEN      25584/dnsmasq      
udp        0      0 0.0.0.0:53                  0.0.0.0:*                               25584/dnsmasq      
udp        0      0 :::53                       :::*                                    25584/dnsmasq      


默认情况下,作为dns服务,第一个问题解决了。

我们尝试解决第二个问题,可以说是dns劫持?没有那么严重,用好了其实很实用。
有如下几个问题比较棘手:

1 局域网有很多机器希望使用一份一样的hosts定义一批名称对应的ip,你需要经常维护这份列表
2 你希望局域网的人访问某个域名时,拦截下来到指定的ip,做缓存节省带宽或者其它用途都可以
3 禁止某个域名的正常解析

这个更改涉及两个文件:
1 /etc/hosts
2 /etc/dnsmasq.conf

我们先在hosts文件里加入两行:

192.168.1.3     server1
192.168.1.2     www.aslibra.com


编辑dnsmasq.conf,找到如下代码:

# Add local-only domains here, queries in these domains are answered
# from /etc/hosts or DHCP only.
local=/localnet/

# Add domains which you want to force to an IP address here.
# The example below send any host in doubleclick.net to a local
# webserver.
#address=/doubleclick.net/127.0.0.1
address=/baidu.com/127.0.0.1


重启dnsmasq即可,下面我们在局域网另外一个机器用dig命令测试一下:


#说明:查询公网返回失败
[root@aslibra ~]# dig server1
...
;; QUESTION SECTION:
;server1.                       IN      A

;; AUTHORITY SECTION:
.                       9949    IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2010072501 1800 900 604800 86400
#说明:查询dnsmasq,这里是dig的功能,模拟dns查询,返回hosts文件的设定
[root@aslibra ~]# dig server1 @192.168.1.45
...
;; QUESTION SECTION:
;server1.                       IN      A

;; ANSWER SECTION:
server1.                0       IN      A       192.168.1.3
#说明:正常查询
[root@aslibra ~]# dig www.aslibra.com
...
;; QUESTION SECTION:
;www.aslibra.com.               IN      A

;; ANSWER SECTION:
www.aslibra.com.        1029    IN      A       218.241.231.187
#说明:查询dnsmasq,返回hosts文件的设定
[root@aslibra ~]# dig www.aslibra.com @192.168.1.45
...
;; QUESTION SECTION:
;www.aslibra.com.               IN      A

;; ANSWER SECTION:
www.aslibra.com.        0       IN      A       192.168.1.2
#说明:正常查询
[root@aslibra ~]# dig www.baidu.com
...
;; QUESTION SECTION:
;www.baidu.com.                 IN      A

;; ANSWER SECTION:
www.baidu.com.          1200    IN      CNAME   www.a.shifen.com.
www.a.shifen.com.       600     IN      A       119.75.213.50
www.a.shifen.com.       600     IN      A       119.75.213.51
#说明:查询dnsmasq,返回配置文件的设定
[root@aslibra ~]# dig www.baidu.com @192.168.1.45
...
;; QUESTION SECTION:
;www.baidu.com.                 IN      A

;; ANSWER SECTION:
www.baidu.com.          0       IN      A       127.0.0.1
#说明:其它二级域名也不能幸免
[root@aslibra ~]# dig tieba.baidu.com @192.168.1.45
...
;; QUESTION SECTION:
;tieba.baidu.com.               IN      A

;; ANSWER SECTION:
tieba.baidu.com.        0       IN      A       127.0.0.1


至此已经成功解决,dhcp功能可以自行测试,阅读默认配置文件即可,很便捷,可以按机器名称或mac地址分配ip。

另外,重启dnsmasq可以用SIGHUP(可以在修改hosts文件后,让配置生效)

killall -s SIGHUP dnsmasq


参考阅读:

1 dnsmasq官网
2 dnsmasq手册
3 移植Dnsmasq到Android
4 用dnsmasq解决firefox上网慢
5 dns缓存服务器 dnsmasq
Tags - , , ]]> http://www.aslibra.com/blog/post/dhcp.php <![CDATA[建立DHCP服务]]> hqlulu <hqlulu@163.com> Tue, 25 May 2010 11:37:34 +0000 http://www.aslibra.com/blog/post/dhcp.php 什么是DHCP服务?

动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。

安装和配置DHCP

以ubuntu为例,其余linux版本类似。

1 安装dhcp服务软件
apt-get install dhcp3-server


2 修改服务配置

ubuntu下可以指定只监听哪个网卡:

vi /etc/default/dhcp3-server
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="eth1"


3 编辑主配置文件:

root@aslibra:~# cat /etc/dhcp3/dhcpd.conf
ddns-update-style none;

log-facility local7;

subnet 192.168.1.0 netmask 255.255.255.0 {
        range 192.168.1.100 192.168.1.253;
        option domain-name-servers 192.168.1.1, 8.8.8.8;
        option routers 192.168.1.1;
        option broadcast-address 192.168.1.255;
        default-lease-time 3600;
        max-lease-time 36000;
}


4 启动服务

/etc/init.d/dhcp3-server start


检查DHCP客户端都有哪些

你可以检查 /var/lib/dhcp3/dhcpd.leases 文件,知道当前的客户端,可这样不方便。
我用PHP写了一个脚本,方便查看客户端列表,大家可以参考:

源代码 source code - 演示地址 demo

参考阅读

1 http://baike.baidu.com/view/7992.htm
2 dhcpd.conf MAN配置手册
3 英文参考 http://www.novell.com/documentation/suse91/suselinux-adminguide/html/ch14s10.html
Tags - , , ]]> http://www.aslibra.com/blog/post/centos-iptables-l7filter.php <![CDATA[转:Centos+iptables+l7-filter 封QQ MSN和P2P]]> hqlulu <hqlulu@163.com> Mon, 24 May 2010 10:57:18 +0000 http://www.aslibra.com/blog/post/centos-iptables-l7filter.php
          L7-filter (Application Layer Packet Classifier for Linux), 是 Linux netfilter 的外挂模块, 它能使 Linux 的 iptables 支持 Layer 7 (Application 应用层) 过滤功能, 限制封杀 P2P、即时通讯软件。

Centos 4.4
Kernel 2.6.9-42.0.3.EL
Iptables 1.2.11

1.下载所需软件包:

kernel 2.6.19.7
# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.19.7.tar.bz2

iptables 1.3.7
# wget http://www.netfilter.org/projects/iptables/files/iptables-1.3.7.tar.bz2

L7-filter
http://sourceforge.net/projects/l7-filter/files/
netfilter-layer7-v2.12.tar.gz
l7-protocols-2007-06-22.tar.gz


2.配置编译新内核
首先将所下载的软件都放置于/usr/src目录下

# tar zxvf netfilter-layer7-v2.12.tar.gz
# tar xjvf linux.2.6.19.7.tar.bz2
# ln -s linux.2.6.19.7 linux
# cd linux
# patch -p1 < /usr/src/netfilter-layer7-v2.9/kernel-2.6.18-2.6.19-layer7-2.9.patch
#### (打L7-filter的内核补丁)
# make oldconfig

(如果之前曾经编译过,需要先执行 make mrproper 。make oldconfig会自动对比之前的kernel config,根据之前版本的配置生成一个kernel config,这样方便我们在编译新核心的时候,无须在从头修改所有的核心设置)

# make menuconfig 设定内核参数,具体参数可以参考这篇文章 内核编译详解


核心不同,内核选项的排列方式有可能不一样,仔细找一下可以找到:

Code maturity level options –> [*] Prompt for development and/or incomplete code/drivers

Networking –> Networking options –>
    [*] Network packet filtering (replaces ipchains) –>
        IP: Netfilter Configuration –>
            <M> Connection tracking (required for masq/NAT)

           [*] Connection tracking flow accounting

           <M> IP tables support (required for filtering/masq/NAT)

           <M> Layer 7 match support


# make
# make modules
# make modules_install
# make install
# reboot
# uame -a


Linux jason.10235 2.6.19.7 #1 Fri Jul 6 11:56:11 CST 2007 i686 i686 i386 GNU/Linux
系统已经更新至新内核 2.6.19.7

3.更新升级Iptalbes的Layer7补丁

# cd /usr/src
# tar xjvf iptables-1.3.7.tar.bz2
# cd iptables-1.3.7
# patch -p < ../netfilter-layer7-v2.0/iptables-layer7-2.0.patch
# chmod +x extensions/.layer7-test
# export KERNEL_DIR=/usr/src/linux-2.6.19.7
# export IPTABLES_DIR=/usr/src/iptables-1.3.7
# make BINDIR=/sbin LIBDIR=/lib MANDIR=/usr/share/man install
# iptables -V
iptables v1.3.7 已经更新至新版本


4. 安装Layer7 协议文件

# cd /usr/src
# tar zxvf l7-protocols-2007-06-22.tar.gz
# cd l7-protocols-2007-06-22
# make install


5.使用iptables layer-7 filter:

# iptables -t mangle -I PREROUTING -m layer7 --l7proto edonkey -j DROP (禁止edonkey)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto bittorrent -j DROP (禁止bt)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto qq -j DROP (禁止QQ通讯)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto msnmessenger -j DROP (禁止edonkey)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto xunlei -j DROP (禁止迅雷)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto kugoo -j DROP (禁止kugoo)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto yahoo -j DROP (禁止Yahoo! Messenger)


L7-filter 支持的通讯协议 L7-filter Supported Protocols
Last update 2007.7.16

-EOF-

原出处:http://www.10235.com/linux/centos-iptables-l7filter.html
Tags - , , , ]]> http://www.aslibra.com/blog/post/iptables_network_block.php <![CDATA[监听和拦截网站访问]]> hqlulu <hqlulu@163.com> Thu, 13 May 2010 14:33:17 +0000 http://www.aslibra.com/blog/post/iptables_network_block.php 假设两点:

1 不能让访问真正访问到真实服务器
2 记录访问发送的内容

我的笨方法:

1 在网关上控制数据的访问
2 建立一个网关,把所有转发数据都发送到本地webserver,记录日志
3 修改被监控的机器网关

Step 1,iptables脚本:

#!/bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -t nat -F
iptables -P FORWARD ACCEPT

iptables -A INPUT -t filter -s 192.168.1.1/24 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -d ! 192.168.1.1/24 -j REDIRECT --to-ports 80


Step 2,建立nginx记录日志(配置简化):

log_format  main  '$remote_addr - $http_host [$time_local] "$request" '
        '$status $body_bytes_sent "$http_referer" '
        '"$http_user_agent" "||$http_cookie||" "||$request_body||"';

server {
listen       80;
server_name  localhost;
access_log  /Data/logs/host.access.log  main;
location / {
    root   html;
    index  index.html index.htm;
}
}


Step 3,修改被检测机器的网关为刚才的服务器

这个结果是,被检测的机器发送的所有外网请求都会记录在日志里,日志里包含了域名、post的数据、cookie信息等,比如:

引用
192.168.1.27 - www.aslibra.com [13/May/2010:19:50:09 +0800] "GET / HTTP/1.1" 404 169 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET
CLR 3.5.30729)"||-||" "||-||"
192.168.1.27 - 221.176.31.1 [13/May/2010:19:50:09 +0800] "POST /ht/sd.aspx?t=i&i=1 HTTP/1.1" 404 169 "-" "IIC2.0/PC 3.6.2020" "||ssi
c=||" "||-||"
192.168.1.27 - www.google.com.hk [13/May/2010:19:50:10 +0800] "GET / HTTP/1.1" 200 151 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windo
ws NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" "||-||" "||-||"
192.168.1.27 - qurl.f.360.cn [13/May/2010:19:50:10 +0800] "POST /check_outchain.php HTTP/1.1" 404 169 "-" "Post_Multipart" "||-||" "
||-||"
192.168.1.27 - www.sqm.microsoft.com [13/May/2010:19:51:18 +0800] "POST /sqm/messenger/sqmserver.dll HTTP/1.1" 404 169 "-" "MSDW" "|
|-||" "||-||"
192.168.1.27 - dict.youdao.com [13/May/2010:19:51:23 +0800] "GET /fsearch?client=deskdict&keyfrom=deskdict.network_test&q=Yodao%20di
ct%20Retest&pos=7&doctype=xml&xmlVersion=3.2&dogVersion=1.0&id=3d933c2ef00b99c1&vendor=360z&in=___________________3.1.17.6336&appVer
=3.1.17.6336&le=eng&wstate=yes&proc=iexplore.exe HTTP/1.1" 404 169 "-" "Yodao Desktop Dict (Windows 5.1.2600)" "||OUTFOX_SEARCH_USER
_ID=-2146282@1.2.3.4; DESKDICT_VENDOR=360z; JSESSIONID=bfds6TxoFfFvb_uv1srIs||" "||-||"


比如可以知道机器做了啥:

1 访问阿权的书房的
2 不明白什么访问的
3 访问谷歌的
4 360提交了什么东西
5 微软提交了什么东西
6 有道词典的数据,有cookie信息

知道访问的域名了,就可以在真正的网关禁止访问某个ip($x)即可。

iptables -t nat -A PREROUTING -p tcp -m tcp -d $x -j REJECT
或者
iptables -t nat -A PREROUTING -p tcp -m tcp -d $x -j REDIRECT --to-ports 80


完成~~
PS: 我们的大大的防火墙是否也类似这样呢。。

参考阅读:

1 透明代理配置
2 使用nginx截取https数据
3 NginxHttpLogModule
4 iptables 端口转发
Tags - , ]]> http://www.aslibra.com/blog/post/XEN.php <![CDATA[XEN建立虚拟机]]> hqlulu <hqlulu@163.com> Wed, 05 May 2010 12:07:10 +0000 http://www.aslibra.com/blog/post/XEN.php 为什么要用虚拟机?

1 机器空闲,需要充分利用资源
2 运行的程序有危险性,需要用独立的机器处理,但又没有空闲机器
3 做一些测试性的操作
4 建立脱离机器配置的服务,容易迁移到另外的服务器,备份硬盘即可

有哪些虚拟机软件?

引用
1 老牌子的 VMWare (http://www.vmware.com/)
2 已漸趨成熟的 Xen (http://www.xensource.com/)
3 後起之秀 KVM (Kernel based Virtual Machine, http://kvm.qumranet.com/kvmwiki)
4 酷!炫!有勁的 VirtualBox (http://www.virtualbox.org/)


XEN使用半虛擬化的環境所具備的特色有:

引用
虛擬機器的運作效率與實體機器的效能相當;
最多可支援到具有 32 顆以上 CPU 的主機環境;
支援 x86/32, x86/32 含 PAE 技術, 及 x86/64 的硬體平台環境;
良好的硬體驅動程式支援,幾乎支援所有的 Linux 裝置之驅動程式;


安装XEN

yum -y install kernel-xen
yum -y install xen xen-libs python-virtinst


安装相应的软件后,修改启动文件:
/boot/grub/menu.lst

把xen内核版本的作为默认启动项,比如 title CentOS (2.6.18-164.15.1.el5xen)
重启机器后,“uname -r” 检查是否内核带有xen后缀

安装虚拟机

按鸟哥的文章安装吧,其实没有那么麻烦,本地建立web服务,把centos的dvd光盘mount到某个目录,web可以访问即可。当然了,cd版本的按他的做吧。

路由设置

我们看看默认的iptables设置,去掉注释:

[root@aslibra ~]# iptables-save |grep -v ^#
*nat
:PREROUTING ACCEPT [2163219:107750400]
:POSTROUTING ACCEPT [6604:476359]
:OUTPUT ACCEPT [6604:476359]
-A POSTROUTING -s 192.168.122.0/255.255.255.0 -d ! 192.168.122.0/255.255.255.0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [470097:452540975]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [346597:50757224]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/255.255.255.0 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/255.255.255.0 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -m physdev  --physdev-in vif19624.0 -j ACCEPT
COMMIT


主要有两个:
1 本机需要作为forward网关,转发虚拟机的网络请求
2 对虚拟机的网络请求进行路由转换

自行处理的话,主要的脚本有:

#启用转发
echo 1 > /proc/sys/net/ipv4/ip_forward
#路由地址转换
$IPTABLES -t nat -A POSTROUTING -s 192.168.122.0/24 -j MASQUERADE
#端口转发,比如ssh登录
$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 5022 -j DNAT --to-destination 192.168.122.5:22


默认的路由表要检查一下:

[root@aslibra ~]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
.... 省略 ... eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
192.168.122.0   *               255.255.255.0   U     0      0        0 virbr0
.... 省略 ...
default         .... 省略 ...  eth0


检查虚拟机是否设置的ip为virbr0网卡的网段。

一些命令

xm list 列出当前虚拟机
xm shutdown test 关闭test名称的虚拟机
xm shutdown -a 关闭所有虚拟机
xm create -c centos5 开启centos5配置文件里的虚拟机,并且接上当前界面

效率问题?

引用
我记得还是半虚拟化效率高。是这样的,虚拟化,我觉得楼主分的有问题,不考虑模拟器的话,虚拟化分为有硬件支持(主要是CPU)和没有硬件支持的虚拟化,最初标准的x86架构是不支持虚拟化的,VMWare等虚拟机的做法是在虚拟机执行的时候,预先取将要执行的指令,然后把其中的一些特权指令进行替换,所以效率底。而Xen等采用的半虚拟化则是在内核中进行修改,不去直接调用特权指令,所以效率高,我记得有90%的效率?

后来Intel和AMD在X86架构的CPU中各自加入了对虚拟化的支持,分别是VT和SVM。在CPU支持下,CPU就会有两种模式,Root和Non-root。Hypervisor运行在Root而虚拟机运行在Non-Root模式。在这种情况下,虚拟机可以调用特权指令,但是会转为Root模式处理,比以前来说不用软件去替换那么多的指令,所以效率就高一些。现在Xen、VMWare等都支持这种情况。

但是我们还是的注意,这里只是CPU支持了虚拟化,很多其他硬件设备还是不支持硬件虚拟化,所以还是有一部分的硬件需要通过软件进行模拟。所以效率还是不如半虚拟化高。


参考资料:

1 鸟哥 利用 Xen 設計虛擬機器
2 调整 Xen 虚拟硬盘大小
3 关于Xen的完全虚拟化和半虚拟化
4 xen 虚拟机管理
Tags - , ]]> http://www.aslibra.com/blog/post/ubuntu-install-proftpd.php <![CDATA[ubuntu下安装proftp]]> hqlulu <hqlulu@163.com> Tue, 27 Apr 2010 06:31:37 +0000 http://www.aslibra.com/blog/post/ubuntu-install-proftpd.php
apt-get install proftpd


一句话就可以了,需要说明的有几点:

1 限制用户主目录

#编辑 /etc/proftpd/proftpd.conf ,打开DefaultRoot的注释即可
# Use this to jail all users in their homes
DefaultRoot                     ~


2 限制用户使用shell

如果使用/bin/false 或者是 /usr/sbin/nologin作为用户的shell,则输入正确的密码也登录不上ftp
这个主要是因为 这两个shell程序不是有效的shell程序
# /etc/shells: valid login shells

我们可以编辑 /etc/shells 加入此shell即可,用户则会登录后强制退出了

参考:
http://hi.baidu.com/jeffyqiu/blog/item/d5aba635f992ed8aa61e129b.html
Tags - , , ]]> http://www.aslibra.com/blog/post/IBM-ServeRAID.php <![CDATA[IBM ServeRAID 配置]]> hqlulu <hqlulu@163.com> Fri, 23 Apr 2010 09:12:40 +0000 http://www.aslibra.com/blog/post/IBM-ServeRAID.php 使用ServeRAID Manager 配置阵列》。

不过,使用此功能,还是需要下载IBM的iso,可是ibm官方已经没法下载了,感谢迅雷,让我们可以下载到这些资源:
IBM ServeRAID Support CD

如果有相关的错误,可以参考这个:
IBM xSeries 206 錯誤代碼說明

用该ISO刻录后启动机器,就可以进入设置了,参考前面的文章即可,我发现有个5ee的选项,看的是不错的东西:
RAID 5EE 阵列级别简介


Tags - , ]]>