勿知勿畏

kubeadm搭建k8s

Thu, 10 Aug 2023 10:09:36 +0800

1、配置hosts

cat > /etc/hosts << EOF
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
10.10.10.11 k8s-master-1
10.10.10.12 k8s-master-2
10.10.10.13 k8s-node-1
10.10.10.14 k8s-node-2
10.10.10.15 harbor.qinmengfei.cn
EOF

2、更新内核

rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
yum install -y https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm
yum --enablerepo="elrepo-kernel" install -y kernel-lt
grub2-set-default 0
uname -a
reboot

3、配置内核参数

cat <<EOF > /etc/sysctl.d/k8s.conf
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-iptables = 1
fs.may_detach_mounts = 1
vm.overcommit_memory=1
vm.panic_on_oom=0
fs.inotify.max_user_watches=89100
fs.file-max=52706963
fs.nr_open=52706963
net.netfilter.nf_conntrack_max=2310720
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl =15
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_max_orphans = 327680
net.ipv4.tcp_orphan_retries = 3
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.ip_conntrack_max = 65536
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_timestamps = 0
net.core.somaxconn = 16384
EOF
sysctl --system

4、安装docker

yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum makecache fast
yum -y install docker-ce

systemctl start docker
systemctl enable docker
cat > /etc/docker/daemon.json << EOF
{
  "registry-mirrors": ["https://05kr23vq.mirror.aliyuncs.com"]
}
EOF
systemctl daemon-reload
systemctl restart docker

5、安装kubeadm

cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg
       https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOF
yum install  -y ipvsadm ipset sysstat conntrack libseccomp
yum install -y kubelet kubeadm kubectl
systemctl start kubelet
systemctl enable kubelet

6、提前下载镜像

# 6.1使用命令下载
kubeadm config images pull
# 6.2自行下载
docker pull k8s.gcr.io/kube-apiserver:v1.21.1
docker pull k8s.gcr.io/kube-controller-manager:v1.21.1
docker pull k8s.gcr.io/kube-scheduler:v1.21.1
docker pull k8s.gcr.io/kube-proxy:v1.21.1
docker pull k8s.gcr.io/pause:3.4.1
docker pull k8s.gcr.io/etcd:3.4.13-0
docker pull k8s.gcr.io/coredns/coredns:v1.8.0

7、初始化

7.1初始化参数到文件（多主）

kubeadm config print init-defaults > kubeadm-config.yaml
cat kubeadm-config.yaml
apiVersion: kubeadm.k8s.io/v1beta2
bootstrapTokens:
- groups:
  - system:bootstrappers:kubeadm:default-node-token
  token: abcdef.0123456789abcdef
  ttl: 24h0m0s
  usages:
  - signing
  - authentication
kind: InitConfiguration
localAPIEndpoint:
  advertiseAddress: 192.168.5.63
  bindPort: 6443
nodeRegistration:
  criSocket: /var/run/dockershim.sock
  name: k8s-master-1
  taints:
  - effect: NoSchedule
    key: node-role.kubernetes.io/master
---
apiServer:
  timeoutForControlPlane: 4m0s
apiVersion: kubeadm.k8s.io/v1beta2
certificatesDir: /etc/kubernetes/pki
clusterName: kubernetes
controlPlaneEndpoint: master:6443
controllerManager: {}
dns:
  type: CoreDNS
etcd:
  local:
    dataDir: /var/lib/etcd
imageRepository: k8s.gcr.io
kind: ClusterConfiguration
kubernetesVersion: 1.21.1
networking:
  dnsDomain: cluster.local
  serviceSubnet: 10.96.0.0/12
scheduler: {}

# 执行命令部署
kubeadm init --config=kubeadm-config.yaml --upload-certs

7.2 单节点初始化

kubeadm init \
--apiserver-advertise-address=10.10.10.11 \
--service-cidr=10.0.0.0/16 \
--kubernetes-version 1.21.1 \
--pod-network-cidr=172.0.0.0/16

8、部署网络服务flannel或者calico

kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml


wget https://docs.projectcalico.org/manifests/calico.yaml
kubectl apply -f calico.yaml

# node节点执行
kubeadm join 10.10.10.15:6443 --token abcdef.0123456789abcdef \
    --discovery-token-ca-cert-hash sha256:23a3bac6c2aed47037faae1dc241a99607f7f1705316125bc22d78cbb571cae6 

# 其他master 执行
kubeadm join 10.10.10.11:6443 --token gmaio2.m0bf18nx94ans2gv \
    --discovery-token-ca-cert-hash sha256:8f3a03b59854a7df17624d462813629ecfbf4ab18cab667facc9aad758b36006  --experimental-control-plane

拷贝文件到其他节点，配置环境变量，添加节点

echo export KUBECONFIG=/etc/kubernetes/admin.conf >> /etc/profile
source /etc/profile

一、首先在master上生成新的token

kubeadm token create --print-join-command
 kubeadm join 192.168.1.10:6443 –token 42ojpt.z2h5ii9n898tzo36 –discovery-token-ca-cert-hash sha256:7cf14e8cb965d5eb9d66f3707ba20deeadc90bd36b730ce4c0e5d9db80d3625b


二、在master上生成用于新master加入的证书

kubeadm init phase upload-certs --experimental-upload-certs
复制
 [root@master ~]# kubeadm init phase upload-certs –experimental-upload-certs
 Flag –experimental-upload-certs has been deprecated, use –upload-certs instead
 W1228 17:15:02.356743 27154 version.go:98] could not fetch a Kubernetes version from the internet: unable to get URL “https://dl.k8s.io/release/stable-1.txt”: Get https://storage.proxy.ustclug.org/kubernetes-release/release/stable-1.txt: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)
 W1228 17:15:02.356872 27154 version.go:99] falling back to the local client version: v1.15.1
 [upload-certs] Storing the certificates in Secret “kubeadm-certs” in the “kube-system” Namespace
 [upload-certs] Using certificate key:
 e799a655f667fc327ab8c91f4f2541b57b96d2693ab5af96314ebddea7a68526


三、添加新node

 kubeadm join 192.168.1.10:6443 –token 42ojpt.z2h5ii9n898tzo36 –discovery-token-ca-cert-hash sha256:7cf14e8cb965d5eb9d66f3707ba20deeadc90bd36b730ce4c0e5d9db80d3625b


四、添加新master，把红色部分加到–experimental-control-plane –certificate-key后。

 kubeadm join 192.168.1.10:6443 –token 42ojpt.z2h5ii9n898tzo36 –discovery-token-ca-cert-hash sha256:7cf14e8cb965d5eb9d66f3707ba20deeadc90bd36b730ce4c0e5d9db80d3625b –experimental-control-plane –certificate-key e799a655f667fc327ab8c91f4f2541b57b96d2693ab5af96314ebddea7a68526

Linux中的2>&1到底是如何工作的

Tue, 26 Apr 2022 15:13:37 +0800

在Linux系统中，很多时候会看到命令后面会跟上一个2>&1，但是这个2>&1不是算术表达式，然而它是一个文件重定向命令，文件重定向是>符号，就是左边的内容重定向到右边。

1，文件重定向

重定向是Linux中的一项功能，因此在执行命令时，可以更改标准的输入/输出设备。任何 Linux 命令的基本工作流程都是它接受输入并提供输出。输出可以输出到控制台，也可以输出到其它文件。下面来看一个简单的例子，把aaa.txt的文件输出到bbb.txt文件。

[root@sharplee ~]# cat aaa.txt>bbb.txt

从上图可以看到控制台输出了报错信息。查看bbb.txt 文件，文件中没有内容，主要是“>”符号代表输出重定向。用于把aaa.txt的内容标准输出到bbb.txt,现在没有aaa.txt文件，则打印出了标准错误，标准错误直接打印到控制台了。接着创建一个aaa.txt文件，再把aaa.txt文件重定向到bbb.txt,可以看到能够把文件内容重定向到bbb.txt中，并且控制台没有打印。

2，文件描述符

文件描述符只不过是表示打开的文件的正整数。如果打开了100个文件，将有 100 个文件描述符。唯一需要注意的是，在Unix系统中，一切都是文件。但现在这并不重要，最重要的只需要知道标准输出（stdout）和标准错误（stderr）都有文件描述符。标准输入(stdin）的文件描述符是0，标准输出(stdout)的文件描述符是1，标准错误(stderr)的文件描述符是2.标准错误默认显示在屏幕上。

3，标准输出重定向

通过1>来标准输出重定向，重定向内容到另外的文件中。

[root@sharplee ~]# ping a.com 1>a.txt

上图可以看出，执行命令报错了，通过标准错误来重定向了，标准错误默认是打印到屏幕上。接下来看一个成功的。

[root@sharplee ~]# ping www.baidu.com 1>a.txt

从上图可以看出，把标准输出重定向到了a.txt文件中。

4，标准错误重定向

通过使用2>符号来把标准错误重定向到另外一个文件。

[root@sharplee ~]# ping a.com 2>a.txt

上图可以看出把错误消息重定向到了a.txt 文件中。接着来一个成功而不是错误的。

[root@sharplee ~]# ping www.baidu.com 2>a.txt

从上图可以看出标准错误输出，只重定向标准错误到另外一个文件，标准输出是不会重定向的。标准输出默认显示到屏幕上了。

5，2>&1重定向

啥是“2>&1”重定向呢？指的是把标准错误重定向为和标准输出一样。“1>&2”指的是把标准输出重定向为和标准错误一样。

[root@sharplee ~]#ping a.com>a.a 2>&1

把标准错误重定向到标准输出，和标准输出一样，接着标准输出重定向了a.a文件，所以最终是把标准错误以及标准输出重定向到了a.a文件。

[root@sharplee ~]# ping a.com>aa 1>&2

1>&2把标准输出重定向到标准错误。意思就是标准输出和标准错误一样，然而标准输出到一个文件aa。标准输出已经重定向到了标准错误，这样标准错误没有重定向到任何地方，只能打印到屏幕上了。

接着再看一个例子：

[root@sharplee ~]# ping a.com 2>aa 1>&2

该命令把标准输出重定向标准错误，接着标准错误又重定向到了aa文件，结果是把标准输出和标准错误都打印到aa文件了。

最后如何只打印错误消息以及如何只打印正确信息。通过重定向到/dev/null，来丢弃对应的内容，把正确的输出重定向到/dev/null.意思是只打印错误的信息。把标准错误重定向到/dev/null，意思就是把错误丢弃，只显示正确的信息。

丢弃错误信息/dev/null

[root@sharplee ~]# ping v.com 2>/dev/null

2>用于重定向错误信息到另外一个文件，1>主要用于标准输出重定向到另外一个文件。2>&1主要用于标准输出和标准错误都定位到输出。&>和>&和2>&1相同。

Kubernetes 架构

Fri, 22 Apr 2022 18:18:04 +0800

ETCD

etcd 是一个快速、分布式、一致的键值存储，用作持久存储 Kubernetes 对象数据（如 pod、replication controllers, secrets, services 等）的后备存储。实际上，etcd 是 Kubernetes 存储集群状态和元数据的唯一地方。唯一直接与 etcd 对话的组件是 Kubernetes API Server。所有其他组件通过 API Server 间接读取和写入数据到 etcd。

Etcd 还实现了一个监视功能，它提供了一个基于事件的接口，用于异步监控键的更改。一旦密钥被更改，它的观察者就会收到通知。API Server 组件在很大程度上依赖于此来获得通知并将 etcd 的当前状态移动到所需状态。

etcd 实例的数量应该是奇数吗？

在 HA 环境中，您通常会运行 3、5 或 7 个 etcd 实例，但为什么呢？由于 etcd 是分布式数据存储，因此可以水平扩展它，但您还需要确保每个实例中的数据是一致的，为此，您的系统需要就状态达成共识。Etcd 为此使用了RAFT 共识算法[1]。

该算法需要多数（或仲裁）集群才能进入下一个状态。如果您只有 2 个 ectd 实例，如果其中任何一个失败，则 etcd 集群无法转换到新状态，因为不存在多数，并且在 3 个实例的情况下，一个实例可能会失败并且可以达到多数的实例仍然可用。

API Server

API Server 是 Kubernetes 中唯一与 etcd 直接交互的组件。Kubernetes 以及客户端（kubectl）中的所有其他组件都必须通过 API Server 来处理集群状态。API Server 提供以下功能：

提供在 etcd 中存储对象的一致方式。
执行这些对象的验证，以便客户端无法存储配置不正确的对象，如果它们直接写入 etcd 数据存储区可能会发生这种情况。
提供 RESTful API 来创建、更新、修改或删除资源。
提供乐观并发锁定，因此在并发更新的情况下，对对象的更改永远不会被其他客户端覆盖。
对客户端发送的请求执行身份验证和授权。它使用插件提取客户端的用户名、用户 ID 和用户所属的组，并确定经过身份验证的用户是否可以对请求的资源执行请求的操作。
如果请求试图创建、修改或删除资源，则执行准入控制[2]。示例：AlwaysPullImages、DefaultStorageClass、ResourceQuota 等。
为客户端实现监视机制（类似于 etcd）以监视更改。这允许调度程序和 Controller Manager 等组件以松散耦合的方式与 API Server 交互。

Controller Manager

在 Kubernetes 中，控制器是监控集群状态的控制循环，然后根据需要进行更改或请求更改。每个控制器都尝试将当前集群状态移动到更接近所需状态。控制器跟踪至少一种 Kubernetes 资源类型，并且这些对象有一个表示所需状态的规范字段。

控制器示例：

Replication Manager（ReplicationController 资源的控制器）
ReplicaSet、DaemonSet 和 Job 控制器
Deployment 控制器
StatefulSet 控制器
node 控制器
service 控制器
endpoints 控制器
namespace 控制器
PersistentVolume 控制器

控制器使用监视机制来获得更改通知。他们监视 API Server 对资源的更改并针对每个更改执行操作，无论是创建新对象还是更新或删除现有对象。大多数时候，这些操作包括创建其他资源或自己更新被监视的资源，但是由于使用监视并不能保证控制器不会错过任何事件，它们还会定期执行重新列出操作以确保没有错过了任何东西。

Controller Manager 还执行生命周期功能，例如命名空间创建和生命周期、事件垃圾回收、终止 pod 垃圾回收、级联删除垃圾回收[3]、节点垃圾回收等。

Scheduler

调度程序是一个控制平面进程，它将 pod 分配给节点。它监视没有分配节点的新创建的 pod，并且对于调度程序发现的每个 pod，调度程序负责为该 pod 找到运行的最佳节点。

满足 Pod 调度要求的节点称为可行节点。如果没有合适的节点，则 pod 将保持未调度状态，直到调度程序能够放置它。一旦找到可行节点，它就会运行一组函数来对节点进行评分，并选择得分最高的节点。然后它会通知 API Server 有关所选节点的信息，此过程称为绑定。

节点的选择分为两步：

1、过滤所有节点的列表以获取 pod 可以调度到的可接受节点列表。（例如，PodFitsResources 过滤器检查候选节点是否有足够的可用资源来满足 Pod 的特定资源请求）
2、对从第 1 步获得的节点列表进行评分并对它们进行排名以选择最佳节点。如果多个节点得分最高，则使用循环法确保 pod 均匀地部署在所有节点上。

调度决策需要考虑的因素包括：

Pod 对硬件/软件资源的请求？节点是否报告内存或磁盘压力情况？
该节点是否具有与 pod 规范中的节点选择器匹配的标签？
如果 pod 请求绑定到特定的主机端口，该端口是否已在该节点上占用？
pod 是否容忍节点的污点？
pod 是否指定节点亲和性或反亲和性规则？等。

调度程序不会指示所选节点运行 pod。Scheduler 所做的只是通过 API Server 更新 pod 定义。API server 通过 watch 机制通知 Kubelet pod 已经被调度。然后目标节点上的 kubelet 服务看到 pod 已被调度到它的节点，它创建并运行 pod 的容器。

工作节点组件

Kubelet

Kubelet 是在集群中的每个节点上运行的代理，是负责在工作节点上运行的所有内容的组件。它确保容器在 Pod 中运行。

kubelet 服务的主要功能有：

1、通过在 API Server 中创建节点资源来注册它正在运行的节点。
2、持续监控 API Server 上已调度到节点的 Pod。
3、使用配置的容器运行时启动 pod 的容器。
4、持续监控正在运行的容器并将其状态、事件和资源消耗报告给 API Server。
5、运行容器活性探测，在探测失败时重新启动容器，在容器的 Pod 从 API Server 中删除时终止容器，并通知服务器 Pod 已终止。

kube-proxy

它在每个节点上运行，并确保一个 pod 可以与另一个 pod 对话，一个节点可以与另一个节点对话，一个容器可以与另一个容器通信等。它负责监视 API Server 以了解Service和 pod 定义的更改，以保持整个网络配置的最新状态。当一个Service由多个 pod 时，proxy会在这些 pod 之间负载平衡。

kube-proxy 之所以得名，是因为它是一个实际的代理服务器，用于接受连接并将它们代理到 Pod，当前的实现使用 iptables 或 ipvs 规则将数据包重定向到随机选择的后端 Pod，而不通过实际的代理服务器传递它们。

1、创建服务时，会立即分配一个虚拟 IP 地址。
2、API Server 通知在工作节点上运行的 kube-proxy 代理已经创建了新服务。
3、每个 kube-proxy 通过设置 iptables 规则使服务可寻址，确保拦截每个服务 IP/端口对，并将目标地址修改为支持服务的 pod 之一。
4、监视 API Server 对服务或其端点对象的更改。

容器运行时

专注于运行容器、设置命名空间和容器的 cgroup 的容器运行时称为低级容器运行时，专注于格式、解包、管理和共享images并提供 API 以满足开发人员需求的容器运行时称为高级容器运行时（容器引擎）。

容器运行时负责：

1、如果本地不可用，则从镜像注册表中拉取容器所需的容器镜像。
2、将镜像提取到写入时复制文件系统，所有容器层相互重叠以创建合并文件系统。
3、准备容器挂载点
4、从容器镜像设置元数据，例如覆盖 CMD、来自用户输入的 ENTRYPOINT、设置 SECCOMP 规则等，以确保容器按预期运行。
5、更改内核以向该容器分配某种隔离，例如进程、网络和文件系统。
6、提醒内核分配一些资源限制，如 CPU 或内存限制。
7、将系统调用（syscall）传递给内核以启动容器。
8、确保 SElinux/AppArmor 设置正确。

Redis 官方可视化工具

Thu, 21 Apr 2022 21:10:57 +0800

RedisInsight 是一个直观高效的 Redis GUI 管理工具，它可以对 Redis 的内存、连接数、命中率以及正常运行时间进行监控，并且可以在界面上使用 CLI 和连接的 Redis 进行交互（RedisInsight 内置对 Redis 模块支持）：

https://docs.redis.com/latest/ri/

RedisInsight 提供的功能：

唯一支持 Redis Cluster 的 GUI 工具；

可以基于 Browser 的界面来进行搜索键、查看和编辑数据；

支持基于 SSL/TLS 的连接，同时还可以在界面上进行内存分析；

二、RedisInsight 安装与使用

1.物理安装

1.1下载 RedisInsight 软件包：

https://redis.com/redis-enterprise/redis-insight/#insight-form

[root@Redis ~]# ls
anaconda-ks.cfg  redisinsight-linux64-1.11.0
[root@Redis ~]# mkdir /usr/local/redisinsight
[root@Redis ~]# mv redisinsight-linux64-1.11.0 /usr/local/redisinsight/redisinsight-1.11.0
[root@Redis ~]# chmod +x /usr/local/redisinsight/redisinsight-1.11.0

1.2配置 RedisInsight 的环境变量

[root@Redis ~]# echo "export REDISINSIGHT_HOST=192.168.1.1" >> ~/.bash_profile
[root@Redis ~]# echo "export REDISINSIGHT_HOST_DIR=/usr/local/redisinsight/.redisinsight" >> ~/.bash_profile
[root@Redis ~]# source ~/.bash_profile

注解：

REDISINSIGHT_PORT：配置 RedisInsight 的监听端口（default：8001）
REDISINSIGHT_HOST：配置 RedisInsight 的 IP 地址（default：0.0.0.0）
LOG_DIR：配置 RedisInsight 的日志存放路径（default：REDISINSIGHT_HOST_DIR）
REDISINSIGHT_HOST_DIR：配置 RedisInsight 的数据存放路径（default：~/.redisinsight）

1.3启动 RedisInsight 服务

[root@Redis ~]# nohup /usr/local/redisinsight/redisinsight-linux64-1.4.0 &  // 后台运行
[root@Redis ~]# ps aux | grep redis            // 查看进程是否存在

2.Kubernetes 安装

2.1创建 RedisInsight 的 yaml 文件：

[root@Redis ~]# vim redisinsight.yaml
apiVersion: v1
kind: Service
metadata:
  name: redisinsight-service
spec:
  type: NodePort
  ports:
  - port: 80
    targetPort: 8001
    nodePort: 31888
  selector:
    app: redisinsight
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: redisinsight
  labels:
    app: redisinsight
spec:
  replicas: 1
  selector:
    matachLabels:
      app: redisinsight
  template:
    metadata:
      labels:
        app: redisinsight
    spec:
      containers:
      - name: redisinsight
        image: redislabs/redisinsight:1.7.0
        imagePullPolicy: IfNotPresent
        volumeMounts:
        - name: db
          mountPath: /db
        ports:
        - containerPort: 8001
          protocol: TCP
      volumes:
      - name: db
        emptyDir: {}

2）启动 RedisInsight

[root@Redis ~]# kubectl apply -f redisinsight.yaml

3.RedisInsight 基本使用

安装 Redis（已安装可直接跳过）

[root@Redis ~]# wget https://download.redis.io/releases/redis-6.2.6.tar.gz
[root@Redis ~]# tar zxf redis-6.2.6.tar.gz
[root@Redis ~]# cd redis-6.2.6
[root@Redis redis-6.2.6]# make PREFIX=/usr/local/redis install
[root@Redis redis-6.2.6]# sed -i '/^bind 127.0.0.1/s/127.0.0.1/192.168.1.1/g' redis.conf  # 修改监听 IP
[root@Redis redis-6.2.6]# sed -i '/protected-mode/s/yes/no/g' redis.conf      # 关闭保护模式
[root@Redis redis-6.2.6]# sed -i '/daemonize/s/no/yes/g' redis.conf        # 开启后台运行
[root@Redis redis-6.2.6]# sed -i '/requirepass/s/foobared/123123/g' redis.conf     # 配置密码
[root@Redis redis-6.2.6]# sed -i '/requirepass 123123/s/^#//g' redis.conf      # 将密码前的 # 删除
[root@Redis redis-6.2.6]# cp redis.conf /usr/local/redis/
[root@Redis redis-6.2.6]# /usr/local/redis/bin/redis-server /usr/local/redis/redis.conf   # 启动 R

3.1 通过配置的 IP 和端口，来访问 RedisInsight 的管理界面：

3.2 在这里可以看到 Redis 的各种信息：

3.3 同时 RedisInsight 还可以在界面上进行操作：

3.4 还可以在界面上对 Redis 使用的内存进行分析：

Nginx 轻松搞定跨域问题

Thu, 21 Apr 2022 20:25:36 +0800

分析前准备：

前端网站地址：http://localhost:8080

服务端网址：http://localhost:59200

首先保证服务端是没有处理跨域的，其次，先用postman测试服务端接口是正常的

当网站8080去访问服务端接口时，就产生了跨域问题，那么如何解决？接下来我把跨域遇到的各种情况都列举出来并通过nginx代理的方式解决。

跨域主要涉及4个响应头：

Access-Control-Allow-Origin 用于设置允许跨域请求源地址（预检请求和正式请求在跨域时候都会验证）
Access-Control-Allow-Headers 跨域允许携带的特殊头信息字段（只在预检请求验证）
Access-Control-Allow-Methods 跨域允许的请求方法或者说HTTP动词（只在预检请求验证）
Access-Control-Allow-Credentials 是否允许跨域使用cookies，如果要跨域使用cookies，可以添加上此请求响应头，值设为true（设置或者不设置，都不会影响请求发送，只会影响在跨域时候是否要携带cookies，但是如果设置，预检请求和正式请求都需要设置）。不过不建议跨域使用（项目中用到过，不过不稳定，有些浏览器带不过去），除非必要，因为有很多方案可以代替。
网上很多文章都是直接Nginx添加这几个响应头信息就能解决跨域，当然大部分情况是能解决，还是有很多情况，明明配置上了，也同样会报跨域问题。

什么是预检请求？

当发生跨域条件时候，览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复，浏览器才会发出正式的XMLHttpRequest请求，否则就报错。如下图

开始动手模拟：

Nginx代理端口：22222 ,配置如下

server {
    listen       22222;
    server_name  localhost;
    location  / {
        proxy_pass  http://localhost:59200;
    }
}

测试代理是否成功，通过Nginx代理端口2222再次访问接口，可以看到如下图通过代理后接口也是能正常访问

接下来开始用网站8080访问Nginx代理后的接口地址，报错情况如下↓↓↓

情况1：

Access to XMLHttpRequest at ‘http://localhost:22222/api/Login/TestGet' from origin ‘http://localhost:8080' has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

通过错误信息可以很清晰的定位到错误（注意看标红部分）priflight说明是个预请求，CORS 机制跨域会首先进行 preflight（一个 OPTIONS 请求），该请求成功后才会发送真正的请求。这一设计旨在确保服务器对 CORS 标准知情，以保护不支持 CORS 的旧服务器

通过错误信息，我们可以得到是预检请求的请求响应头缺少了 Access-Control-Allow-Origin，错哪里，我们改哪里就好了。修改Nginx配置信息如下（红色部分为添加部分），缺什么就补什么，很简单明了

server {
    listen       22222;
    server_name  localhost;
    location  / {
       add_header Access-Control-Allow-Origin 'http://localhost:8080';
       proxy_pass  http://localhost:59200;
    }
}

当满怀欢喜的以为能解决后，发现还是报了同样的问题

不过我们的配置没什么问题,问题在Nginx,下图链接http://nginx.org/en/docs/http/ngx_http_headers_module.html

add_header 指令用于添加返回头字段，当且仅当状态码为图中列出的那些时有效。如果想要每次响应信息都携带头字段信息，需要在最后添加always（经我测试，只有Access-Control-Allow-Origin这个头信息需要加always，其他的不加always也会携带回来），那我们加上试试

server {
    listen       22222;
    server_name  localhost;
    location  / {
       add_header Access-Control-Allow-Origin 'http://localhost:8080' always;
       proxy_pass  http://localhost:59200;
    }
}

修改了配置后，发现生效了，当然不是跨域就解决了，是上面这个问题已经解决了，因为报错内容已经变了。

情况2：

Access to XMLHttpRequest at ‘http://localhost:22222/api/Login/TestGet' from origin ‘http://localhost:8080' has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: It does not have HTTP ok status.

通过报错信息提示可以得知，是跨域浏览器默认行为的预请求（option请求）没有收到ok状态码，此时再修改配置文件，当请求为option请求时候，给浏览器返回一个状态码（一般是204）

server {
    listen       22222;
    server_name  localhost;
    location  / {
       add_header Access-Control-Allow-Origin 'http://localhost:8080' always;
       if ($request_method = 'OPTIONS') {
            return 204;
       }
       proxy_pass  http://localhost:59200;
    }
}

当配置完后，发现报错信息变了

情况3：

Access to XMLHttpRequest at ‘http://localhost:22222/api/Login/TestGet' from origin ‘http://localhost:8080' has been blocked by CORS policy: Request header field authorization is not allowed by Access-Control-Allow-Headers in preflight response.

意思就是预请求响应头Access-Control-Allow-Headers中缺少头信息authorization（各种情况会不一样，在发生跨域后，在自定义添加的头信息是不允许的，需要添加到请求响应头Access-Control-Allow-Headers中，以便浏览器知道此头信息的携带是服务器承认合法的，我这里携带的是authorization，其他的可能是token之类的，缺什么加什么），知道了问题所在，然后修改配置文件，添加对应缺少的部分，再试试

server {
    listen       22222;
    server_name  localhost;
    location  / {
       add_header Access-Control-Allow-Origin 'http://localhost:8080' always;
       if ($request_method = 'OPTIONS') {
           add_header Access-Control-Allow-Headers 'authorization'; #为什么写在if里面而不是接着Access-Control-Allow-Origin往下写？因为这里只有预检请求才会检查
           return 204;
      }
    proxy_pass http://localhost:59200;
}
}

此时发现报错问题又回到了情况1

经测试验证，只要if ($request_method = ‘OPTIONS’) 里面写了 add_header ，当为预检请求时外部配置的都会失效，为什么？↓↓。

官方文档是这样说的：

There could be several add_header directives. These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level.

意思就是当前层级无 add_header 指令时，则继承上一层级的add_header。相反的若当前层级有了add_header，就应该无法继承上一层的add_header。

配置修改如下：

server {
    listen       22222;
    server_name  localhost;
    location  / {
        add_header Access-Control-Allow-Origin 'http://localhost:8080' always;
        if ($request_method = 'OPTIONS') {
            add_header Access-Control-Allow-Origin 'http://localhost:8080';
            add_header Access-Control-Allow-Headers 'authorization';
            return 204;
        }
        proxy_pass  http://localhost:59200;
    }
}

此时改完发现跨域问题已经解决了，

不过以上虽然解决了跨域问题，但是考虑后期可能Nginx版本更新,不知道这个规则会不会被修改，考虑到这样的写法可能会携带上两个 Access-Control-Allow-Origin ，这种情况也是不允许的，下面会说到。所以配置适当修改如下：

server {
    listen       22222;
    server_name  localhost;
    location  / {
        if ($request_method = 'OPTIONS') {
            add_header Access-Control-Allow-Origin 'http://localhost:8080';
            add_header Access-Control-Allow-Headers 'authorization';
            return 204;
        }
        if ($request_method != 'OPTIONS') {
            add_header Access-Control-Allow-Origin 'http://localhost:8080' always;
        }
        proxy_pass  http://localhost:59200;
    }
}

情况4：

比较早期的API可能只用到了POST和GET请求，而Access-Control-Allow-Methods这个请求响应头跨域默认只支持POST和GET，当出现其他请求类型时候，同样会出现跨域异常。

比如，我这里将请求的API接口请求方式从原来的GET改成PUT，在发起一次试试。在控制台上会抛出错误：

Access to XMLHttpRequest at ‘http://localhost:22222/api/Login/TestGet' from origin ‘http://localhost:8080' has been blocked by CORS policy: Method PUT is not allowed by Access-Control-Allow-Methods in preflight response.

报错内容也讲的很清楚，在这个预请求中，PUT方法是不允许在跨域中使用的，我们需要改下Access-Control-Allow-Methods的配置(缺什么加上么，这里我只加了PUT，可以自己加全一点)，让浏览器知道服务端是允许的

server {
    listen 22222;
    server_name localhost;
    location / {
        if ($request_method = 'OPTIONS') {
            add_header Access-Control-Allow-Origin 'http://localhost:8080';
            add_header Access-Control-Allow-Headers 'content-type,authorization';
            add_header Access-Control-Allow-Methods 'PUT';#为这么只加在这个if中，不再下面的if也加上？因为这里只有预检请求会校验，当然你加上也没事。
            return 204;
        }
        if ($request_method != 'OPTIONS') {
            add_header Access-Control-Allow-Origin 'http://localhost:8080' always;
        }
        proxy_pass http://localhost:59200;
    }
}

这里注意一下，改成PUT类型后，Access-Control-Allow-Headers请求响应头又会自动校验content-type这个请求头，和情况3是一样的，缺啥补啥就行了。如果不加上content-type，则会报如下错误。（想简单的话，Access-Control-Allow-Headers和Access-Control-Allow-Methods可以设置为 * ,表示全都匹配。但是Access-Control-Allow-Origin就不建议设置成 * 了，为了安全考虑，限制域名是很有必要的。）

都加上后，问题就解决了，这里报405是我服务端这个接口只开放了GET，没有开放PUT，而此刻我将此接口用PUT方法去请求，所以接口会返回这个状态码。

情况5：

最后再说一种情况，就是后端处理了跨域，就不需要自己在处理了（这里吐槽下，某些后端工程师自己改服务端代码解决跨域，但是又不理解其中原理，网上随便找段代码黏贴，导致响应信息可能处理不完全，如method没添加全，headers没加到点上，自己用的那个可能复制过来的并不包含实际项目所用到的，没有添加options请求返回状态码等，导致Nginx再用通用的配置就会可能报以下异常）

Access to XMLHttpRequest at ‘http://localhost:22222/api/Login/TestGet' from origin ‘http://localhost:8080' has been blocked by CORS policy: The ‘Access-Control-Allow-Origin’ header contains multiple values ‘*, http://localhost:8080', but only one is allowed.

意思就是此刻Access-Control-Allow-Origin请求响应头返回了多个，而只允许有一个，这种情况当然修改配置去掉Access-Control-Allow-Origin这个配置就可以了，不过遇到这种情况，建议Nginx配置和服务端自己解决跨域只选其一。（这里注意如果按我上面的写法，if $request_method = ‘OPTIONS’ 这个里面的Access-Control-Allow-Origin可不能删除，删除!=’OPTIONS’里面的就好了，因为这里如果是预检请求直接就ruturn了，请求不会再转发到59200服务，如果也删除了，就会报和情况1一样的错误。所以为什么说要不服务端代码层面解决跨域，要不就Nginx代理解决，不要混着搞，不然不明白原理的人，网上找一段代码贴就很可能解决不了问题）

↓ ↓ ↓ ↓ ↓

再贴一份完整配置（*号根据自己‘喜好’填写）：

server {
    listen       22222;
    server_name  localhost;
    location  / {
        if ($request_method = 'OPTIONS') {
            add_header Access-Control-Allow-Origin 'http://localhost:8080';
            add_header Access-Control-Allow-Headers '*';
            add_header Access-Control-Allow-Methods '*';
            add_header Access-Control-Allow-Credentials 'true';
            return 204;
        }
        if ($request_method != 'OPTIONS') {
            add_header Access-Control-Allow-Origin 'http://localhost:8080' always;
            add_header Access-Control-Allow-Credentials 'true';
        }
        proxy_pass  http://localhost:59200;
    }
}

或者：

server {
    listen       22222;
    server_name  localhost;
    location  / {
        add_header Access-Control-Allow-Origin 'http://localhost:8080' always;
        add_header Access-Control-Allow-Headers '*';
        add_header Access-Control-Allow-Methods '*';
        add_header Access-Control-Allow-Credentials 'true';
        if ($request_method = 'OPTIONS') {
            return 204;
        }
        proxy_pass  http://localhost:59200;
    }
}

宝塔 nginx 配置文件 ssl-301-强制https-引用php

Fri, 21 May 2021 16:21:00 +0800

server {
  listen 80;
  listen 443 ssl http2;
  server_name aaa.com www.aaa.com;
  index index.php index.html ;
  root /www/wwwroot/aaa.com;
   
  #SSL-START SSL相关配置，请勿删除或修改下一行带注释的404规则
  #error_page 404/404.html;
  #强制https
  if ($server_port !~ 443){
    rewrite ^(/.*)$ https://$host$1 permanent;
  }
 
 
  #301-START-301跳转
  if ($host ~ '^aaa.com'){
   return 301 http://www.aaa.com$request_uri;
  }
  #ssl证书配置
  ssl_certificate  /www/server/panel/vhost/cert/aaa.com/fullchain.pem;
  ssl_certificate_key  /www/server/panel/vhost/cert/aaa.com/privkey.pem;
  ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
  ssl_prefer_server_ciphers on;
  ssl_session_cache shared:SSL:10m;
  ssl_session_timeout 10m;
  error_page 497 https://$host$request_uri;
   
  #ERROR-PAGE-START 错误页配置，可以注释、删除或修改
  #error_page 404 /404.html;
  #error_page 502 /502.html;
   
  #PHP-INFO-START PHP引用配置，可以注释或修改
  include enable-php-00.conf;
  #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效
  include /www/server/panel/vhost/rewrite/aaa.com.conf;
 
  #禁止访问的文件或目录
  location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
  {
    return 404;
  }
  location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
  {
    expires   30d;
    error_log off;
    access_log /dev/null;
  }
  location ~ .*\.(js|css)?$
  {
    expires   12h;
    error_log off;
    access_log /dev/null; 
  }
  access_log /www/wwwlogs/aaa.com.log;
  error_log /www/wwwlogs/aaa.com.error.log;
}

frps内网穿透

Thu, 15 Apr 2021 11:16:01 +0800

# frps内网穿透

## 服务端一键安装脚本

Github

wget https://raw.githubusercontent.com/MvsCode/frps-onekey/master/install-frps.sh -O ./install-frps.sh
chmod 700 ./install-frps.sh
./install-frps.sh install

Aliyun

wget https://code.aliyun.com/MvsCode/frps-onekey/raw/master/install-frps.sh -O ./install-frps.sh
chmod 700 ./install-frps.sh
./install-frps.sh install

Uninstall（卸载）

./install-frps.sh uninstall

Update（更新）

./install-frps.sh update
Server management（服务管理器）
Usage: /etc/init.d/frps {start|stop|restart|status|config|version}

## 二进制安装

## github地址

https://github.com/fatedier/frp/releases

## 解压

tar xvf frp_0.34.3_linux_amd64.tar.gz

## 启动

./frps -c frps.ini

## docker安装

## dockerhub地址

https://hub.docker.com/r/snowdreamtech/frps

## 创建配置文件

vim /etc/frp/frps.ini

## 启动服务端 frps

docker run --restart=always --network host -d -v /etc/frp/frps.ini:/etc/frp/frps.ini --name frps snowdreamtech/frps

## 启动个人端 frpc

docker run --restart=always --network host -d -v /etc/frp/frpc.ini:/etc/frp/frpc.ini --name frpc snowdreamtech/frpc

## 配置文件

服务端

# [common] is integral section
[common]
# IPv6的文本地址或主机名必须括起来
# 放在方括号里，如 "[::1]:80", "[ipv6-host]:http" 或者 "[ipv6-host%zone]:80"
#bind_addr = 0.0.0.0
bind_port = 5000
#用于kcp协议的udp端口，可以与 'bind_port'相同
#如果未设置，则在frps中禁用kcp
kcp_bind_port = 5000
# 面板端口
dashboard_port = 7500
# 面板账号密码
dashboard_user = admin
dashboard_pwd = Admin12345
# http 端口和 https 端口可以与 bind_port 相同
vhost_http_port = 5001
vhost_https_port = 5002
# 日志文件
log_file = ./frps.log
# debug, info, warn, error
log_level = info
log_max_days = 3
# 添加 token 验证
token = Admin1234
#当多人同时使用一台frps服务器时，可以方便地使用http、https类型的子域配置。
subdomain_host = frps.qinmengfei.cn
#只允许frpc绑定您列出的端口，如果您不设置任何内容，将不会有任何限制
#允许端口=1-65535
#如果超过最大值，每个代理中的pool_count将更改为max_pool_count
max_pool_count = 50
# 如果使用tcp流多路复用，则默认值为true
tcp_mux = true

客户端配置

[common]
#frps服务端地址
server_addr = freenat.bid
#frps服务端通讯端口，客户端连接到服务端内网穿透传输数据的端口
server_port = 7000
#特权模式密钥，客户端连接到FRPS服务端的验证密钥
privilege_token = frp888
#日志存放路径
log_file = frpc.log
#日志记录类别,可选：trace, debug, info, warn, error
log_level = info
#日志保存天数
log_max_days = 7
#设置为false，frpc连接frps失败后重连，默认为true不重连
login_fail_exit = false
#KCP协议在弱网环境下传输效率提升明显，但是对frps会有一些额外的流量消耗。
protocol = kcp
#穿透服务名称
[http_dsm]
#穿透协议类型，可选：tcp，udp，http，https，stcp，xtcp
type = http
#本地监听IP，可以是本机IP，也可以是本地的局域网内某IP
local_ip = 192.168.1.2
#本地监听端口
local_port = 5000
#对传输内容进行压缩，可以有效减小 frpc 与 frps 之间的网络流量
use_compression = true
#将 frpc 与 frps 之间的通信内容加密传输
use_encryption = true
#自定义域名访问穿透服务，一般域名设置了二级域名泛解析以后，这里填*.freenat.bid即可，*自定义，
custom_domains = dsm.freenat.com

例子

[common]
# 服务端地址（域名，IP）
server_addr = frps.qinmengfei.cn
# 服务端端口
server_port = 5000
authenticate_heartbeats = true
authenticate_new_work_conns = true
authentication_method = token
## token验证
token = Admin1234
[aaa]
type = tcp
local_ip = 127.0.0.1
local_port = 6379
remote_port = 5005

访问 frps.qinmengfei.cn:5005 即可访问本机6379端口服务

vsftpd 一键脚本

Thu, 15 Apr 2021 11:13:49 +0800

#!/bin/bash
#安装VSFTPD服务并使用匿名用户登录
#关闭sellinux
setenforce 0
sed -i 's/SELINUX=.*/SELINUX=disabled/' /etc/selinux/config
if [ $? -ne 0 ]
then
   echo "执行命令失败"
fi
#关闭防火墙
systemctl stop firewalld
if [ $? -ne 0 ]
then 
    echo "关闭防火墙失败"
    read -p "是否跳过此步？(yes or no)":no ifs
    if [ $ifs -eq "no" ]
    then 
       echo "正在退出此脚本"
       sleep 1
    fi  
else
    echo "关闭防火墙成功"
fi
#yum安装vsftpd
yum -y install vsftpd
if [ $? -eq 0 ]
then
    echo "vsftpd安装完成。"
else
    echo "vsftpd安装失败。"
fi
#配置匿名用户
useradd vsftpd -d /home/vsftpd -s /bin/false
mkdir -p /home/vsftpd/ftp1
echo "ftp1" >> /etc/vsftpd/loginusers.conf
echo "123456" >> /etc/vsftpd/loginusers.conf
db_load -T -t hash -f /etc/vsftpd/loginusers.conf /etc/vsftpd/loginusers.db
chmod 777 /etc/vsftpd/loginusers.db
sed -i 's/^.*/#&/' /etc/pam.d/vsftpd
sed -i '2i\auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/loginusers' /etc/pam.d/vsftpd
sed -i '3i\account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/loginusers' /etc/pam.d/vsftpd
mkdir /etc/vsftpd/userconf
echo "local_root=/home/vsftpd/ftp1/" >> /etc/vsftpd/userconf/ftp1
echo "write_enable=YES"  >> /etc/vsftpd/userconf/ftp1
chmod 777  /home/vsftpd/ftp1
chown vsftpd:vsftpd /home/vsftpd/ftp1
#最后修改主配置文件
sed -i 's/anonymous_enable=YES/anonymous_enable=NO/' /etc/vsftpd/vsftpd.conf
sed -i 's/#chroot_local_user=YES/chroot_local_user=YES/' /etc/vsftpd/vsftpd.conf
sed -i 's/#ascii_upload_enable=YES/ascii_upload_enable=YES/' /etc/vsftpd/vsftpd.conf
sed -i 's/#ascii_download_enable=YES/ascii_download_enable=YES/' /etc/vsftpd/vsftpd.conf
echo "guest_enable=YES" >> /etc/vsftpd/vsftpd.conf
echo "guest_username=vsftpd" >> /etc/vsftpd/vsftpd.conf
echo "user_config_dir=/etc/vsftpd/userconf" >> /etc/vsftpd/vsftpd.conf
echo "allow_writeable_chroot=YES" >> /etc/vsftpd/vsftpd.conf
echo "virtual_use_local_privs=YES" >> /etc/vsftpd/vsftpd.conf
echo "pasv_min_port=30000" >> /etc/vsftpd/vsftpd.conf
echo "pasv_max_port=31000 " >> /etc/vsftpd/vsftpd.conf
systemctl start vsftpd
if [ $? -eq 0 ]
then
    echo "vsftpd配置完成。"
    echo "vsftpd服务已启动。"
else
    echo "vsftpd配置失败。"
fi

rsync+lsyncd实时同步

Wed, 14 Apr 2021 15:29:04 +0800

安装 rsync 和 lsyncd

yum install rsync lsyncd -y

配置 rsync

vim /etc/rsyncd.conf

uid = rsync # 运行进程的用户

gid = rsync # 运行进程的用户组

port = 873 # 监听端口

fake super = yes # 无需让rsync以root身份运行，允许接收文件的完整属性

use chroot = no # 禁锢推送的数据至某个目录, 不允许跳出该目录

max connections = 200 # 最大连接数

timeout = 600 # 超时时间

ignore errors # 忽略错误信息

read only = false # 对备份数据可读写

list = false # 不允许查看模块信息

auth users = rsync_backup# 定义虚拟用户，作为连接认证用户

secrets file = /etc/rsync.passwd # 定义rsync服务用户连接认证密码文件路径

[backup] # 定义模块信息

comment = commit # 模块注释信息

path = /backup # 定义接收备份数据目录

##创建密码文件

echo "密码“ > /etc/rsyncd.pwd

配置lsyncd SSH模式配置文件

vim /etc/lsyncd.conf

####SSH模式配置文件

settings {

logfile = "/var/log/lsyncd.log", --日志路径

statusFile = "/var/log/lsyncd.status", --状态文件

pidfile = "/var/run/lsyncd.pid", --pid文件路径

statusInterval = 1, --状态文件写入最短时间

nodaemon = false, --daemon运行

maxProcesses = 1, --最大进程

maxDelays = 1, --最大延迟

}

sync {

default.rsyncssh, --默认rsync+ssh,rsync版本需要升级3以上版本

source = "/home/backup/", --源目录

delete = true, --保持完全同步

host = "root@11.22.33.44", --远程服务器地址

targetdir = "/home/backup/", --目标目录

exclude={ "*.tmp", "*.bak" }, --需排除的文件

rsync = {

binary = "/usr/bin/rsync", --需先安装好rsync

archive = true, --归档

compress = false, --压缩

owner = true, --属主

perms = true, --权限

_extra = {"--bwlimit=5120"}, --限速5120KB/S

whole_file = false

ssh = {

port = 22

}

### rsync 模式配置文件

-- 全局配置

settings {

-- 日志文件存放位置

logfile ="/usr/local/lsyncd/var/lsyncd.log",

-- 状态文件存放位置

statusFile ="/usr/local/lsyncd/var/lsyncd.status",

-- 将lsyncd的状态写入上面的statusFile的间隔，默认10秒

--statusInterval = 10

-- 是否启用守护模式，默认 true

--nodaemon=true

-- inotify监控的事件 ,默认是 CloseWrite,还可以是 Modify 或 CloseWrite or Modify

inotifyMode = "CloseWrite",

-- 最大同步进程

maxProcesses = 8,

--累计到多少所监控的事件激活一次同步,即使后面的delay延迟时间还未到

--maxDelays = 1

}

-- 远程目录同步

sync {

-- rsync , rsyncssh , direct 三种模式

default.rsync,

-- 同步的源目录，使用绝对路径。

source = "/home/wwwroot/attachments",

-- 定义目的地址.对应不同的模式有几种写法,这里使用远程同步的地址，rsync中的地址

target = "rsync137@192.168.1.137::rsyncd",

-- 默认 true ，允许同步删除。还有 false, startup, running 值

--delete = true,

-- 哪些文件不同步

exclude = { ".*" },

-- 设置排除不需要同步的文件的列表，

excludeFrom="/etc/rsync_exclude.lst",

-- 累计事件，等待rsync同步延时时间，默认15秒,最大累计到1000个不可合并的事件(1000个文件变动),

delay = 15,

-- 默认 true 当init = false ,只同步进程启动以后发生改动事件的文件，原有的目录即使有差异也不会同步

--init = true,

-- rsync 的配置

rsync = {

-- rsync 的二进制处理文件

binary = "/usr/bin/rsync",

-- 归档模式

archive = true,

-- 压缩传输

compress = true,

-- 增量

verbose = true,

-- 密码文件

password_file = "/etc/rsyncd.pwd",

-- 其他 rsync 的配置参数, 限速(--bwlimit KBPS),使用 rsync -v 查看详细参数

-- _extra = {"--bwlimit=200"}

}

lsyncd 配置说明

1、settings 部分关于lsyncd工具自身的一些选项设置

--: 注释, 因为是lua 语言,所以 --是注释

logfile : 指定lsyncd工具本身运行所产生的日志文件存放位置

statusFile : 定义lsyncd监控目录状态文件的存放位置

statusInterval : 隔多少秒记录一次被监控目录的状态

nodaemon=true : 默认是不启用守护模式的

inotifyMode : 指定要监控的事件,如,CloseWrite（关闭写入）,Modify（修改）,CloseWrite or Modify, 默认是CloseWrite

maxProcesses : 指定同步时进程的最大个数

maxDelays : 当事件被命中累计多少次后才进行一次同步

2、sync 部分主要用来定义同步时的一些设置,可以同时同步多个目录,只需要在该代码块中事先定义好多个sync即可

default.rsync : 指定lsyncd运行模式,另外,还有>default.direct,default.rsyncssh模式

source : 指定要监控的目录,务必全部用绝对路径

target : 要同步到的目标目录,一般为rsync服务端模块下指定的目录,说明: 'rsyncuser@192.168.10.20::bak' , 'rsyncuser':同步的用户在备服务器上设置 ,'192.168.10.20':备服务器地址, '::backup':模块名称,同步路径在备服务器上设置

init : 为false时表示只同步lsyncd进程启动以后发生改动事件的文件,否则,反之,默认为true

delay : 当命中的事件累计到多少时再触发同步

exclude : 通过此选项排除掉不需要同步的文件,可用它自己的正则进行匹配

delete 为了保持target与souce完全同步，Lsyncd默认会delete = true来允许同步删除。它除了false，还有startup、running值，请参考 Lsyncd 2.1.x ‖ Layer 4 Config ‖ Default Behavior。

delete = true 默认。 Lsyncd将在目标上删除不在源代码中的任何东西。在启动时以及在正常操作过程中被删除的内容

delete = false Lsyncd不会删除目标上的任何文件。不在启动或正常运行。（虽然可以覆盖）

delete = 'startup' Lsyncd将在启动时删除目标上的文件，但不会进行正常操作。

delete = 'running' Lsyncd在启动时不会删除目标上的文件，但会删除那些在正常操作期间被删除的文件

centos-7 添加字库

Wed, 14 Apr 2021 15:26:43 +0800

安装字体库

yum groupinstall "fonts"

yum -y install fontconfig mkfontscale ttmkfdir

安装 source-code-pro 字体

下载ZIP包：sudo wget https://github.com/downloads/adobe-fonts/source-code-pro/SourceCodePro_FontsOnly-1.013.zip

解压：sudo unzip SourceCodePro_FontsOnly-1.013.zip

创建目录：sudo mkdir ~/.fonts

拷贝字体：sudo cp ./SourceCodePro_FontsOnly-1.013/OTF/* ~/.fonts/

生成新的字体缓存：fc-cache -f -v

添加windows 字库

1、先从你本机 C:\Windows\Fonts 拷贝或者网络上下载你想要安装的字体文件（*.ttf文件）到 /usr/share/fonts/windows

2、修改字体文件的权限，使root用户以外的用户也可以使用

cd /usr/share/fonts/windows

chmod 755 *.ttf

搜索目录中所有的字体信息，并汇总生成 fonts.scale 文件

ttmkfdir -e /usr/share/X11/fonts/encodings/encodings.dir

在 Font directory list 的部分，添加 1 行，内容为 <dir>/usr/share/fonts/windows/</dir>

vim /etc/fonts/fonts.conf

<dir>/usr/share/fonts</dir>

<dir>/usr/share/X11/fonts/Type1</dir> <dir>/usr/share/X11/fonts/TTF</dir> <dir>/usr/local/share/fonts</dir>

<dir>/usr/share/fonts/windows/</dir>

<dir prefix="xdg">fonts</dir>

<dir>~/.fonts</dir>

3、建立字体缓存

mkfontscale #（如果提示 mkfontscale: command not found，需自行安装 # yum install mkfontscale ）

mkfontdir

fc-cache

fc-cache -fv