信创服务器操作系统（银河麒麟版）-安全与网络服务 全套课件 项目1-11 部署银河麒麟高级服务器操作系统防火墙服务-部署银河麒麟高级服务器操作系统Ansible自动化运维服务

项目1部署银河麒麟高级服务器

操作系统防火墙服务信创服务器操作系统（麒麟版）——安全与网络学习目标防火墙原理了解银河麒麟高级服务器操作系统中系统防火墙的基本原理和工作机制服务管理熟悉Firewalld服务的管理和控制方法,掌握动态防火墙配置技术命令行操作掌握Firewalld的命令行操作,实现精确的网络访问控制安全增强了解银河麒麟高级服务器操作系统增强的KYSEC安全特性项目背景天网工作室服务器安全需求天网工作室最近上线了一台服务器。网络工程师需要在银河麒麟高级服务器操作系统上实施全面的防火墙管理措施。通过利用Firewalld动态防火墙控制来配置和优化网络安全策略,同时实施银河麒麟高级服务器操作系统特有的KYSEC安全增强功能,实现精确控制网络接口的安全区域分配、端口管理和访问规则。项目实施方案配置Firewalld防火墙利用Firewalld对网络接口进行安全区域划分,设定默认策略和自定义规则,并实现动态更新KYSEC安全增强实施部署KYSEC安全控制,通过强制访问控制和安全标记加强数据保护,并定期审查安全策略防火墙配置和控制的组件及其关系从银河麒麟高级服务器操作系统V10开始,默认使用Firewalld防火墙。Firewalld提供了支持网络/防火墙区域定义网络链接以及接口安全等级的动态防火墙管理。Netfilter核心组件什么是NetfilterNetfilter是银河麒麟高级服务器操作系统核心层内部的一个数据包处理模块,是银河麒麟高级服务器操作系统平台下的包过滤防火墙。核心功能网络地址转换数据包内容修改数据包过滤的防火墙功能防火墙基础组件1表(Tables)相同功能规则的集合,用于组织和管理防火墙规则2链(Chains)数据包处理的关卡,决定数据包的流向和处理方式3规则(Policy)包含匹配条件和处理动作,定义具体的过滤策略防火墙工作原理数据包通过系统网络堆栈的路径展示了它们如何与Netfilter/iptables互动。数据包首先进入PREROUTING链,此处决定了它们的下一步路由。如果数据包目的地是本地系统,它将进入INPUT链;如果数据包将被路由至其他系统,它将通过FORWARD链。防火墙链的处理流程01PREROUTING链数据包进入系统的第一个处理点02路由判断决定数据包是发往本地还是转发03INPUT/FORWARD链根据目的地进入相应的处理链04OUTPUT链本地产生的数据包进入此链05POSTROUTING链数据包离开系统前的最后处理防火墙四大表raw表数据包首先经过的表,用于决定包是否应该被跟踪,可以跳过Netfilter的连接跟踪机制mangle表用于修改数据包的特定部分,比如改变数据包的TTL或者为数据包打标签等nat表用于网络地址转换,如源NAT和目的NAT,将私有网络地址转换为公共地址filter表过滤数据包的地方,用于决定哪些数据包可以通过,哪些应该被丢弃四个表的优先级由高到低的顺序为:raw→mangle→nat→filter静态防火墙vs动态防火墙静态防火墙每次修改规则后都必须重新加载整个规则列表代表:iptablesservice模式缺点:规则更新需要完全重载,影响服务连续性动态防火墙对规则的任何变更只需保存并更新变更部分,无需重新加载所有规则代表:Firewalld机制优势:实时更新规则,不影响现有连接Firewalld服务特性核心特点Firewalld提供了daemon和service,并支持命令行及图形界面配置工具。daemon在后台持续运行,不需要用户持续干预即可自动管理服务。它在功能上替代了iptablesservice部分,但在底层仍使用iptables作为防火墙规则管理入口,而数据包过滤则由内核中的Netfilter子系统负责。Firewalld九大安全区域trusted信任区域,允许所有连接home家庭网络,基本信任internal内部网络,等同homework工作区域,基本信任public公共区域,默认区域external外部网络,启用伪装Firewalld将网卡映射到不同的区域,默认提供九个区域,在银河麒麟高级服务器操作系统中,默认区域被设置为public安全区域详细策略dmz(非军事区)此区域可公开访问,可以有限地进入内部网络,流量与ssh服务相关则允许进入block(限制)任何接收的网络连接都被拒绝,提供最严格的访问控制drop(丢弃)任何接收的网络数据包都被丢弃,仅能有发送出去的网络连接Firewalld默认对所有服务实行拒绝策略,只有在明确配置后才会放行特定服务麒麟安全增强功能概览麒麟安全增强的各种安全功能包括管理员分权机制、典型实施机制、多级安全机密性机制、Kysec机制、支持国密算法、用户UID唯一性、双因子认证、安全中心、安全管理工具、文件保密箱和日志管理工具等。访问控制模型自主访问控制(DAC)银河麒麟高级服务器操作系统下默认的接入控制机制,通过对资源读、写、执行操作,保证系统安全。强制访问控制(MAC)安全接入控制机制,默认情况下MAC不允许任何访问,用户可以自定义策略规则指定允许什么,从而避免很多攻击。MAC强制访问控制实现方式Apparmor内核模块的一个安全框架默认选择:Ubuntu系统SELinux美国国家安全局对于强制访问控制的实现默认选择:RHEL系统KYSEC基于kysec安全标记对执行程序、脚本文件、共享库、内核模块进行保护默认选择:银河麒麟高级服务器操作系统KYSEC三种安全模式1强制模式(Normal)出现违规操作时,不止会审计记录该操作,还会阻止该操作的运行,提供最高级别的安全保护2警告模式(Warning)出现违规操作时,会弹出麒麟安全授权认证框进行授权,允许管理员实时决策3软模式(Softmode)出现违规操作时,只会审计记录该操作,而不会阻止该操作的运行,适合测试环境KYSEC安全标记体系userid-文件身份标记用于对执行文件的用户进行限制,包括secadm(安全管理员)、audadm(审计管理员)和none(无身份标记)protect-文件保护标记用于对文件进行保护和检测,包括verify(执行前检查)、readonly(只读)和none(无保护标记)exectl-执行控制标记用于对文件的是否可执行进行控制,包括unknown、original、verified、kysoft和trusted等标记执行控制标记详解1unknown未知文件标记,该标记不可执行2original系统原始文件标记,该标记可执行3verified第三方可执行文件标记,该标记可执行4kysoft可信安全脚本标记,该标记可执行5trusted可信文件标记,拥有该标记的程序对文件进行修改时文件标记不变,该标记可执行任务实施任务1-1:配置Firewalld防火墙01网络接口分配将网络接口分配到合适的安全区域02默认策略和自定义规则设置配置区域的默认策略和特定规则03动态防火墙管理实现规则的动态更新和管理步骤1:启动Firewalld服务操作命令systemctlstartfirewalldsystemctlenablefirewalldsystemctlstatusfirewalld确保Firewalld已安装并在服务器上运行,并设置为开机自启步骤2:查看可用安全区域firewall-cmd--get-zones查看所有可用的安全区域,系统将显示九个预定义的安全区域步骤3:分配网络接口到安全区域永久配置命令firewall-cmd--permanent--zone=public--add-interface=eth0firewall-cmd--reload根据网络设计和安全需求,将网络接口(如eth0)分配到合适的安全区域,使用--permanent参数使其更改永久生效步骤4:设置默认策略firewall-cmd--permanent--zone=public--set-target=DROPfirewall-cmd--reload确定每个安全区域的默认策略,例如拒绝所有未明确允许的入站和出站连接。使用--permanent参数使其更改永久生效,然后重启Firewalld生效。步骤5:开放特定服务开放ICMP服务firewall-cmd--permanent--zone=public--add-service=icmpfirewall-cmd--reload根据需要为特定的区域开放特定端口或服务,例如允许HTTP服务的端口80或ICMP服务开放HTTP端口firewall-cmd--permanent--zone=public--add-port=80/tcpfirewall-cmd--reload使用--permanent参数使其更改永久生效步骤6:配置源地址规则firewall-cmd--permanent--zone=public--add-source=00firewall-cmd--reload使用源地址或目标地址规则来限制或允许特定IP地址的流量的进入。使用--permanent参数使其更改永久生效,然后重启Firewalld生效。动态防火墙管理-临时规则临时开放端口firewall-cmd--zone=public--add-port=5000/tcpFirewalld允许在不重启服务的情况下实时添加、修改或删除防火墙规则。这种更改在下一次重载或重启之前是临时生效的。动态防火墙管理-永久规则firewall-cmd--permanent--zone=public--add-port=5000/tcpfirewall-cmd--reload要使更改永久生效,需要在命令中加入--permanent标志。例如,永久开放5000端口,然后重启Firewalld使更改生效。检查防火墙配置查看配置命令firewall-cmd--list-allfirewall-cmd--list-all-zones使用这些命令可以检查当前的所有规则和配置,确保规则按预期设置任务验证-连通性测试Ping测试ping服务器IP地址用其他机器使用ping命令测试服务器的连通性,验证ICMP服务是否正常开放端口测试telnet服务器IP地址80用其他机器使用telnet命令检测服务器80端口的连通性,验证HTTP服务是否可访问任务实施任务1-2:安全增强实施安装KYSEC安全控制使用yum命令安装麒麟安全增强工具修改当前KYSEC状态开启KYSEC并配置相关功能配置KYSEC安全标记为文件和程序设置安全标记步骤1:查找麒麟安全增强工具yumgrouplist使用yum命令中的grouplist参数查看查找麒麟安全增强工具,系统将显示可用的软件包组列表步骤2:安装麒麟安全增强工具安装命令yumgroupinstall"麒麟安全增强"使用yum命令中的groupinstall参数安装麒麟安全增强工具,系统将自动下载并安装所有相关组件步骤3:验证KYSEC安装kysecgetstatus验证KYSEC是否安装成功,命令将显示当前KYSEC的状态信息,包括是否启用、当前模式等步骤4:开启KYSEC开启命令kysecenablerebootkysecgetstatus开启KYSEC后系统会提示重启,使用reboot命令重启系统,重启完之后再使用getstatus查看KYSEC的情况步骤5:开启KYSEC的netctl功能kysecnetctlenable-t修改当前KYSEC的netctl状态,-t参数就是将当前状态改为持久化,确保系统重启后配置依然有效步骤6:配置KYSEC安全标记echo"testcontent">test.txtkysecsetmark-ftest.txt-mreadonly创建一个txt文件,并且给文件写入内容,然后为文件设置安全标记,例如设置为只读保护任务验证-检查KYSEC状态验证命令kysecgetstatus使用getstatus命令验证KYSEC和netctl是否开启,确认所有安全功能正常运行项目总结掌握核心技能理解防火墙基本原理和工作机制熟练配置Firewalld动态防火墙掌握KYSEC安全增强功能实现企业级网络安全防护通过本项目的学习,您已经具备了在银河麒麟高级服务器操作系统上部署和管理防火墙服务的能力,能够为企业构建安全可靠的网络环境。习题-选择题1问题1Firewalld防火墙服务使用()来管理网络流量规则。A.iptablesB.netfilterC.firewalld-zonesD.network-manager2问题2在银河麒麟高级服务器操作系统中,KYSEC安全控制是用来()。A.网络流量监控B.文件加密C.系统访问控制D.硬件性能优化3问题3()类型的安全标记可以防止未授权用户执行特定的二进制文件。A.只读标记B.执行控制标记C.文件身份标记D.网络访问标记4问题4Firewalld的()功能允许在不重启服务的情况下实时更新规则。A.实时监控B.动态防火墙管理C.自动规则更新D.防火墙日志记录习题-简答题问题1简述Firewalld动态防火墙的工作原理。问题2解释KYSEC安全控制在银河麒麟高级服务器操作系统中的作用。谢谢!项目2麒麟银河麒麟高级服务器

操作系统日志管理服务信创服务器操作系统（麒麟版）——安全与网络学习目标理解日志概念了解银河麒麟高级服务器操作系统日志文件的基本概念与重要性熟悉文件路径掌握系统日志文件的存储位置与目录结构识别日志内容熟悉各种日志文件包含的具体内容与格式掌握管理方法学会日志文件的查看、备份、轮替和清理等管理技能项目背景天网工作室的挑战天网工作室近期上线了一台运行银河麒麟高级服务器操作系统的服务器。为保障系统稳定与安全,运维人员需要对系统日志进行全面管理。他们将借助系统自带的日志管理工具,对各类日志文件进行分类、存储和定期清理,确保日志数据的完整性与时效性。同时,利用专业的日志分析工具,对系统运行日志、安全事件日志等进行深度挖掘。核心任务日志文件分类管理定期清理与备份深度日志分析关键指标告警设置及时发现安全威胁项目实施方案01理解日志作用掌握日志文件在系统运行、安全监控和故障诊断中的核心作用02熟悉存储位置了解银河麒麟系统中日志文件的存储位置,确保准确识别与访问03掌握日志类型学习不同类型日志记录的信息类别、格式及含义04实践管理技能熟练运用查看、备份、轮替和清理等日志管理技能系统日志文件日志管理的基础知识与核心概念系统日志文件概述对系统管理员来说,系统日志文件是极为珍贵的信息宝库,能够助力他们实时监测系统和网络的运行状态,及时发现并诊断各类问题,还能开展全面的安全审核工作。实时监测详细记录系统在特定时间通过特定程序执行的操作、产生的事件和相应的信息问题诊断通过细致分析日志数据,识别潜在的数据模式,有效排除系统故障安全审核维护服务质量的重要工具,为系统维护和优化提供全面支持系统日志服务架构RSyslog-日志收集核心强大且广泛使用的日志收集工具,以高性能、模块化和可扩展性著称。设计灵活高效,支持模块化配置,能够处理大量日志数据。高性能日志处理模块化架构设计丰富的过滤选项灵活的输出配置rsyslog.service-服务管理RSyslog的服务管理单元,负责启动、停止和监控RSyslog服务的运行状态,确保日志服务稳定运行。服务状态监控自动启动管理运行状态保障系统集成支持常用日志文件路径/var/log/auth.log记录授权信息:用户登录、sudo命令使用等/var/log/boot.log开机启动过程:内核检测、硬件启动细节/var/log/kern.log系统内核产生的信息/var/log/dmesg硬件设备挂载信息和内核启动过程/var/log/messages几乎所有系统信息(除授权相关)/var/log/XorgXWindow启动日志信息/var/log/wtmp(btmp)正确(错误)登录系统的账户信息RSyslog核心功能日志格式定义定义日志信息的标准格式,使日志文件的解析和处理更加标准化和高效日志信息分类根据日志来源和类型进行分类存储,将不同类型的日志信息存放在/var/log目录下的相应文件中灵活的配置配置文件(/etc/rsyslog.conf)提供高度定制性,允许用户根据需求设置日志收集规则、格式和目的地高效处理能力能够高效处理大量日志数据,对维护系统稳定性和安全性至关重要rsyslog.service服务管理Systemd集成作为Systemd的一部分,享有完整的服务管理功能服务控制支持启动、停止、重启和状态监控等操作日志持续收集确保日志数据的持续收集和存储性能保障保持系统性能和稳定性RSyslog配置文件结构主配置文件/etc/rsyslog.confRSyslog服务的核心配置文件,定义日志处理的规则和参数扩展配置目录/etc/rsyslog.d/包含附加配置文件,用于扩展或覆盖主配置环境变量配置/etc/sysconfig/rsyslog包含启动RSyslog服务时使用的环境变量和选项rsyslog.conf核心内容模块加载配置文件开头包含模块加载指令,扩展RSyslog功能,如网络日志或数据库日志支持全局指令定义RSyslog服务的全局属性,如日志文件默认权限设置、日志轮转策略等规则定义基于规则的配置方法,每条规则由选择器(设施和优先级)和操作(执行动作)组成过滤器基于特定条件(如日志内容或来源)选择性处理日志消息模板定义允许定义模板以格式化日志消息,便于转发到不同目的地或特定格式存储包含指令可以包含其他配置文件或目录,使配置管理更加模块化和灵活50-default.conf配置文件/etc/rsyslog.d/50-default.conf是常用配置文件,包含一系列日志规则,定义不同类型和级别的日志信息应存放的位置。配置示例解析*.*;auth,authpriv.none-/var/log/syslog所有级别的日志,除了auth和authpriv类别,都记录在/var/log/syslog文件中短横杠"-"的作用在文件路径前的"-"是性能优化机制。它使RSyslog首先将日志信息存储在内存缓冲区,而不是直接写入硬盘。当内存缓冲区积累到一定数据量时,数据会被批量写入磁盘,减少磁盘写入操作,提高系统性能。RSyslog日志类别kern系统内核产生的信息,包括内核检测、内核功能启动等mail邮件系统相关信息,如邮件系统运行状态、邮件传输处理过程daemon系统服务(守护进程)产生的日志,包括后台服务运行情况auth认证和授权相关信息,如登录过程、SSH连接、sudo命令等authpriv涉及敏感认证活动的私人账户信息lpr打印相关日志,记录打印机和打印任务信息更多日志类别cron计划任务(cronjobs)相关日志,涵盖定时任务的执行情况ftpFTP(文件传输协议)通信相关信息,涉及FTP服务器和客户端交互日志通过对这些日志类别的深入理解,系统管理员可以更加高效地组织和过滤日志数据,使对特定系统组件或服务的监控更加精准,大大简化故障诊断过程。日志信息等级体系日志信息等级是表明日志消息重要性的系统,从最低的调试(debug)到最高的紧急(emerg)不等。理解这些等级对于有效分类和优先处理日志信息至关重要。7-debug最低级别,记录调试信息,用于开发或故障排查6-info基本信息级别,记录一般性信息,如系统运行状态5-notice正常但重要的信息,需要特别注意的关键系统运行信息4-warning警告级别,指示潜在问题,需要关注但不会立即影响服务高级别日志等级3-err错误信息级别,记录重大错误,可能影响某些服务的正常运行,需要立即关注和解决2-crit临界级别,比err更严重,表示严重的系统问题或错误,可能导致服务或程序不稳定1-alert警报级别,表示非常严重的问题,可能导致系统崩溃或需要立即采取行动0-emerg紧急级别,最高等级,表示系统处于极端危险状态,关系到系统整体稳定性和安全性RSyslog配置符号.(点)表示"当前等级以及更高等级"示例:记录mail类别中info级别及以上的消息.=表示"仅此等级"示例:mail.=info仅记录mail类别中info等级的消息.!表示"除此等级外的所有等级"示例:mail.!=info记录mail类别中除info等级以外的所有消息*表示"所有级别"或"所有类别"示例:*.notice将所有类别的notice级别及以上信息输出日志文件轮转Logrotate工具的配置与使用Logrotate的作用与重要性日志文件记录了程序运行的关键信息,从用户行为分析到程序运行监控,日志都扮演着不可或缺的角色。然而,考虑到磁盘空间的有限性,必须有一种机制来管理旧日志文件。Logrotate的主要职责:自动化地管理日志文件的轮转和删除,以防止因日志积累导致的磁盘空间耗尽。基于Cron定时任务运行执行脚本位于/etc/cron.daily/logrotate通常每天执行一次调用主配置文件/etc/logrotate.confLogrotate工作机制01定时触发通过Cron定时任务,Logrotate定期自动运行,通常每天执行一次02读取配置调用主配置文件/etc/logrotate.conf和/etc/logrotate.d/目录下的额外配置文件03执行轮转根据配置规则,将旧日志文件更改名称,创建新的空白日志文件04清理删除旧日志文件在保留预设时间后被自动删除,释放磁盘空间Logrotate配置文件结构主配置文件/etc/logrotate.conf全局配置文件,设置全局的日志管理规则,如轮循频率、保留文件数量等额外配置文件/etc/logrotate.d/为特定应用程序或服务定义专门的日志管理规则,如Web服务器、数据库等Logrotate的配置具有高度灵活性,管理员可以根据实际需求调整和优化日志管理策略,例如设置日志文件在达到特定大小后自动轮循,或在轮循过程中执行特定脚本。日志轮循基本原理Logrotate通过将旧日志文件更改名称,并创建新的空白日志文件来继续记录即将产生的日志。这种机制确保新的活动记录始终被保存在新文件中,而旧日志文件则在保留一段预设时间后被自动删除。重命名旧文件将当前日志文件重命名为带时间戳的归档文件创建新文件创建新的空白日志文件继续记录压缩归档可选择压缩旧日志文件以节省空间定期清理超过保留期限的日志文件自动删除日志管理工具系统日志的收集、分析与监控Systemd-journald系统日志工具Systemd-journald是由Systemd提供的现代日志管理工具,在系统启动到关机的整个过程中收集并存储所有日志消息。内核日志收集内核产生的所有消息启动日志记录启动过程早期阶段的信息标准输出捕获程序的标准输出和错误输出系统日志收集系统级别的各类日志消息守护进程记录守护进程启动和运行期间的错误Systemd-journald关键特性1集中式日志管理统一管理所有Unit的启动日志,简化了日志查询流程,提供一站式日志访问接口2二进制日志格式日志以二进制格式记录,存储在内存中,大幅提高读写效率,优化系统性能3灵活的存储选项支持内存存储(/run/log/journal)和磁盘存储(/var/log/journal)两种方式,满足不同需求Systemd-journald服务管理systemctlstartsystemd-journald.service启动日志服务systemctlstopsystemd-journald.service停止日志服务systemctlrestartsystemd-journald.service重启日志服务systemctlstatussystemd-journald.service查看日志服务状态配置文件位置:/etc/systemd/journald.conf通过编辑此文件,管理员可以调整日志的存储策略、大小限制等参数journalctl命令概述journalctl是查询由Systemd-journald收集的日志的主要工具,提供多种灵活的查询选项,允许系统管理员按需检索日志信息。基本查询命令journalctl-n10:查看最新10条日志journalctl--sinceyesterday:查看昨天的日志journalctl-f:实时监控日志journalctl-unginx:查看nginx服务的日志高级功能按时间范围过滤按服务单元过滤按优先级过滤导出为不同格式日志大小管理journalctl实用示例时间过滤journalctl--since"2024-01-01"--until"2024-01-31"查看特定时间段的日志服务日志journalctl-unginx.service-perr查看特定服务的错误日志实时监控journalctl-f--lines=50实时跟踪最新50条日志日志清理journalctl--vacuum-size=500M清理并限制日志大小为500MBdmesg命令概述内核消息查看工具dmesg命令用于查看和分析内核产生的消息,这些消息通常与硬件设备和驱动程序相关,对于诊断和解决系统问题至关重要。内核在启动过程中会产生大量信息,这些信息存储在内核环形缓冲区中。dmesg提供了访问这些信息的接口。查看系统架构信息CPU硬件信息硬盘驱动信息网卡驱动信息dmesg常见设备名称hdIDE硬盘设备sdSCSI硬盘设备eth以太网卡设备lo本地回环网络接口usbUSB设备tty终端设备dmesg命令选项-T选项时间戳以人类易读的格式输出,便于理解日志产生的具体时间-x选项显示日志的等级,帮助识别消息的严重程度-s选项设置缓冲区的大小,控制显示的日志数量-c选项显示信息后清除dmesg的内容,用于清理旧日志dmesg实用示例查看内存相关信息dmesg|grep-imemory过滤显示所有与内存相关的内核消息查看特定启动的日志dmesg-b显示系统启动时的内核消息查看实时日志dmesg-w实时监控内核产生的新消息查找硬盘错误dmesg|grep-ierror快速定位系统中的错误信息dmesg诊断功能识别硬件问题dmesg输出中包含与硬件设备相关的信息。如果硬盘或内存出现问题,dmesg会显示相关的错误消息,帮助快速定位硬件故障。驱动冲突诊断在安装新硬件或更新驱动后,dmesg可以帮助识别是否存在驱动程序冲突,显示驱动加载过程中的警告和错误。系统故障分析dmesg提供系统崩溃或其他故障的关键信息,如内核异常、系统停滞等,是故障排查的重要工具。常见故障分析案例1U盘挂载失败日志:EXT4-fserror(devicesdb1)分析:电压过低导致,偶发事件。尝试多次挂载通常可以成功2蓝牙设备识别超时日志:Bluetooth:hci0:command0x1001txtimeout分析:台式机没有蓝牙设备。通常不影响系统正常运行3NVIDIA显卡驱动问题日志:nouveau0000:01:00.0:bus:MMIOreadFAULT解决:编辑/etc/default/grub,添加nouveau.modeset=0参数4逻辑CPU被忽略日志:WARNING:NR_CPUSlimitof8reached解决:升级内核或安装SMP内核调度策略SysLog日志分析系统日志的深度分析与问题诊断SysLog日志分析流程收集日志数据从/var/log/syslog等位置收集系统运行时的各种事件日志识别异常模式分析日志中的错误、警告和异常模式,识别潜在威胁定位问题根源通过日志信息定位服务启动失败、硬件故障、系统错误等问题实施解决方案根据分析结果采取相应的解决措施,恢复系统正常运行SysLog常见问题案例udisks2服务启动失败问题现象:可能导致外接硬盘无法自动挂载解决方法:执行systemctlrestartudisks2.service重启该服务并存安装第二个系统失败问题现象:第一个系统以Legacy模式启动,第二个系统以UEFI模式安装时出现问题解决方法:确保两个系统的启动模式一致,均使用Legacy模式GPU死锁造成黑屏问题现象:由于MESA包版本过低,GPU死锁导致黑屏解决方法:更新MESA包,添加必要的补丁。MESA是基于软件的图形应用程序接口DNS无法解析域名问题现象:DNS无法解析域名,系统显示警告信息分析:这是正常的警告信息,通常不会影响系统的正常运行任务实施任务2-1:配置RSyslog自定义日志任务目标配置RSyslog以创建自定义日志文件,并根据特定条件过滤日志信息。01编辑配置文件打开RSyslog主配置文件进行编辑02添加自定义规则创建新的日志文件记录auth相关消息:auth,authpriv.*/var/log/auth_custom.log03配置日志过滤只记录error级别的内核消息:kern.error/var/log/kernel_errors.log04重启服务保存配置文件并重启RSyslog服务05测试配置尝试登录系统,检查新创建的日志文件任务2-2:使用Logrotate管理日志大小任务目标配置Logrotate以管理自定义日志文件的大小和保留期限,确保日志文件的有效管理和系统资源的合理使用。实施步骤创建新的Logrotate配置文件在配置文件中添加配置规则保存文件并测试配置等待日志轮转或手动触发轮转配置示例/var/log/auth_custom.log{dailyrotate7compressmissingoknotifempty}任务2-3:使用journalctl进行高级日志分析掌握使用journalctl命令进行复杂的日志查询和分析的技能,深入了解系统状态和排查问题。1查看特定时间段的日志使用--since和--until参数指定时间范围2查看特定服务的日志并过滤错误信息结合-u参数和-p参数进行精确过滤3实时监控系统日志使用-f参数实时跟踪日志更新4分析启动时间使用systemd-analyze命令分析系统启动性能5导出日志将日志导出为JSON格式便于进一步分析任务2-4:使用dmesg进行硬件问题诊断查看硬件错误dmesg|grep-ierror查看所有硬件相关的错误信息检查特定硬件dmesg|grep-ieth0检查网卡等特定硬件的状态实时监控dmesg-w监控实时硬件事件分析结果解释输出结果,识别潜在的硬件问题任务2-5:创建日志分析脚本任务目标编写一个简单的Shell脚本来自动化日常日志分析任务,提高工作效率,减少手动操作时间。实施步骤创建脚本文件编写脚本内容保存脚本并赋予执行权限运行脚本并分析结果讨论如何根据输出识别潜在问题脚本功能自动收集系统日志过滤关键错误信息生成日志分析报告识别异常模式发送告警通知项目总结日志概念理解日志在系统运行、安全监控和故障诊断中的作用文件路径熟悉/var/log目录下各类日志文件的位置日志内容掌握不同日志文件记录的信息类别和格式管理方法熟练运用查看、备份、轮替和清理等技能日志分析使用专业工具进行深度日志分析练习题:选择题1．RSyslog服务在银河麒麟高级服务器操作系统中主要用于（

）。A.系统监控B.日志管理C.网络配置D.硬件检测2．在dmesg命令输出中，kern:err:通常表示（

）。A.信息B.警告C.错误D.调试3．为了查看所有的系统日志，可以使用命令（

）。A.ls/var/logB.journalctlC.syslog–showD.dmesg--all练习题:填空题1.在银河麒麟高级服务器操作系统中，日志文件通常存储在_______目录下。2.使用命令journalctl-u_______可以查看特定服务的日志。3.dmesg命令主要用于显示_______产生的信息。练习题:简答题问题11.简述syslog和dmesg在日志管理中的作用和区别。问题2说明如何使用RSyslog配置文件来自定义日志的存储和格式。谢谢!项目3部署银河麒麟高级服务器

操作系统系统监控服务信创服务器操作系统（麒麟版）——安全与网络学习目标掌握系统状态查看命令熟练运用ps、top等命令实时监控系统进程和资源使用情况了解性能瓶颈问题识别CPU、内存、磁盘I/O和网络等方面的性能瓶颈掌握性能评估命令运用vmstat、iostat、sar等工具进行系统性能评估了解性能优化方法根据评估结果采取相应的系统优化措施项目背景与分析项目描述天网工作室上线了一台基于银河麒麟高级服务器操作系统的新型服务器，用于承载高密度数据处理任务。系统工程师需要实施细致的监控措施，利用ps、top、mate-system-monitor等工具实时监控运行状况，通过df、du等命令追踪磁盘使用情况。实施方案实施系统状态监控，实时掌握服务器进程和资源使用情况开展设备和磁盘监控，确保存储设备稳定性和数据存储高效性进行系统性能瓶颈分析和优化，提升服务器整体性能项目背景与分析项目描述天网工作室上线了一台基于银河麒麟高级服务器操作系统的新型服务器，用于承载高密度数据处理任务。系统工程师需要实施细致的监控措施，利用ps、top、mate-system-monitor等工具实时监控运行状况，通过df、du等命令追踪磁盘使用情况。实施方案实施系统状态监控，实时掌握服务器进程和资源使用情况开展设备和磁盘监控，确保存储设备稳定性和数据存储高效性进行系统性能瓶颈分析和优化，提升服务器整体性能系统状态监控：核心命令1ps命令显示当前系统运行进程的静态快照，使用ps-ax列出所有进程，ps-aux查看进程所有者信息，结合grep检查特定进程运行状态2top命令提供系统进程的实时动态列表，显示系统实时更新时间、CPU和内存使用率及运行进程总数，支持进程排序和终止操作3系统监控工具通过mate-system-monitor命令启动图形界面，查看进程状况、CPU和内存占用、资源使用情况及网络收发流量top命令详解关键指标说明系统信息：当前时间、运行时长、登录用户数、系统负载进程统计：总进程数、运行/睡眠/停止/僵化进程数CPU使用：用户空间占用、内核空间占用、I/O等待百分比内存状态：物理内存总量、空闲量、使用量、缓存量交换内存：虚拟内存使用情况交互选项q退出程序、k终止进程、s改变刷新延迟、m切换内存信息、t切换进程和CPU状态、M按内存排序、P按CPU排序系统监控工具:mate-system-monitor图形化监控界面银河麒麟高级服务器操作系统提供了图形界面的系统监控工具,用于实时查看和管理系统的各种资源和进程。启动命令mate-system-monitor主要功能查看所有进程的CPU和内存占用监控系统整体资源使用情况查看网络收发流量对进程执行排序和终止操作free命令:查看内存状态free命令是查看系统当前空闲和已使用内存的简单而强大的工具,提供关于物理内存和交换空间使用情况的详细信息。free以字节为单位显示free-m以兆字节为单位显示free-h人类可读格式,自动选择合适单位设备与磁盘监控blkid命令显示系统中可用块设备的详细底层信息，包括UUID、文件系统类型等。需要root权限执行，可查看特定块设备信息lsblk命令显示所有可用块设备，从udev读取信息，非root用户也可执行。显示设备名、主次设备号、是否可移除、设备大小、类型和挂载路径df命令查看磁盘空间使用情况，显示每个文件系统的名称、总空间、已使用空间、空闲空间及挂载点。使用-h选项转换为易读格式du命令估计文件或目录的磁盘空间使用量，默认显示当前目录下每个子目录的使用量。使用-h参数提供人类可读格式输出服务器性能影响因素内存关键于数据存取速度，影响系统响应性能CPU处理能力的核心，决定计算性能磁盘I/O影响数据存储和读取效率网络I/O决定数据传输速度和通信效率应用程序Nginx、MySQL、Tomcat等应用性能及代码质量核心性能指标使用率(Utilization)资源用于服务的时间或容量的百分比示例:CPU使用率达到100%表示其全部时间都用于服务,没有空闲资源饱和度(Saturation)资源的繁忙程度,通常与等待队列的长度相关示例:高饱和度意味着资源正处理大量请求,可能导致性能下降错误数(ErrorCount)发生错误的事件数量示例:错误数的增加通常反映了系统稳定性的下降性能评估标准资源好坏糟糕CPU<70%=85%≥90%内存无Swap10页/秒频繁磁盘<20%=35%≥50%好坏糟糕系统性能分析工具vmstat报告虚拟内存统计信息,如进程、内存、CPU等sar收集、报告和保存系统活动信息iostat监视系统输入输出设备和CPU的使用情况netstat显示网络连接、路由表、接口统计等网络信息free显示内存的使用和空闲情况ps报告当前系统的进程状态top动态显示系统的实时进程信息iftop用于网络带宽监测性能分析工具组合使用整体负载和承受能力工具:top和uptime检查系统整体的负载和承受能力CPU瓶颈检测工具:vmstat、sar、iostat和top判断是否存在CPU瓶颈内存瓶颈检测工具:free和vmstat确认是否存在内存瓶颈磁盘I/O瓶颈检测工具:iostat专门用于检测磁盘I/O瓶颈网络带宽瓶颈检测工具:netstat和iftop检测网络带宽是否成为性能瓶颈CPU性能评估uptime命令查看服务器整体性能，Loadaverage表示最近1、5、15分钟的系统负载，理想情况下不应长期大于逻辑CPU核数的两倍vmstat命令监控系统CPU负载及队列情况，显示运行进程数、等待资源进程数、用户/内核空间CPU时间、上下文切换和中断次数pidstat命令监控进程资源使用情况，包括CPU、内存、I/O及上下文切换，支持-u、-r、-d、-w等参数查看不同方面的性能数据sar命令收集、报告或保存系统活动信息，%user-用户空间CPU占用，%system-内核空间CPU占用，%iowait-I/O等待时间，%idle-CPU空闲时间perf工具:性能分析利器工具简介perf是功能强大的性能分析工具,专门用于分析应用程序和内核的性能问题。它可以利用处理器的性能监控单元(PMU)、追踪点(tracepoint)和内核中的计数器进行详尽的性能统计。常用子工具perf-list:查看支持的性能事件perf-stat:分析程序性能概况perf-top:显示消耗最多的函数或指令perf-record:收集采样信息perf-report:分析采样数据strace命令:系统调用跟踪strace是强大的用户空间跟踪器,广泛用于诊断、调试和教学。该工具主要用于监控用户空间进程与内核之间的交互,如系统调用、信号传递、进程状态的变更等。跟踪特定命令stracecommand-执行命令并实时跟踪其系统调用跟踪特定进程strace-pprocid-跟踪进程ID为procid的进程的系统调用情况统计系统调用strace-c-pprocid-统计进程的系统调用次数和耗时内存性能评估内存性能评估主要涉及/proc/meminfo和/proc/slabinfo两个重要的系统文件。通过free命令可以快速了解系统的内存使用情况,评估内存资源是否充足。内存性能评估文件与命令/proc/meminfo提供系统当前的内存使用情况,包括物理内存、虚拟内存、缓存等信息/proc/slabinfo显示内核slab分配器的状态,有助于理解内核对象和缓存的使用情况free命令最常用于监控内存使用状况的命令,提供关于系统内存使用的即时信息内存使用评估标准70%资源充足应用程序可用内存与系统物理内存的比例大于70%,系统内存资源非常充足20%资源紧缺比例小于20%,表明系统内存资源紧缺,可能需要增加系统内存50%资源适中比例在20%到70%之间,系统内存资源基本能满足应用需求磁盘I/O性能评估流程识别I/O瓶颈通过iostat命令分析磁盘读写操作，准确识别I/O性能瓶颈的具体位置追踪I/O来源确定哪些特定进程或操作导致了磁盘I/O的高负载，分析/proc/diskstats文件获取详细统计执行性能优化调整I/O调度器、优化文件系统或进行硬件升级，全面提升磁盘I/O性能监测评估效果定期监测和评估优化措施的效果，确保系统持续保持高效的磁盘I/O性能关键指标：kB_read/s（每秒读取数据量）、kB_wrtn/s（每秒写入数据量）、%util（设备利用率）、await（平均等待时间）磁盘I/O性能评估流程网络性能评估体系1应用层HTTP、DNS协议性能，QPS和套接字缓存效率2传输层TCP/UDP连接数、吞吐量、延迟和重传3网络层路由效率、分片处理、叠加网络技术支持4链路层网络接口吞吐量、丢包率、错误率、软中断处理netstat查看网络接口和服务状态tcpdump截获和分析网络数据包bcc性能监视和网络跟踪任务实施综合性能监控任务3-1：CPU性能监控使用top命令实时监控CPU使用率和负载，运用mpstat分析多处理器CPU使用情况，利用sar收集历史数据，评估CPU使用率识别瓶颈。关键指标：Loadaverage不应长期大于逻辑CPU核数的两倍。任务3-2：内存性能监控使用free命令查看系统内存使用情况，运用vmstat监控虚拟内存统计信息，分析/proc/meminfo获取详细内存数据。评估标准：可用内存持续低于总内存20%需考虑增加内存。任务3-3：磁盘I/O监控使用iostat命令监控磁盘I/O性能，分析/proc/diskstats获取磁盘统计信息。评估标准：%util持续超过80%可能存在I/O瓶颈，await值过高表明磁盘响应缓慢。任务3-4：网络性能监控使用netstat监控网络连接和统计信息，利用tcpdump捕获和分析网络数据包。评估重点：检查网络接口错误和丢包情况，分析带宽使用率是否接近上限。任务3-1:CPU性能监控与评估本任务旨在通过监控和分析银河麒麟高级服务器操作系统的CPU性能,识别潜在的性能瓶颈,为系统优化提供依据。任务3-1规划01使用top命令实时监控CPU使用率和负载情况02运用mpstat命令分析多处理器的CPU使用情况03利用sar命令收集、报告和保存CPU使用情况的历史数据04评估CPU使用率识别是否存在CPU瓶颈步骤1:使用top命令监控CPU操作步骤1.打开终端,输入命令:top观察并记录CPU使用率、负载平均值等关键指标按'q'退出top命令关键信息分析CPU使用率:%Cpu(s)部分显示0.0us(用户空间)、0.1sy(内核空间)、99.9id(空闲),表明CPU使用率极低,系统处于空闲状态负载平均值:loadaverage:0.07,0.03,0.01,这些值远低于1,表明系统负载非常轻,运行平稳步骤2:运用mpstat分析多CPU执行命令:mpstat-PALL25(每2秒采样一次,共采样5次)分析结果总体CPU使用率:用户空间进程占用0.13%,内核空间进程占用0.25%,总和为0.38%,表明系统整体CPU使用率极低,处于轻负载状态各CPU核心情况:CPU0空闲率99.62%,CPU1空闲率98.49%(内核空间占用略高),CPU2和CPU3完全空闲(100%),表明负载分布不均I/O等待:所有CPU核心的%iowait均为0.00%,表明当前没有因I/O操作导致的CPU等待,磁盘I/O性能良好步骤3:利用sar收集历史数据操作步骤收集CPU使用数据并保存至文件:sar-u210>cpu_usage.txt查看收集的数据:catcpu_usage.txt数据列含义%user:用户态进程占用CPU的百分比%system:内核态进程占用CPU的百分比%iowait:CPU等待I/O操作完成的时间百分比%idle:CPU空闲时间百分比步骤4:评估CPU使用率分析收集的数据如果CPU使用率持续超过80%,可能存在CPU瓶颈性能评判标准:%user+%sys<70%为好,=85%为坏,>=90%为糟糕记录高CPU使用率进程记录导致高CPU使用率的进程或应用使用top命令按P键按CPU使用率排序,识别占用CPU最多的进程制定优化方案根据评估结果制定相应的优化措施可能包括优化应用程序代码、调整进程优先级或增加CPU资源任务3-2:内存性能监控与评估本任务旨在通过监控和分析银河麒麟高级服务器操作系统的内存性能,识别潜在的内存瓶颈,为系统优化提供依据。任务3-2规划查看内存使用使用free命令查看系统内存的总体使用情况监控虚拟内存运用vmstat命令监控虚拟内存统计信息,分析内存使用动态获取详细数据分析/proc/meminfo文件获取详细的内存使用数据评估内存状况评估内存使用情况,判断是否需要增加系统内存步骤1:使用free命令查看内存执行命令free-h记录关键信息total:总内存量used:已使用内存量free:空闲内存量available:可用内存量buff/cache:缓冲区和缓存使用量Swap:交换空间使用情况步骤2:运用vmstat监控虚拟内存执行命令:vmstat210(每2秒采样一次,共采样10次)关键指标分析交换空间(swap):swpd均为0,si和so均为0,表明系统未使用交换空间,无交换空间活动,内存使用健康空闲内存(free):空闲内存从1594902KB逐渐减少至1594196KB,仍高达1.5GB以上,内存资源充足I/O活动:bi和bo从初始的少量读写操作降至0,I/O活动极低,磁盘读写压力小CPU状态:CPU空闲率从99%升至100%,表明系统几乎无负载,wa均为0,无I/O等待步骤3:分析/proc/meminfo文件查看文件内容cat/proc/meminfo记录关键指标MemTotal:物理内存总量MemFree:空闲内存量MemAvailable:可用内存量(包括可回收的缓存)Buffers:缓冲区大小Cached:缓存大小SwapTotal:交换空间总量SwapFree:空闲交换空间步骤4:评估内存使用情况70%资源充足可用内存与物理内存比例大于70%,系统内存资源非常充足,对系统性能影响不大20%资源紧缺比例小于20%,表明系统内存资源紧缺,可能需要增加系统内存50%资源适中比例在20%到70%之间,系统内存资源基本能满足应用需求,暂时不影响系统性能检查swap使用情况:如果可用内存持续低于总内存的20%,考虑增加系统内存。频繁使用swap可能表明内存不足。任务3-3:磁盘I/O性能监控与评估本任务旨在通过监控和分析银河麒麟高级服务器操作系统的磁盘I/O性能,识别潜在的I/O瓶颈,为系统优化提供依据。任务3-3规划与实施监控磁盘I/O性能使用iostat命令监控磁盘I/O的性能表现,分析设备利用率和响应时间命令:iostat-dx25获取详细统计信息分析/proc/diskstats文件获取磁盘I/O的详细统计信息,了解读写操作情况命令:cat/proc/diskstats评估I/O性能评估磁盘I/O性能,判断是否存在性能瓶颈如果%util持续超过80%,可能存在I/O瓶颈;检查await值,如果过高可能表明磁盘响应缓慢步骤1:使用iostat监控磁盘I/O执行命令:iostat-dx25(每2秒采样一次,共采样5次)关键指标分析设备利用率(%util):dm-0平均值0.06%,dm-1平均值0.00%,sda平均值0.31%,所有设备的%util均远低于80%,表明磁盘设备利用率低,无明显I/O瓶颈平均等待时间(await):dm-0平均值10.04ms,dm-1平均值4.57ms,sda平均值2.38ms,await值普遍较低,表明磁盘响应速度较快,I/O等待时间短,性能良好步骤2:分析diskstats与评估查看/proc/diskstatscat/proc/diskstats设备分析sda:读取16563次,写入1361048次,写入次数远高于读取次数,主要用于写操作sda2:读取15128次,写入1252269次,读写次数和扇区数均较高,是主要的数据存储区域dm-0:读取15262次,写入1243629次,与sda2高度相关,可能是LVM映射设备性能评估结论I/O瓶颈判断:所有设备的%util均远低于80%,无I/O瓶颈响应速度:await值较低,磁盘响应速度快优化建议:当前磁盘I/O性能良好,暂无需优化。如未来%util持续超过80%或await值过高,需考虑优化磁盘使用或升级硬件步骤3:评估磁盘I/O性能，确定是否存在I/O瓶颈如果%util持续超过80%，可能存在I/O瓶颈。检查await值，如果过高可能表明磁盘响应缓慢。任务3-4:网络性能监控与评估本任务旨在通过监控和分析银河麒麟高级服务器操作系统的网络I/O性能,识别潜在的I/O瓶颈,为系统优化提供依据。步骤1:使用netstat命令监控网络连接和统计信息（1）查看网络连接：（2）查看网络接口统计：步骤2:利用tcpdump命令捕获和分析网络数据包捕获特定接口的数据包：步骤3:评估网络性能，识别潜在的网络瓶颈-检查网络接口的错误和丢包情况-分析带宽使用率，如果持续接近上限，

可能需要升级网络设备。项目总结核心要点回顾掌握监控命令熟练运用ps、top、vmstat、iostat、netstat等命令进行系统监控识别性能瓶颈通过三大核心指标（使用率、饱和度、错误数）评估系统性能实施优化措施根据评估结果采取针对性的系统优化策略通过系统化的监控和评估，天网工作室能够确保银河麒麟高级服务器操作系统的高效稳定运行，为高密度数据处理任务提供可靠保障。练习题:选择题1以下哪项是属于Nginx的第三方模块?A.HTTP模块B.EVENT模块C.MAIL模块D.GeoIP模块2Nginx在反向代理中的作用是什么?A.接收客户端请求并返回响应B.将客户端请求转发给后端服务器C.缓存请求和响应D.管理服务器负载3Nginx的主配置文件是哪个?A.nginx.confB.fastcgi.confC.httpd.confD.nginx.ini4以下哪项关于Nginx和Apache的说法不正确?A.Nginx在处理静态文件方面优于ApacheB.在资源消耗方面Nginx比Apache更小C.Nginx的第三方模块支持比Apache更丰富D.Nginx在反向代理服务上比Apache更优练习题:简答题问题1什么是Nginx?Nginx有哪些主要的使用场景?问题2Nginx作为静态Web服务器时,如何设置服务端口?谢谢!项目4部署银河麒麟高级服务器

操作系统Nginx服务信创服务器操作系统（麒麟版）——安全与网络学习目标了解Nginx常用功能掌握Web服务、反向代理、负载均衡等核心功能掌握Nginx安装方法熟练使用YUM和源码两种安装方式熟悉服务配置管理网站配置、虚拟主机、访问控制、反向代理项目背景天网工作室的需求天网工作室计划搭建一套Web应用,旨在为用户提供高效且稳定的网络服务。经过考虑,决定选择Nginx作为其静态资源的服务器,同时利用Nginx的反向代理功能,将后端动态应用的请求进行代理。为了确保服务的稳定性和高效性,还计划实现基于Nginx的负载均衡。通过这样的配置,可以确保Web服务的高可用性和可扩展性,为用户提供更好的访问体验。技术架构静态资源服务器:Nginx托管和分发反向代理服务器:请求转发和负载均衡后端应用服务器:动态内容处理负载均衡策略:合理分配请求项目实施方案01搭建静态网站安装Nginx程序,配置服务器监听端口、静态资源路径和访问日志,上传静态资源并启动Web服务02实现反向代理配置Nginx作为反向代理服务器,定义后端Web服务器地址,安装Apache作为后端服务器03实现负载均衡增加多台Web服务器,设置负载均衡策略,实现请求的合理分配和服务扩展Nginx概述Nginx简介Nginx既是一个轻量级的Web服务器,又是一个高性能的负载均衡器,它不仅支持高并发的Web服务、反向代理服务和负载均衡,还支持邮件代理、虚拟主机等服务。除此之外,Nginx支持很多第三方的模块扩展,进一步增强其功能和灵活性。23.21%市场占有率2024年1月全球Web服务器市场占有率位列第一1000+知名企业包括百度、淘宝、腾讯、京东、新浪、网易等NginxvsApache静态文件处理Nginx在处理静态文件方面表现出色,优于Apache资源消耗Nginx采用异步处理模型,只需几个进程就能处理大量请求,资源消耗更低反向代理Nginx本身就是反向代理服务器,支持7层负载均衡,相较Apache有优势Apache优势模块支持丰富且稳定更适合处理动态请求生态系统成熟Nginx优势高并发处理能力强内存占用少配置简洁灵活Nginx进程结构Nginx采用Master-Worker进程模型,使用一个Master进程和多个Worker进程来对外服务。这种进程结构模型保证了Nginx能够稳定、灵活地运行。Master主进程主要负责调度Worker工作进程,包括加载配置、启动工作进程、监控工作进程运行状态以及平滑升级等功能。Master进程不处理网络请求和具体业务,而是专注于工作进程的管理任务。Worker工作进程是实际处理请求的进程,负责接收客户端请求、调用Nginx的各个模块处理请求并返回响应结果。每个Worker进程都是独立和平等的,一般会设置与机器CPU核数一致个数的工作进程。Nginx模块结构Nginx的结构包括内核和模块组成。内核的设计非常微小和简洁,主要负责完成简单的任务。Nginx的模块从结构上分为核心模块、基础模块和第三方模块。核心模块Nginx服务器正常运行必需的模块,提供进程管理、配置文件解析、事件驱动机制等功能基础模块包括HTTPAccess模块、HTTPFastCGI模块、HTTPProxy模块和HTTPRewrite模块等第三方模块开发者根据自己的需要开发的模块,使得Nginx的功能更加丰富和强大Nginx模块功能分类Handlers处理器模块直接处理请求,进行输出内容和修改headers信息等操作。处理器模块一般只能有一个。Filters过滤器模块主要对其他处理器模块输出的内容进行修改操作,最后由Nginx输出。Proxies代理类模块HTTPUpstream之类的模块,主要与后端服务进行交互,实现服务代理和负载均衡等功能。Nginx工作原理Nginx作为一款高效且功能强大的Web服务器和反向代理服务器,其核心功能是接收HTTP请求,并根据配置文件中的规则将请求映射到相应的处理模块。请求处理流程Nginx接收到HTTP请求根据URL与location规则进行匹配将请求映射到相应的locationblock启动handler模块处理请求filter模块对响应内容进行处理返回最终响应给客户端Location匹配locationblock是用于URL匹配的关键部分。每个locationblock可以包含多个指令,这些指令指定了如何处理该特定类型的请求。Nginx主要功能Nginx四大核心功能Web服务高性能的HTTP服务器,快速处理和响应客户端请求,托管静态资源,支持动静分离,提高服务器处理效率和响应速度反向代理在服务器集群前端作为代理服务器,接收客户端请求并转发给后端服务器,实现负载均衡、缓存、SSL加密等功能负载均衡将请求分发到不同的服务器上进行处理,支持轮询、IPHash、URLHash等多种策略,实现性能优化和资源合理利用邮件服务作为IMAP/POP3和SMTP的后端服务器,提供邮件的接收和发送功能,支持身份验证和安全控制Nginx工作拓扑案例在实际的应用场景中,可以在一组服务器中用Nginx来实现一种功能,也可以在一组集群中同时实现多种功能的组合。外网访问通过防火墙NAT负载均衡地址访问Nginx提供的Web服务器访问主要业务,部分业务需要有Nginx代理至内网Web服务器。由于内网有防火墙和负载均衡,且内网负载均衡也被防火墙Nat了一个地址出来作为提供服务。负载均衡策略:轮询轮询策略这是最简单的一种负载均衡方式,循环将请求依次分发至每个被代理的服务器。Nginx默认使用轮询方式。特点实现简单请求分配均匀适合服务器性能相近的场景负载均衡策略:加权轮询加权轮询策略通过为每个被代理的服务器分配不同的权重值,从而使得高权重服务器有更多的请求机会。应用场景服务器性能差异较大需要精细控制流量分配逐步迁移服务器负载均衡策略:IPHash根据请求客户端的IP地址来计算hash,然后用hash值对服务器总数取模得到分配的服务器地址。如果客户端的IP地址不变,那么它的请求都将被分配到同一台服务器上。优势保证同一客户端的请求始终由同一台服务器处理,适合需要会话保持的应用场景注意事项如果客户端IP变化或服务器数量变化,可能导致会话丢失Nginx安装部署Nginx安装方式YUM安装简单快捷,适合快速部署和标准化环境。通过配置Nginx官方仓库,使用yum命令一键安装。优点安装简单快速自动处理依赖关系便于版本管理和升级源码安装灵活可定制,可以根据需求编译特定模块。需要提前准备相关的依赖环境。优点可自定义编译选项支持第三方模块性能优化空间大YUM安装步骤01配置仓库获取Nginx官方仓库地址,编辑/etc/yum.repos.d/kylin_x86_64.repo文件02安装Nginx执行yuminstallnginx-y命令进行安装03验证安装使用yumlist|grepnginx和whereisnginx查看安装情况04启动服务执行systemctlstartnginx启动服务,使用nginx-V测试05访问测试通过浏览器访问http://localhost,查看Nginx欢迎页面源码安装依赖环境使用源码安装,过程相对繁琐,需要提前准备相关的依赖环境,包括GCC编译器、PCRE兼容正则表达式的Perl库、Zlib压缩库、OpenSSL安全通信的软件库。GCC编译器因为Nginx是C语言编写的,所以需要提供C语言编译环境PCRE库Nginx的Rewrite模块和HTTP核心模块会使用到PCRE正则表达式Zlib库提供压缩算法,在Nginx的模块中需要使用gzip压缩OpenSSL库为服务器提供安全通信,支持https加密访问源码安装步骤1检查依赖环境使用yumlist命令查看是否安装make、gcc、pcre、zlib、openssl2安装依赖包执行yuminstall-ypcre-develzlib-developenssl-devel命令3下载源码包从Nginx官网下载源码包,使用wget命令获取4解压并配置解压源码,执行./configure--prefix=/usr/local/nginx5编译安装执行make&&makeinstall命令完成编译和安装6启动服务运行/usr/local/nginx/sbin/nginx启动Nginx服务Nginx服务管理命令Nginx主程序文件名为nginx,源码方式安装默认目录为/usr/local/nginx/sbin/,而通过YUM方式安装默认配置目录为/usr/sbin。执行主程序可以进行启动、停止、重启Nginx服务。配置文件语法检测nginx-t启动服务nginx停止服务nginx-squit或nginx-sstop重新加载配置nginx-sreload查看端口netstat-tlnp查看版本nginx-VNginx配置文件主配置文件结构主配置文件nginx.conf是Nginx的核心配置文件,定义了Nginx服务器的全局设置、监听端口、工作进程数等关键配置。它由多个配置块组成,每个块负责特定的功能或设置。全局块影响整个Nginx服务器的指令events块服务器性能