信创服务器操作系统（银河麒麟版）-安全与网络服务 课件 项目6-11 部署银河麒麟高级服务器操作系统DHCP服务-部署银河麒麟高级服务器操作系统Ansible自动化运维服务

项目6部署银河麒麟高级服务器

操作系统DHCP服务信创服务器操作系统（麒麟版）——安全与网络学习目标了解DHCP基本概念掌握DHCP服务器的基本概念和核心功能，理解其在网络管理中的重要作用。掌握DHCP工作原理深入理解DHCP协议的工作机制，包括四个关键阶段的交互过程。掌握部署与配置学会在实际环境中部署和配置DHCP服务器，实现网络自动化管理。项目背景天网工作室的需求天网工作室计划在局域网环境中部署DHCP服务，用于集中管理和自动分配IP地址等信息。该方案将在核心交换机上设置DHCP服务器，为内部网络中的设备动态分配IP配置。通过DHCP服务器的引入可以节省管理员大量的工作量，使得网络配置更加自动化和高效。核心目标集中管理IP地址自动化网络配置提高管理效率降低维护成本项目实施方案01安装DHCP服务器在服务器上安装DHCP服务器软件，完成配置及激活服务。02配置DHCP客户端在员工计算机上配置DHCP客户端，实现自动获取IP地址等网络信息。03部署DHCP中继在连接不同网段的服务器上部署DHCP中继服务，实现跨网段解析。什么是DHCP?DHCP简介基本定义DHCP(DynamicHostConfigurationProtocol)是一种局域网的网络协议，使用UDP协议工作，端口号为67/68。它集中管理和自动分配IP地址等信息。主要功能为客户端自动分配IP地址分配子网掩码配置默认网关提供DNS服务器信息集中管理，配置简单核心优势提高地址分配效率自动化的IP地址分配机制大幅提升了网络配置的效率，减少人工干预。降低维护成本集中式管理模式显著降低了网络配置的维护成本和管理复杂度。DHCP租期机制DHCP租期指的是网络中DHCP服务器分配给客户端的IP地址在规定时间内有效的时长。设置租期的目的是为了简化网络管理员对IP地址分配和管理的工作，确保IP地址能够动态、高效地分配和回收。租期时间设置默认租期在DHCP设置中，默认的租期通常是24小时(或1440分钟)。这意味着分配给客户端的IP地址在24小时后会过期，除非进行了续租。租期续租过程150%时间点-首次续租当租期达到一半(约12小时)时，如果客户端仍然在线，它会主动向DHCP服务器发送Request数据包，请求续租当前的IP地址。287.5%时间点-二次续租如果首次续租尝试失败，客户端会在租期达到7/8(约21小时)时再次发送Request数据包尝试续租。3100%时间点-租期结束如果所有续租尝试均失败，一旦租期结束，DHCP服务器会收回该IP地址。此时，客户端将获得一个169.254.x.x网段的IP地址(APIPA)。APIPA地址机制当客户端无法从DHCP服务器获取IP地址时，会自动配置一个169.254.x.x网段的私有地址(APIPA)。虽然该地址在网络内部不可用，但客户端会持续尝试连接DHCP服务器，直到获取到有效的IP地址。这种机制确保了网络中IP地址的动态、高效分配和管理，不仅简化了网络管理员的工作，同时也为设备在暂时无法与DHCP服务器通信时保持一定程度的网络连接提供了保障。DHCP工作原理DHCP四个工作阶段DHCP是一种网络协议，用于自动分配网络配置给网络设备，如IP地址、子网掩码、默认网关等。其工作原理主要包括四个关键步骤。阶段1：启动阶段(Discover)客户端广播发现当一个客户端(比如一台计算机)连接到网络时，它会发送一个DHCP发现报文(DHCPDiscover)广播到网络中，寻找可用的DHCP服务器。这个广播消息会被网络中所有设备接收，但只有DHCP服务器会做出响应。阶段2：提供阶段(Offer)服务器提供地址当真正的DHCP服务器收到请求报文时，它会把地址池中的一个IP通过广播协议分配给客户端。地址信息里包含：IP地址子网掩码默认网关DNS服务器租约期限阶段3：请求阶段(Request)客户端确认使用客户端收到了服务器的IP之后，确认自己使用这个IP地址，即会给服务器发送确认请求消息。这个消息告诉DHCP服务器：客户端接受了提供的IP地址配置，并准备使用它。阶段4：确认阶段(ACK)服务器最终确认服务器收到使用IP的确认请求之后，就把这个IP分配给客户端，从地址池取出，不再分配给别的客户端。至此，DHCP地址分配过程完成，客户端可以正常使用网络。DHCP工作流程图DHCP的这种工作机制减少了手动配置网络设备的需要，允许设备加入和离开网络而不需要管理员介入，同时确保了IP地址的有效管理和利用。任务实施任务6-1：DHCP服务器的安装与配置规划目标1DHCP服务器的安装使用yum命令在银河麒麟高级服务器操作系统上安装DHCP软件包。2编辑dhcpd.conf文件定义地址池范围和参数，配置网络基本信息。3配置固定IP地址为特定MAC地址客户端单独配置固定IP地址。网络管理员需要部署DHCP服务器，为内部网络提供内网IP地址。步骤1：安装DHCP软件包使用yum命令安装yuminstalldhcp-server-y使用"yum"命令安装DHCP软件包。yum是银河麒麟操作系统的包管理工具，-y参数表示自动确认安装过程中的所有提示。安装过程详解安装命令yuminstalldhcp-server-y关键步骤系统会自动解析依赖关系下载所需的软件包自动完成安装配置创建必要的配置文件安装验证安装完成后，系统会显示"Complete!"信息，表示DHCP服务器软件包已成功安装。此时，DHCP服务的主配置文件会被创建在/etc/dhcp/dhcpd.conf路径下。步骤2：编辑dhcpd.conf文件配置主配置文件vim/etc/dhcp/dhcpd.conf使用"vim"工具配置DHCP服务器的主配置文件"dhcpd.conf"，定义地址池范围和参数。这是DHCP服务器配置的核心步骤。dhcpd.conf配置内容详解全局配置参数default-lease-time600;max-lease-time7200;optiondomain-name"";optiondomain-name-servers,;子网配置subnetnetmask{range0000;optionrouters;optionsubnet-mask;}配置参数说明default-lease-time默认租期时间，单位为秒。设置为600表示默认租期为10分钟。max-lease-time最大租期时间，单位为秒。设置为7200表示最大租期为2小时。subnet配置定义子网范围、地址池、网关和子网掩码等关键网络参数。DNS服务器配置域名服务器地址，客户端将使用这些DNS服务器进行域名解析。地址池范围配置range参数range0000;定义DHCP服务器可分配的IP地址范围。配置说明在这个配置中，DHCP服务器将从00到00之间分配IP地址给客户端。这个范围共包含101个可用IP地址，可以满足中小型网络的需求。步骤3：配置固定IP地址为特定MAC地址绑定IP使用"vim"工具继续编辑DHCP服务器的主配置文件"dhcpd.conf"，为特定MAC地址的客户端单独配置固定IP地址。这在需要为特定设备保留固定IP时非常有用。vim/etc/dhcp/dhcpd.conf固定IP配置详解主机声明配置hostclient1{hardwareethernet00:0C:29:3E:8F:A1;fixed-address0;}hostclient2{hardwareethernet00:0C:29:4B:2D:C3;fixed-address1;}通过host声明，可以为指定MAC地址的设备分配固定的IP地址。这样无论设备何时连接网络，都会获得相同的IP地址。固定IP配置参数说明1host标识符为主机定义一个唯一的名称标识，如"client1"、"client2"等。2hardwareethernet指定客户端的MAC地址，这是设备的唯一硬件标识符。3fixed-address为该MAC地址绑定的固定IP地址，确保设备始终获得相同IP。任务验证：启动DHCP服务启动服务命令systemctlstartdhcpdsystemctlenabledhcpd使用"systemctl"命令启用DHCP服务。start参数启动服务，enable参数设置服务开机自启动。验证服务运行状态检查服务状态systemctlstatusdhcpd状态检查要点Active状态应显示为"active(running)"查看是否有错误信息确认服务已正常启动检查监听端口67/68成功标志如果看到绿色的"active(running)"状态，并且没有错误提示，说明DHCP服务已经成功启动并正常运行。任务6-2：客户端配置DHCP服务规划目标客户端配置需求工作室成员需要局域网互通，内部成员的计算机需要进行DHCP服务配置，连接上管理员设置的DHCP服务器，实现自动获取IP地址和网络配置。客户端获取DHCP配置释放并重新获取IP地址dhclient-rens18dhclientens18使用"dhclient"命令释放当前租约并重新获取DHCP服务器分配的IP地址。命令中的ens18需要根据银河麒麟高级服务器操作系统的实际网卡名称做修改。dhclient命令详解dhclient-r释放当前的DHCP租约，归还IP地址给服务器。dhclient向DHCP服务器请求新的IP地址配置。获取配置客户端自动完成四步握手，获得网络配置。网卡名称识别查看网卡名称ipaddrshow或ifconfig在执行dhclient命令前，需要先确认系统的网卡名称。常见网卡命名ens18-常见的网卡名称ens33-VMware虚拟机常用eth0-传统命名方式enp0s3-另一种命名格式任务验证：重启网络服务重启网络服务命令systemctlrestartnetwork使用"systemctl"命令重新启动网络服务，确保新的网络配置生效。这一步骤会重新初始化所有网络接口。验证IP地址获取查看当前IP地址ifconfigens18使用"ifconfig"命令查看当前网卡的IP地址配置，验证是否成功从DHCP服务器获取了IP地址。验证结果分析IP地址确认获取的IP地址在DHCP服务器配置的地址池范围内(如00-200)。子网掩码验证子网掩码是否与DHCP服务器配置一致(如)。默认网关检查默认网关地址是否正确配置(如)。任务6-3：DHCP中继服务规划目标01开启路由转发开启服务器的路由转发功能，允许数据包在不同网段间转发。02添加DHCP网段在DHCP配置文件中添加新的网段配置。03添加新网卡为服务器添加一张新的网卡，连接到不同的网段。04添加路由配置路由规则，指定数据包的转发路径。05配置中继服务部署和配置DHCP中继代理服务。步骤1：开启路由转发功能编辑sysctl.conf文件vim/etc/sysctl.conf使用"vim"工具配置"sysctl.conf"文件，将"net.ipv4.ip_forward"的值改为1，开启Linux系统的IP转发功能。修改配置net.ipv4.ip_forward=1重新加载内核参数应用配置命令sysctl-p命令作用使用"sysctl-p"命令重新加载"/etc/sysctl.conf"配置文件中的内核参数，使路由转发配置立即生效。验证结果执行命令后，系统会显示已加载的参数，确认"net.ipv4.ip_forward=1"已生效。步骤2：添加新的DHCP网段编辑dhcpd.conf文件vim/etc/dhcp/dhcpd.conf使用"vim"工具配置"dhcpd.conf"文件，添加新的子网配置，为第二个网段配置DHCP服务。新增网段配置subnetnetmask{range0000;optionrouters;optionsubnet-mask;}步骤3：添加新网卡虚拟机添加网络适配器打开VMwareWorkstation虚拟机操作界面，进入银河麒麟高级服务器操作系统的虚拟机配置界面，单击"添加"按钮，添加"网络适配器"。将新的网络适配器设置为"VMnet1(仅主机模式)"，这样可以创建一个独立的虚拟网络环境。配置新网卡连接设置网卡名称开启新网卡并在控制面板的网络配置界面设置新网卡的连接名称为"ens19"。重命名配置文件mv/etc/sysconfig/network-scripts/ifcfg-自动以太网\/etc/sysconfig/network-scripts/ifcfg-ens19重命名网卡配置文件，使其与网卡名称对应。编辑ens19配置文件配置文件内容vim/etc/sysconfig/network-scripts/ifcfg-ens19关键配置参数TYPE=EthernetBOOTPROTO=staticNAME=ens19DEVICE=ens19ONBOOT=yesIPADDR=NETMASK=配置新网卡的静态IP地址为，作为第二个网段的网关。步骤4：添加路由配置路由规则iprouteadd/24devens18iprouteadd/24devens19分别将和网段的流量通过ens18和ens19网卡路由出去，确保不同网段之间的数据包能够正确转发。路由配置说明ens18网卡路由处理/24网段的流量，这是原有的网络段。ens19网卡路由处理/24网段的流量，这是新添加的网络段。步骤5：配置中继服务器复制配置文件模板cp/usr/lib/systemd/system/dhcrelay.service\/etc/systemd/system/复制中继代理配置文件到/etc/systemd/system/目录，准备进行自定义配置。编辑dhcrelay.service文件修改配置文件vim/etc/systemd/system/dhcrelay.service关键配置内容[Service]ExecStart=/usr/sbin/dhcrelay-d--no-pid\-iens18-iens19配置DHCP中继代理，指定DHCP服务器地址()和监听的网卡接口(ens18和ens19)。启动中继服务重新加载并启动服务systemctldaemon-reloadsystemctlstartdhcrelaysystemctlenabledhcrelay命令说明daemon-reload:重新加载systemd配置start:启动中继服务enable:设置开机自启服务作用DHCP中继服务将在不同网段之间转发DHCP请求和响应，实现跨网段的DHCP服务。任务验证：检查中继服务查看服务状态systemctlstatusdhcrelay使用systemctl命令检查中继服务是否启动成功。如果看到"active(running)"状态，说明DHCP中继服务已经成功启动并正常运行。至此，DHCP中继服务配置完成，不同网段的客户端都可以从同一个DHCP服务器获取IP地址配置。项目总结掌握核心技能通过本项目学习，您已掌握DHCP服务的部署、配置和管理技能。理解工作原理深入理解DHCP协议的四个工作阶段和租期管理机制。实践操作能力具备在实际环境中部署DHCP服务器和中继服务的能力。网络管理思维建立自动化网络管理思维，提升网络运维效率。课后习题：选择题1.DHCP使用的传输层协议是()A.TCPB.UDPC.ICMPD.IGMP2.向DHCP服务器申请IP地址的DHCP消息是()A.DHCPDISCOVERB.DHCPOFFERC.DHCPREQUESTD.DHCPACK3.DHCP租期结束后,客户端会()A.停止工作B.立即离开网络C.使用APIPA地址D.使用旧的IP地址4.DHCP中继代理的作用是()A.提供DHCP身份验证B.实现DHCP服务器之间通信C.允许跨网段的DHCP请求D.过滤恶意DHCP报文5.DHCP选项主要用于()A.扩展DHCP功能B.加密DHCP通信C.验证DHCP客户端D.所有选项都不对课后习题：简答题问题1简述DHCP的工作原理及过程。问题2简述部署DHCP服务的优势,以及如何实现不同网段的集中管理。谢谢!项目7部署银河麒麟高级服务器

操作系统网络链路聚合服务信创服务器操作系统（麒麟版）——安全与网络学习目标了解链路聚合掌握网络链路聚合的基本概念与工作原理配置方式熟练掌握网络链路聚合的多种配置方法部署实践能够独立完成链路聚合的实际部署工作项目背景天网工作室采购了一台高性能服务器,旨在为关键业务和核心服务提供强大支持。这台服务器配置了多张网卡,管理员可以运用Team链路聚合技术将多个物理网卡绑定成一个虚拟网卡。通过负载均衡算法的运用,管理员能够确保网络带宽得到高效利用,进而提升系统的整体吞吐量。更重要的是,即使某块物理网卡发生故障,流量仍能通过其他网卡进行传输,从而确保服务的连续性和稳定性。项目实施步骤01准备虚拟机环境安装并配置虚拟机,为其添加两个虚拟网络适配器,确保网络连接模式一致02配置Team链路聚合使用Team链路聚合技术将两个虚拟网卡组合成一个聚合接口03验证聚合效果确保链路聚合接口可以正常工作并实现容错功能什么是链路聚合?链路聚合(LinkAggregation)是一种网络技术,它通过将多个物理端口捆绑在一起,形成一个逻辑端口。这增加了链路的带宽,使流量能在各个成员端口之间进行负载分担。这种技术在提升链路传输的弹性和冗余性方面起着关键作用,是现代数据中心和企业网络的重要组成部分。交换机链路聚合示意交换机之间可以通过链路聚合的方式使多条网线成为一个逻辑链路,实现多条线路的负载均衡,提高带宽及容错性。服务器可以通过冗余网络接口的方式避免单点故障,把同一台服务器上的多个物理网卡通过软件链接到一起绑定成一个虚拟网卡。链路聚合的三大优势增加网络带宽多个物理链路捆绑为一个逻辑链路,实现带宽叠加。捆绑后的链路带宽是每个独立链路带宽的总和,显著提高数据传输能力。提高连接可靠性多个链路相互备份,形成高可靠性网络连接。当其中一条链路出现故障断开时,流量会自动重新分配到其他成员链路上,确保数据持续传输。实现负载均衡将流量平均分配到所有成员链路上,避免单条链路过载。这种流量均衡分配降低了每条成员链路发生流量阻塞的风险。BondvsTeam:两种配置方式对比特性Team链路聚合Bond链路聚合支持网卡数量8块2块内核模块加载无需手动加载需要手动加载HASH加密支持不支持LACP负载均衡支持不支持IPv6支持支持不支持为什么选择Team技术?技术演进早期Linux操作系统采用Bond技术,而较新版本的Linux一般都使用了Team技术来实现链路聚合的功能。技术优势Team技术是一种更先进、更灵活的链路聚合解决方案,支持用户设定哈希功能、支持LACP的负载均衡以及支持IPv6。银河麒麟系统的Team支持银河麒麟高级服务器操作系统内核模块带有Team驱动,为Team聚合链路的实施提供了强大的支持。该驱动位于:/usr/lib/modules/../kernel/drivers/net/team这为用户提供了极大的便利,无需额外安装驱动程序即可使用Team链路聚合功能。Team链路聚合内部结构网络Team链路聚合由内核驱动程序和用户空间两部分组成。Team的内核中代码很少,主要处理网络数据包,控制逻辑和接口都放在用户空间实现。Team架构组成内核层:TeamDriver从Linux内核版本3.3开始支持,只做报文的rx/tx处理,本身无业务逻辑用户空间:libteam库提供用户空间程序库,支持各种配置和管理操作守护进程:teamd用户空间的守护进程,负责链路聚合的控制逻辑管理工具:teamd-utilsTeam的管理工具,配置文件采用JSON格式Team的四种工作模式Team通过runner来定义不同的工作类型,常用四种工作模式:roundrobin平衡轮循模式每个网卡按照一定顺序依次发送数据包,提升系统吞吐量activebackup主备轮询模式只有一个网卡处于活跃状态,提供高网络连接可用性loadbalance负载均衡模式所有网卡均处于活跃状态,根据负载情况分配流量broadcast广播容错模式在每个接口上传输每个数据包,提供容错能力工作模式详解:roundrobin平衡轮循模式每个网卡按照一定的顺序依次发送数据包,当且仅当活动的网卡出现故障时,才会激活其他的网卡。特点可以在一定程度上提升系统的吞吐量容错能力相对较弱适合对带宽要求较高的场景工作模式详解:activebackup主备轮询模式只有一个网卡处于活跃状态,当一个宕掉另一个备份网卡马上切换到活跃状态。特点提供高网络连接的可用性资源利用率较低适合对可靠性要求极高的场景工作模式详解:loadbalance负载均衡模式所有网卡设备均处于活跃状态,根据port负载情况分配外出流量,同时如果其中某个port异常,另外的port会接管。特点主要提升吞吐量具备容错能力资源利用率最高适合高流量应用场景工作模式详解:broadcast广播容错模式所有网卡设备均处于活跃状态,即在每个接口上传输每个数据包。特点提供了容错能力增加了系统开销数据冗余度最高适合对数据完整性要求极高的场景服务器与交换机对接方式服务器模式交换机对接方式说明Roundrobin配置手工模式链路聚合服务器网卡被修改成相同MAC地址,需要交换机手工模式链路聚合对接Activebackup配置对接接口在同一个VLAN交换机对应的两个端口建议配置在同一个VLANLoadbalance配置手工模式链路聚合基于指定的HASH策略传输数据包Broadcast采用两台交换机对接且配置在不同VLAN建议使用两台交换机,且配置不同VLANTeam配置工具:nmclinmcli是NetworkManager的命令行工具,提供了强大的网络配置功能。主要包括以下操作类别:1查询操作显示网络设备连接状态、详情和所有网络连接信息2开关操作启动、重启、停用聚合链路和网络连接3创建删除创建和删除网卡连接配置4修改配置修改网络连接的各项参数nmcli常用查询命令显示网络设备连接状态nmclidevicestatus显示所有网络设备的详情nmclideviceshow显示所有网络连接nmcliconnectionshownmcli网络连接开关操作启动与重启nmcliconnectionupteam0nmcliconreload停用操作nmcliconnectiondownteam0nmcliconnectiondownens30网卡禁用与启用nmclidevicedisconnectens30nmclideviceconnectens30全局网络开关nmclinetworkingonnmclinetworkingoffnmcli创建Team聚合链路创建聚合链路team0的完整命令:nmcliconnectionaddtypeteamcon-nameteam0ifnameteam0autoconnectyesconfig'{"runner":{"name":"activebackup"}}'将物理网卡加入到team0:nmcliconnectionaddtypeteam-slavecon-nameteam0-1ifnameens33masterteam0nmcli删除与修改操作1删除网卡连接nmcliconnectiondeleteens30将ens33从team0中删除2删除聚合链路nmclicondeleteteam0将聚合链路team0删除3配置IP地址nmcliconnectionmodifyteam0ipv4.methodmanualipv4.addresses23/24配置team0的IP地址4设置自动连接nmcliconnectionmodifyens30connection.autoconnectyes设置网卡自动连接Team配置工具:nmtui图形化文本界面工具除了命令行工具nmcli之外,还有一个图形化文本界面工具nmtui用于配置Team链路聚合。执行nmtui命令即可打开图形化配置界面,提供更加直观的配置方式。任务实施任务7-1:Team链路聚合设置为了模拟多网卡的实验环境,现在准备一台虚拟机,添加两个虚拟网络适配器(网卡),分别为:ens33和ens36。聚合链路IP地址工作模式物理网卡team023activebackupens33、ens36通过使用Team链路聚合技术,我们将这两个虚拟网卡组合成一个名为team0的聚合接口,并采用主备轮询模式进行链路聚合。Team链路聚合实例架构完成配置后,网络请求将通过team0聚合接口进行分派,实现高可用性和容错能力。任务实施步骤概览准备虚拟机环境添加两个虚拟网络适配器ens33和ens36,确保网络连接模式一致创建Team聚合接口使用Team技术将两个虚拟网卡组合成team0聚合接口,配置IP地址设置工作模式将team0接口设置为主备轮询模式进行链路聚合测试验证效果测试team0链路聚合的实际效果和容错能力步骤1:查看当前聚合链路状态在开始配置之前,首先查看系统当前状态下有无team0聚合链路:nmcliconnectionshow这一步骤可以帮助我们了解系统当前的网络配置状态,避免配置冲突。步骤2:删除已存在的聚合链路如果系统中已经存在team0聚合链路,需要先删除它:nmclicondeleteteam0确保从干净的状态开始配置,避免旧配置的干扰。步骤3:创建team0聚合链路创建聚合链路team0,设置工作模式为activebackup:nmcliconnectionaddtypeteamcon-nameteam0ifnameteam0autoconnectyesconfig'{"runner":{"name":"activebackup"}}'这条命令创建了一个名为team0的Team接口,并设置为主备轮询模式。步骤4:配置team0的IP地址为team0聚合接口配置静态IP地址:nmcliconnectionmodifyteam0ipv4.methodmanualipv4.addresses23/24设置IP地址为23,子网掩码为24位。步骤5:将ens33加入到team0将第一块物理网卡ens33添加到team0聚合链路:nmcliconnectionaddtypeteam-slavecon-nameteam0-1ifnameens33masterteam0创建一个名为team0-1的从属连接,将ens33绑定到team0。步骤6:将ens36加入到team0将第二块物理网卡ens36添加到team0聚合链路:nmcliconnectionaddtypeteam-slavecon-nameteam0-2ifnameens36masterteam0创建一个名为team0-2的从属连接,将ens36绑定到team0。至此,两块物理网卡都已加入聚合链路。步骤7:启用Team接口激活team0-1、team0-2及team0,使配置生效:nmcliconnectionupteam0-1nmcliconnectionupteam0-2nmcliconnectionupteam0依次启用从属连接和主聚合接口,使整个Team链路聚合生效。步骤8:查看链路聚合状态使用teamdctl命令查看链路聚合的详细状态:teamdctlteam0state可以看到team0的配置信息、工作模式以及各个成员网卡的状态。链路聚合效果验证配置完成后,需要验证链路聚合的容错能力。我们将通过模拟网卡故障来测试Team的自动切换功能。1模拟ens33网卡损坏禁用ens33网卡,观察流量是否自动切换到ens362恢复ens33并模拟ens36损坏启用ens33,禁用ens36,观察流量是否切换回ens333测试其他工作模式可以尝试修改为其他工作模式,测试不同的分派方式验证测试:模拟ens33网卡损坏禁用ens33网卡,查看Team状态及当前运行网卡:nmclidevicedisconnectens33teamdctlteam0state可以看到当前运行链路从ens33切换到ens36,ens36成功接管,证明容错功能正常工作。验证测试:模拟ens36网卡损坏恢复ens33网卡的使用,再次模拟ens36损坏:nmclideviceconnectens33nmclidevicedisconnectens36teamdctlteam0state可以看到当前运行链路从ens36切换到ens33,ens33成功接管,再次验证了Team的高可用性。任务7-2:配置文件方式实现链路聚合除了使用nmcli命令行工具,还可以通过直接编辑配置文件的方式实现网络链路聚合。配置文件位于:/etc/sysconfig/network-scripts/需要编辑三个配置文件:ifcfg-team0:主聚合接口配置ifcfg-team0-1:第一个从属接口配置ifcfg-team0-2:第二个从属接口配置team0配置文件内容编辑/etc/sysconfig/network-scripts/ifcfg-team0文件:DEVICE=team0DEVICETYPE=TeamTEAM_CONFIG='{"runner":{"name":"activebackup"}}'BOOTPROTO=staticIPADDR=23PREFIX=24ONBOOT=yesNAME=team0team0-1配置文件内容编辑/etc/sysconfig/network-scripts/ifcfg-team0-1文件:DEVICE=ens33DEVICETYPE=TeamPortTEAM_MASTER=team0ONBOOT=yesNAME=team0-1将ens33网卡配置为team0的从属端口。team0-2配置文件内容编辑/etc/sysconfig/network-scripts/ifcfg-team0-2文件:DEVICE=ens36DEVICETYPE=TeamPortTEAM_MASTER=team0ONBOOT=yesNAME=team0-2将ens36网卡配置为team0的从属端口。重启网络服务并验证完成配置文件的编写后,需要重启网络服务使配置生效:systemctlrestartNetworkManagernmcliconnectionshowteamdctlteam0state可以看到网络链路聚合team0已配置成功,所有配置参数正确生效。项目总结掌握了链路聚合的基本概念和优势了解了Bond和Team两种配置方式的区别学习了Team的四种工作模式实践了使用nmcli工具配置Team链路聚合验证了链路聚合的容错能力课后练习1填空题网卡的链路聚合常有____模式和____模式Bond模式最多可以添加____块网卡Team模式最多可以添加____块网卡Team链路聚合是由____和____两部分组成2简答题1.Team链路聚合常用的四种工作模式分别是什么,它们分别有什么功能?2.有哪些工具可以用于Team链路聚合的配置?完成一个创建Team聚合链路的代码案例。谢谢!项目8部署银河麒麟高级服务器

操作系统网络时钟同步服务信创服务器操作系统（麒麟版）——安全与网络学习目标了解Chrony服务背景掌握Chrony在网络时钟同步中的重要性及其应用场景掌握基本原理理解Chrony服务的工作机制和核心技术原理学习部署配置熟练掌握Chrony服务的部署流程和基本配置方法项目背景天网工作室的需求天网工作室准备在其基于银河麒麟高级服务器操作系统的网络环境中部署Chrony服务,以实现精准的时间同步。这一举措旨在提高网络系统中的时间准确性和一致性,对于保证网络安全和系统日志的准确性至关重要。工作室的技术团队将负责Chrony服务的部署、配置和维护,确保网络中所有设备的时间同步。项目分析框架01Chrony服务概述时区与时间、时间服务器简介、NTP网络时间、Chrony优势、Chrony包介绍02Chrony基本配置服务安装与配置文件、校准时间相关命令03Chrony网络时间部署部署流程、关键步骤、维护优化时区与时间全球时间标准UTC协调世界时基于原子时和地球自转速度调整的时间标准,是全球时间协调的基础,具有最高的精确度GMT格林尼治标准时间基于英国伦敦格林尼治天文台的时间。虽然UTC和GMT在日常使用中几乎相同,但在精确度上UTC更占优势CST中国标准时间指东八区的标准时间,用于中国大陆、台湾和部分东亚地区时间的类型RTC实时时钟通常称为硬件时钟,独立于操作系统,即使在断电情况下也能维持运行。主要用于存储基本的日期和时间信息,但不包含时区和夏令时设置。系统时间操作系统中使用的主要时间。在银河麒麟高级服务器操作系统中,大部分时间相关的操作,如查看或设置时间,都是基于系统时间进行的。时间同步的重要性多时区环境确保所有设备的时间一致性网络同步实现精准的时间同步准确一致保证系统时间的准确性timedatectl命令timedatectl命令是银河麒麟高级服务器操作系统中管理时间和日期的重要工具。它不仅可以显示当前的时间和日期,还能展示时区和是否启用了网络时间同步。通过这个命令,用户可以轻松地检查和配置系统时间和日期,为Chrony服务的有效运行打下基础。命令输出包括本地时间、通用时间、RTC时间以及系统时区等关键信息。时间服务器时间服务器的作用在现代计算机网络和集群环境中,确保机器之间的时间一致性是至关重要的。时间一致性对于日志记录、事务处理、数据一致性维护以及安全协议的执行等方面都有着深远的影响。外部同步与外部网络中的准确时间源(如NTP服务器)同步内部服务提供本地的、可靠的时间服务给内网中的其他机器保持一致确保系统时钟的准确性和一致性Chrony服务架构Chrony是一个高效的网络时间协议(NTP)客户端和服务器,用于同步系统时间。它是开源的自由软件,设计用于在各种网络条件下快速和准确地同步时间。Chrony可以配置为从外部NTP服务器获取时间,同时也能作为一个本地时间服务器来为其他系统提供时间同步服务。Chrony时间同步流程从外部NTP服务器同步Chrony服务器首先从外部NTP源获取准确的时间信息在内部网络中提供时间服务Chrony服务器随后向内部网络中的其他机器提供时间同步服务维持网络内的时间一致性通过这种方式,网络内所有机器都能维持时间的一致性,即使它们无法直接访问外部NTP源NTP网络时间NTP协议概述网络时间协议(NTP)是计算机时间同步的基石,它允许网络中的各主机时间与全球时间标准同步。在银河麒麟高级服务器操作系统的发展历史中,NTP已经成为一个重要的组成部分。工作原理NTP利用分布式网络时间服务器和复杂的算法来减少时间漂移,确保网络中的所有设备都能保持时间上的一致性。它测量客户端与服务器之间的往返延迟时间,并计算出时间偏差,从而对客户端进行时间校准。以太网NTP架构在以太网环境中,NTP通常与路由器结合使用,形成一个层次化的时间同步网络。以太网通过NTP与路由器连接,进而与两个地调区域网相联。在这样的结构中,NTP负责协调各个电厂主时钟和变电站主时钟,包括扩展时钟的时间同步。此外,以太网还通过NTP与省局网管中心连接,确保上至省级监管中心、下至各地调局域网内部的时间同步的高效性和精确性。Chrony优势同步速度与资源消耗快速同步Chrony的设计考虑了网络的动态性质,提供了快速的时间同步能力,尤其是在网络条件发生变化时迅速调整与早期的NTP实现相比,Chrony能更迅速地调整系统时钟,以响应网络延迟或中断后的时间差异低资源消耗在同步过程中的资源消耗相对较低,这使得Chrony尤其适用于资源受限的环境弹性与适应性间歇性网络连接即便在网络连接不稳定的情况下,Chrony也能有效地同步时间网络严重拥塞在高流量环境中,Chrony能够适应网络延迟,保持时间同步的准确性温度变化常规计算机时钟可能会因温度波动而出现时间漂移,而Chrony具备处理此类变化的能力非连续运行系统对于不是始终在线的系统或在虚拟环境中运行的系统,Chrony能够在系统启动时迅速同步时间功能多样性多源同步Chrony不仅可以使系统时钟与NTP服务器同步,还可以与其他时间参考源同步,如GPS接收器,或者通过手动输入进行同步。服务器功能作为遵循NTPv4(RFC5905)标准的服务器或对等方,Chrony能够向网络中的其他计算机提供时间服务,这一功能在构建分布式系统和确保网络内时间一致性方面至关重要。Chrony包介绍Chrony核心组件chronyd守护进程chronyd是Chrony包中的核心服务程序,它在系统启动时作为守护进程运行。主要职责包括与远程时间服务器同步、确定系统时钟的频率误差并进行动态调整,以补偿硬件时钟的漂移。chronyc命令行工具chronyc是一个用户界面工具,提供了与chronyd守护进程交互的接口。通过这个工具,管理员能够监控性能、进行配置管理、可以在本地或通过网络控制另一台运行chronyd的计算机。网络配置与文件路径1监听端口Chrony服务默认监听UDP端口323和123,这是NTP协议通信的标准端口2配置文件系统管理员可以编辑/etc/chrony.conf配置文件来定制Chrony服务的行为3服务文件作为服务运行,配置文件为/usr/lib/systemd/system/chronyd.serviceChrony服务架构图通过使用Chrony包,银河麒麟高级服务器操作系统的用户能够确保他们的系统时钟与世界标准时间同步,并能够灵活地管理和监控时间服务。这两个组件的结合为操作系统提供了一个强大而可靠的时间同步解决方案。基本配置Chrony服务安装在银河麒麟高级服务器操作系统中,Chrony服务的安装和配置是实现准确时间同步的第一步。Chrony服务通常在系统安装时就已经包含,但在需要手动安装的情况下,可以使用安装命令。yuminstallchrony安装完成后,Chrony服务的配置便成为关键环节。服务启动时,它会读取/etc/chrony.conf文件中的设置,这个文件是Chrony的主配置文件。配置文件结构1主配置文件/etc/chrony.conf负责定义时间同步的主要参数2客户端工具/usr/bin/chronyc是与Chrony守护进程通信的客户端程序3服务端程序/usr/sbin/chronyd是Chrony的服务端程序,负责时间同步操作关键配置参数配置参数参数值注释pool/server服务器地址指定自定义时间服务器,可以是一个NTP池或单个服务器driftfile/var/lib/chrony/drift记录系统时钟频率误差的文件路径,用于系统重启后的时间补偿makestep1.03定义时钟校正的步骤,确保系统时间缓慢准确地纠正rtcsync启用使系统时间定期同步到硬件时钟,通常每11分钟执行一次allow/24设置允许同步时间的网络范围localstratum10设置本地时钟层级,即使没有可用的时间服务器,也允许本机为其他客户端提供时间服务配置文件示例通过这些设置,系统管理员可以根据实际需要定制时间同步策略,以保证系统时间的准确性和一致性。每个参数都有其特定的作用,例如pool/server用于指定时间服务器地址,而makestep则定义了系统时间调整的步骤。校准时间命令时间同步源查看命令chronycsources-v此命令用于查看当前时间同步源及其详细信息,帮助管理员识别当前时间同步的状态。chronycsourcestats-v通过此命令可查看时间同步源的状态统计,包括测量的偏差和稳定性。硬件时间与系统时间校准timedatectlset-local-rtc1设置硬件时钟(RTC)与系统本地时间一致timedatectlset-ntpyes启用NTP服务来同步系统时间chronyctracking查看与校准时间服务器的信息查看与设置系统时间date命令显示当前系统时间。这是最直接的查看系统时间的命令timedatectlset-time设置系统时间为指定的日期和时间,当已经设定时间自动同步时会显示设置失败硬件时间查看与同步hwclock--show显示当前的硬件时间hwclock--set设置硬件时钟到指定时间hwclock--hctosys将硬件时钟同步到系统时钟hwclock--systohc将系统时钟同步到硬件时钟任务实施任务规划网络管理员需要操作2台服务器,server01作为内网时间服务器,server02作为客户端,两台服务器要实现网络时间部署。server01作为内网时间服务器server02作为客户端任务8-1：Chrony网络时间部署环境准备1主机配置两台主机,分别命名为server01(时间服务器)和server02(客户端)。两台主机均安装KylinV10SP1版本的银河麒麟高级服务器操作系统2系统设置在server01和server02上关闭SELinux和防火墙,以避免安全策略干扰时间同步关闭安全策略关闭SELinuxsetenforce0编辑/etc/selinux/config文件,将SELINUX=enforcing改为SELINUX=disabled关闭防火墙systemctlstopfirewalldsystemctldisablefirewalldChrony服务部署流程安装Chrony在server01和server02上安装Chrony,使用命令yuminstallchrony进行安装配置server01编辑/etc/chrony.conf文件,配置server01作为NTP服务器配置server02编辑/etc/chrony.conf文件,指定server01作为时间同步源时间同步检查使用chronycsources和chronyctracking命令检查时间同步状态配置server01时间服务器编辑/etc/chrony.conf文件,增加或修改如下配置项:allow配置允许内网IP地址范围同步时间localstratum10设置本地时钟层级重启Chrony服务以应用配置:systemctlrestartchronyd配置server02客户端编辑/etc/chrony.conf文件,添加如下配置项:serverserver01iburst指定server01为时间源,并使用iburst快速同步。重启Chrony服务以应用配置:systemctlrestartchronyd任务验证修改server01时间手动修改server01的系统时间,用以测试时间同步等待同步等待几分钟后观察同步效果检查server02在server02上使用date命令查看系统时间,确认时间是否已与server01同步项目总结通过本章学习,我们全面掌握了Chrony服务在银河麒麟高级服务器操作系统中的部署与配置。从时区与时间的基本概念,到NTP网络时间协议的工作原理,再到Chrony服务的实际部署,我们系统地学习了网络时钟同步的完整知识体系。理论基础配置技能部署实践验证测试掌握这些知识对于保证网络系统中的时间准确性和一致性,维护网络安全和系统日志的准确性至关重要。练习题-选择题1Chrony服务在网络时钟同步中主要使用()协议A.TCPB.UDPC.ICMPD.HTTP2在银河麒麟高级服务器操作系统中,Chrony服务主要用于()目的A.网络流量监控B.文件加密C.时间同步D.硬件性能优化3Chrony如何处理网络条件变化导致的时间偏差?()A.自动暂停同步B.手动调整C.动态调整D.忽略偏差4在Chrony配置中,makestep指令的作用是()A.设置时区B.定义校正步骤C.指定同步服务器D.调整硬件时钟练习题-简答题问题1简述Chrony服务如何在多时区环境中保持时间的一致性和准确性。问题2解释Chrony与传统NTP服务相比的主要优势。谢谢!项目9部署银河麒麟高级服务器

操作系统NFS服务信创服务器操作系统（麒麟版）——安全与网络学习目标了解NFS服务掌握NFS服务的定义、作用及应用场景,理解其在网络环境中的重要性掌握工作原理深入理解NFS服务的工作原理及核心机制,包括RPC协议的作用部署与配置掌握NFS服务的部署与配置方法,包括服务器端和客户端的完整设置项目背景天网工作室的需求天网工作室计划在基于银河麒麟高级服务器操作系统的网络环境中部署NFS服务,以实现高效的文件共享。核心要求:在服务器上配置NFS服务端,共享指定目录允许特定主机(IP为0)以读写权限访问并映射root权限其他主机以只读权限访问配置客户端访问NFS共享目录确保文件共享的稳定性和安全性项目实施方案01服务器端部署在服务器上部署NFS服务,配置共享目录并设置访问权限02客户端配置在客户端配置NFS访问,挂载共享目录以实现文件访问03验证与测试验证NFS服务的运行状态,确保权限设置和文件共享功能正常NFS概述什么是NFS?网络文件系统NFS(NetworkFileSystem,网络文件系统)是一种分散式文件协议,它允许不同机器和操作系统之间通过网络共享数据。核心功能:让应用程序能够通过网络访问存储在服务器磁盘上的数据。工作模式:采用服务器/客户端工作模式,服务器提供数据存储和管理,客户端负责访问这些数据。RPC协议的关键作用RPC机制RPC(RemoteProcedureCall,远程过程调用)是一种机制,允许客户端执行其他系统中的程序。传输协议支持NFS本身不提供信息传输的协议和功能,它能够实现基于网络的资料共享,正是因为NFS使用了RPC提供的传输协议。应用程序基础可以说,NFS就是基于RPC的一个应用程序,RPC为NFS提供了必要的网络通信支持。NFS网络架构示例如图所示,NFS服务器通过以太网与两台客户端PC1和PC2相连。服务器共享的输出目录为/etc/public,而客户端PC1挂载到/mnt/nfs,PC2挂载到/home/shared。这清晰地展示了NFS服务如何在网络中实现文件共享和数据访问。NFS工作流程NFS服务工作流程详解1.RPC服务启动服务器端启动RPC服务,开放111端口,这是RPC通信的标准端口2.NFS服务启动服务器端启动NFS服务,在RPC注册端口信息,使NFS能够通过RPC与客户端通信3.客户端请求客户端启动RPC服务,向服务器的RPC服务请求NFS的端口信息4.端口信息反馈服务器端的RPC服务反馈NFS服务的端口信息给客户端5.建立连接传输客户端使用获取的端口信息建立NFS连接,进行数据传输,实现文件访问和共享RPC守护进程在NFS服务的运行中,RPC守护进程扮演着关键角色。为了正常运行NFS服务,至少需要启动以下三个系统守护进程:nfsd守护进程功能:基本的NFS守护进程,主要负责管理客户端是否能够登录服务器作用:处理客户端对NFS服务器的文件访问请求,执行相关的权限检查,确保只有合法和授权的客户端可以访问mountd守护进程功能:RPC的安装守护进程,负责管理NFS的文件系统作用:通过读取NFS配置文件(/etc/exports),对比客户端权限,进行文件使用权限的验证,控制对NFS共享文件的访问rpcbind守护进程功能:主要负责进行端口映射工作作用:当客户端尝试连接并使用RPC服务器提供的服务时,rpcbind将管理的与服务对应的端口提供给客户端,是RPC服务发现的关键组件NFS软件包组成RPC主程序:rpcbindrpcbind服务在RPC服务的体系中扮演着重要角色,负责进行端口映射(portmapping)工作。关键特性:在启动任何RPC服务之前,为其分配合适的端口必须首先启动rpcbind服务确保RPC服务能在指定端口上正确监听NFS主程序:nfs-utilsnfs-utils软件包提供了NFS服务所需的核心守护进程。包含内容:rpc.nfsd和rpc.mountd守护进程相关的文档和说明文件执行文件等确保NFS服务的顺利运行和管理NFS配置文件:/etc/exports在银河麒麟高级服务器操作系统中,NFS服务器的主要配置文件是/etc/exports。这个文件定义了哪些目录可以被客户端挂载,以及客户端对这些目录的访问权限。1配置文件结构基本格式:<共享目录的绝对路径><客户端>(<选项>)示例:/share/24(ro)表示/share目录被共享给/24网段的所有主机,访问权限是只读(ro)2客户端资源查询客户端可以使用/usr/sbin/showmount命令查询服务器上共享的资源showmount命令主要用于NFS客户端,可以显示NFS服务器上所有共享出来的目录资源3服务器端资源导出exportfs命令用于NFS服务器端,主要用于管理和导出共享目录在配置和管理NFS服务的过程中,exportfs命令发挥着关键作用exportfs命令详解exportfs命令主要用于处理/etc/exports文件中定义的NFS共享目录。通过这个命令,管理员可以管理NFS服务器所共享的目录,包括添加、删除或修改共享设置。-a选项输出/etc/exports文件中设置的所有目录,可以快速地将所有定义的共享目录一次性使之生效-r选项重新读取/etc/exports文件中的设置,并使这些设置立即生效,无需重启NFS服务-v选项在输出目录时将目录的详细信息显示到屏幕上,用于确认当前共享目录的状态和设置示例命令:exportfs-rv用于重新读取并应用/etc/exports文件中的配置更改,并提供详细的输出信息NFS服务部署服务部署准备工作部署NFS服务之前,需要进行一系列准备工作,确保服务能够顺利安装和运行。这些准备工作包括网络设置和软件安装。网络准备确保NFS服务器具有静态IP地址,这是关键的一步,因为客户端将通过此IP地址访问NFS服务器上的共享资源软件安装安装rpcbind和nfs-utils软件包,这些是NFS服务运行的基础组件配置静态IP地址查看当前网络配置使用ifconfig命令查看当前网络配置示例:当前网卡为ens33,IP为36修改临时IP地址使用ifconfig命令修改临时地址,使改变即时生效,但重启后会恢复命令示例:ifconfigens330修改配置文件编辑网络配置文件,设置永久生效的静态IP配置参数:BOOTPROTO=static,IPADDR,NETMASK,GATEWAY重启网络服务重启网络服务使配置生效,验证IP地址已更改为0网络配置参数说明配置参数说明BOOTPROTO=static告诉系统使用静态IPIPADDR设置静态IP地址NETMASK设置网络子网掩码GATEWAY设置默认网关提示:如果要立即更改且永久生效,临时修改和配置文件修改两种方式同时使用安装必需软件包安装rpcbindrpcbind软件是NFS服务运行的先决条件,负责RPC服务的端口映射,这对于NFS服务的网络通信至关重要。yuminstallrpcbind安装nfs-utilsnfs-utils软件包含了运行NFS服务所需的所有主要工具和守护进程,包括nfsd、mountd等。yuminstallnfs-utilsNFS服务配置详解在银河麒麟高级服务器操作系统中配置NFS服务是确保其正确运行的关键步骤。NFS服务的配置主要围绕/etc/exports文件进行,该文件指定了哪些目录可以被客户端访问,以及这些访问的条件。配置文件格式<共享目录的绝对路径><客户端地址1>(<选项>)<客户端地址2>(<选项>)...客户端地址与选项之间没有空格客户端地址类型支持指定IP地址、子网、域名、通配符等多种格式权限选项设置包括访问权限、用户映射、同步选项等多种配置客户端地址格式客户端地址说明0指定IP地址的主机/24指定子网中的所有主机192.168.0.*使用通配符指定子网指定域名的主机*.指定域中的所有主机*或省略所有主机NFS访问权限选项50%ro(只读)设置输出目录只读,保护共享目录不被意外修改50%rw(读写)设置输出目录可读写,允许客户端读取和修改共享目录中的文件正确配置这些权限选项对于确保NFS服务的安全性和高效性至关重要。它们使得管理员可以根据特定场景和需求灵活地设置共享资源的访问控制。用户映射选项用户映射选项说明all_squash将远程访问的所有普通用户及所属用户组都映射为匿名用户或用户组(nobody)no_all_squash不将远程访问的所有普通用户及所属用户组都映射为匿名用户或用户组(默认)root_squash将root用户及所属用户组都映射为匿名用户或用户组(默认)no_root_squash不将root用户及所属用户组都映射为匿名用户或用户组anonuid=xxx将远程访问的所有用户都映射为匿名用户,并指定该匿名用户账户为本地用户账户(UID=xxx)anongid=xxx将远程访问的所有用户组都映射为匿名用户组账户,并指定该匿名用户组账户为本地用户组账户(GID=xxx)其他访问选项secure/insecuresecure:限制客户端只能从小于1024的TCP/IP端口连接NFS服务器(默认设置)insecure:允许客户端从大于1024的TCP/IP端口连接NFS服务器sync/asyncsync:将数据同步写入内存缓冲区与磁盘中,虽然效率较低,但可以保证数据的一致性async:将数据先保存在内存缓冲区中,必要时才写入磁盘wdelay/no_wdelaywdelay:检查是否有相关的写操作,如果有则将这些写操作一起执行,提高效率(默认设置)no_wdelay:若有写操作则立即执行,应与sync配合使用subtree_check/no_subtree_checksubtree_check:若输出目录是一个子目录,则NFS服务器将检查其父目录的权限(默认设置)no_subtree_check:即使输出目录是一个子目录,NFS服务器也不检查其父目录的权限,可提高效率配置示例以下是一个完整的NFS配置示例,展示如何设置共享目录和权限:#创建共享目录mkdir/share#设置目录权限chmod777/share#编辑配置文件vim/etc/exports配置文件内容:/share/24(rw,sync,no_root_squash)此配置表示将/share目录设置为/24子网范围内所有IP地址都可以共享访问,且都允许读写,开启同步,赋予root权限。配置参数解释客户机地址可以是主机名、IP地址、网段地址,允许使用"*"、"?"通配符rw/ro"rw"表示允许读写,"ro"表示只读sync表示同步写入到内存与硬盘中no_root_squash表示当客户机以root身份访问时赋予本地root权限(默认是root_squash)root_squash表示客户机用root用户访问该共享目录时,将root用户映射成匿名用户NFS服务启动流程在银河麒麟高级服务器操作系统中,启动NFS服务是一个简洁而直接的过程,涉及几个关键步骤。1启动RPC守护进程首先需要启动RPC守护进程,rpcbind服务负责RPC网络服务的端口映射systemctlstartrpcbind2启动NFS服务启动NFS服务器守护进程,使服务器开始监听来自客户端的NFS请求systemctlstartnfs-server3设置开机自启动确保NFS服务在系统启动时自动运行,无须手动干预systemctlenablenfs-server安全设定在银河麒麟高级服务器操作系统中,确保NFS服务的安全运行是至关重要的。安全设定主要包括配置防火墙以允许NFS服务和适当的SElinux策略设定。防火墙设定配置防火墙放行NFS服务:firewall-cmd--permanent--add-service=nfs重新装载防火墙配置文件:firewall-cmd--reload此操作确保新的防火墙设置立即生效,为NFS服务的网络通信提供了必要的保障。SElinux设定SElinux(Security-EnhancedLinux)是一个重要的安全模块,它提供了基于策略的安全机制来控制程序的访问权限。为了NFS服务的顺利运行,可能需要调整SElinux的策略或模式。注意:关闭SElinux会降低系统的安全性,因此必须谨慎操作,并在了解相关风险的情况下进行。任务实施任务9-1:NFS服务器配置任务规划配置并启动银河麒麟高级服务器操作系统作为NFS服务端,允许某一台主机读写并且映射root权限,其他主机为只读。01安装必要软件安装nfs-utils和rpcbind软件包02配置网络环境配置NFS服务器的网络环境,设置静态IP地址03配置共享目录编辑/etc/exports文件,设置共享目录和权限04启动服务启动RPC和NFS服务,并设置开机自启动任务9-1实施步骤(1):软件安装1.相关软件安装安装命令:yuminstallnfs-utilsyuminstallrpcbind检查安装:通过以下指令查看是否安装了rpcbind程序与nfs-utils程序:rpm-qa|grepnfsrpm-qa|greprpcbind执行这些命令后,系统会显示已安装的相关软件包信息,确认软件已正确安装。任务9-1实施步骤(2):配置文件编辑2.NFS配置文件修改/etc/exports的配置,该文件不一定存在,若不存在则手动创建。配置内容:/share0(rw,sync,no_root_squash)/24(ro)配置说明:只允许0这台主机读写,并赋予root权限其他/24网段的主机为只读权限rw表示读写权限,ro表示只读权限sync表示同步写入no_root_squash表示赋予root权限任务9-1实施步骤(3):确认共享服务3.确认NFS共享服务配置完成后,需要确认NFS共享服务是否正常工作。使用exportfs命令:exportfs-rv此命令会重新读取/etc/exports配置文件,并使配置立即生效,同时显示详细的输出信息。查看共享目录:exportfs-v此命令会显示当前所有共享目录的详细信息,包括共享路径、客户端地址和权限设置。通过这些命令的输出,可以验证NFS共享服务已经正确配置并正常运行。任务9-1实施步骤(4):启动服务4.启动NFS相关服务启动RPC服务:systemctlstartrpcbind启动NFS服务:systemctlstartnfs-server设置开机自启动:systemctlenablerpcbindsystemctlenablenfs-server检查服务状态:systemctlstatusrpcbindsystemctlstatusnfs-server确保两个服务都处于active(running)状态,表示服务已成功启动并正在运行。任务9-1实施步骤(5):防火墙配置5.配置防火墙添加NFS服务到防火墙:firewall-cmd--permanent--add-service=nfs添加RPC服务到防火墙:firewall-cmd--permanent--add-service=rpc-bind添加挂载服务到防火墙:firewall-cmd--permanent--add-service=mountd重新加载防火墙配置:firewall-cmd--reload验证防火墙规则:firewall-cmd