信创服务系统 答案 -

课后习题答案项目1部署防火墙服务一、选择题1.C2.C3.B4.B二、简答题1.简述Firewalld动态防火墙的工作原理。答：Firewalld采用动态防火墙机制，对规则的任何变更只需保存并更新变更部分，而无须重新加载所有规则。其底层仍使用iptables作为防火墙规则管理入口，数据包过滤由内核中的Netfilter子系统负责。同时Firewalld将网卡映射到不同的区域，默认提供九个区域，各区域有不同的默认数据包处理策略，默认区域为public，且默认对所有服务实行拒绝策略，仅明确配置后才放行特定服务。2.简述KySec安全控制在银河麒麟高级服务器操作系统中的作用。答：KySec安全控制主要是通过强制访问控制和安全标记加强数据保护。它提供了三种安全模式，分别为强制模式（出现违规操作时，会审计记录且阻止操作运行）、警告模式（出现违规操作时，弹出麒麟安全授权认证框进行授权）、软模式（出现违规操作时，仅审计记录操作，不阻止运行）；同时通过多种安全标记对执行程序、脚本文件等进行保护，包括文件身份标记、文件保护标记、执行控制标记等，以此实现对系统的安全增强。项目2麒麟操作系统日志管理服务一、选择题1.B2.C3.B二、填空题1./var/log2.服务名3.内核三、简答题1.简述syslog与dmesg的区别与各自作用。答：syslog主要用于系统日志的收集、处理和存储，其依托RSyslog服务实现，可定义日志格式、对日志信息分类，还能根据来源和类型将日志存储到不同文件，支持灵活配置，能高效处理大量日志数据，用于系统运行状态监测、故障诊断和安全审计；dmesg主要用于查看和分析内核产生的消息，这些消息多与硬件设备和驱动程序相关，可用于诊断硬件问题、驱动冲突和系统故障，其读取的是内核环形缓冲区中的信息。二者区别在于，syslog侧重系统整体日志的全面管理，涵盖各类系统和应用日志，而dmesg仅聚焦内核及硬件相关的日志信息。如何利用RSyslog配置文件自定义日志存储和格式？答：可按以下步骤操作：首先编辑核心配置文件/etc/rsyslog.conf，在文件中可进行模块加载、设置全局指令、定义日志处理规则、配置过滤器和模板等；其中规则由选择器（定义日志消息的设施和优先级）和操作（指定对日志消息执行的动作）组成，可通过规则指定不同类型日志的存储路径；同时还能利用模板自定义日志消息的格式，也可通过包含指令/etc/rsyslog.d/目录下的附加配置文件来扩展配置，此外还可编辑/etc/rsyslog.d/50-default.conf文件，定义不同类型和级别的日志信息对应的存储文件，通过文件路径前加“-”实现性能优化，减少磁盘写入操作。项目3部署系统监控服务一、选择题1.C2.C3.D4.A二、简答题1.简述ps命令与top命令的区别与各自作用。答：ps命令用于显示当前系统中运行的进程信息，生成的是命令执行时刻的系统进程快照，可通过不同参数查看进程的PID、所在终端、状态、占用CPU时间、进程所有者、占用内存百分比等信息，常与grep结合检查特定进程是否运行；top命令提供系统进程的实时动态列表，不仅能显示进程的相关资源占用信息，还能展示系统的实时更新时间、当前CPU和内存使用率以及运行进程总数，支持对进程排序、杀死进程等操作。二者差异在于ps是静态查看进程快照，top是动态实时监控进程及系统资源状态。简述df命令与du命令的区别与各自作用，如何结合使用监控磁盘空间？答：df命令用于查看磁盘空间使用情况，可显示每个挂载的文件系统的名称、总空间、已使用空间、空闲空间以及挂载点，默认单位为千字节，使用-h选项可转换为更易读的MB、GB等格式，还可通过-T参数显示文件系统类型；du命令用于估计文件或文件目录的磁盘空间使用量，默认显示当前目录下每个子目录的磁盘使用量，单位为KB，-h参数可提供人类可读格式输出，不过在高负载服务器上执行du-sh*这类命令可能因计算所有文件和子目录总磁盘使用量而导致性能问题。二者结合可全面监控磁盘使用情况，df看整体文件系统空间，du看具体文件或目录的空间占用。如何结合vmstat、sar、iostat命令识别系统性能瓶颈？答：vmstat可报告虚拟内存统计信息，包括进程、内存、CPU、交换空间、I/O等相关指标，能判断CPU、内存瓶颈，还可监控虚拟内存的统计信息，了解内存使用动态；sar可收集、报告和保存系统活动信息，可用于统计系统CPU使用情况，也能监测磁盘I/O等资源状态，帮助识别性能瓶颈；iostat专门用于监视系统输入输出设备和CPU的使用情况，可获取磁盘I/O的详细统计信息，如每秒读写的数据量等，用于检测磁盘I/O瓶颈。三者结合使用，能从整体负载、CPU、内存、磁盘I/O等多维度识别系统性能瓶颈，为系统性能评估和优化提供全面的数据支持。简述netstat命令的功能及在网络监控中的应用。答：netstat命令的功能主要有显示网络连接、路由表、接口统计等网络信息。在网络监控中，可使用netstat-tuln查看网络连接情况，了解各端口的监听状态；使用netstat-i查看网络接口统计信息，掌握接口的数据包收发情况；还可通过其输出信息检查网络接口的错误和丢包情况、分析带宽使用率，以此判断网络是否存在瓶颈，为网络性能监控和故障排查提供依据。项目4部署Nginx服务一、选择题1.D2.B3.A4.C二、简答题1.简述Nginx的主要功能及使用场景。答：Nginx是一款轻量级的Web服务器，同时也是高性能的负载均衡器，支持高并发的Web服务、反向代理服务和负载均衡，还支持邮件代理、虚拟主机等服务，且可通过第三方模块扩展功能。其主要使用场景包括：作为静态Web服务器，高效处理静态文件的访问请求；作为反向代理服务器，接收客户端请求并转发给后端服务器，实现负载均衡、缓存、SSL加密等功能；作为负载均衡服务器，将请求分发到多台后端服务器，支持轮询、加权轮询、IP哈希等多种负载均衡策略，提升服务的可用性和可扩展性。Nginx作为静态Web服务器时，如何设置服务端口？答：可通过修改其主配置文件实现。首先找到Nginx主配置文件（源码安装默认在/usr/local/nginx/conf/nginx.conf，YUM安装默认在/etc/nginx/nginx.conf），在配置文件的server块中，通过listen指令指定服务端口，例如listen80;表示监听80端口，若需修改为其他端口，只需将80替换为目标端口号，配置完成后需重新加载Nginx配置或重启Nginx服务使端口设置生效。项目5部署DNS服务器一、选择题1.C2.A3.A4.B5.C二、简答题1.简述DNS的基本工作原理。答：当用户在浏览器输入域名时，浏览器会向本地DNS服务器发送查询请求；本地DNS服务器先检查自身缓存，若有对应域名解析结果则直接返回，若无则向上一级DNS服务器发送查询请求；上一级DNS服务器会进行递归查询，即继续向更上一级DNS服务器发送请求，直至找到该域名的权威DNS服务器；权威DNS服务器查询自身数据库，将解析结果返回给发起查询的DNS服务器，该服务器会缓存结果并返回给浏览器；浏览器根据结果将域名解析为IP地址，访问对应网站并缓存该IP地址。简述部署主DNS服务器和辅助DNS服务器的意义。答：主DNS服务器负责存储区域内的所有DNS记录并负责更新，可授权DNS查询请求、维护DNS区域文件和响应DNS查询请求；辅助DNS服务器从主DNS服务器复制DNS区域数据，可提供冗余备份，分担主DNS服务器的负载，当主DNS服务器出现故障时，辅助DNS服务器可继续提供域名解析服务，保障域名解析服务的连续性和稳定性。二者协同工作，能提升DNS服务的可靠性、可用性和查询效率。项目6部署DHCP服务一、选择题1.B2.A3.C4.C5.A二、简答题1.简述DHCP的工作原理及过程。答：DHCP的工作原理及过程分为四个阶段：一启动阶段，客户端连接网络后发送DHCPdiscover广播，寻找可用的DHCP服务器；二提供阶段，DHCP服务器收到请求后，从地址池中分配一个IP地址，连同网关、子网掩码、DNS、租约期限等信息通过广播发送给客户端；三请求阶段，客户端收到IP地址后，若确认使用则向服务器发送确认请求消息；四确认阶段，服务器收到确认请求后，将该IP地址从地址池取出分配给客户端，完成IP地址的动态分配。当租期达到一半时，客户端会向DHCP服务器发送Request数据包请求续租，若首次续租失败，租期达到7/8时会再次尝试，若续租均失败，租期结束后服务器收回IP地址，客户端将获得169.254.×.×网段的APIPA地址并持续尝试获取有效IP。简述部署DHCP服务的优势，如何实现不同网段的集中管理？答：部署DHCP服务的优势在于可自动为客户端分配IP地址、子网掩码、默认网关等网络配置信息，提高地址分配效率，降低网络配置维护成本，减少手动配置的工作量和错误率。实现不同网段集中管理可通过部署DHCP中继服务，具体步骤为：开启服务器的路由转发功能，修改sysctl.conf文件将net.ipv4.ip_forward的值设为1并重新加载内核参数；在DHCP服务器配置文件中添加新的DHCP网段；为服务器添加新网卡并配置相应路由；配置中继服务器，复制中继代理配置文件到指定目录，修改配置文件指定DHCP服务器地址，重新加载中继配置并启动中继服务，以此实现跨网段的DHCP请求处理和集中管理。项目7部署网络链路聚合服务一、填空题1.Bond；Team2.23.84.内核驱动程序；用户空间二、简答题1.简述Team链路聚合常用的四种工作模式及功能。答：1)Roundrobin（平衡轮询）：每个网卡按照一定顺序依次发送数据包，仅当活动网卡出现故障时才激活其他网卡，可在一定程度上提升系统吞吐量，但容错能力较弱。Activebackup（主备轮询）：只有一个网卡处于活跃状态，当活跃网卡故障时，备份网卡立即切换为活跃状态，能提供高网络连接可用性，但资源利用率较低。Loadbalance（负载均衡）：所有网卡均处于活跃状态，根据端口负载情况分配外出流量，若某个端口异常，其他端口会接管，主要提升吞吐量和容错能力。Broadcast（广播容错）：所有网卡均处于活跃状态，在每个接口上传输每个数据包，提供了容错能力，但会增加系统开销。2.列出可用于Team链路聚合配置的工具，并写出使用nmcli创建Team聚合链路的代码案例。答：可用于Team链路聚合配置的工具主要有nmcli和nmtui。使用nmcli创建Team聚合链路的代码案例如下：#删除已有team0聚合链路（若存在）nmclicondeleteteam0#创建聚合链路team0，设置工作模式为activebackupnmcliconnectionaddtypeteamcon-nameteam0ifnameteam0autoconnectyesconfig'{"runner":{"name":"activebackup"}}'#配置team0的IP地址nmcliconnectionmodifyteam0ipv4.methodmanualipv4.addresses192.168.1.123/24#将ens33加入team0nmcliconnectionaddtypeteam-slavecon-nameteam0-1ifnameens33masterteam0#将ens36加入team0nmcliconnectionaddtypeteam-slavecon-nameteam0-2ifnameens36masterteam0#启用Team接口nmcliconreloadnmcliconupteam0-1nmcliconupteam0-2nmcliconupteam0#查看链路聚合状态teamdctlteam0state项目8部署网络时钟同步服务一、选择题1.B2.C3.C4.B二、简答题1.简述Chrony服务在多时区环境中保持时间一致性和准确性的方式。答：Chrony以UTC为核心标准进行时间同步，首先从外部NTP服务器获取UTC时间，校准系统时间；操作系统会根据用户设置的时区（如CST），将UTC时间转换为本地时间进行显示；Chrony服务会定期将校准后的系统时间同步到硬件时钟（RTC），确保系统重启后时间的准确性；同时Chrony支持灵活的配置，可指定多个外部时间源，还能根据网络条件动态调整同步策略，即使在网络不稳定、间歇性连接等复杂条件下，也能快速且准确地同步时间，从而在多时区环境中保障所有设备的时间基准一致，且能正确转换为各设备对应的本地时间。2.相较于传统NTP服务，Chrony具有哪些优势？答：1.同步速度快、资源消耗低：Chrony能快速调整系统时钟以响应网络延迟或中断后的时间差异，且同步过程中资源消耗相对较低，适合资源受限环境。2.弹性与适应性好：在间歇性网络连接、网络严重拥塞、温度变化、非连续运行系统等多种网络和系统条件下都能表现出色，可有效处理硬件时钟漂移等问题。3.功能多样性：不仅可与NTP服务器同步，还能与GPS接收器等其他时间参考源同步或手动输入同步；可作为遵循NTPv4标准的服务器或对等方向其他计算机提供时间服务，能更好地满足分布式系统的时间同步需求。项目9部署NFS服务一、选择题1.B2.C3.C4.D二、简答题1.简述NFS服务的基本工作原理。答：NFS基于RPC（远程过程调用）机制实现文件共享，首先服务器端启动RPC服务并开放111端口，随后启动NFS服务并在RPC注册端口信息；客户端启动自身RPC服务，向服务器的RPC服务请求NFS的端口信息，服务器端RPC服务反馈端口信息后，客户端使用该端口信息建立与服务器的NFS连接，进而实现文件的访问和共享。在客户端和服务器之间，服务器将指定目录设置为输出目录（共享目录），客户端可将该目录挂载到本地目录下，从而像访问本地文件一样访问服务器上的共享文件。2.简述/etc/exports文件的作用，及如何使用exportfs命令管理共享目录。答：/etc/exports文件是NFS服务的核心配置文件，用于定义哪些目录可以被客户端访问以及客户端对这些目录的访问权限，通过该文件可指定共享目录的绝对路径、可访问的客户端地址及对应的访问选项，以此实现对NFS共享资源的访问控制，确保只有授权的客户端能按指定权限访问共享目录。使用exportfs命令管理共享目录的方法如下：exportfs-a：输出/etc/exports文件中设置的所有目录；exportfs-r：重新读取/etc/exports文件中的设置并使其立即生效；exportfs-v：在输出目录时将目录的详细信息显示到屏幕上，便于管理员确认共享目录的状态和配置。3.简述sync与async选项的区别及对文件共享性能的影响。答：sync选项会将数据同步写入内存缓冲区与磁盘中，能保证数据的一致性，但数据写入需要同时完成内存和磁盘的操作，效率较低，会增加I/O等待时间，在高并发写入场景下可能影响NFS服务的整体性能；async选项会将数据先保存在内存缓冲区中，必要时才写入磁盘，该方式减少了磁盘I/O的频率，提升了数据写入的效率和NFS服务的整体性能，但存在数据丢失风险，若服务器突然宕机，内存缓冲区中未写入磁盘的数据会丢失，无法保证数据的一致性。4.简述autofs服务实现文件系统自动挂载的方式及优势。答：autofs服务实现文件系统自动挂载的方式如下：安装autofs服务并启动；配置主配置文件/etc/auto.master，添加自动挂载目录的相关配置，指定映射文件的路径；编辑映射文件（如/etc/auto.nfs），添加文件共享的相关配置，定义挂载的参数、NFS服务器地址及共享目录；重启autofs服务，此时autofs服务会根据配置在用户访问指定目录时自动完成NFS文件系统的挂载，当目录长时间未被访问时，会自动卸载该文件系统。其优势在于可实现按需挂载，避免了系统启动时挂载大量不常用的NFS文件系统，节省了系统资源，同时简化了用户的操作，用户无需手动执行挂载和卸载命令，提升了文件系统访问的便捷性和系统资源的利用率。项目10部署iSCSI存储服务一、选择题1.A2.B3.A4.B5.D二、简答题1.简述iSCSI的存储过程。答：首先Initiator发出请求，在本地操作系统生成相应的SCSI命令和数据I/O请求，这些命令和请求会被封装加密成IP信息包，通过以太网（TCP/IP）传输到Target；Target接收到信息包后，进行解密和解析，将SCSI命令和I/O请求分开，SCSI命令发送到SCSI控制器再传送到SCSI存储设备；设备执行SCSI命令后的响应，经Target封装成iSCSI响应PDU，通过已连接的TCP/IP网络传送给Initiator；最后Initiator从iSCSI响应PDU中解析出SCSI响应并传送给操作系统，操作系统再响应给应用程序。2.简述部署iSCSI服务的优势。答：1)可将原本仅用于本机的SCSI通过TCP/IP网络传送，实现存储连接距离的无限地域延伸；2)支持连接的服务器数量无上限（SCSI-3上限为15），能满足大规模存储组网需求；3)采用服务器架构，可实现在线扩容以及动态部署，便于