停止和重启apache与nginx有些许不同,彼此经验不能照搬
两者相同,都是发指令给父进程,父进程立刻尝试杀死所有的子进程并退出
nginx的文档说得很简单:reopen the logfile,实际上的操作是master重新打开日志文件,并改变日志文件权限,是worker进程有读写权限,然后发USR1给worker进程重新打开日志文件,这完全不涉及任何worker进程的重新启动
apache则不同,它的父进程会”建议”所有子进程完成当前请求后退出,父进程将重新读取配置文件和日志文件,每个子进程退出后父进程将生成新的子进程
nginx收到这个信号会做3个事情:
1.重新读取配置文件
2.使用新的配置启动新的worker进程
3.旧的worker完成当前请求后退出
apache的做法不同,父进程接收到该信号后会跟TERM信号杀掉所有子进程,重新读取配置文件,重新打开日志文件,并声称新的子进程来服务.与TERM信号不同的是,父进程不退出,服务不会中止
最近在调整网络设置,因此重温了下DHCP SNOOP 和ARP INSPECT 的原理和设置
简单来说,dhcp snooping通过能过滤非法的dhcp信息,并维护着一个mac-ip的数据库
(config)#ip dhcp snooping (启用)
(config)#ip dhcp snooping vlan 4,8,16( 你要监视的vlan)
(config)#ip dhcp snooping database flash:dhcp.db (维护的那个DB,这里是放在闪存里边)
(config-if)#ip dhcp snooping trust (对上联端口或者DHCP服务器端口启用trust)
默认状态下,所有的非trust端口都无法响应DHCP请求,因此:非法的DHCP Server就给block掉了
二 ARP INSPECT
启用了dhcp snooping之后就建立了mac-ip的对应表,因此能在此基础上开启arp inspection,屏蔽非法的mac-ip通信请求
(config)#ip arp inspection vlan 4,8,16
(config)#ip arp inspection validate src-mac ip
(config-if)#ip arp inspection trust (对上联端口或者静态IP端口启用trust)
启用以上设置后,所有非trust端口的数据包都需要跟数据库中的mac-ip(flash:dhcp.db)校验,这里只校验了源mac和ip,对目标mac-ip不做校验(为什么?因为目标如果在其他交换机,这里的dhcp.db是没有记录的)
需要特别指出:dhcp snooping的数据库有个learning的过程,这个对应着dhcp请求的ack应答报文
如果在客户端已经获取IP后再启用arp inspection,会导致该客户端因没有mac-ip的对应而给屏蔽!
通常遇到ddos或者其他攻击,简单想到的办法是iptable,比如
iptable -A INPUT -s IP -j DROP
实际上,超大规模的攻击使用iptable过滤会非常耗CPU,一般建议使用黑洞路由
从这个网址: http://www.cyberciti.biz/tips/how-do-i-drop-or-block-attackers-ip-with-null-routes.html 可以看到
假设需要屏蔽掉202.33.8.49,有三种不同做法:
1. # route add 202.33.8.49 gw 127.0.0.1 lo
2.#ip route add blackhole 202.33.8.49
3.#route add -host 202.33.8.49 reject
当然,文中没有解释这三种做法的区别与优劣,这里简单说说个人看法
第一种,是把这个ip的路由导向lo 127.0.0.1,其实是相当犯傻的行为,系统会自动的尝试往lo发送数据(tcpdump可见)
第二种,是加入黑洞路由,意思就是直接就丢弃了,当然也不会有对应的应用层程序收到数据包尝试回包了
第三种,先看看man里边怎么说: “reject install a blocking route, which will force a route lookup to fail. This is for example used to mask out networks before using the default route. This is NOT for firewalling.” reject是阻止了”到”这个IP的网络,通常用于在使用默认路由前标识网络,不适用于防火墙,为什么呢?因为应用层程序能收到数据包,只不过尝试回包时会知道网络不可达而已
由此可见,从性能来说使用blackhole是最好的办法
最近发现esxi 退出控制台的热键不起作用,Ctrl+ALT按下去鼠标还是出不来
查了下资料,据说是要Ctrl+ALT+Space,hold 住CTRL+ALT放开SPACE,然后按ESC,嗯,这个办法可行
其实还有个更简单的办法,按住CTRL+ALT,再点下鼠标,嗯,好了…嘿嘿
有个图片放在桌面很久了,一直都不舍得删除
就在这里放出来吧
yum install pciutils
then,try lspci
infobright 是基于mysql二次开发的数据仓库,目前社区版免费
不过只能使用“LOAD DATA INFILE”的方式导入数据,不支持INSERT、UPDATE、DELETE, 不支持高并发:只能支持10多个并发查询
使用mogonDB遇到了时间日期的问题,之前的sql查询是”select * from table_name where ts between A AND B”
当然mongoDB也有类似的查询办法:
var start = new Date(2011, 3, 1);
var end = new Date(2011, 4, 1);
db.posts.find({ts: {$gte: start, $lt: end}});
而实际去查询的时候,结果总是空的,发现在mongodb里边并未正确的存储为datetime格式
“ts” : “2011-04-19 00:01:00” 这个应该是import的时候当字符存储了,自然没有办法使用日期的范围查询了
正确的格式应该是: “ts” : ISODate(“2010-04-30T16:00:00Z”)
mongodb的import 文档告诉我们: 可以在insert的时候设置{“$date” : 1285679232000} 设置json格式
实际上,使用date格式会非常缓慢,
http://search.cpan.org/~kristina/MongoDB-0.37/lib/MongoDB/DataTypes.pod#Dates
可以看到:”Warning: creating DateTime objects is extremely slow. Consider saving dates as numbers and converting the numbers to DateTimes when needed. A single DateTime field can make deserialization up to 10 times slower.”
因此,把数据转换成时间戳会是比较明智的选择
http://blog.nosqlfan.com/html/2064.html index mem use
#sh ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 unassigned YES unset down down
FastEthernet0/2 unassigned YES unset up up
能看到端口状态,主要是链路状态
#sh interfaces status
Port Name Status Vlan Duplex Speed Type
Fa0/1 “Connect to Cicso notconnect 8 auto auto 10/100BaseTX
Fa0/2 “Connect to Cicso connected 8 a-full a-100 10/100BaseTX
侧重于vlan和描述性的东西,这里能看到链接速度