你不得不了解的阿里云ECS(下)

Centos7核心系统管理

systemd服务管理

Systemd是Centos7新采用的一套管理体系，可以实现启动及进程服务管理等，对比Centos6系统之前所采用sysVini体系，带来了很多突出的变化。

• 自定义进程加入Systemd管理
• Systemd系统启动级别设置
• 日志管理
• 环境变量设置
• 系统挂载
• 远程主机管理
  

systemctl支持管理的单元类型

systemctl -t help

• 如果无扩展名，systemctl 默认把扩展名当作.service
• 挂载点、设备名称会完成自动转化为对应的单元
• 一个软件包可能会提供多个不同的单元

df -h
systemctl list-units | grep 'boot'
rpm -ql nginx 查看nginx安装的文件 也可以查询服务管理单元

• 优点
• 支持并行启动，显著提高开机启动效率
• Centos7关机只关闭正在运行的服务
• 对于服务的管理不需要基于init.d下的脚本
• Systemd解决原有模式的缺陷
  • 老版本（Service,Sylsog）不会监听服务进程派生的子进程

目标单元管理

• 涵盖了启动级别的概念
• 理解为目标或者组
• target间可以相互关联
  
  

老版本
cat /etc/rc.d
run level
init 0
修改启动级别 /etc/inittab 永久（centos7兼容）
新版本 centos7
systemctl get-default
systemctl set-default mutli-user.target 永久
reboot

• 设置系统启动级别依赖关系
• 命令：systemctl list-dependencies target 名称
• 命令：systemctl --reverse list-dependencies target vsftpd.service 反查
• 命令：systemctl list-dependencies 名称
  • 当前启动级别default.target各种的依赖关系列出来

服务管理

cd /usr/lib/systemd/system/nginx.service
reload 服务重新载入配置，通过热加载模式继续

编写单元文件

• 软件包安装的单元：/usr/lib/systemd/system/
• 系统管理员安装的单元：/etc/systemd/system/
• 也可以 systemctl cat nginx
• [Unit]:单元的说明及依赖相关设置
  • after在什么之后执kk
  • Want 如果没有启动不影响A单元的启动
  • Requires 如果没有启动，A单元也不启动
• [Service]:定义单元的管理方式
• [Instal]：定义加入到target单元中
  • 关联启动项
    
    1、单元A要求单元B在A启动之前运行

[Unit]
Requires=B
After=B

B服务的单元文件
Wants和Requires类似但存在区别，如果后面接的服务如果没有启动，其实不会影响到这个unit本身

• 场景一：自定义服务单元
  • 1、程序准备（编写测试脚本）
  • 2、编写定义单元服务文件
  • 3、启动及测试

1、写一段shell脚本程序
实时的向系统中文件/tmp/imoocc.res输出记录信息。
2、将脚本加入服务单元服务文件（imooc_gen.service）
3、实现通过systemctl管理此程序
#！/bin/bash
#Jeson@imoocc.com
echo $$ > /var/run/imooc_gen.pid 保存pid
while:
do
echo "Hi imoocc,"$(date)>>/tmp/imoocc.res
sleep 1
done
vim中 : ! 文件路径 可以查看文件是否存在

• Systemd定时任务
  • Timers 可用来替换系统上的cron,定时控制服务事件（.service文件）
  • 制定新定时任务=service服务单元+timer定时单元
• Timer定时单元
  • 分类：单调定时器、实时定时器（日历事件）
  • 从一个时间点过一段时间后激活定时任务。
    

 举例：
[Timer]
OhBootSec=15min
OnUnitActiveSec=1w

通过日历事件激活定时任务。使用OnCalender=的方式来
定义实时定时器。
OnCalendar=*-*-*00:00:00
举例：
[Timer]
OnCalendar=Fri 2012-11-2311:12:13
等价于：
[Timer]
OnCalendar=2012-11-23 11:12:13

推荐阅读手记：https://www.imooc.com/article/28208

添加新的timer定时任务单元imoocc_gen.timer，定时调用服务单元imoocc_gen.service
Timer单元
[Unit]
[Timer]
[instal]

systemctl start imooc_gen.timer

日志管理

• Systemd–>Journal–>RAM
• RAM：虚拟文件系统tmpfs，/run
• journalctl 显示所有信息
• notice或warning以粗体显示，红色显示error级别以上的信息
• -n 20行
• -f 实时展示
• -p err…all 错误级别以上
• -u imooc_gen.service
• -b 启动时日志
• --since today
• --until "30 min ago" 半小时之前
• _PID=1 _UID=1

systemctl list-units | grep journal
vim /etc/sysyemd/journal.conf 配置文件
cd /run/log/journal 日志文件夹

firewalld防火墙

• Centos7里iptables和firewalld共存
• firewalld的底层调用的iptables，建立在iptables之上
• firewalld在使用上要比iptables更人性化
• Firewalld使用区域管理
  • 划分不同的区域，制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流。

使用区域默认类型
#Is/usr/lib/firewalld/zones/
block.xml dmz.xml drop.xml external.xml home.xml internal.xml public.xml trusted.xml work.xml

systemctl start firewalld.service
firewall-cmd --list-all
	活跃区域和非活跃区域
firewall-cmd --get-active-zones
firewall-cmd --set-default-zone=home

• 一个网卡接口只能属于一个zone，不能同时属于多个zone
• 一个zone可以对应多个网卡接口
• 任何配置了一个网络接口的区域就是一个活动区域
• 从外访问服务器内部如果没有添加规则模式是阻止
• 从服务器内部访问服务器外部默认是允许的
• 想让规则永久生效加入–permanent选项
• 每次更改规则后需执行firewall-cmd–reload（动态加载新规则）

firewall-cmd  --zone=home --change（remove add）-interface=eth0 接口转移

添加端口白名单
firewall-cmd --complete-reload 不断开
firewall-cmd --reload 断开接口
firewall-cmd --zone=public --add-port=21/tcp 临时添加
--permanent 永久生效

添加服务白名单
 firewall-cmd --zone=public --add-service=http --permanent

多区域规则结合设置场景

• 活跃区域（active)通过添加网络接口或者原地址规则
• 可以添加多个活跃区域

Trust区域：设置为允许白名单IP访问
Drop区域：设置为默认区域
firewall-cmd --set-default-zone=drop --permanent
firewall-cmd --zone=drop --change-interface=ech1
firewall-cmd --zone=trusted --add-source=192.168.7.0/24 --permanent

更多：www.imooc.com/article/29172

简单架构

LSB负载均衡实现

• 承载高并发，提高更高性能
• 高可靠性，实现后端服务冗灾
• 计费模式
  • https://help.aliyun.com/document detail/27692.html
• 可用区选择
  • 多可用区、单可用区
  • https://www.imooc.com/article/29145
    
• 分为：轮询、加权轮询、加权最小连接数
  
  负载均衡轮训会话保持
• 种类一、TCP协议会话保持基于IP
• 种类二、HTTP协议会话保持基于Cookie
  

负载均衡健康检查

• 种类一、使用TCP协议检查方式（必要）
• 种类二、使用HTTP协议检查方式（可选）
  
  
• 主备服务器组
• 
• 虚拟服务器组
• 
• 注意事项
• 1.阿里云的产品中不能支持提供独立的VIP
• 
• 公网类型的负载均衡并不需要后台ECS配置公网
• 如果ECS有配置了公网IP，然后需要关闭，需先修改路由，不能直接关闭

ECS弹性伸缩

自动为您调整弹性计算资源大小，以满足您业务需求的变化。

• 实现自动化资源调配
• 弹性扩容不一定能解决我的整体的性能瓶颈
  • 需要找到最短的短板（木桶原理）
  • 
• 只有弹性伸缩免费，但是通过弹性伸缩自动创建或者手工加入的ECS实例，需要按照ECS相关实例类型进行付费。注意，按量付费ECS关机（Stop)后仍会收取实例费用，只有释放（Release）后才不再收取。
• 实现模式
  • 定时模式：您自定义自动伸缩发生的时间和频率
  • 动态模式：基于云监控性能指标（如CPU利用率），自动增加或减少ECS实例
  • 固定数量模式、自定义模式、健康模式、多模并行模式
    
• 步骤一、开通服务
• 步骤二、创建伸缩组
  • 1、创连件缩组
  • 2、创建伸缩组配置
• 步骤三、设置触发任务

云盘存储扩容及XFS文件系统

• EXT4、XFS文件系统都是比较成熟稳定的文件系统
• XFS文件系统扩展性支持能力高于EXT4
• 解决问题：
  • 1、ECS的存储空间不够
  • 2、数据隔离
  • 3、提升性能

购买并挂在之后
fdisk /dev/vdb 
n p 。。。。
格式化
mkfs.xfs /dev/vdb1
mount /dev/vdb1 文件夹

构建GRE实现VPC网络互通

• GRE(Generic Routing Encapsulation,通用路由封装）协议，把两个不同的VPC网络通过建立一条虚拟隧道的方式连接到一起

• 配置路由和GRE隧道

ip r/route 查看路由策略
添加路由
ip route add 192.168,1.0/24 via 192.168.1.253 dev eth0
删除路由
ip route del 192.168.1.0/24 dev etho
新建隧道
ip tunnel add tun1 mode gre remote 106.14.169.52 local 172.31.0.187

• 步骤一、配置VPC和ECS

• 步骤二、打通GRE隧道

本地 华北
加载gre model
modeprobe ip_gre
lsmod | grep ip_gre
添加隧道
ip tunnel add tun1 mode gre remote 106.14.137.202（公网） local 172.31.0.187(本机内网)
ip link set tun1 up 激活隧道
配置互联地址
ip addr add 192.168.1.1 peer  192.168.1.2(remote需要配置) dev tun1
添加路由
ip route add 10.168.0.0/24 dev tun1

remote 华东
添加隧道
ip tunnel add tun1 mode gre remote 39.104.109.250（公网） local 10.168.0.89(本机内网)
配置互联地址
ip addr add 192.168.1.2 peer 192.168.1.1(华北 需要配置) dev tun1
添加路由
ip route add 172.31.0.0/24 dev tun1

• 步骤三、测试
  • 设置安全组，因为是ICE协议，所以开放所有
  • 172.31.0.0
  • 10.168.0.0

云架构演变

• 设计架构一定要综合全面
• 解决架构的不足，优先找到短板
• 衡量架构是否满足业务增长量的需求，通过数据分析
• 每一个架构不一定能完全一致，但大部分设计思路是共通的
• 常见云架构
  • 公有云架构
    
    
    云存储不适合实时性比较高的服务，不过我们可以通过切割云盘来云存储归档
    
    
    云架构入口演变
    
    云架构并发架构演变
    
  • 混合云架构
    • 充分的结合IDC托管和公有云服务的优势
      • 中型公司（数据放机房，业务放云端）
      • 安全性
      • 可控性
      • 可弹性