Specs – 第338页 – Linux系统运维日志

CentOS 6安装配置KVM

上一篇文章介绍过CentOS 6安装Xen，有点麻烦，因为自CentOS 6开始，虚拟化平台已经从xen转向KVM，所以在CentOS 6安装KVM还是非常的简单的。

1、安装KVM

yum groupinstall Virtualization ‘Virtualization Client’

2、安装api支持

yum install libvirt
service libvirtd start

3、验证是否已经载入KVM模块

$ lsmod | grep kvm
kvm
kvm_intel

4、使用virt-manager安装guest

virt-manager是一个api gui工具，可以很方便的管理虚拟机。下面简单介绍使用virt-manager安装虚拟机系统。
1)打开virt-manager，Add-connection,hypervisor选择QEMU／KVM，点击connect。
2)在连接localhost(QEMU)右键－NEW，输入guest名称，还有选择安装方式，我这里选择iso文件安装，点击forword。
3)选择iso文件路径，点击forword。
4)定义分配内存及cpu个数。
5)定义磁盘映像大小。
6）下一步就是常规的系统安装了。

5、使用virt-install安装guest

当你的CentOS没有桌面环境时，可以使用virt-install命令安装,如：
1、输入虚拟机名称
2、分配多少内存
3、定义虚拟机磁盘映像的位置
4、此步可以直接输入iso的位置或是url
5、进行系统常规安装

Windows XP下硬盘安装CentOS 6.2

我们现在要实现的是硬盘安装linux系统，这里以CentOS 6.2为例，简单介绍一下安装过程，不会很详细，只是给个思路。

必备工具

CentOS 6.2 ISO文件
下载地址：http://mirrors.163.com/centos/6.2/isos/
Paragon-Partition-Manager：用于在xp下ext2或ext3的分区
下载地址：http://115.com/file/e732imz8#Paragon-Partition-Manager-10.0-Server.7z
grub4dos：用于引导linux系统
下载地址：http://115.com/file/dpdswtcm#grub4dos-0.4.4-2009-01-11.zip
Ext2Fsd：用于windows下能读写ext2或ext3分区
下载地址：http://115.com/file/be6ajmwc#Ext2Fsd-0.51.7z

安装步骤

ext3分区

使用Paragon-Partition-Manager分出一个ext3的分区，这个分区是用来存在iso文件的，大小根据iso文件确定，分区之后，硬盘还必须有未分区的空间，因为需要给安装CentOS留下。分区的时候顺便分配盘符。

使用Ext2Fsd访问ext3分区

安装打开ext2fsd软件，在刚才分好的ext3分区上右键，选择“配置文件系统”，点击“启用”，之后“更改并退出”。这时后就可以打开我的电脑，并看见已经多了一个磁盘分区，比如F。接着把iso文件复制到F分区的根目录，

用grub4dos软件制作引导菜单

打开我的电脑C盘，工具–文件夹选项–查看，在“隐藏受保护的操作系统文件(推荐)”前面的勾去掉，并选中“显示所有文件和文件夹”，再把“隐藏已经文件类型的扩展名”前面的勾去掉，最后点击应用，确定。
右键单击C盘根目录下的boot.ini，选择“属性”，把“只读”前面的勾去掉。接着，用记事本打开boot.ini文件，在最后一行添加如下内容：
C:GRLDR=”Grub”
解压grub4dos-0.4.4,把文件夹里面的GRLDR复制到C盘根目录。然后在C盘根目录新建boot文件夹，在boot文件夹中再建grub文件夹，把grub4dos-0.4.4文件夹里面的menu.lst复制到C:\boot\grub下。

然后解压挂载或解压iso文件，把里面的isolinux文件夹复制到F盘的根目录下面。

引导CentOS启动

重启电脑，进入引导界面，选择Grub，按下”C”键进入命令行模式。
输入“root (hd0,”（双引号不用输)，这时按下”Tab”键，会在下面出现硬个硬盘的所有分区,假如我们看到 “5”对应之前的ext3分区，那就继续输入”5)”，完整的命令是：root (hd0,5)。
现在按下回车键，继续输入kernel /isolinux/vmlinuz，再按下回车，输入initd /isolinux/initrd.img,按下回车，继续输入boot，按下回车，这时grub已经能够引导centos进入安装界面。

CentOS系统安装

这里不多说，需要注意的有几点：
1、在要求选择CentOS image文件所在的分区时，一般选择最后一个分区。
2、这步一定要小心，不然会导致windows系统丢失。在提示“您要进行哪种类型的安装”时，选择“创建自定义布局”进行自定义分区，然后在未分区的空间上新建ext4分区，也可以使用LVM管理分区，不过boot必须是主物理分区。
3、其它的默认就好

CentOS 6安装配置Xen

centos 6安装xen并不像centos 5那样轻松，因为在centos 6中，官方源已经去除了xen的rpm包，只能使用第三方源或自行编译，这里推荐使用第三方源，编译安装要解决的问题比较多。还有一个包libvirt，这个是管理xen的api，官方的这个包已经不支持xen，并且是0.9版的需要更高版本的iptables支持，所以libvirt需要编译安装。

下面是在CentOS 6 64位系统进行安装配置Xen。

1、安装Xen及内核

rpm -Uvh http://www.crc.id.au/repo/x86_64/kernel-xen-release-6-3.noarch.rpm //导入第三方源安装Xen
yum install bridge-utils //安装网桥设置工具
yum install kernel-xen xen //安装xen及内核

2、配置grub引导xen内核

xen内核安装后，会自动插入引导xen内核代码到/boot/grub/grub.conf文件，但还需要进行相应的修改。

修改后引导xen内核的代码如下：

title CentOS (2.6.32.56-1.el6xen.x86_64)
root (hd0,7)
kernel /xen.gz dom0_mem=1024M loglvl=all guest_loglvl=all
module /vmlinuz-2.6.32.56-1.el6xen.x86_64 ro root=/dev/mapper/VolGroup-LogVol00 rd_LVM_LV=VolGroup/LogVol00 nomodeset
module /initramfs-2.6.32.56-1.el6xen.x86_64.img

这段代码仅够参考，不一定适用于你的配置。

3、关闭selinux

这是必须关闭的，要不会因为selinux的安全机制导致xen无法正常工作。

编辑selinux配置文件

vi /etc/sysconfig/selinux

修改为如下：

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing – SELinux security policy is enforced.
# permissive – SELinux prints warnings instead of enforcing.
# disabled – No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted – Targeted processes are protected,
# mls – Multi Level Security protection.
SELINUXTYPE=targeted

还有一点配置也很重要，就是禁止netmanager接管网络，因为这个工具不支持网桥管理。
在/etc/sysconfig/network-script/ifcfg-eth0中加入：

NM_CONTROLLED=no

4、重启引导进入xen内核

引导后执行xm info测试：

[root@localhost ~]# xm info
host : localhost.localdomain
release : 2.6.32.56-1.el6xen.x86_64
version : #1 SMP Mon Feb 20 13:03:03 EST 2012
machine : x86_64
nr_cpus : 4
nr_nodes : 1
cores_per_socket : 2
threads_per_core : 2
cpu_mhz : 2394
hw_caps : bfebfbff:28100800:00000000:00003f40:009ae3bd:00000000:00000001:00000000
virt_caps : hvm
total_memory : 1972
free_memory : 412
free_cpus : 0
xen_major : 4
xen_minor : 1
xen_extra : .2
xen_caps : xen-3.0-x86_64 xen-3.0-x86_32p hvm-3.0-x86_32 hvm-3.0-x86_32p hvm-3.0-x86_64
xen_scheduler : credit
xen_pagesize : 4096
platform_params : virt_start=0xffff800000000000
xen_changeset : unavailable
xen_commandline : dom0_mem=1024M loglvl=all guest_loglvl=all
cc_compiler : gcc version 4.4.6 20110731 (Red Hat 4.4.6-3) (GCC)
cc_compile_by : mockbuild
cc_compile_domain : crc.id.au
cc_compile_date : Mon Feb 20 12:52:37 EST 2012
xend_config_format : 4

5、安装api管理工具

yum install virt-install virt-viewer

6、编译安装libvirt

因为rpm安装的libvirt不支持xen连接，所以我们使用编译安装。还有版本也不能选择高的，不然可能会因为iptables的版本低而不能使用libvirt。

yum install gcc xen-devel libxml2-devel gnutls-devel device-mapper-devel libnl-devel make
cd /tmp
wget http://libvirt.org/sources/libvirt-0.8.1.tar.gz
tar xzf libvirt-0.8.1.tar.gz
cd libvirt-0.8.1
./configure –with-xen –with-xen-inotify –with-libvirtd
make && make install

然后打开/usr/local/etc/libvirt/libvirtd.conf文件，删除unix_sock_dir = “/var/run/libvirt”前面的注释,并创建/var/run/libvirt目录。
之后启动libvirtd，并设置开机启动

libvirtd -d
echo "/usr/local/sbin/libvirtd -d" >>/etc/rc.d/rc.local

7、安装xen guest

我们这里使用virt-install工具进行guest的安装，当然你也可以使用xm命令安装，不过相对麻烦点。

可以执行virt-install –help学习这工具的使用方法。
下面是安装guest的示例

virt-install -n CentOSVM1 -r 512 -f /xen/CentOSVM1.img -l http://www/ –network=network:default -s 10 –nographics –vcpus=2

或者使用交互式安装

virt-install –prompt

-n CentOSVM1 设置虚拟服务器名称
-r 512 设置内存大小
-f /xen/CentOSVM1.img 虚拟磁盘文件的保存路径，如果有重名可以使用–force参数强制重建。
-l http://www/ 安装文件的访问方式，支持nfs http ftp smb等多种方式。如果你对你的带宽比较自信，可以使用http://mirrors.163.com/centos/5.5/os/i386/网易的镜像站
–network=network:default 网络连接方式，我选择的是route中的default
-s 10磁盘文件的大小，单位是G
–nographics 不使用图形界面，可以不加此参数，然后加–vnc看看图形效果
–vcpus=2 虚拟CPU的个数
在执行virt-install命令安装系统之前，先确定你的安装源，支持nfs http ftp smb等多种方式，宽带大的话，可以使用http直接连接远程安装源，比如mirror.163.com。
我这里adsl上网的，本地已经下载有iso文件了，所以在本地架设个http服务器进行安装。
1、挂载iso文件到/iso目录，这个目录必须存在。

mount -o loop CentOS-6.2-x86_64-minimal.iso /iso

2、安装httpd服务器，我这里安装apache

yum install httpd
service httpd start

3、创建软链接或直接复制文件到apache根目录/var/www/html，如果你的centos 6.2是完整版，只需要做个软链接，如果下载的是精简版，也就是minimal，需要复制全部文件到根目录，因为.treeinfo这个文件需要相应的修改。

centos 6.2完整版：

ln -s /iso /var/www/html

centos 6.2精简版：

cp -R /iso /var/www/html

修改.treeinfo文件，如：

[general]
family = CentOS
timestamp = 1323560005.81
variant =
totaldiscs = 1
version = 6.2
discnum = 1
packagedir =
arch = x86_64
[images-x86_64]
kernel = isolinux/vmlinuz
initrd = isolinux/initrd.img
[images-xen]
kernel = isolinux/vmlinuz
initrd = isolinux/initrd.img
[stage2]
mainimage = images/install.img

4、在安装之前，需要暂时关闭iptables，否则安装过程中会无法取得相应文件。

service iptables stop

5、开始使用virt-install安装

virt-install -n centos6 -r 512 -f /xen/CentOSVM1.img -l http://192.168.1.100/iso –network=network:default -s 4 –vcpus=2

之后会自动调用virt-viewer工具显示安装界面。
6、启动guest centos6
安装完成后会要求重启，这时guest关闭之后不会自动启动，需要使用xm start命令启动：

xm start centos6

7、开启iptables

之前为了连接安装源，暂时关闭了iptables，现在需要启动iptables，否则guest无法连接外网。

service iptables start

8、使用virt-viewer管理guest

virt-viewer centos6

执行这条命令即可连接虚拟机centos6进行管理了，当然也可以直接使用ssh连接更简单。

另外，我安装过virt-manager来安装guest，但到创建域时就出现KeyError错误，不知道如何解决，有懂的告诉一声。

nginx配置反向代理

nginx配置反向代理很简单，只需要在nginx.conf配置文件加入server区块。

server {
listen 80;
server_name devops.webres.wang;
location / {
proxy_pass http://1.2.3.4; //后端ip地址
proxy_redirect off; //关闭后端返回的header修改
proxy_set_header Host $host; //修改发送到后端的header的host
proxy_set_header X-Real-IP $remote_addr; //设置真实ip
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}

varnish下使用acl限制ip地址访问

第1步：定义ACL，我们使用一个外部文件存储IP地址

acl forbidden {
include "/etc/varnish/chinaip.dat";
}
############chinaip.data#########
"192.168.1.0"/24;
"10.0.0.0"/24;

第2步：在vcl_recv中定义策略，放到最前面。

if (client.ip ~ forbidden) {
error 505 "Forbidden";
}

第3步（可选）：自定义错误页面
#根据不同的错误代码，执行不同的操作
#将错误代码为750的，重定向google，将错误代码为505的，直接返回错误代码。

sub vcl_error {
set obj.http.Content-Type = "text/html; charset=utf-8";
if (obj.status == 750) {
set obj.http.Location = "http://www.google.com/";
set obj.status = 302;
deliver;
}
else {
synthetic {"
<!–?xml version="1.0" encoding="utf-8"?–>
"} obj.status " " obj.response {"
<h1>Error "} obj.status " " obj.response {"</h1>
"} obj.response {"
"};
}
return (deliver);
}

第4步：验证配置是否正确

varnishd -d -f /etc/varnish/my.vcl

第5步：重启varnish

service varnish restart

第6步：测试

忘记说第0步了，就是先备份你的配置文件，很重要。
转自：http://blog.poesylife.com/

Iftop-网络流量实时监控工具

iftop介绍

Iftop 主要用来显示本机网络流量情况及各相互通信的流量集合，如单独同那台机器间的流量大小，非常适合于代理服务器和iptables服务器使用。

iftop安装

1、安装依赖

yum install libpcap-devel ncurses-devel

2、开始安装

wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz
tar xzf iftop-0.17.tar.gz
cd iftop-0.17
./configure
make && make install

如何使用

直接执行iftop即可运行查看流量情况。
执行iftop -h得到帮助信息

[root@www ~]#iftop -h
iftop: display bandwidth usage on an interface by host
Synopsis: iftop -h | [-npbBP] [-i interface] [-f filter coolcode] [-N net/mask]
-h display this message
-n don’t do hostname lookups
-N don’t convert port numbers to services
-p run in promiscuous mode (show traffic between other
hosts on the same network segment)
-b don’t display a bar graph of traffic
-B Display bandwidth in bytes
-i interface listen on named interface
-f filter coolcode use filter coolcode to select packets to count
(default: none, but only IP packets are counted)
-F net/mask show traffic flows in/out of network
-P show ports as well as hosts
-m limit sets the upper limit for the bandwidth scale
-c config file specifies an alternative configuration file

官方网站：http://www.ex-parrot.com/pdw/iftop/

双机热备+负载均衡线上方案(Heartbeat+DRBD+NFS+Keepalived+Lnmp)

我们下面来实现一个架构，heartbeat+drbd+nfs实现mysql和网站数据的同步，keepalived实现nginx的高可用，而用nginx和dns轮询实现负载均衡。

架构说明

目录规划

/usr/local/src/lnmp：用来存放源码工具等等
/data：用来存放所有数据和NFS以及DRBD的挂载
/data/shell：用来存放所有管理脚本
/data/mysql：用来挂载DRBD的mysql资源，以供mysql存放数据库
/data/wwwnfs：用来挂载DRBD生成的www资源，以供两个节点挂载到各个节点的/data/www目录，以供论坛等程序数据使用
/data/www：用来挂载NFS资源，用来存放论坛(网站)等程序数据

拓扑工作原理

内网：
1，DRBD网络存储创建出两个资源，一个mysql给mysql数据库同步用，一个www给web(论坛)数据NFS共享挂载用，虚拟出两个虚拟IP，一个是 192.168.1.100，用来连接数据库，一个是192.168.1.200，用来给节点挂载NFS
注意：NFS底下挂载了三次：DRBD挂载一次，文件系统挂载一次，客户端挂载一次
2，Heartbeat来实现DRBD的HA，同时虚拟出两个内网IP，并管理NFS，MySQL的启动和关闭

外网：
1，两个节点都用Nginx做均衡器，通过内网调度负载两个节点，实现内部均衡
2，DNS配置双IP对应一个域名的方式来实现DNS轮询，实现外网均衡
3，Keepalived使用双主(master)配置虚拟出两个虚拟IP：节点一 12.12.12.100和节点二 12.12.12.200，同时共外网访问，两个节点互为主从关系，当某个节点挂掉的时候，另外一个节点将同时是两个资源的master，同时拥有两个虚拟IP，实现资源转移。

我们知道DNS的缺点就是生效慢，分配资源不合理，理论上有可能把所有的请求都发送给同一节点，导致均衡不合理导致所有资源不可用，这里我们由于有了NGINX内部负载，就不怕DNS轮询不均衡了，因为NGINX内部有严谨的调度方式，不管那台请求有多少，在内部都能实现理想的调度，这样就能把DNS负载均衡和NGINX完美结合，是硬件资源得到合理的利用，然后利用keepalive保证了每个节点的可靠性，几乎完美！
拓扑图如下：

架构实现

LNMP架构配置

配置LNMp架构需要注意两点：
注意一：这里MYSQL都不要初始化，不要启动！后面有专门的配置的
注意二：nginx所有端口都改成 8080，因为一会还要安装nginx来做均衡器并对外提供服务，所以不要用默认的80
注意三、nginx和php-fpm运行的用户都是www。

安装配置NFS

1、安装NFS

yum install nfs-utils nfs4-acl-tools portmap

2、配置/etc/exports

/data/wwwnfs 192.168.1.0/24(rw,,no_root_squash,sync,anonuid=502,anongid=502)

注意：
/data/wwwnfs：就是给两个节点挂载的目录，所有网站程序都放在这里，实现论坛程序等数据的共享(同步)
anonuid=502,anongid=502：这个表示客户端上任何用户进入到挂载目录都以uid=502和gid=502身份，我这里这个代表的是www用户
3、启动

service portmap start
service nfs start

切忌，必须先启动portmap

chkconfig nfs off
chkconfig portmap on

注意：portmap服务器必须常驻，且不收heartbeat管理；而nfs这必须要用heartbeat来管理他的启动和关闭，所以这里要关闭nfs开机自动启动

同时要启动锁机制，因为同时有两个节点要使用同一份数据，所以需要有总裁，这个尤其是在NFS给mysql用的时候是必须要用的，对于论坛或网站，要看情况，如果存在对同一文件同时修改的时候必须要启动NFS锁机制，如果没有这种情况，那么建议不要启动，启动了会降低NFS的性能：

/sbin/rpc.lockd
echo "/sbin/rpc.lockd" >>/etc/rc.local

4、开机自动挂载

echo "sleep 20" >>/etc/rc.local
echo "/bin/mount -t nfs 192.168.1.200:/data/wwwnfs /data/www" >>/etc/rc.local

为什么为延迟20秒再挂载nfs？因为如果不等待立即挂载，会发现挂载不上，这是由于heartbeat启动用的vip还没设置好的原因。
立即挂载：

mount -a

安装配置DRBD

安装方法见：http://devops.webres.wang/2012/02/drbd-compile-install-deploy/

配置文件

DRBD有三种配置文件：
/usr/local/drbd/etc/drbd.conf
/usr/local/drbd/etc/drbd.d/global_common.conf
/usr/local/drbd/etc/drbd.d/*.res
1、drbd.conf

include "drbd.d/global_common.conf";
include "drbd.d/*.res";

2、global_common.conf

global {
usage-count yes;
}
common {
net {
protocol C;
}
}

3、mysql.res和www.res
mysql.res:

vi /usr/local/drbd/etc/drbd.d/mysql.res

#资源组的名称
resource mysql{
#定义主服务器资源
on node1{
#建立块设备文件
device /dev/drbd1;
#要用于复制的分区
disk /dev/sdb1;
#定义侦听IP和端口
address 192.168.1.10:7788;
#meta data信息存放的方式，这里为内部存储，即和真实数据放在一起存储
meta-disk internal;
}
#定义备服务器资源
on node2{
device /dev/drbd1;
disk /dev/sdb1;
address 192.168.1.20:7788;
meta-disk internal;
}
}

www.res:

vi /usr/local/drbd/etc/drbd.d/www.res

#资源组的名称
resource www{
#定义主服务器资源
on node2{
#建立块设备文件
device /dev/drbd2;
#要用于复制的分区
disk /dev/sdb2;
#定义侦听IP和端口
address 192.168.1.20:7789;
#meta data信息存放的方式，这里为内部存储，即和真实数据放在一起存储
meta-disk internal;
}
#定义备服务器资源
on node1{
device /dev/drbd2;
disk /dev/sdb2;
address 192.168.1.10:7789;
meta-disk internal;
}
}

最后复制这些文件到node2。

初始化DRBD资源

1)在各个节点启用资源mysql和www

modprobe drbd
dd if=/dev/zero of=/dev/sdb1 bs=1M count=10
dd if=/dev/zero of=/dev/sdb2 bs=1M count=10
drbdadm create-md mysql
drbdadm create-md www
drbdadm up mysql
drbdadm up www

2)，提升各个节点上的主
在node1上：

drbdadm primary –force mysql

在node2上：

drbdadm primary –force www

3)格式化drbd块设备
在node1上

mkfs.ext3 /dev/drbd1

在node2上

mkfs.ext3 /dev/drbd2

4)挂载分区
在node1上

mount /dev/drbd1 /data/mysql

在node2上

mount /dev/drbd2 /data/wwwnfs

安装配置heartbeat

1、安装heartbeat

yum install heartbeat

安装完后会自动建立用户hacluster和组haclient
确保两个节点上hacluster用户的的UID和GID相同
2、同步两台节点的时间

rm -rf /etc/localtime
cp -f /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
yum install -y ntp
ntpdate -d cn.pool.ntp.org

3、配置/etc/ha.d/ha.cf

debugfile /var/log/ha-debug #打开错误日志报告
keepalive 2 #两秒检测一次心跳线连接
deadtime 10 #10 秒测试不到主服务器心跳线为有问题出现
warntime 6 #警告时间（最好在 2 ～ 10 之间）
initdead 120 #初始化启动时 120 秒无连接视为正常，或指定heartbeat
#在启动时，需要等待120秒才去启动任何资源。
udpport 694 #用 udp 的 694 端口连接
ucast eth0 192.168.1.20 #单播方式连接（主从都写对方的 ip 进行连接）
node node1 #声明主服(注意是主机名uname -n不是域名)
node node2 #声明备服(注意是主机名uname -n不是域名)
auto_failback on #自动切换（主服恢复后可自动切换回来）这个不要开启
respawn hacluster /usr/lib/heartbeat/ipfail #监控ipfail进程是否挂掉，如果挂掉就重启它

4、/etc/ha.d/authkeys

auth 1
1 crc

5、/etc/ha.d/haresources

node1 IPaddr::192.168.1.100/24/eth0 drbddisk::mysql Filesystem::/dev/drbd1::/data/mysql::ext3 mysqld portmap
node2 IPaddr::192.168.1.200/24/eth0 drbddisk::www Filesystem::/dev/drbd2::/data/wwwnfs::ext3 portmap nfs

6、创建nfs管理脚本

vi /etc/ha.d/resource.d/nfs

写入：

#!/bin/bash
NFSD=/etc/rc.d/init.d/nfs
NFSDPID=`/sbin/pidof nfsd`
case $1 in
start)
$NFSD start;
;;
stop)
$NFSD stop;
if [ "$NFSDPID" != " " ];then
for NFSPID in $NFSDPID
do /bin/kill -9 $NFSPID;
done
fi
;;
*)
echo "Syntax incorrect. You need one of {start|stop }"
;;
esac

先启动node1的heartbeat，再启动node2的heartbeat
启动成功后，这里有几项需要检查
node1:
1、执行ip a，检查是否已经设置有虚拟ip 192.168.1.100
2、执行cat /proc/drbd检查状态是否正常
3、执行df -h查看/dev/drbd1是否已经挂载到/data/mysql
4、执行service mysqld status查看mysql是否已经启动
node2:
1、执行ip a查看是否已经设置虚拟ip 192.168.1.200
2、执行cat /proc/drbd检查状态是否正常
3、执行df -h查看/dev/drbd2是否已经挂载到/data/wwwnfs和192.168.1.200:/data/wwwnfs是否已经挂载到/data/www

nginx均衡器配置

user www;
worker_processes 1;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main ‘$remote_addr – $remote_user [$time_local] "$request" ‘
‘$status $body_bytes_sent "$http_referer" ‘
‘"$http_user_agent" "$http_x_forwarded_for"’;
access_log /var/log/nginx/access.log main;
sendfile on;
#tcp_nopush on;
keepalive_timeout 65;
#gzip on;
upstream devops.webres.wang_server
{
server 192.168.1.10:8080 weight=3 max_fails=2 fail_timeout=30s;
server 192.168.1.20:8080 weight=9 max_fails=2 fail_timeout=30s;
}
server
{
listen 80;
server_name devops.webres.wang;
location / {
root /data/www/devops.webres.wang;
index index.php index.htm index.html;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://devops.webres.wang_server;
}
access_log off;
}
server
{
listen 8080;
server_name devops.webres.wang;
index index.html index.htm index.php;
root /data/www/devops.webres.wang;
#limit_conn crawler 20;
location ~ .php$ {
root /data/www/devops.webres.wang;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /data/www/devops.webres.wang/$fastcgi_script_name;
include fastcgi_params;
}
location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
}
location ~ .*.(js|css)?$
{
expires 1h;
}
access_log off;
}
}

这里定义了两台用于负载均衡的机子，分别是192.168.1.10:8080和192.168.1.20:8080，通过proxy_pass http://devops.webres.wang_server代理循询转发到这两台机，达到负载均衡的作用。
你可以建立index.php，里面写入：

<?php
echo $_SERVER[‘SERVER_ADDR’];
?>

如果连续刷新几次，得到不同的IP，证明已经均衡负载到不同的服务器。

Keepalived实现nginx和php的HA

1、keepalived安装
安装方法见：http://devops.webres.wang/2012/02/nginx-keepalived-high-availability/
2、配置
节点一node1配置如下：

global_defs {
notification_email {
[email protected]
}
notification_email_from [email protected]
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id LVS_DEVEL
}
vrrp_instance VI_1 {
state MASTER ############ 辅机为 BACKUP
interface eth0
virtual_router_id 100
mcast_src_ip 192.168.1.10 ########### 本机IP
priority 102 ########### 权值要比 back 高
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
12.12.12.100
}
}
vrrp_instance VI_1 {
state BACKUP
interface eth0
virtual_router_id 200
mcast_src_ip 192.168.1.101 ########### 本机IP
priority 101 ##########权值要比 master 低。。
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
12.12.12.200
}
}

节点二配置：

global_defs {
notification_email {
[email protected]
}
notification_email_from [email protected]
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id LVS_DEVEL
}
vrrp_instance VI_1 {
state BACKUP
interface eth0
virtual_router_id 100
mcast_src_ip 192.168.1.20 ########### 本机IP
priority 101 ##########权值要比 master 低。。
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
12.12.12.100
}
}
vrrp_instance VI_1 {
state MASTER ############ 辅机为 BACKUP
interface eth0
virtual_router_id 200
mcast_src_ip 192.168.1.103 ########### 本机IP
priority 102 ########### 权值要比 back 高
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
12.12.12.200
}
}

3、创建监控脚本
node1监控脚本：

vi /opt/check.sh

#!/bin/bash
while :
do
mysqlcheck=`/usr/bin/mysqladmin -uroot ping 2>&1`
mysqlcode=`echo $?`
heartbeat=`ps -C heartbeat –no-header | wc -l`
if [ $mysqlcode -ne 0 ] ;then
if [ $heartbeat-ne 0 ];then
service heartbeat stop
fi
fi
phpcheck=`ps -C php-fpm –no-header | wc -l`
nginxcheck=`ps -C nginx –no-header | wc -l`
keepalivedcheck=`ps -C keepalived –no-header | wc -l`
if [ $nginxcheck -eq 0 ]|| [ $phpcheck -eq 0 ];then
if [ $keepalivedcheck -ne 0 ];then
killall -TERM keepalived
else
echo "keepalived is stoped"
fi
else
if [ $keepalivedcheck -eq 0 ];then
/etc/init.d/keepalived start
else
echo "keepalived is running"
fi
fi
sleep 5
done

node2监控脚本：

#!/bin/bash
while :
do
phpcheck=`ps -C php-cgi –no-header | wc -l`
nginxcheck=`ps -C nginx –no-header | wc -l`
keepalivedcheck=`ps -C keepalived –no-header | wc -l`
if [ $nginxcheck -eq 0 ]|| [ $phpcheck -eq 0 ];then
if [ $keepalivedcheck -ne 0 ];then
killall -TERM keepalived
else
echo "keepalived is stoped"
fi
else
if [ $keepalivedcheck -eq 0 ];then
/etc/init.d/keepalived start
else
echo "keepalived is running"
fi
fi
sleep 5
done

这个监控代码实现了mysql,nginx,php-fpm的HA。
加上权限,并执行

chmod +x /opt/check.sh
nohup sh /opt/check.sh &

设置开机启动：
echo “nohup sh /opt/check.sh &” >> /etc/rc.local

4、测试keepalived
分别启动keepalived

service keepalived start

1）执行ip a检查node1和node2是否已经存在vip：12.12.12.100和12.12.12.200
2)测试nginx和php-fpm的HA。在node1执行service nginx stop或者service php-fpm stop停止nginx或php-fpm，过几秒钟后你会发现node2已经接管了vip 12.12.12.100，并且使用vip 12.12.12.100或12.12.12.200浏览nginx网页你会发现网页显示的IP一直是192.168.1.20，表明keepalived已经成功接管node1的vip和nginx或php-fpm服务。
3)测试mysql HA。在node1执行service mysqld stop停止mysql服务，几秒后在node2查看，发现node2已经接管vip 192.168.1.100，并且已经启动mysql服务。
注意：在恢复mysql或nginx,php-fpm时，先停止监控脚本，要不heartbeat或keepalived还没实现接管又被停止。
参考：http://bbs.ywlm.net/thread-965-1-1.html

NFS常见错误

错误一：Cannot register service: RPC

service nfs restart

Shutting down NFS mountd: [ OK ]

Shutting down NFS daemon: [ OK ]

Shutting down NFS quotas: [ OK ]

Shutting down NFS services: [ OK ]

Starting NFS services: [ OK ]

Starting NFS quotas: Cannot register service: RPC: Unable to receive; errno = Connection refused

rpc.rquotad: unable to register (RQUOTAPROG, RQUOTAVERS, udp).

[FAILED]

#解决方法：

service portmap start

#先启动portmap才行

错误二：Address already in use

tail -f /var/log/message

Apr :: bogon nfsd[]: nfssvc: Setting version failed: errno (Device or resource busy)

Apr :: bogon nfsd[]: nfssvc: unable to bind UPD socket: errno (Address already in use)

Apr :: bogon nfsd[]: nfssvc: Setting version failed: errno (Device or resource busy)

Apr :: bogon nfsd[]: nfssvc: unable to bind UPD socket: errno (Address already in use)

Apr :: bogon nfsd[]: nfssvc: Setting version failed: errno (Device or resource busy)

#解决方法：

ps aux | grep nfs

#然后用kill干掉这些进程

错误三：mount: …:/nfsdata failed, reason given by server: Permission denied

#解决方法：

a.把该客户端的ip加入服务端的/etc/exports

b.服务端的和客户端规则要统一，要么都使用主机名（注意每台机器的hosts文件），要么都使用IP

错误四：客户端挂载超时

tail -f /var/log/message

Apr :: localhost kernel: portmap: server localhost not responding, timed out

Apr :: localhost kernel: RPC: failed to contact portmap (errno -).

Apr :: localhost kernel: lockd_up: makesock failed, error=-

Apr :: localhost kernel: RPC: failed to contact portmap (errno -).

#解决方法：

service portmap restart

service nfs restart

错误五：Error: RPC MTAB does not exist.

service nfs start

Starting NFS services: [ OK ]

Starting NFS quotas: [ OK ]

Starting NFS daemon: [ OK ]

Starting NFS mountd: [ OK ]

Starting RPC idmapd: Error: RPC MTAB does not exist.

#解决方法：

#手动执行

mount -t rpc_pipefs sunrpc /var/lib/nfs/rpc_pipefs/

#需要时加入开机启动时，加入下面两行到/etc/fstab

rpc_pipefs /var/lib/nfs/rpc_pipefs rpc_pipefs defaults

nfsd /proc/fs/nfsd nfsd defaults

PHP环境安全性能检查

PHP在Linux环境下安全配置是一个复杂的过程，其中涉及到很多的细节设置，在这里发出来一个脚本，通过这个脚本来检测你的PHP环境是否存在安全隐患，从而针对这些对你的PHP环境进行加固。
功能：

1.检测PHP环境安全配置

2.应禁用的功能。

3.危险的设置，可能会导致本地或远程文件包含。

4.错误处理。

5.在编译时定义的常量。

安装PHP环境后，将此三个文件脚本放在网站web目录下（audit.php php.xml style.css ）进行浏览器查看，他将在你配置的基础中通过XML文件中匹配规则检测出可能存在的配置错误，存在问题的选项它会用红色突出的颜色显示。当然还有一些东西可以根据你的要求更改。
效果如下：

audit.php

<?php
/**
* PHP Security Auditor
*/
class Audit {
static private $rules;
static private $constants;
static private $phpVer;
static public $report;
/**
* Converts settings such as 1M 1G 1K to their byte equivilent values
*
* @param string $n
* @return string
*/
static private function convertToBytes($n) {
// If n is -1 then there is no limit
if ($n == -1)
return PHP_INT_MAX;
switch (substr($n, -1)) {
case "B": return substr($n,0,-1);
case "K": return substr($n,0,-1) * 1024;
case "M": return substr($n,0,-1) * 1024 * 1024;
case "G": return substr($n,0,-1) * 1024 * 1024 * 1024;
}
return $n;
}
static private function MakeReport($type, $title) {
ksort(self::$report[$type]);
$html = ‘<h1>’ . $title . ‘</h1><table><tr class="h"><th>Setting</th><th>Current</th><th>Recomended</th><th>Description</th></tr>’;
foreach(self::$report[$type] as $key => $values)
{
if ($values[‘p’] == 1) $class="r";
else $class="v";
$html .= ‘<tr><td class="e">’ . htmlentities($key) . ‘</td>’ .
‘<td class="’. $class .’">’ . htmlentities($values[‘c’]) . ‘</td>’ .
‘<td class="’. $class .’">’ . htmlentities($values[‘r’]) . ‘</td>’ .
‘<td class="’. $class .’">’ . htmlentities($values[‘d’]) . ‘</td></tr>’;
}
$html .= ‘</table>’;
return $html;
}
static public function HTMLReport()
{
$class = "";
$html = ‘<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "DTD/xhtml1-transitional.dtd">’ .
‘<html><head>’ .
‘<link rel="stylesheet" type="text/css" media="all" href="style.css"/>’ .
‘</head><body>’;
$html .= self::MakeReport("ini", "PHP INI");
$html .= self::MakeReport("disabled", "PHP Disabled Functions");
$html .= self::MakeReport("const", "PHP CONST");
$html .= ‘</html>’;
echo($html . "n");
}
/**
* Adds an item to the reporting array.
*
* @param string $type – the type (ini or const)
* @param string $key – the name of the variable
* @param string $currentValue – the current ini or const value
* @param string $recomended – the recomended value
* @param string $desc – a description of the issue
* @param boolean $problem – true if not complaint, false if compliant
*/
static private function Report($type, $key, $currentValue, $recomended, $desc, $problem)
{
if (isset(self::$report[$type][$key]))
if ((self::$report[$type][$key][‘r’] < $recomended)
&& (self::$report[$type][$key[‘p’]] == 1))
return;
self::$report[$type][$key] = array(
"c" => $currentValue,
"r" => $recomended,
"d" => $desc,
"p" => $problem
);
}
/**
* Loads the rules from an XML file
*
* @param string $file
*/
static public function LoadRules($file = "php.xml")
{
if (!defined(‘PHP_VERSION_ID’))
{
$version = explode(".", PHP_VERSION);
self::$phpVer = ($version[0] * 10000 + $version[1] * 100 + $version[2]);
} else
self::$phpVer = PHP_VERSION_ID;
self::$constants = get_defined_constants();
self::$rules = simplexml_load_file($file);
}
/**
* Processes the XML ruleset against const and ini values found in PHP
*
*/
static public function ProcessXML() {
foreach(self::$rules as $null => $entry) {
$ruleID = $entry->attributes()->id;
// Check the version of PHP the rule applies to
$version = (string)$entry->version;
if ($version != "") {
$op = (string)$entry->version->attributes()->op;
switch ($op) {
case ‘before’:
if ($version < self::$phpVer)
continue 2;
break;
}
}
// Evaluate the rule as we are sure it applys to the version of PHP running
switch((string)$entry->type)
{
// Look at CONST values in PHP
case "const":
$key = (string)$entry->key; // e.g LIBXML_NOENT
$cValue = self::$constants[$key]; // The current value
$rValue = (string)$entry->value; // The recomended value
$desc = (string)$entry->description; // Description
switch((string)$entry->value->attributes()->op)
{
case "eq":
self::Report("const", $key, $cValue, $rValue, $desc, ($cValue == $rValue) ? 0 : 1);
break;
}
break;
// Check the list of functions that should be restricted
case "disable_functions":
$disabled = ini_get("disable_functions");
$list = explode(",", $disabled);
$xmlList = (array)($entry->list);
$xmlList = $xmlList[‘function’];
foreach($xmlList as $null => $function) {
$de = array_search($function, $list);
self::Report("disabled", $function, (($de == 0) ? "enabled" : "disabled"), "disabled", "", (($de == 0) ? 1 : 0));
}
break;
// Look at values defined within the INI files
case "ini":
$key = (string)$entry->key; // e.g. display_errors
$cValue = trim(self::convertToBytes(ini_get($key))); // Current value
$rValue = (string)$entry->value; // Recomended value
$desc = (string)$entry->description; // Description
if (is_numeric($rValue) && $cValue == "") $cValue = "0";
// Deals with where one value should be compared to another
if ((string)$entry->value->attributes()->type == "key")
$rValue = self::convertToBytes(ini_get((string)$entry->value));
switch((string)$entry->value->attributes()->op)
{
// Equal to
case "eq":
self::Report("ini", $key, $cValue, $rValue, $desc, ($cValue == $rValue) ? 0 : 1);
break;
// Less than or equal to
case "lt":
self::Report("ini", $key, $cValue, "< $rValue", $desc, ($cValue <= $rValue) ? 0 : 1);
break;
// Greater than or equal to
case "gt":
self::Report("ini", $key, $cValue, "> $rValue", $desc, ($cValue >= $rValue) ? 0 : 1);
break;
// Not equal to
case "ne":
$neValue = (string)$entry->value->attributes()->net;
$notBlank = (string)$entry->value->attributes()->notblank;
if ($notBlank == "true") {
self::Report("ini", $key, $cValue, $rValue, $desc, ($cValue != "") ? 0 : 1);
break;
}
self::Report("ini", $key, $cValue, $rValue, $desc, ($cValue != $neValue) ? 0 : 1);
break;
}
break;
}
}
}
}
Audit::LoadRules();
Audit::ProcessXML();
Audit::HTMLReport();

php.xml代码如下：

<?xml version="1.0" encoding="UTF-8"?>
<rules>
<entry id="1">
<type>ini</type>
<key>upload_max_filesize</key>
<value op="lt">4194304</value>
<description>Sets the maximum size of an uploaded file. Reduce this to mitigate the risk of DOS attacks.</description>
</entry>
<entry id="29">
<type>ini</type>
<key>upload_max_filesize</key>
<value op="lt" type="key">memory_limit</value>
<description>The maximum size of an uploaded file should be able to fit within the avaliable memory limit.</description>
</entry>
<entry id="30">
<type>ini</type>
<key>post_max_size</key>
<value op="lt" type="key">memory_limit</value>
<description>The maximum post size of data posted to the server should be within the avaliable memory limit.</description>
</entry>
<entry id="32">
<type>ini</type>
<key>always_populate_raw_post_data</key>
<value op="eq">0</value>
<description>This does not need to be used. The preferred method for accessing the raw POST data is php://input.</description>
</entry>
<entry id="33">
<type>ini</type>
<key>magic_quotes_gpc</key>
<value op="eq">0</value>
<description>Sets magic_quotes state for GPC (GET PUT COOKIE) data. Relying on this feature is highly discouraged.</description>
<version op="before">50300</version>
<url>http://www.php.net/manual/en/info.configuration.php#ini.magic-quotes-gpc</url>
</entry>
<entry id="34">
<type>ini</type>
<key>magic_quotes_runtime</key>
<value op="eq">0</value>
<description>Sets magic_quotes state for data from external sources. Relying on this feature is highly discouraged.</description>
<version op="before">50300</version>
<url>http://www.php.net/manual/en/info.configuration.php#ini.magic-quotes-runtime</url>
</entry>
<entry id="35">
<type>ini</type>
<key>safe_mode</key>
<value op="eq">0</value>
<description>This feature has been DEPRECATED as of PHP 5.3.0. Relying on this feature is highly discouraged.</description>
<version op="before">50300</version>
</entry>
<entry id="36">
<type>ini</type>
<key>memory_limit</key>
<value op="lt">16777216</value>
<description>The maximum memory limit for each script should be 16M or less.</description>
</entry>
<entry id="5">
<type>ini</type>
<key>upload_max_filesize</key>
<value op="lt" type="key">post_max_size</value>
<description>The maximum upload file size should be less than or equal to the maximum post size.</description>
</entry>
<entry id="2">
<type>ini</type>
<key>max_file_uploads</key>
<value op="lt">10</value>
<description>The maximum mumber of files that can be uploaded in 1 go.</description>
</entry>
<entry id="3">
<type>ini</type>
<key>file_uploads</key>
<value op="eq">0</value>
<description>This may be impractical but if not needed file uploading should be disabled.</description>
</entry>
<entry id="4">
<type>ini</type>
<key>post_max_size</key>
<value op="lt">4194304</value>
<description>The maximum post size should as small as reasonably possible to mitigate the risk of DOS attacks.</description>
</entry>
<entry id="6">
<type>ini</type>
<key>register_long_arrays</key>
<value op="eq">0</value>
<description>Populates HTTP_*_VARS which should no longer be used.</description>
<version op="before">50300</version>
</entry>
<entry id="7">
<type>ini</type>
<key>register_globals</key>
<value op="eq">0</value>
<description>Highly dangerous feature enabling variables to be defined in scripts from the GPC paramaters. This should be always be turned off.</description>
<version op="before">50300</version>
</entry>
<entry id="8">
<type>ini</type>
<key>session.hash_function</key>
<value op="eq">1</value>
<description>MD5 should be replaced with SHA-160 as it is a more complex and secure hashing algorithm.</description>
<version op="after">50000</version>
</entry>
<entry id="9">
<type>ini</type>
<key>session.hash_bits_per_character</key>
<value op="gt">5</value>
<description>The number of bits encoded per character of the session key.</description>
<version op="after">50000</version>
</entry>
<entry id="10">
<type>ini</type>
<key>session.entropy_file</key>
<value op="ne" net="">/dev/random</value>
<description>Provides a random seed for generating the session.</description>
</entry>
<entry id="11">
<type>ini</type>
<key>session.entropy_length</key>
<value op="gt">32</value>
<description>The number of bytes to read for gathering entropy for session generation.</description>
</entry>
<entry id="12">
<type>ini</type>
<key>session.name</key>
<value op="ne" net="PHPSESSID">Custom String</value>
<description>The name given to the PHP Session. It is recomended this be changed from the default.</description>
</entry>
<entry id="14">
<type>ini</type>
<key>session.save_path</key>
<value op="ne" net="/tmp" notblank="true">/custom/location</value>
<description>The save path for the session should be changed from the default /tmp.</description>
</entry>
<entry id="15">
<type>ini</type>
<key>session.use_trans_sid</key>
<value op="eq">0</value>
<description>Sessions should not be allowed in GET paramaters.</description>
</entry>
<entry id="18">
<type>ini</type>
<key>display_errors</key>
<value op="eq">0</value>
<description>Error messages should be suppressed</description>
</entry>
<entry id="19">
<type>ini</type>
<key>allow_url_fopen</key>
<value op="eq">0</value>
<description>Remote files should not be accessable using fopen.</description>
</entry>
<entry id="20">
<type>ini</type>
<key>allow_url_include</key>
<value op="eq">0</value>
<description>You should not be able to include remote scripts using include.</description>
</entry>
<entry id="31">
<type>ini</type>
<key>session.cookie_httponly</key>
<value op="eq">1</value>
<description>Cookies must be httponly by default</description>
<version op="after">50200</version>
</entry>
<entry id="20">
<type>ini</type>
<key>open_basedir</key>
<value op="ne" net="/" notblank="true">/the/webroot</value>
<description>Limit the files that can be opened by PHP to the webroot.</description>
</entry>
<entry id="32">
<type>ini</type>
<key>upload_tmp_dir</key>
<value op="ne" net="/tmp" notblank="true">/custom/location</value>
<description>Change the location of where files are initally uploaded to</description>
</entry>
<entry id="21">
<type>ini</type>
<key>max_execution_time</key>
<value op="lt">20</value>
<description>Execution time should be limited to 20 seconds or less.</description>
</entry>
<entry id="22">
<type>ini</type>
<key>max_input_nesting_level</key>
<value op="lt">32</value>
<description>Maximum level of nesting of objects 32 is sufficent.</description>
</entry>
<entry id="23">
<type>ini</type>
<key>enable_dl</key>
<value op="eq">0</value>
<description>Disable loading of dynamic extensions.</description>
</entry>
<entry id="24">
<type>ini</type>
<key>display_startup_errors</key>
<value op="eq">0</value>
<description>Startup errors should be suppressed.</description>
</entry>
<entry id="25">
<type>ini</type>
<key>log_errors</key>
<value op="eq">1</value>
<description>All errors generated by PHP should be logged to a file.</description>
</entry>
<entry id="26">
<type>ini</type>
<key>log_errors_max_len</key>
<value op="gt">2048</value>
<description>At least 2048 characters of the error message should be stored in the error log.</description>
</entry>
<entry id="27">
<type>ini</type>
<key>error_log</key>
<value op="ne" net="">/custom/location</value>
<description>Should be set to the location of the php error log.</description>
</entry>
<entry id="28">
<type>const</type>
<key>LIBXML_NOENT</key>
<value op="eq">0</value>
<description>External entities should be disabled for XML parsing</description>
</entry>
<entry id="37">
<type>ini</type>
<key>session.use_only_cookies</key>
<value op="eq">1</value>
<description>Session variables should only be passed in cookies.</description>
</entry>
<entry id="29">
<type>const</type>
<key>LIBXML_NONET</key>
<value op="eq">0</value>
<description>Network access for XML parsers should be disabled.</description>
</entry>
<entry id="38">
<type>disable_functions</type>
<list>
<function>fsocket_open</function>
<function>pack</function>
<function>escapeshellarg</function>
<function>escapeshellcmd</function>
<function>exec</function>
<function>passthru</function>
<function>proc_close</function>
<function>php_uname</function>
<function>getmyuid</function>
<function>getmypid</function>
<function>passthru</function>
<function>leak</function>
<function>listen</function>
<function>diskfreespace</function>
<function>tmpfile</function>
<function>link</function>
<function>ignore_user_abort</function>
<function>set_time_limit</function>
<function>limit</function>
<function>exec</function>
<function>highlight_file</function>
<function>show_source</function>
<function>fpaththru</function>
<function>virtual</function>
<function>posix_ctermid</function>
<function>posix_getcwd</function>
<function>posix_getegid</function>
<function>posix_geteuid</function>
<function>posix_getgid</function>
<function>posix_getgrgid</function>
<function>posix_getgrnam</function>
<function>posix_getgroups</function>
<function>posix_getlogin</function>
<function>posix_getpgid</function>
<function>posix_getpgrp</function>
<function>posix_getpid</function>
<function>posix</function>
<function>posix_getpwnam</function>
<function>posix_getpwuid</function>
<function>posix_getrlimit</function>
<function>posix_getsid</function>
<function>posix_getuid</function>
<function>posix_isatty</function>
<function>posix_kill</function>
<function>posix_mkfifo</function>
<function>posix_setegid</function>
<function>posix_seteuid</function>
<function>posix_setgid</function>
<function>posix_setpgid</function>
<function>posix_setsid</function>
<function>posix_setuid</function>
<function>posix_times</function>
<function>posix_ttyname</function>
<function>posix_uname</function>
<function>proc_open</function>
<function>proc_close</function>
<function>proc_get_status</function>
<function>proc_nice</function>
<function>proc_terminate</function>
<function>phpinfo</function>
<function>proc_open</function>
<function>shell_exec</function>
<function>system</function>
<function>set_time_limit</function>
<function>ini_alter</function>
<function>dl</function>
<function>popen</function>
<function>parse_ini_file</function>
</list>
</entry>
</rules>

style.css代码如下：

@CHARSET "UTF-8";
body {background-color: #ffffff; color: #000000;}
body, td, th, h1, h2 {font-family: sans-serif;}
pre {margin: 0px; font-family: monospace;}
table {border-collapse: collapse;}
td, th { border: 1px solid #000000; font-size: 75%; vertical-align: baseline; padding-left:5px; padding-right:5px;}
h1 {font-size: 150%;}
h2 {font-size: 125%;}
.p {text-align: left;}
.e {background-color: #ccccff; font-weight: bold; color: #000000;}
.h {background-color: #9999cc; font-weight: bold; color: #000000;}
.v {background-color: #cccccc; color: #000000; padding-left:5px;}
.r {background-color: #c50000; color: #000000; padding-left:5px;}

三个文件已经打包：php-security-check.zip
转自：http://lanlan611.sinaapp.com/?p=112

lvs负载均衡及高可用(heartbeat+ldirectord)集群配置

lvs是一个开源免费的负载均衡软件，能实现多台服务器之间的负载均衡，搭配heartbeat和ldirectord的使用，就能配置成高可用的集群。

服务器环境说明

下面说明本次测试配置的服务器环境。
系统：CentOS-5 32 内核2.6.18-238.el5
因为机器只有两台，所以lvs负载器和后端服务器在同一机器。
node1 192.168.79.130
node2 192.168.79.131
VIP 192.168.79.135
当node1出现故障时，lvs负载器和web服务器转移到node2。
如果机器充足，还是建议lvs负载器和web服务器分开。

软件安装

yum -y install heartbeat heartbeat-ldirectord ipvsadm

配置

主要的配置文件有以下几个：
Authkeys
ha.cf
ldirectord.cf
haresources

authkeys

vi /etc/ha.d/authkeys

代码：

auth 1
1 crc

ha.cf

vi /etc/ha.d/ha.cf

debugfile /var/log/ha-debug
logfile /var/log/ha-log
logfacility local0
keepalive 8
deadtime 60
warntime 60
initdead 120
udpport 694
ucast eth0 192.168.79.131
auto_failback on
node node1
node node2
respawn hacluster /usr/lib/heartbeat/ipfail
apiauth ipfail gid=haclient uid=hacluster

node2唯一不同是ucast eth0 192.168.79.131，把IP改成node1的IP。

haresources

vi /etc/ha.d/haresources

填入：

node1 lvs IPaddr::192.168.79.135/24/eth0:0 ldirectord

这段代码的意思是双机启动heartbeat时，启动node1的lvs脚本，接着配置vip 192.168.79.135/24/eth0:0，然后启动ldirectord来设置node1成lvs负载器并监控80端口。如果node1出故障，node1的heartbeat将从右到左停止服务，如先停止ldirectord，取消vip等。接着node2将接管node1的所有服务，如vip,web服务等。

ldirectord.cf

vi /etc/ha.d/ldirectord.cf

checktimeout=10
checkinterval=8
autoreload=yes
logfile="/var/log/ldirectord.log"
logfile="local0"
quiescent=no
virtual=192.168.79.135:80
real=192.168.79.130:80 gate
real=192.168.79.131:80 gate
service=http
request="test.html"
receive="Test Page"
scheduler=wrr
persistent=30
protocol=tcp
checktype=negotiate
checkport=80

node2配置这文件时，需要把real=192.168.79.130:80 gate删除，因为当lvs负载器转移到node2时，不能把故障机node1添加到虚拟机。

test.html

在网站根目录建立test.html，并写入Test Page字段，这个用来监控web服务器的健康情况。假设根目录为/var/www/html：

echo "Test Page" > /var/www/html/test.html

lvs启动脚本

vi /etc/init.d/lvs

node1上的lvs启动脚本:

#!/bin/bash
/sbin/ipvsadm –set 10 10 10

node1上的lvs启动脚本:

#!/bin/bash
VIP=192.168.79.135
/etc/rc.d/init.d/functions
/sbin/ipvsadm –set 10 10 10
case "$1" in
start)
/sbin/ifconfig lo:0 down
/sbin/ifconfig eth0:0 $VIP broadcast $VIP netmask 255.255.255.255 up
/sbin/route add -host $VIP dev eth0:0
;;
stop)
/sbin/ifconfig eth0:0 down
/sbin/ifconfig lo:0 $VIP broadcast $VIP netmask 255.255.255.255 up
/sbin/route add -host $VIP dev lo:0
;;
*)
echo "Usage: $0 {start|stop}"
exit 1
esac

最后加上执行权限：

chmod +x /etc/init.d/lvs

主机名及hosts配置

1、对两台机分别设置对应的主机名
192.168.79.130 为 node1
192.168.79.131 为 node2
2、添加主机名解析

vi /etc/hosts

192.168.79.130 node1
192.168.79.131 node2

解决arp问题

vi /etc/sysctl.conf

net.ipv4.ip_forward = 1
net.ipv4.conf.lo.arp_ignore = 1
net.ipv4.conf.lo.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2

立即使内核参数生效：

sysctl -p

lvs测试

测试负载均衡：可以在两台机放入不同的首页内容，在不同的客户端测试是否显示不一样的内容
测试高可用：关掉node1 heartbeat，在node2执行ip a查看是否已经接管vip。
测试ldirectord:ldirectord可以实时监控指定的服务是否可用，如果发现不可用，就会使用ipvsadm把这台故障的机从虚拟机中删除。