最強運維面試寶典之磁盤/虛擬平臺/系統問題匯總
作者:admin 日期:2023-08-25 瀏覽: 次
最強運維面試寶典之磁盤/虛擬平臺/系統問題匯總
常見的系統服務及其作用有:
NTP/Chrony:用于時鐘同步;
DHCP:動態主機配置協議,用于自動分配主機地址,默認使用UDP 63端口;
DNS:域名解析,運行在UDP協議之上,默認使用53端口;
NFS:網絡文件系統,依賴于RCP協議,其基本原則是“容許不同的客戶端及服務端通過一組RPC分享相同的文件系統”,它是獨立于操作系統,容許不同硬件及操作系統的系統共同進行文件的分享。
Postfix:郵件服務;
rsync:遠程數據備份服務。
VPN:虛擬專用網。
更多服務參考:http://c.biancheng.net/view/1059.html。
FTP工作模式是以服務端角度來區分,有主動模式和被動模式。
主動模式是指由FTP服務端主動向客戶端發起連接,服務端端口號為20(用于傳輸)和21(用于控制),即20端口向客戶端的一個大于1024的隨機端口傳輸數據;
被動模式是指由FTP客戶端向服務端發起連接,服務端采用隨機端口等待客戶端的隨機端口來訪問,從而傳輸數據。
FTP有兩種登錄方式:匿名登錄和授權登錄。
使用匿名登錄時,用戶名為:anonymous,密碼為:任何合法email地址;使用授權登錄時,用戶名為用戶在遠程FTP系統中的用戶帳號,密碼為用戶在遠程系統中的用戶密碼。
:使用匿名登錄只能訪問FTP目錄下的資源,默認配置下只能下載;而授權登錄訪問的權限大于匿名登錄,且上載、下載均可。
FTP文件傳輸有兩種文件傳輸模式:ASCII模式和binary模式。
ASCII模式用來傳輸文本文件;其他文件的傳輸使用binary模式。
新節點通過DHCP獲取地址信息的主要流程有如下四個過程:
1、尋找DHCP Server
客戶機第一次登錄網絡的時,向網絡上發出一個DHCPDISCOVER廣播(包中包含客戶機的MAC地址和計算機名等信息)。其源地址為0.0.0.0,目標地址為255.255.255.255。
2、提供IP地址租用
服務端監聽到客戶機發出的DHCP discover廣播后,從剩余地址池中選擇最前面的空置IP,連同其它TCP/IP設定,通過廣播方式響應給客戶端一個DHCP OFFER數據包(包中包含IP地址、子網掩碼、地址租期等信息)。源IP地址為DHCP Server的IP地址,目標地址為255.255.255.255。同時,DHCP Server為此客戶保留它提供的IP地址,從而不會為其他DHCP客戶分配此IP地址。
3、接受IP租約
客戶機挑選最先響應的DHCP OFFER(一般是最先到達的那個),同時向網絡廣播DHCP REQUEST數據包(包中包含客戶端的MAC地址、接受的租約中的IP地址、提供此租約的DHCP服務器地址等),聲明將接受某一臺服務器提供的IP地址。此時,由于還沒有得到DHCP Server的最后確認,客戶端仍然使用0.0.0.0為源IP地址,255.255.255.255為目標地址進行廣播。
4、租約確認
服務端接收到客戶端的DHCP REQUEST之后,會廣播返回給客戶機一個DHCP ACK消息包,表明已經接受客戶機的選擇,并將這一IP地址的合法租用以及其他的配置信息都放入該廣播包發給客戶機。
客戶機在接收到DHCP ACK廣播后,會向網絡發送三個針對此IP地址的ARP解析請求以執行沖突檢測,查詢網絡上有沒有其它機器使用該IP地址;如果發現該IP地址已經被使用,客戶機會發出一個DHCP DECLINE數據包給DHCP Server,拒絕此IP地址租約,并重新發送DHCP discover信息。此時,在DHCP服務器管理控制臺中,會顯示此IP地址為BAD_ADDRESS。
如果網絡上沒有其它主機使用此IP地址,則客戶機的TCP/IP使用租約中提供的IP地址完成初始化,從而可以和其他網絡中的主機進行通訊。
通常DNS查詢有如下過程,任何一過程查詢成功則返回查詢結果,不再進行下一步查詢:
1、用戶輸入網址,優先調取本地hosts查詢記錄;
2、使用本地dns緩存查詢記錄;
3、使用網絡設置的主dns查詢記錄;
4、使用dns服務器中的緩存;
5、dns服務器轉發查詢,轉發至上一級ISP DNS服務器,依次循環;
6、若dns服務器未配置轉發查詢,則將查詢需求發至13臺根dns;
7、返回查詢IP結果給客戶端。
緩沖域名服務器
主域名服務器
從域名服務器
網絡文件系統是應用層的一種應用服務,它主要應用于Linux和Linux系統、Linux和Unix系統之間的文件或目錄的共享。對于用戶而言可以通過NFS方便的訪問遠地的文件系統,使之成為本地文件系統的一部分。采用NFS之后省去了登錄的過程,方便了用戶訪問系統資源。
Samba是在Linux上實現SMB協議的一個免費軟件,由服務器及客戶端程序構成。SMB(Server Messages Block,信息服務塊)是一種在局域網上共享文件和打印機的一種通信協議,它為局域網內的不同計算機之間提供文件及打印機等資源的共享服務。SMB協議是客戶機/服務器型協議,客戶機通過該協議可以訪問服務器上的共享文件系統、打印機及其他資源。主要用于windows與Linux之間的文件共享。
VPN是指在公共的網絡上建立專用網絡的技術,但是兩個節點間并沒有物理上的專用的端到端鏈路,而是通過廣域網或者運營商提供的網絡平臺之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸,同時VPN采用身份驗證和加密技術,充分保證了安全性。常見的VPN有:IPSec VPN、PPTP VPN、L2TP VPN、SSL VPN。
客戶端在通過yum安裝軟件時,會先訪問repo倉庫,下載倉庫的元數據,根據元數據去查詢所需要的rpm及其各種依賴關系。之后再在倉庫進行相關下載,并自動解決rpm包的依賴關系。同時repo倉庫應該是一個文件服務器,一般linux主機在下載過元數據的同時會將其保留在緩存中,以便后續使用。本質上是將底層的物理硬盤抽象的封裝起來,然后以邏輯卷的方式呈現給上層應用。
LVM是對磁盤分區進行管理的一種機制,建立在硬盤和分區之上的一個邏輯層,用來提高磁盤管理的靈活性。通過LVM可將若干個磁盤分區連接為一個整塊的卷組(Volume Group),形成一個存儲池。可以在卷組上隨意創建邏輯卷(Logical Volumes),并進一步在邏輯卷上創建文件系統,與直接使用物理存儲在管理上相比,提供了更好靈活性。
設計概念
物理存儲介質(The physical media):LVM存儲介質可以是磁盤分區、整個磁盤、RAID陣列或SAN磁盤,設備必須初始化為LVM物理卷,才能與LVM結合使用;
物理卷PV(physical volume):物理卷就是LVM的基本存儲邏輯塊,但和基本的物理存儲介質(如分區、磁盤等)比較,卻包含有與LVM相關的管理參數,創建物理卷它可以用硬盤分區,也可以用硬盤本身;
卷組VG(Volume Group):一個LVM卷組由一個或多個物理卷組成;
邏輯卷LV(logical volume):LV建立在VG之上,可以在LV之上建立文件系統;
PE(physical extents):PV物理卷中可以分配的最小存儲單元,PE的大小是可以指定的,默認為4MB;
LE(logical extent):LV邏輯卷中可以分配的最小存儲單元,在同一個卷組中,LE的大小和PE是相同的,并且一一對應。
特點
在從卷組中移除一個磁盤的時候必須使用reducevg命令,有一定的限制:這個命令要求root權限,并且不允許在快照卷組中使用。
當卷組中的一個磁盤損壞時,整個卷組都會受到影響。
因為加入了額外的操作,存儲性能受到影響。
可以在系統運行的狀態下動態的擴展文件系統的大小。
文件系統可以跨多個磁盤,因此文件系統大小不會受物理磁盤的限制。
可以增加新的磁盤到LVM的存儲池中。
可以以鏡像的方式冗余重要的數據到多個物理磁盤。
可以方便的導出整個卷組到另外一臺機器。
優點
缺點
RAID通常可以把硬盤整合成一個大磁盤,然后在大磁盤上再分區,提高數據量利用率、冗余性,根據其特點不同,常見的有RAID0、RADI1、RAID5。
RAID 0:指由多個盤組合成邏輯上的一個盤。
優點:讀寫快,容量利用率最高。
缺點:沒有冗余,任何一塊磁盤失效將影響到所有數據。
RAID 1:偶數盤,進行鏡像。
優點:最高的冗余性。
缺點:浪費資源,成本高,數據利用率低。
RAID 5:奇數盤,至少3塊磁盤。分布式奇偶校驗的獨立磁盤結構,它的奇偶校驗碼存在于所有磁盤上 任何一個硬盤損壞,都可以根據其它硬盤上的校驗位來重建損壞的數據。
優點:實現數據一定程度的冗余,同時也提升數據的讀寫性能。
缺點:構建此模式需要一定數量的磁盤。
冗余從好到壞:RAID 1 > RAID 10 > RAID 5 > RAID 0
性能從好到壞:RAID 0 > RAID 10 > RAID 5 > RAID 1
成本從低到高:RAID 0 > RAID 5 > RAID 1 > RAID 10
iSCSI是Internet小型計算機系統接口,是一個基于TCP/IP的協議,用于通過IP網絡仿真SCSI高性能本地存儲總線,從而為遠程存儲設備提供數據傳輸和管理。iSCSI跨本地和廣域網,通過分布式服務器和數組提供獨立于位置的數據存儲檢索。
iSCSI優點:
使用SAN擺脫了本地布線限制,促進了本地或遠程數據中心的存儲整合;
iSCSI結構是邏輯性的,僅使用軟件配置來進行新的存儲分配,無需其他電纜和物理磁盤;
iSCSI使用多個遠程數據中心簡化了數據復制、遷移和災難恢復。
:允許將數據組織為傳統的文件系統。數據保存在一個文件中,該文件具有名稱和一些相關的元數據,例如修改時間戳、所有者和訪問權限。提供基于文件的存儲使用目錄和子目錄的層次結構來組織文件的存儲方式。
:塊存儲提供了一個像硬盤驅動器一樣工作的存儲卷,組織成大小相同的塊。通常,要么操作系統用文件系統格式化基于塊的存儲卷,要么應用程序(如數據庫)直接訪問它來存儲數據。
:對象存儲允許將任意數據和元數據存儲為一個單元,并在平面存儲池中標記為惟一標識符。使用API存儲和檢索數據,而不是將數據作為塊或在文件系統層次結構中訪問。
云計算是一種采用按量付費的模式,基于虛擬化技術,將相應計算資源(如網絡、存儲等)池化后,提供便捷的、高可用的、高擴展性的、按需的服務(如計算、存儲、應用程序和其他 IT 資源)。
云計算通常有如下基本特征:
自主服務:可按需的獲取云端的相應資源(主要指公有云);
網路訪問:可隨時隨地使用任何聯網終端設備接入云端從而使用相應資源。
資源池化:
快速彈性:可方便、快捷地按需獲取和釋放計算資源。
按量計費:
私有云:云平臺資源只給某個單位、或某部分用戶內部使用。
公有云:云平臺資源開放給社會公眾服務。
社區云:云平臺資源給幾個固定的單位內使用。
混合云:兩個或兩個以上不同類型的云平臺。
:基礎設施即服務,云服務商將IT系統的基礎設施(如計算資源、存儲資源、網絡資源)池化后作為服務進行售賣;
:平臺即服務,云服務商將IT系統的平臺軟件層(數據庫、OS、中間件、運行庫)作為服務進行售賣;
:軟件即服務,云服務商將IT系統的應用軟件層作為服務進行售賣。
云計算:IT能力服務化,按需使用,按量計費,多租戶隔離,是一個系統的輕量級管理控制面。
虛擬化:環境隔離,資源復用,降低隔離損耗,提升運行性能,提供高級虛擬化特性。
虛擬化是實現云計算的技術支撐之一,但并非云計算的核心關注點。
數據安全性更高;
可節省上云遷移過程中的大量成本;
業務快速部署,縮短業務周期;
降低企業成本,自主可控。
KVM指基于內核的虛擬機(Kernel-based Virtual Machine),它是一個Linux的一個內核模塊,該內核模塊使得Linux變成了一個 Hypervisor,從而實現虛擬化:
它由 Quramnet 開發,該公司于 2008年被 Red Hat 收購。
它支持 x86 (32 and 64 位)、s390、Powerpc 等 CPU。
它從 Linux 2.6.20 起就作為一模塊被包含在 Linux 內核中。
它需要支持虛擬化擴展的 CPU。
它是完全開源的。
Rsync是Linux系統中的數據鏡像備份工具,通過rsync可以將本地系統數據通過網絡備份到任何遠程主機上。rysnc不僅僅能對不同位置的文件和目錄進行同步,還可以差異計算,壓縮傳輸文件來最小化數據傳輸,和cp命令相比,rysnc的優勢在于高效的差異算法。并且,rysnc還支持網絡數據傳輸,在復制文件的同時,會把源端與目的端的文件進行比較,只有當文件不一樣的時候在進行復制。具有以下特性:
可以鏡像保存整個目錄樹和文件系統。
可以同步增量數據,文件傳輸效率高,同步時間短。
可以保留原有文件的權限、時間等屬性。
加密傳輸數據,保證了數據的安全性。
iptables防火墻是一層層過濾的,實際是按照配置規則的順序從上到下,從前到后進行過濾的。
如果匹配上了規則,即明確表明是阻止還是通過,此時數據包就不能向下匹配新規則了。
如果所有規則中沒有明確表明是阻止還是通過這個數據包,也就是沒有匹配上規則,向下進行匹配,直到匹配默認規則得到明確的阻止還是通過。
防火墻的默認規則是對應鏈的所有的規則執行完才會執行的,即最后執行的規則。
iptables有5個鏈:、、、、。
iptables有4個表:、、、。
:主要和主機自身有關,真正負責主機防火墻功能(過濾流入流出主機的數據包)。filter表是iptables默認使用的表。filter定義了三個鏈(chains):
INPUT:負責過濾所有目標地址是本機地址的數據包,通俗的講,就是過濾進入主機的數據包
FORWARD:負責轉發流經主機的數據包。起轉發的作用,和nat關系很大,
OUTPUT:處理所有源地址是本機地址的數據包,通俗的講,就是處理從主機發出去的數據包
對于filter表的控制是實現本機防火墻功能的重要手段,特別是對INPUT鏈的控制。
:負責網絡地址轉換,即來源與目的ip地址的port的轉換,一般用于局域網共享上網或特殊的端口轉換服務相關,nat功能就相當于網絡的acl控制。。nat定義了三個鏈(chains):
OUTPUT:和主機發出去的數據包有關,改變主機發出數據包的目標地址。
PREROUTING:在數據包到達防火墻時進行路由判斷之前執行的規則。作用時改變數據包的目的地址,目的端口等。
POSTROUTING:在數據包離開防火墻時進行路由判斷之后執行的規則,作用改變數據包的源地址,源端口等。
:RAW表只使用在PREROUTING鏈和OUTPUT鏈上,因為優先級最高,從而可以對收到的數據包在連接跟蹤前進行處理。一但用戶使用了RAW表,在某個鏈上,RAW表處理完后,將跳過NAT表和 ip_conntrack處理,即不再做地址轉換和數據包的鏈接跟蹤處理了。RAW表可以應用在那些不需要做nat的情況下,以提高性能。如大量訪問的web服務器,可以讓80端口不再讓iptables做數據包的鏈接跟蹤處理,以提高用戶的訪問速度。
:實現流量整形,主要用于修改數據包的ToS( Type of Service ,服務類型)、TTL(Time toLive,生存周期)以及為數據包設置 Mark 標記,以實現 QoS(Quality of Service,服務質量)調整以及策略路由等應用。
4個表的優先級由高到低的順序為:raw-->mangle-->nat-->filter。
iptables利用表和鏈處理每個經過的數據包,具體流程(步驟)如下:
1、數據包到達網絡接口,比如 eth0。
2、進入 raw 表的 PREROUTING 鏈,這個鏈的作用是在連接跟蹤之前處理數據包。
3、如果進行了連接跟蹤,則進行處理。
4、進入 mangle 表的 PREROUTING 鏈,在此可以修改數據包,比如 TOS 等。
5、進入 nat 表的 PREROUTING 鏈,可以在此做DNAT,但不做過濾。
6、決定路由,看是交給本地主機還是轉發給其它主機,即決定是否繼續往內還是往外。
到了這里需要分的情況進行討論了。
若數據包決定要轉發給其它主機,這時候它會依次經過:
1、進入 mangle 表的 FORWARD 鏈,這里是在第一次路由(即步驟6)決定之后,在進行最后的路由決定之前,仍然可以對數據包進行某些修改。
2、進入 filter 表的 FORWARD 鏈,這里可以對所有轉發的數據包進行過濾。
3、進入 mangle 表的 POSTROUTING 鏈,這里將完成了所有的路由決定,但數據包仍然在本地主機,還可以進行某些修改。
4、進入 nat 表的 POSTROUTING 鏈,這里一般都是用來做 SNAT ,不在這里進行過濾。
5、進入出去的網絡接口,然后進行發送。
另一種情況是,數據包就是發給本地主機的,那么它會依次穿過:
1、進入 mangle 表的 INPUT 鏈,這里是在第一次路由(即步驟6)決定之后,在進行最后的路由決定之前,仍然可以對數據包進行某些修改。
2、進入 filter 表的 INPUT 鏈,這里可以對流入的所有數據包進行過濾,無論它來自哪個網絡接口。
3、交給本地主機的應用程序進行處理。
4、處理完畢后進行路由決定,看該往那里發出。
5、進入 raw 表的 OUTPUT 鏈,這里是在連接跟蹤處理本地的數據包之前。
6、連接跟蹤對本地的數據包進行處理。
7、進入 mangle 表的 OUTPUT 鏈,這里可以修改數據包,但不做過濾。
8、進入 nat 表的 OUTPUT 鏈,可以對防火墻自己發出的數據做 NAT 。
9、再次進行路由決定。
10、進入 filter 表的 OUTPUT 鏈,可以對本地出去的數據包進行過濾。
11、進入 mangle 表的 POSTROUTING 鏈,同上一種情況的第9步。
12、進入 nat 表的 POSTROUTING 鏈,同上一種情況的第10步。
13、進入出去的網絡接口,然后進行發送。
作者:木二
鏈接:https://www.yuque.com/docs/share/d3dd1e8e-6828-4da7-9e30-6a4f45c6fa8e
波哥開啟波哥幫辦業務:
想考PMP,軟考的可以咨詢波哥,波哥能保證我的渠道優于市面上90%自己找渠道的散戶小朋友,絕對無坑。
+V
騰訊云服務器3年408復制鏈接或者點閱讀原文
波哥
IT行業近二十年的IT老炮。常年潛伏于國企、各一二線大廠中。硬件集成入行,直至虛擬技術、容器化。崗位歷經系統集成、DBA、全棧開發、sre、項目經理、產品經理、部門總監。主要作品:
IT類資源匯聚門戶:https://www.98dev.com
各大短視頻平臺:98dev
各大主要技術論壇博客:IT運維技術圈
長視頻教學作品:《波哥講網絡》《波哥講git》《波哥講gitlab》
小程序:IT面試精選
構建技術社區:+V itboge1521 入學習交流群