devbox
神奇cpp
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

集群环境搭建-系统配置_龙蜥关闭防火墙

作者:神奇cpp | 2024-07-01 14:03:29

龙蜥关闭防火墙

关闭防火墙和selinux

每个节点都执行

#关闭防火墙
systemctl stop firewalld
#关闭开机自启
systemctl disable firewalld
#关闭selinux
setenforce 0
#永久关闭selinux
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

系统环境

CentOS7.9最小化安装(否则配置的时候得先验证)
假设集群主机环境如下

主机IP主机名ssh端口号是否主节点
192.168.42.144dbnode120884Y
192.168.42.145dbnode220885N
192.168.42.146dbnode320886N

确保集群的主机网络互通,ssh互通

主机名设置

#在第一个节点执行
hostnamectl set-hostname dbnode1
#在第二个节点执行
hostnamectl set-hostname dbnode2
#在第三个节点执行
hostnamectl set-hostname dbnode3

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

hosts文件配置

每个节点的/etc/hosts文件添加以下内容

192.168.42.144 dbnode1
192.168.42.145 dbnode2
192.168.42.146 dbnode3

  • 1
  • 2
  • 3

ssh互信配置

  • 密钥生成
    每个节点都执行以下命令生成密钥
#1.确认启用了密码身份验证(参考:https://cloud.tencent.com/developer/article/1894132)
cat /etc/ssh/sshd_config
PasswordAuthentication yes
ChallengeResponseAuthentication no
#2.生成密钥
ssh-keygen -t rsa -P "" -f ~/.ssh/id_rsa

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 密钥分发
    每个节点都执行以下命令(交互执行,必须一条一条执行),把自己的密钥发送给所有节点
ssh-copy-id -p 20884 root@dbnode1
ssh-copy-id -p 20885 root@dbnode2
ssh-copy-id -p 20886 root@dbnode3

  • 1
  • 2
  • 3

执行示例如下图
在这里插入图片描述

时钟同步chrony配置

说明:Chrony是一个开源的自由软件,像CentOS 7或基于RHEL 7操作系统,已经是默认服务,它能保持系统时间与时间服务器(NTP)同步,让时间始终保持同步。相对于NTP时间同步软件,占据很大优势。

详情请参考: CentOS7集群时间同步.

  • 主节点chrony服务配置(作为集群的ntp服务端)
    在dbnode1节点配置
#删除默认的时钟同步服务器
sed -i '/server /d' /etc/chrony.conf
#添加阿里的ntp服务
sed -i "/# Please/a server ntp1.aliyun.com iburst" /etc/chrony.conf
#指定一台主机、子网,或者网络以允许NTP连接到扮演时钟服务器的机器(允许谁同步我的时间)
sed -i "/#allow/a allow 0.0.0.0/0" /etc/chrony.conf
#当server中提供的公网NTP服务器不可用时,采用本地时间作为同步标准
sed -i 's/#local/local/g' /etc/chrony.conf
#重启chrony服务
systemctl restart chronyd
#强制同步系统时钟
chronyc -a makestep

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 其他节点chrony服务配置(作为ntp客户端)
    在其他节点上都进行配置
#删除默认的时钟同步服务器
sed -i '/server /d' /etc/chrony.conf
#添加主节点作为ntp服务
sed -i "/# Please/a server dbnode1 iburst" /etc/chrony.conf
#重启chrony服务
systemctl restart chronyd
#强制同步下系统时钟
chronyc -a makestep

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

内核调优

每个节点都执行

#swap分区使用调整(详情参考http://www.javashuo.com/article/p-pelaczba-ew.html)
#修改并使其立即生效(*一定注意=两边不能有空格)
sysctl -w vm.swappiness=10
sysctl -p
#永久改变swap分区的使用(*一定注意=两边不能有空格)
echo 'vm.swappiness=10' >> /etc/sysctl.conf
#关闭透明大页
#立即关闭透明大页
echo never > /sys/kernel/mm/transparent_hugepage/defrag
echo never > /sys/kernel/mm/transparent_hugepage/enabled
#永久关闭透明大页
echo 'echo never > /sys/kernel/mm/transparent_hugepage/defrag' >> /etc/rc.local 
echo 'echo never > /sys/kernel/mm/transparent_hugepage/enabled' >> /etc/rc.local
#Centos7之后必须赋予可执行权限才行
chmod +x /etc/rc.d/rc.local

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

已知漏洞修复

每个节点都执行

  • polkit pkexec 本地提权漏洞修复
    1.无法升级软件修复包的,可使用以下命令删除pkexec的SUID-bit权限来规避漏洞风险:
    chmod 0755 /usr/bin/pkexec

    • 1
    2.升级的方式修复
    • CentOS 7的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复),Centos 5、6、8官方已终止生命周期 (EOL)维护,建议停止使用
    • RedHat用户建议联系红帽官方获取安全修复源后执行yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复)
    • Alibaba Cloud Linux的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复)
    • Anolis OS(龙蜥)的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复)
    • Ubuntu 18.04 LTS、Ubuntu 20.04 LTS的用户可通过apt update policykit-1升级修复,Ubuntu 14.04、16.04、12.04官方已终止生命周期 (EOL)维护,修复需要额外付费购买Ubuntu ESM(扩展安全维护)服务,建议停止使用
    • 其他Linux发行版操作系统OS建议联系官方寻求软件包修复源
本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号