DevOps FT

2021-12-28 02:33:08 作者：互联网

SLB四层代理和七层代理的区别：
"四层负载均衡( L4 load balancing ):
主要工作于传输层( transport layer )，它主要处理消息的传递，而不管消息的内容。在互联网上，TCP就是HTTP传输方式的四层协议( Layer 4 Protocol )。四层负载均衡只针对由上游服务发送和接收的网络包，而并不检查包内的具体内容是什么。四层负载均衡可以通过检查TCP流中的前几个包，从而决定是否限制路由。

七层负载均衡( L7 load balancing ):
主要工作于处于OSI模型顶层位置的应用层( application layer )，它主要处理每条消息中的真正内容。在互联网上，HTTP是网络通讯中占据主导地位的七层协议( Layer 7 Protocol )。七层负载均衡在路由网络传输时比四层负载均衡更加复杂和巧妙，特别适合像HTTP这种基于TCP传输的方式。一个七层负载均衡器终止网络传输并读取消息中的内容。它可以基于消息中内容( 比如URL或者cookie中的信息 )来做出负载均衡的决定。之后，七层负载均衡器建立一个新的TCP连接来选择上游服务( 或者再利用一个已经存在的TCP连接，通过 HTTP keepalives 的方式，见:https://www.nginx.com/blog/http-keepalives-and-web-performance/ )并向这个服务发出请求。七层负载均衡能够让均衡器做更小的负载均衡决定，并且会根据消息的内容( 比如压缩和加密 )利用最优化方式做出改变。它运用缓存的方式来卸载上游服务较慢的连接，并显著地提高了性能。

差别：7层的SLB直接把客户端对HTTPS的请求进行解密，虽然缓解后端服务器的运算压力，但是遇到有要求每一步都解密的，就会影响访问速度，就要用4层（IP+端口）的。"

Linux怎么查看磁盘已经成功挂载
df -h和fdisk -l；eg:使用命令mount挂载sda1：mount /dev/sda1 /boot，再执行df -h，查看，磁盘sda1已经成功挂载在了 /boot上。

Linux怎么清理inode文件：
df -h 看磁盘空间，df -i查看inode占用量，Iuse%会显示100%
du -hi先找到满的目录,然后查找目录下小文件最多的目录
案例：
服务器的Block虽然还有剩余，但inode已经用满，因此在创建新目录或文件时，系统提示磁盘空间不足，
/var/spool/clientmqueue/ 的时候 9个G的文件
原来是系统中开启了cron，而cron中执行的程序有输出内容，输出内容会以邮件形式发给cron的用户，而sendmail没有启动所以就产生了这些文件；
所以crontab里面的命令后面加上 > /dev/null 2>&1 或者crontab里面的命令后面加上 > /dev/nu

2>&1 代表什么意思：
2>&1 ：将标准错误输出重定向到标准输出
2>/dev/null：把错误输出到“黑洞”
>/dev/null 2>&1 ：标准输出和错误输出都进了“黑洞”
2>&1 >/dev/null ：标准输出进了黑洞，错误输出打印到屏幕

Docker常用命令:
"镜像管理
docker images：列出本地所有镜像
docker search <IMAGE_ID/NAME>：查找image
docker pull <IMAGE_ID> ：下载image
docker push <IMAGE_ID>：上传image
docker rmi <IMAGE_ID>：删除image

docker version 查看docker容器版本
docker info 查看docker容器信息
docker images 列出本地images
docker ps 查看正在运行的容器, -q 查看正在运行的容器的ID, -a查看正在运行+历史运行过的容器, -s显示运行容器总文件大小
docker run
docker logs -f <容器名orID> 查看容器日志
docker stop redis 停止一个运行中的容器
docker kill redis 杀掉一个运行中的容器
docker rm redis 删除一个已停止的容器
docker rm -f redis 删除一个运行中的容器
docker rm -f $(docker ps -a -q) 删除多个容器
docker ps -a -q | xargs docker rm
docker rm -l db -l 移除容器间的网络连接，连接名为 db
docker rm -v redis -v 删除容器，并删除容器挂载的数据卷
网络管理
docker run -P：随机分配端口号
docker run -p 5000:5000：绑定特定端口号（主机的所有网络接口的5000端口均绑定容器的5000端口）
docker run -p 127.0.0.1:5000:5000：绑定主机的特定接口的端口号
docker run - d - p 127.0 . 0.1 : 5000 : 5000 / udp training / webapp python app . py：绑定udp端口号
docker port <CONTAINER_ID> 5000：查看容器的5000端口对应本地机器的IP和端口号

Raid:
"Raid 0：至少需要两块硬盘，磁盘越多，读写速度越快，没有冗余。
Raid 1：只能用两块硬盘，两块硬盘的数据互为镜像(写慢，读快)，一块磁盘冗余。
Raid 5：至少需要3块硬盘，一块磁盘冗余。它是最通行的配置方式。具有奇偶校验的数据恢复功能的数据存贮方式。奇偶校验数据块分布于阵列里的各个硬盘中。
Raid 6：至少需要4块硬盘，2块磁盘冗余,硬盘的总数大于等于4即可。
Raid 10：至少需要4块硬盘，冗余一半的硬盘数量，但是硬盘的总数必须是大于或等于4的偶数（相当于每两块硬盘做一个Raid0，然后把各个Raid0做成一个Raid1）。

Raid 50：至少需要6块硬盘，磁盘的冗余相当于每三个硬盘做了一个Raid5，然后，每个Raid5又组合成了Raid0（Raid5中有一个硬盘冗余，即使坏了也不会破坏Raid0），所以，Raid50的磁盘的冗余硬盘数量=磁盘总数÷3 。
Raid 60：至少需要8块硬盘

介绍七层网络模型，icmp是哪一层，有什么用？
"应用层：访问网络服务的接口//Telnet,FTP,HTTP,SNMP.DNS等。
表示层：提供数据格式转换服务//URL加密，口令加密，图片编解码。
会话层：建立端连接并提供访问验证和会话管理（SESSION）//服务器验证用户登入，断电续传。
传输层：提供应用进程之间的逻辑通信//TCP,UDP,SPX,进程，端口（socket）--数据段（Segment）
网络层：为数据在结点之间传输创建逻辑链路，并分组转发数据//路由器，错层交换机，防火墙，IP,IPX.RIP.OSPF--分组数据包（Packet）
链路层：在通信的实体间建立数据链路连接//网卡，网桥，二层交换机等--帧（Frame）
物理层：为数据端设备提供原始比特流的传输的通路//中继器，集线器，网线，HUB，等--比特(Bit)

ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。属于网络层协议"

介绍tcp三次握手四次挥手，establish和time-wait状态是什么意思？

----------------------------------------------------------------------------------------------------------

握手之前主动打开连接的客户端结束CLOSED阶段，被动打开的服务器端也结束CLOSED阶段，并进入LISTEN阶段：
1 首先客户端向服务器端发送一段TCP报文：SYN=1，Seq=X（X一般为1，这里以1为例）
随后客户端进入SYN-SENT阶段
2 服务器端接收到来自客户端的TCP报文之后，结束LISTEN阶段，并返回一段TCP报文：SYN=1，ACK=1,seq=y,ack=x+1,
随后服务器端进入SYN-RCVD阶段。
3 客户端接收到来自服务器端的确认收到数据的TCP报文之后，明确了从客户端到服务器的数据传输是正常的，结束SYN-SENT阶段。
并返回最后一段TCP报文:ACK=1,seq=x+1,ack=y+1
随后客户端进入ESTABLISHED阶段。
服务器收到来自客户端的“确认收到服务器数据”的TCP报文之后，明确了从服务器到客户端的数据传输是正常的。结束SYN-SENT阶段，进入ESTABLISHED阶段。

挥手之前主动释放连接的客户端结束ESTABLISHED阶段。随后开始“四次挥手:
1 客户端想要释放连接，向服务器端发送一段TCP报文:FIN=1,seq=u
随后客户端进入FIN-WAIT-1阶段，即半关闭阶段。并且停止在客户端到服务器端方向上发送数据，但是客户端仍然能接收从服务器端传输过来的数据,注意：这里不发送的是正常连接时传输的数据(非确认报文)，而不是一切数据，所以客户端仍然能发送ACK确认报文。

2 服务器端接收到从客户端发出的TCP报文之后，确认了客户端想要释放连接，随后服务器端结束ESTABLISHED阶段，进入CLOSE-WAIT阶段（半关闭状态）并返回一段TCP报文:ACK=1,seq=v,ack=u+1;随后服务器端开始准备释放服务器端到客户端方向上的连接。
客户端收到从服务器端发出的TCP报文之后，确认了服务器收到了客户端发出的释放连接请求，随后客户端结束FIN-WAIT-1阶段，进入FIN-WAIT-2阶段.
3 服务器端自从发出ACK确认报文之后，经过CLOSED-WAIT阶段，做好了释放服务器端到客户端方向上的连接准备，再次向客户端发出一段TCP报文:FIN=1,ACK=1,seq=w,ack=u+1;随后服务器端结束CLOSE-WAIT阶段，进入LAST-ACK阶段。并且停止在服务器端到客户端的方向上发送数据，但是服务器端仍然能够接收从客户端传输过来的数据。
4 户端收到从服务器端发出的TCP报文，确认了服务器端已做好释放连接的准备，结束FIN-WAIT-2阶段，进入TIME-WAIT阶段，并向服务器端发送一段报文: ACK=1,seq=u+1,ack=w+1;随后客户端开始在TIME-WAIT阶段等待2MSL;服务器端收到从客户端发出的TCP报文之后结束LAST-ACK阶段，进入CLOSED阶段。由此正式确认关闭服务器端到客户端方向上的连接。
客户端等待完2MSL之后，结束TIME-WAIT阶段，进入CLOSED阶段，由此完成“四次挥手”。

1、CLOSED：这个状态不是一个真正的状态，是图中假想的一个起点或者是终点
2、LISTEN: 服务器等待连接过来的状态
3、SYN_SENT: 客户端发起连接（主动打开），变成此状态，如果SYN超时，或者服务器不存在直接CLOSED
4、SYN_RCVD:服务器收到SYN包的时候，就变成此状态，
5、ESTABLISHED：完成三次握手，进入连接建立状态，说明此时可以进行数据传输了
6、FIN_WAIT_1:客户端执行主动关闭，发送完FIN包之后便进入FIN_WAIT_1状态
7、FIN_WAIT_2:客户端发送FIN包之后，收到ACK，即进入此状态，其实就是半关闭的状态
8、TIME_WAIT：这个状态从图上看，有3中情况，从FIN_WAIT_2进入，客户端收到服务器发送过来的FIN包之后进入TIME_WAIT状态，有CLOSING状态进入，这是同时关闭的状态，同时发起FIN请求，同时接收并做了ACK的回复，从FIN_WAIT_1进入，收到对端的FIN,ACK，并回复ACK，这个地方感觉是，FIN和ACK是一块来的.
9、CLOSE_WAIT:接收到FIN之后，被动的一方进入此状态，并回复ACK
10、LAST_ACK：被动的一端发送FIN包之后处于LAST_ACK状态
11、CLOSING:两边同时发出FIN请求

怎么计算当前处于establish状态的tcp连接数
netstat -an |grep ESTABLISHED |wc -l

top命令中的load average什么意思?

通常来说三个数分别代表不同时间段的系统平均负载（一分钟、五分钟、以及十五分钟），它们的数字当然是越小越好。数字越高，说明服务器的负载越大，这也可能是服务器出现某种问题的信号。

Load Average的值应该小于CPU个数X核数X0.7。

1 对于单核机器来说，理想状态下，Load Average要小于1。
load=0.5表示CPU还有一半的资源可以处理其他的线程请求
load=1表示CPU所有的资源都在处理请求，没有剩余的资源可以利用了，
load=2则表示CPU已经超负荷运作，另外还有一倍的线程正在等待处理。
2 对于双核处理器来说，Load Average要小于2。
结论是：多核处理器中，你的Load Average不应该高于处理器核心的总数量。

top命令中cpu总量有哪几种状态，什么含义？
10.6% us 用户空间占用CPU的百分比。
2.2% sy 内核空间占用CPU的百分比。
0.0% ni 改变过优先级的进程占用CPU的百分比
84.5% id 空闲CPU百分比
2.5% wa IO等待占用CPU的百分比
0.1% hi 硬中断（Hardware IRQ）占用CPU的百分比
0.0% si 软中断（Software Interrupts）占用CPU的百分比

怎么看一个进程的cpu占用和内存占用？
ps -ef | grep java #先查找到进程
ps -aux|grep 进程号 #查看某个进程的CPU占用百分比和内存占用百分比
df -h #查看平常的CPU占用率

怎么看一个端口是哪个进程在监听？
lsof -i:端口号
netstat -tunlp|grep 端口号

一个服务器报警磁盘占用过高你怎么处理，如何给磁盘扩容？
用du -sh 来查找一下根下边每个目录的占用情况
清理大文件，如日志，最好备份而不是直接删除。
用df命令在查看空间是否被释放。
有时候我我们在删除大文件后发现空间还是没有被释放，这种情况往往是因为被删除的大文件正在某个进程所占用，这时候我们可以通过lsof |grep "deleted"来查看是哪个进程占用了这个文件，然后把相应的服务重启一下就可了。

清理inode文件：
修改inode的大小（默认建立GPFS时为10M）
mmchfs lv_edoc --inode-limit 20M

怎么使一个命令在后台运行?
1 在你的命令后添加一个 & gedit &
2 使用bg向后台发送运行命令 #按Ctrl + Z键，可以将一个正在前台执行的命令放到后台，并且暂停。您可以通过在终端中输入jobs来查看所有后台任务的列表，然后使用fg命令将后台中的命令调至前台继续运行。然后使用bg命令，将一个在后台暂停的命令，变成继续执行。如果后台中有多个命令，可以用bg %jobnumber将选中的命令调出，%jobnumber是通过jobs命令查到的后台正在执行的命令的序号(不是pid)。
3 使用 nohup 向后台发送命令 nohup sudo nmap -sS --top-ports=15 192.168.150.1/24
4 使用系统重定向运行后台命令 ping -c5 8.8.8.8 >itpro.net.cn.log 2>&1 &
5 使用 disown 将 Linux 命令设置为后台运行 #先用& 运算符在后台发送任务，然后，键入disown以将其与shell分离。
6 使用 Tmux 在后台运行 Linux 命令 tmux new -d 'ping -c 10 8.8.8.8 > www.itpro.net.cn.log'

一个服务器报警磁盘占用过高你怎么处理？
用du -sh 来查找一下根下边每个目录的占用情况
1 清理大文件，如日志，最好备份而不是直接删除。
用df命令在查看空间是否被释放。
有时候我我们在删除大文件后发现空间还是没有被释放，这种情况往往是因为被删除的大文件正在某个进程所占用，这时候我们可以通过lsof |grep "deleted"来查看是哪个进程占用了这个文件，然后把相应的服务重启一下就可了。
2 查找空文件，通过命令能够定位是什么小文件导致的。
find / -type f -size 0
进入小文件目录，查找文件并批量删除
find ./ -type f -size 0 -exec rm {} \;
3 清理inode文件：
一般inode爆满情况就较为严重了，会报磁盘无空间 No space left on device
·如果iNODE满了，可以使用下述命令快速定位文件夹内文件数量
for i in /*; do echo $i; find $i | wc -l; done
或者查看inode使用情况：df -i 或者ls -li
如果删除直接用 rm -rf xxx 基本是行不通的会报 Argument list too long 问题，就是要删除的文件太多了，
find . -ctime +7 -name "*" | xargs -i rm -rf {}
删除当前目录下 7天前所有数据，如果还有 Argument list too long问题，就把时间适当调前一些，比如30天前 -ctime +30。
find /目录 -type f -exec rm {} \; #删除临时文件
find /home -type f -size 0 -exec rm {} \; #删除0字节的文件
·删除零碎文件有风险就 修改inode的大小（默认建立GPFS时为10M）
mmchfs lv_edoc --inode-limit 20M
在监控系统内加上指标，使用现成的脚本，指定要监控的路径：
./check_disk_inodes -p / -w 50 -c 70

如何给磁盘扩容？
1 用“fdisk -l”命令查看数据盘的已分区和未分区的信息。（使用“df –h”命令，无法看到未分区和格式化的数据盘）
2 执行以下命令，新建一个分区 fdisk /dev/xvdc
3 按照界面的提示，依次输入”p”(查看现有分区信息)、“n”(新建分区)、“p”(新建主分区)、“2”(使用第2个主分区)，两次回车(使用默认配置)，输入“w”(保存分区表)，开始分区。
4 使用“fdisk -l”命令，即可查看到，新的分区xvdc2已经创建完成.

终止进程用什么命令? 带什么参数?
kill -15 pid。 #执行kill（默认kill -15）命令，系统会发送一个SIGTERM信号给对应的程序,大部分程序接收到SIGTERM信号后，会先释放自己的资源，然后再停止。
kill -9 pid。 #系统给对应程序发送的信号是SIGKILL，即exit。exit信号不会被系统阻塞，所以kill -9能顺利杀掉进程。

怎么查看本机到192.168.10.10:8080是否可以连通？
1 ssh -v -p 端口号用户名 @ip地址
2 curl ip地址:端口号

测试端口号命令：
telnet IP port #测试远程主机端口是否打开
nmap ip -p port #根据显示close/open确定端口是否打开
nc -v host port #端口未打开返回状态为非0
lsof -i:端口号 #如果没有任何输出则说明没有开启该端口号
netstat -lntp|grep 端口

Linux看域名服务端口号
grep domain /etc/services

怎么对一个服务器限制端口访问？
查看已经开放的端口号:
firewall-cmd --list-ports
关闭端口：
firewall-cmd --zone=public --remove-port=8080/tcp --permanent
重启防火墙:
firewall-cmd --reload

linux禁止特定ip访问某个端口
解决方法：
禁止特定ip访问8501端口的命令0：iptables -I INPUT -s 192.168.0.232 -ptcp --dport 8501 -j DROP
允许特定ip访问8501端口的命令1：iptables -D INPUT -s 192.168.0.232 -ptcp --dport 8501 -j DROP
允许特定ip访问8501端口的命令2：iptables -I INPUT -s 192.168.0.232 -ptcp --dport 8501 -j ACCEPT
其中命令1执行的次数要和命令0相等才能访问，比如命令0执行了2次，那么命令1也得执行2次才有效，但命令2执行一次即可.

Linux怎么将java命令加入系统PATH？
在Linux环境下，我们只需要在/etc/profile文件末尾添加如下配置：
export JAVA_HOME=/usr/local/java/jdk1.8.0_201
export JRE_HOME=${JAVA_HOME}/jre
export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib
export PATH=${JAVA_HOME}/bin:$PATH
然后执行# source profile命令或重启ssh客户

Linux下修改PATH：
1、直接在命令行中设置PATH
PATH=$PATH:/Users/tonglei/.composer/vendor/bin
使用这种方法,只对当前会话有效，也就是说每当登出或注销系统以后，PATH设置就会失效。
2、在profile中设置PATH
vi /etc/profile
添加export PATH=$PATH:/Users/tonglei/.composer/vendor/bin
注：＝等号两边不能有任何空格。这种方法最好,除非手动强制修改PATH的值,否则将不会被改变。
编辑/etc/profile后PATH的修改不会立马生效，如果需要立即生效的话，可以执行# source profile命令或重启ssh客户端
3、在当前用户的profile中设置PATH
vi ~/.bash_profile
添加 PATH=$PATH:$HOME/bin:/Users/tonglei/.composer/vendor/bin
source ~/.bash_profile
让这次的修改生效。
注：这种方法只对当前用户起作用的,其他用户该修改无效。

标签：FT,服务器端,DevOps,TCP,命令,docker,FIN,客户端
来源： https://www.cnblogs.com/sinsenliu/p/15739134.html