網路配置、防火牆 (大資料叢集環境)Linux防火牆
網路配置、防火牆
1.大資料叢集環境,形成叢集區域網,使用機器名替代真實IP,如何完成IP地址與機器名的對映?
1)修改機器名
在CenterOS7,使用hostname命令,修改當前機器名,如果重啟節點機器名失效;修改/etc/hostname配置檔案(內容:自定義機器名 例:ping1**), 描述本地地址資訊檔案* /etc/networks*完成修改(內容:NETWORKING=yes 回車**
HOSTNAME=ping1**)**
2)修改IP地址機器對映庫:
當完成機器名稱對映後,修改/etc/hosts,完成機器名和IP地址的對映關係,決定當前節點機能夠識別的機器名對應的IP地址
2.linux centeros
網路配置檔案:
/etc/networks 描述本地地址資訊 //對檔案進行一定的修改
/etc/hosts:
hosts檔案的作用:將一些常用的網址域名與其對應的IP地址建立一個關聯“資料庫”,當用戶在瀏覽器中輸入一個需要登入的網址時,系統會首先自動從Hosts檔案中尋找對應的IP地址,一旦找到,系統會立即開啟對應網頁,如果沒有找到,則系統會再將網址提交DNS域名解析伺服器進行IP地址的解析。
3.修改區域網中的主機名
/etc/hostname 作用標識主機名稱
通過,linux centeros7中hostname命令修改當前的主機名稱:
格式:
[
查詢當前主機名稱:
[[email protected] etc]# hostname
為了在區域網中通過機器主機名稱通訊,可以使用hostname命令手工修改當前的主機名;
也可以修改 /etc/hostname檔案內容,手工新增主機名稱;
4 配置網路裝置(設定靜態IP)
4.1需要使用ifconfig確定本地地址
4.2查詢DNS伺服器
1. # cat /etc/resolv.conf
2. dig|grep SERVER
3. Nslookup [www.baidu.com
4.3確定閘道器
命令:netstat -r
4.4修改網絡卡對應的配置檔案
內容:
TYPE=”Ethernet” 當前網絡卡使用乙太網 型別
BOOTPROTO=”dhcp” 網絡卡引導協議:取值 dhcp,表示當前網絡卡對應主機IP自動分配;
取值:static ,表示手工分配ip地址
備註:
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)是一個區域網的網路協議,使用UDP協議工作, 主要有兩個用途:給內部網路或網路服務供應商自動分配IP地址,給使用者或者內部網路管理員作為對所有計算機作中央管理的手段,在RFC 2131中有詳細的描述。
ONBOOT=”yes” 表示當修改當前配置檔案後,重啟後生效
CenterOS7配置靜態IP需要修改新增如下:
ONBOOT=”yes”
IPADDR=10.25.50.180
GATEWAY=10.25.50.129
NETMASK=255.255.255.128
DNS1=202.96.64.68
4.5重啟網路服務命令:
注意:
CenterOS7:# systemctl restart network.service
CenterOS6及以下版本
service network restart
5. 測試網路狀態名 netstat
常用選項:
測試網路埠是否佔用
netstat –anp
連線協議ssh 埠號22 支援客戶端的連線
6.Linux 防火牆
在linuxcenterOs中的防火牆iptables元件,特點:工作網路層,對TCP/IP的資料包實施過濾和限制;
Linux中的iptables執行檔案的位置:
/usr/sbin/iptables
iptables管理著四個不同的規則表
filter表:主要用來對資料包進行過濾,根據具體的規則要求決定如何處理一個數據包。包含INPUT、FORWAED、OUTPUT等三個規則鏈。
nat表:主要用修改資料包IP地址、埠號等資訊,也稱網路地址轉換。包含PREROUTING、POSTROUTING、OUTPUT等三個規則鏈
mangle表:主要用來修改資料包的TOS,TTL值,或者為資料包設定Mark標記,以實現流量整形,策略路由等高階應用。包含PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD等五個規則鏈。
raw表:主要用來決定是否對資料包進行狀態跟蹤。包含OUTPUT、PREROUTING兩個規則鏈。
*配置hadoop過程中,為了方便在大資料節點中傳輸資料關閉防火牆:
systemctl stop firewalld.service #停止firewall
systemctl disable firewalld.service #禁止firewall開機啟動
注意:
預設CenterOS7,沒有安裝iptables服務命令,手工安裝該命令:
設定 iptables service
例如:啟動防火牆新增監聽規則:
設定 iptables service
① 安裝iptables服務
yum -y install iptables-services
② 修改/etc/sysconfig/iptables檔案,新增指定監聽埠;
如果要修改防火牆配置,如增加防火牆埠3306
vi /etc/sysconfig/iptables
增加規則
-A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT
儲存退出後
③ 啟動防火牆的服務;
systemctl restart iptables.service #重啟防火牆使配置生效
systemctl enable iptables.service #設定防火牆開機啟動
最後重啟系統使設定生效即可。
防火牆的四種資料處理方式:
ACCEPT 允許資料包通過
DROP 直接丟棄資料包,不給任何迴應資訊
REJECT 拒絕資料包通過,必要時會給資料傳送端一個響應的資訊。
LOG 在/var/log/messages檔案中記錄日誌資訊,然後將 資料包傳遞給下一條規則
7 ssh(安全外殼協議)
*SSH 為 Secure Shell 的縮寫,(由 IETF 的網路小組(Network Working Group)所制定);SSH 為建立在應用層基礎上的安全協議。SSH 是目前較可靠,專為遠端登入會話和其他網路服務提供安全性的協議。
Hadoop的各個節點的資料傳輸,利用該ssh協議;
CenterOS開啟ssh:
systemctl restart sshd.service
*客戶端來看,SSH提供兩種級別的安全驗證。
答:
第一種級別(基於口令的安全驗證)
第二種級別(基於密匙的安全驗證)
需要依靠密匙,也就是你必須為自己建立一對密匙,並把公用密匙放在需要訪問的伺服器上。如果你要連線到SSH伺服器上,客戶端軟體就會向伺服器發出請求,請求用你的密匙進行安全驗證。伺服器收到請求之後,先在該伺服器上你的主目錄下尋找你的公用密匙,然後把它和你傳送過來的公用密匙進行比較。如果兩個密匙一致,伺服器就用公用密匙加密“質詢”(challenge)並把它傳送給客戶端軟體。客戶端軟體收到“質詢”之後就可以用你的私人密匙解密再把它傳送給伺服器。
SSH 主要由三部分組成:
傳輸層協議 [SSH-TRANS];使用者認證協議 [SSH-USERAUTH];連線協議 [SSH-CONNECT]