tls

RHCE7 下 RHC E 部分 您在考试中将使用到两个系统的信息如下： system1.group8.example.com : system2.group8.example.com : root redhat IP DHCP IP system1.group8.example.com 172.24.8.11/24 system2.group8.example.com 172.24.8.12/24 DNS group8.example.com 特别指 名， 不然 所有要求配置的网络服务都必须能被该域的系统访问。 server.group8.example.com group8.example.com system1 system2 server.group8.example.com YUM URL http://server.group8.example.com/yum 防火墙是默认打开的，在您认为适当的时候可以关闭。其他防火墙的设置可能在单独的要求中。 my133.org(172.13.8.0/24) 第一题： SELinux system1 system2 SELinux enforcing : 要求系统重启后依然生效。 seliunx # # # selinux 第二题：配置防火墙 system1 system2 group8.example.com system1

案例1：邮件TLS/SSL加密通信 1 案例1：邮件TLS/SSL加密通信 1.1 问题 本案例要求为基于Postfix+Dovecot的邮件服务器提供加密通信支持，主要完成以下任务操作： 为SMTP服务（postfix）添加TLS/SSL加密通信支持 基于dovecot配置POP3s+IMAPS加密通信支持 客户端收发信测试，确保加密的邮件通信可用 1.2 方案 使用两台RHEL7虚拟机，其中svr7作为CA服务器，而mail作为测试用的Postfix+Dovecot邮件服务器。另外可准备一台pc120作为收发邮件的Windows测试机，安装邮件客户端软件或Outlook 2010。 1.3 步骤 实现此案例需要按照如下步骤进行。 步骤一：准备一个简单的Postfix+Dovecot邮件服务器，支持SMTP认证 1） 快速安装邮件相关软件、添加邮箱账号 确认已安装postfix、dovecot、cyrus-sasl软件包,启动saslauthd服务: [root@www ~]# yum -y install postfix dovecot cyrus-sasl .. .. [root@www ~]# vim /etc/sasl2/smtpd.conf pwcheck_method: saslauthd mech_list: plain login [root@www ~]#

官网的部署是做过很多封装的，即使部署成功，对于里面的组件也不是很清楚，这次会在三台虚拟机上手动一部分一部分的搭建，OS 是centos7, 由于我是在公司搭建的，公司会对IP进行检查，所以我用了NAT模式，只要注意端口冲突就好了。先搭建简单的fabric链来熟悉，整体架构如下。 Virtual Box: https://www.virtualbox.org/wiki/Downloads Centos7: https://www.centos.org/download/ putty：SSH工具， https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html FileZila: FTP工具, https://filezilla-project.org/download.php?type=client NAT的配置： Org1 Order & Peer0 Org1 Peer1 Org2 Peer0 centos 7 内部网络配置，三台server都要这样： 基础网络配置 vi /etc/sysconfig/network -scripts /ifcfg -enp0s3 然后将 ONBOOT = yes service network restart verify: ping 10.222 .48 .152 vi /etc

这个task展示Istio Mutual TLS如何同HTTPS服务一起工作。它包括： 部署一个没有Istio sidecar的HTTPS服务。 部署一个不开启互相TLS认证的Istio HTTPS服务 部署一个开启互相TLS认证的HTTPS服务。对每个部署，连接此服务并验证它是否工作。 当Istio sidecar采用HTTPS服务部署时，代理自动从L7降级为L4（无论是否启用互相TLS），这意味着它不会终止原始HTTPS流量。这就是Istio可以使用HTTPS服务的原因。 Before you begin 按照 quick start 的步骤安装Istio。注意在第五步禁用身份验证。 Generate certificates and configmap 你需要运行这个命令安装openssl： openssl req -x509 -nodes -days 365 -newkey rsa: 2048 -keyout /tmp/nginx . key -out /tmp/nginx . crt -subj "/CN=my-nginx/O=my-nginx" kubectl create secret tls nginxsecret -- key /tmp/nginx . key -- cert /tmp/nginx . crt secret “nginxsecret”

Control Egress Traffic task 演示了在服务网格内的应用如何访问外部（k8s集群外）的HTTP和HTTPS服务。快速提醒：默认情况下，启用Istio的应用不能访问集群外部的URL。为了启用这种访问，必须定义 ServiceEntry ，或者必须经过配置 direct access to external services （直接访问外部服务）。 TLS Origination for Egress Traffic task示范了如何允许应用在外部服务需要HTTPS的时候发送HTTP请求。 这个task展示如何配置Istio以通过被称为 Egress Gateway 的专用服务来引导egress流量。我们实现了与TLS Origination for Egress Traffic task中相同的功能，只是这次我们通过增加egress gateway来完成。 Use case 考虑一个组织有严格的安全需求。根据这些需求，离开服务网格的所有流量必须流经一组专用节点。这些节点将运行在专用机器上，与用于在集群中运行应用的其余节点分开运行。特殊节点将用于出口流量的策略执行，并且将比其他节点更加彻底地进行监控。 Istio 0.8引入了ingress和egress网关地概念（ ingress and egress gateways ）

启动命令与过程与官方2org的相似，但由于组织增至了4个，所以无法用官方提供的scripts/scripts.sh脚本一键启动网络，具体分步操作如下： 首先来启动orderer节点，在orderer服务器上运行： 运行完毕后我们可以使用docker ps看到运行了一个名字为orderer.example.com的节点。 然后我们切换到peer0.org1.example.com服务器，启动本服务器的peer节点和cli，命令为： 运行完毕后我们使用docker ps应该可以看到2个正在运行的容器。 接下来依次在另外3台服务器运行启动peer节点容器的命令： 现在我们整个Fabric4+1服务器网络已经成型。 切换到peer0.org1.example.com服务器上，使用该服务器上的cli来运行创建Channel和运行ChainCode的操作。首先进入cli容器： docker exec -it cli bash 进入容器后我们可以看到命令提示变为： root @b41e67d40583 :/opt/gopath/src/github .com/hyperledger/fabric/peer # 说明我们已经以root的身份进入到cli容器内部。 创建Channel的命令是peer channel create，我们前面创建Channel的配置区块时

解决方案： 控制面板-Internet 选项-高级中 ，建议您查看一下TLS项目的勾选情况。使用TLS相关的项目建议可以尝试勾选一下，应用后看下访问效果 文章来源: TLS安全设置

reporting-disabled：该选项用于上报influxdb的使用信息给InfluxData公司，默认值为false。 bind-address：绑定地址以用于RPC服务以进行备份和还原，默认配置是127.0.0.1:8088。 [meta]：控制存储有关InfluxDB群集的元数据的Raft共识组的参数。 dir：存储元数据/ raft数据库的目录，默认值：/var/lib/influxdb/meta。 retention-autocreate：用于控制默认存储策略，数据库创建时，会自动生成autogen的存储策略，默认值：true。 logging-enabled：为元服务打印日志消息，默认值：true。 [data]：控制InfluxDB的实际分片数据的生存位置以及它从WAL中刷新的方式。 “dir”可能需要更改为适合您系统的位置，但WAL设置是高级配置。 默认值应适用于大多数系统。 dir：最终数据（TSM文件）存储目录，默认值：/var/lib/influxdb/data。 wal-dir：预写日志存储目录，默认值：/var/lib/influxdb/wal。 wal-fsync-delay：写入在fsyncing之前等待的时间。 持续时间大于0可用于批量处理多个fsync调用。 这对于较慢的磁盘或看到WAL写入争用时很有用。 每次写入WAL时值为0s

haproxy2.0 支持基于dataplaneapi 的haproxy 动态配置修改以及服务生效，早期大家为了动态 可以会基于dsn 的服务发现模式，基于confd 结合consul 动态生成配置并加载，现在支持了基于 api 的控制，还是很方便的 Usage : dataplaneapi [ OPTIONS ] API for editing and managing haproxy instances Application Options : -- scheme = the listeners to enable , this can be repeated and defaults to the schemes in the swagger spec -- cleanup - timeout = grace period for which to wait before killing idle connections ( default : 10s ) -- graceful - timeout = grace period for which to wait before shutting down the server ( default : 15s ) -- max - header - size = controls the maximum number of

准备在虚拟机上搭建一个靶机系统（DoraBox），但是还不想使用一键搭建所以起了心思准备使用LAMP框架搭载这个靶机系统，于是有了以下文章，先从百度搜索一下，Ubuntu搭建LAMP。 然后点进去第一个，先是更新一波，好吧，我的虚机也好久没用更新了，所以先使用命令更新一波。 sudo apt-get update sudo apt-get upgrader执行到这一条命令的时候就出现了问题 说是 E: 无法获得锁 /var/lib/dpkg/lock - open (11: 资源暂时不可用) E: 无法锁定管理目录(/var/lib/dpkg/)，是否有其他进程正占用它？ 这怎么能忍呢，当然是打开度娘搜索一波，然后顺利解决问题。 先使用 PS aux | grep apt-get找到进程 然后使用名为“终结”的命令 sudo kall 3213（PID） 解决完毕，继续使用 sudo apt-get upgrade sudo apt-get dist-upgrade 升级完毕之后，安装Apache2 当然不是下面这个 而是下面这个 sudo apt-get install -y Apache2（悄悄告诉你，不区分大小写的） 然后安装以后，如果你在Ubuntu环境下使用service重启该服务的话，你会发现毫无卵用，那肿么办呢？ 当然是使用传统的不能在传统的办法。 /etc/init