1、详细叙述ansible的工作原理
Ansible是一种IT自动化运维工具,它可以配置系统,部署软件以及协调更高级的IT任务,例如持续部署或者是零停机滚动更新
Ansible是新出现的自动化运维工具,基于Python开发,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能。
Ansible是基于模块工作的,本身没有批量部署的能力。真正具有批量部署的是ansible所运行的模块,ansible只是提供一种框架。
Ansible的主要目的是简单易用,它还非常注重安全性很可靠性,具有最少的移动部件,使用OPenSSH进行传输(使用其他的传输和拉取模式作为代替方案)
Ansible以无代理方式管理机器。永远不会出现如何升级远程守护进程或无法管理系统的问题,因为卸载了守护进程。由于OpenSSH是最受同行评审的开源组件之一,因此安全风险大大降低
Ansible是分散式的 - 它依赖于您现有的操作系统凭据来控制对远程计算机的访问。如果需要,Ansible可以轻松连接Kerberos,LDAP和其他集中式身份验证管理系统
2、使用ansible在多台机器上添加用户
ansible all --list列出所有主机列表 (主机清单可以在/etc/ansible/hosts中加入主机)
ansible all -m user -a ' name=test1 uid=2000'
all 表示所有主机 -m 表示模块 -a 后面跟命令 name=test1 uid=2000 指定用户名。uid
查看主机中的用户已经添加了test1用户
3、用ansible-playbook编译安装nginx服务
创建一个存放脚本的目录(也可以不创建,但是执行playbook的时候需要指定路劲,或者在当前目录执行可不指定目录)。
创建为.yml后缀的文件。表示为yml语言。因为ansible-playbook是调用yml语言的,类似在bash中执行脚本。
hosts: all 表示所有主机 ,也可以写成分组形式或者ip
remote_user: 表示在对方主机上以什么角色执行
tasks 是play的主题部分。 task list 中的各任务按次序逐个在hosts中指定的所有主机上执行,
每个task都应该尤其name,用于playbook的执行结果输出
name 任务名
yum 模块 表示要执行yum模块 name=nginx 包名叫nginx 表示会用yum模块安装 name这儿表示nginx
service:playbook中的服务模块。
name=nginx state=started enabled=yes 表示开启nginx服务。并设置开机启动
ansible-playbook nginx.yml 利用playbook 执行 nginx.yml中的命令
执行结果
执行成功。
查看目标主机端口,发现端口开启
4、描述域名劫持的解决方法
搭建多台dns服务器,限制配置文件的权限。
1.在不同的网络上运行分离的域名服务器来取得冗余性。
2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。
3. 可能时,限制动态DNS更新。
4. 将区域传送仅限制在授权的设备上。
5. 利用事务签名对区域传送和区域更新进行数字签名。
6. 隐藏运行在服务器上的BIND版本。
7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。
8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
5、描述dns的递归查询
递归查询与迭代查询
一、主机向本地域名服务器的查询一般都是采用递归查询。
所谓递归查询就是:如果主机所询问的本地域名服务器不知道被查询的域名的IP地址,那么本地域名服务器就以DNS客户的身份,
向其它根域名服务器继续发出查询请求报文(即替主机继续查询),而不是让主机自己进行下一步查询。
因此,递归查询返回的查询结果或者是所要查询的IP地址,或者是报错,表示无法查询到所需的IP地址。
二、本地域名服务器向根域名服务器的查询的迭代查询。
迭代查询的特点:当根域名服务器收到本地域名服务器发出的迭代查询请求报文时,要么给出所要查询的IP地址,要么告诉本地服务器:“你下一步应当向哪一个域名服务器进行查询”。
然后让本地服务器进行后续的查询。根域名服务器通常是把自己知道的顶级域名服务器的IP地址告诉本地域名服务器,让本地域名服务器再向顶级域名服务器查询。
顶级域名服务器在收到本地域名服务器的查询请求后,要么给出所要查询的IP地址,要么告诉本地服务器下一步应当向哪一个权限域名服务器进行查询。
最后,知道了所要解析的IP地址或报错,然后把这个结果返回给发起查询的主机
6、DNS工作原理详细解析
DNS( Domain Name System)是“域名系统”的英文缩写,是一种组织成域层次结构的计算机和网络服务命名系统,它用于TCP/IP网络,它所提供的服务是用来将主机名和域名转换为IP地址的工作。DNS就是这样的一位“翻译官”,它的基本工作原理可用下图来表示
dns的域名结构
工作过程
1、在浏览器中输入www . qq .com 域名,操作系统会先检查自己本地的hosts文件是否有这个网址映射关系,如果有,就先调用这个IP地址映射,完成域名解析。
2、如果hosts里没有这个域名的映射,则查找本地DNS解析器缓存,是否有这个网址映射关系,如果有,直接返回,完成域名解析。
3、如果hosts与本地DNS解析器缓存都没有相应的网址映射关系,首先会找TCP/ip参数中设置的首选DNS服务器,在此我们叫它本地DNS服务器,此服务器收到查询时,如果要查询的域名,包含在本地配置区域资源中,则返回解析结果给客户机,完成域名解析,此解析具有权威性。
4、如果要查询的域名,不由本地DNS服务器区域解析,但该服务器已缓存了此网址映射关系,则调用这个IP地址映射,完成域名解析,此解析不具有权威性。
5、如果本地DNS服务器本地区域文件与缓存解析都失效,则根据本地DNS服务器的设置(是否设置转发器)进行查询,如果未用转发模式,本地DNS就把请求发至13台根DNS,根DNS服务器收到请求后会判断这个域名(.com)是谁来授权管理,并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后,将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后,如果自己无法解析,它就会找一个管理.com域的下一级DNS服务器地址(http://qq.com)给本地DNS服务器。当本地DNS服务器收到这个地址后,就会找http://qq.com域服务器,重复上面的动作,进行查询,直至找到www . qq .com主机。
6、如果用的是转发模式,此DNS服务器就会把请求转发至上一级DNS服务器,由上一级服务器进行解析,上一级服务器如果不能解析,或找根DNS或把转请求转至上上级,以此循环。不管是本地DNS服务器用是是转发,还是根提示,最后都是把结果返回给本地DNS服务器,由此DNS服务器再返回给客户机。
从客户端到本地DNS服务器是属于递归查询,而DNS服务器之间就是的交互查询就是迭代查询
DNS的记录类型
域名与IP之间的对应关系,称为"记录"(record)。根据使用场景,"记录"可以分成不同的类型(type),前面已经看到了有A记录和NS记录。
常见的DNS记录类型如下:
A
地址记录(Address),返回域名指向的IP地址。
NS
域名服务器记录(Name Server),返回保存下一级域名信息的服务器地址。该记录只能设置为域名,不能设置为IP地址。
MX
邮件记录(Mail eXchange),返回接收电子邮件的服务器地址。
CNAME
规范名称记录(Canonical Name),返回另一个域名,即当前查询的域名是另一个域名的跳转,详见下文。
PTR
逆向查询记录(Pointer Record),只用于从IP地址查询域名。
一般来说,为了服务的安全可靠,至少应该有两条NS 记录,而A记录和MX记录
7、dns区域转发与全局转发区别与实现方法
yum install bind 包
全局转发
vim /etc/named.rfc1912.zones 添加dns区域配置。
在/var/named/目录中添加一个 linuxstudy.com.zone区域数据库文件
修改dns主服务器的配置文件
注意需要 将 dnssec-enable 和 dnssec-validation 选项变成no
加入forward only ;
forwarders { 192.168.23.130;};
only 表示如果客户机访问主服务器主服务器自己如果没有对应域名则将转发到192.168.23.130这台机器上查找对应的域名。如果对方dns机器上也没有域名,则返回失败结果
如果是forward first 则是如果两台dns服务器都没有对应的域名则主dns服务器会到根服务器中寻找
执行成功
区域转发
在主服务器中修改区域配置文件/etc/named.rfc1912.zones
8、实现智能DNS
创建区域数据库
这边区域数据库权限记得修改named用户可读
自定义ACL 将ip地址范围写入对应的区域中 配合view技术将区域数据库和ip地址范围对应起来
在 /etc/named.conf主配置文件中加入 acl 指定地区ip地址范围
在加入view字段
因为加入了view字段后,所有zone文件将失效
named.conf中的zone字段剪切到 view字段中include 后面跟着的文件中
将 /etc/named.rfc1912.zones文件复制一份命名叫/etc/named.rfc1912.zones.beijing,并修改文件中区域的后缀名指定为sz
重启服务
然后就可以实现基本的只能dns服务了