天道酬勤,学无止境

一种可以使Guest访问公网又可以被Host访问的网络配置方式

简介

如何配置虚拟机使其可以访问互联网又能被Host主机访问呢?
一种可以使Guest访问公网又可以被Host访问的网络配置方式
网上有一些帖子介绍了几种方法,比如有一种方法是将Guest的网卡设置为NAT方式,然后配置了端口映射,还有一种通过创建自定义的虚拟网卡然后进行一系列繁琐的配置后实现以上目的。我觉得都太繁琐,有没有更简单的方式呢?下面让我们来看一下我是如何配置我的网络从而实现上述要求的。

环境

  • Win10 pro (Host操作系统)
  • VMware® Workstation 16 Player (虚拟机软件,以下简称VMware
  • Ubuntu 18.04 (Guest操作系统)

目标

  • 使Guest上的Ubuntu操作系统可以访问互联网;
  • 使Host上的Win10操作系统可以通过Guest的静态IP地址访问Guest上的服务,比如Apache、MySQL、SFTP等;

步骤

安装VMware、Ubuntu 18.04

首先,安装VMware虚拟机软件,并在其上安装Ubuntu 18.04。此处省略安装步骤,没啥好说的。

配置Host上的网络适配器

当VMware安装完毕,在Host操作系统的“网络连接”窗口中会出现一个名为“Hyper-V Virtual Ethernet Adapter”的虚拟网络适配器。如下图所示:
一种可以使Guest访问公网又可以被Host访问的网络配置方式
这是关键。鼠标右键点这个适配器,选择“属性”。接下来,按下图指示操作:
一种可以使Guest访问公网又可以被Host访问的网络配置方式
查看状态后,点击“确定”按钮返回“网络连接”窗口。
在“网络连接”窗口中找到Host用来上网的网络适配器。我的Host使用如下图所示网络适配器:
一种可以使Guest访问公网又可以被Host访问的网络配置方式
鼠标右键点击这个Host所使用的网络适配器,选择“属性”,并在出现的对话框中按下图所示操作:
一种可以使Guest访问公网又可以被Host访问的网络配置方式
在“共享”配置页中按下图所示操作:
一种可以使Guest访问公网又可以被Host访问的网络配置方式

当上述步骤设置完毕后,右键点击Hyper-V的虚拟网络适配器,选择“属性”并在出现的对话框中按下图所示操作:
一种可以使Guest访问公网又可以被Host访问的网络配置方式
此时,在弹出的对话框中,你可以看到Win10系统自动为Hyper-V虚拟网络适配器分配了固定IP地址。下图是系统为我分配的IP地址:
一种可以使Guest访问公网又可以被Host访问的网络配置方式
从上图中可以看到,系统为Hyper-V虚拟网络适配器分配了192.168.137段的地址。接下来,我们在Guest上的Ubuntu虚拟机也将会自动获取到一个相同段的IP地址。

配置Ubuntu所在虚拟机的网络设置

打开VMware虚拟机软件,然后按下图所示操作:
一种可以使Guest访问公网又可以被Host访问的网络配置方式
在弹出的“虚拟机设置”界面中按下图所示操作:
一种可以使Guest访问公网又可以被Host访问的网络配置方式
如上图所示,点击“配置适配器”按钮后,将会弹出“自动桥接设置”对话框,如下图所示:
一种可以使Guest访问公网又可以被Host访问的网络配置方式
勾选“Hyper-V虚拟网络适配器”作为虚拟机的网络适配器后,点击“确定”按钮报错所有设置。
这时,我们就可以尝试启动Ubuntu虚拟机了。

配置Ubuntu操作系统的IP地址

这部分内容请参考《为Ubuntu 18.04配置静态IP地址》

受限制的 HTML

  • 允许的HTML标签:<a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • 自动断行和分段。
  • 网页和电子邮件地址自动转换为链接。

相关推荐
  • 为Ubuntu 18.04配置静态IP地址
    简介 作为开发人员,我需要在本地安装一套虚拟机以方便学习、实验。当虚拟机安装在台式机上时,由于台式机不会经常挪动位置,其网络环境相对固定,所以安装在其上的虚拟机网络配置也相对固定,不会经常改变。但是,在笔记本上的虚拟机却会是完全不同的情况。当笔记本连接公司网络时,虚拟机可能获得的IP地址是172.132.100.10。而回到家后,笔记本连接到家里的网络上,虚拟机分配的地址可能又会变成192.168.1.20。如果虚拟机IP地址每次都会随着主机的网络环境改变而改变,这会给Host访问Guest系统带来些许麻烦。比如MySQL Workbench连接Guest上的MySQL的数据库。Guest动态获取的IP地址发生改变后,MySQL Workbench上之前配置好的连接快捷方式就会失效,我们需要重新查看Guest上分配到的动态IP地址是多少,然后再用新的IP地址来更新我们的连接快捷方式。有人说如果Guest采用NAT连接方式或者其他连接方式就不需要关心Guest的IP地址问题了。的确是这样,但是NAT方式下,Host访问Guest需要做大量的端口映射设置,不仅仅复杂度增加,让我把用了这么久的3306端口改成3316或3336,就像被人胁迫用勺子吃面条一样不爽。为了避免类似情况发生,我们必须将Guest上的IP地址改为静态地址。当然,为了能使Host可以访问Guest
  • 健壮又简单文件共享服务
    官方语言介绍下ftp,文件传输协议(File Transfer Protocol,FTP)是用于在网络上进行文件传输的一套标准协议,FTP 的目标是提高文件的共享性。今天从ftp的两种模式,ftp用户管理主要的两方面实践使用下。 1.ftp 两种模式简明直接: 主动FTP: 命令连接:客户端 >1024端口 ---> 服务器 21端口 数据连接:客户端 >1024端口 <--- 服务器 20端口 被动FTP: 命令连接:客户端 >1024端口 ---> 服务器 21端口 数据连接:客户端 >1024端口 ---> 服务器 >1024端口 具体说明: 如图对于两种传输模式来说,控制连接的建立过程都是一样,均为服务器监听21号端口,客户端向服务器的该端口发起TCP连接。主动模式服务器通过控制连接知道客户端监听的端口后,使用自己的20号端口作为源端口,“主动”发起TCP数据连接。而被动模式服务器监听1024-65535的一个随机端口,并通过控制连接将该端口告诉客户端,客户端向服务器的该端口发起TCP数据连接。 两种模式该选择哪个了?选择被动模式。 如果FTP客户端在私网,FTP服务器在公网(云主机的应用场景)应该使用被动模式,因为这种应用场景FTP服务器访问不到在私网的FTP客户端,而FTP客户端可以访问到FTP服务器。 那ftp服务器放开大于1024端口,不安全,如何做了?
  • juniper防火墙端口映射(MVP、VIP)
    1、juniper防火墙MVP MIP 是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网 IP 地址,又存在若干的对外提供网络服务的服务器(服务器使用私有 IP 地址),为了实现互联网用户访问这些服务器,可在 Internet 出口的防火墙上建立公网 IP 地址与服务器私有 IP 地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。web下配置MIP:1)登陆防火墙,将防火墙部署为三层模式(NAT或路由模式)2)定义MIP::Network=>Interface=>ethernet2=>MIP,配置实现 MIP 的地址映射。Mapped IP:公网 IP 地址,Host IP:内网服务器 IP 地址3)定义策略:在 POLICY 中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。命令行方式配置MIP:1) 配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/242)定义MIPset interface
  • 配置KVM虚拟机的网络,Bridge和Nat方式
    使用libvirt配置KVM虚拟机的网络,分别使用bridge和nat方式。 1.bridged(桥接模式)​在bridged模式下,虚拟出来的操作系统就像是局域网中的一台独立的主机,它可以访问网内任何一台机器。同时,由于这个虚拟系统是局域网中的一个独立的主机系统,那么就可以手工配置它的TCP/IP配置信息,以实现通过局域网的网关或路由器访问互联网。 使用bridged模式的虚拟系统和宿主机器的关系,就像连接在同一个Hub上的两台电脑。想让它们相互通讯,你就需要为虚拟系统配置IP地址和子网掩码,否则就无法通信​​(参考dhcp服务器是否开启,如果开启,则可以选择dhcp方式自动获取网络地址)。 这种方式最简单,直接将虚拟网卡桥接到一个物理网卡上面,和linux下一个网卡绑定两个不同地址类似,实际上是将网卡设置为混杂模式,从而达到侦听多个IP的能力。 在此种模式下,虚拟机内部的网卡(例如linux下的eth0)直接连到了物理网卡所在的网络上,可以想象为虚拟机和host机处于对等的地位,在网络关系上是平等的,没有谁在谁后面的问题。使用这种方式很简单,前提是你可以得到1个以上的地址。 用KVM配置Bridge方式:​首先需要确定你的host主机上用的网络连接方式为桥接方式,我的机器上的用的是一个叫br0的网桥。创建网桥的方式也很简单,以我的系统为例,网卡一个eno16777736,在目
  • 高校网络出口解决方案探讨
    一,前言高校校园网是高校发展的重要基础设施,是提高学校教学和科研水平不可缺少的支撑环境。校园网一方面为学校提供各种本地网络应用,另一方面是沟通学校内外部网络的桥梁。建立起可运营、可管理的校园网可以保证教学、科研、管理和服务等重要业务稳定地运行,可以让广大教职员工和学生充分享受校园网带来的便利。随着校园网信息化建设的开展,教学、科研、办公、生活对于校园网平台的依赖性越来越强。国内众多高校校园网经过多年持续不断的基础设施建设和应用提升,已经形成了较为稳定的基础架构和相对丰富的应用平台。在师生们利用校园网获得更多更及时的教育资源的时候,一些网络管理方面和应用方面的问题被暴露了出来,严重影响了校园网络的健康发展。二,常见问题相信所有的大学在出口上或多或少都会碰到以下几个困惑:1、出口带宽大,需要设备的NAT性能强一般按照传统,客户都习惯在出口部署防火墙或者路由器。但是不管是防火墙或者路由器,其核心作用都不是用来做NAT的。防火墙本身的核心作用是用来做内网安全区域的划分,所以其硬、软件设计也是围绕这个核心思路来的。防火墙处理并发连接数等性能并不算太强,往往100万级就不算小了,并且因为其自身的硬件,软件架构,NAT会大量消耗设备的性能。所以NAT后的吞吐量和平时标称吞吐量相差甚远。路由器本身的核心作用是用来处理各种路由协议,根据路由表进行高速的3层数据包转发,所以其软,硬件设计也为了以上目的
  • Samba配置文件常用参数详解
    文中有不对或者有不清楚的地方,请大家告诉我,谢谢! Samba配置文件常用参数详解 Samba的主配置文件叫smb.conf,默认在/etc/samba/目录下。 smb.conf含有多个段,每个段由段名开始,直到下个段名。每个段名放在方括号中间。每段的参数的格式是:名称=指。配置文件中一行一个段名和参数,段名和参数名不分大小写。 除了[global]段外,所有的段都可以看作是一个共享资源。段名是该共享资源的名字,段里的参数是该共享资源的属性。 Samba安装好后,使用testparm命令可以测试smb.conf配置是否正确。使用testparm –v命令可以详细的列出smb.conf支持的配置参数。 全局参数: ==================Global Settings =================== [global] config file = /usr/local/samba/lib/smb.conf.%m 说明:config file可以让你使用另一个配置文件来覆盖缺省的配置文件。如果文件 不存在,则该项无效。这个参数很有用,可以使得samba配置更灵活,可以让一台samba服务器模拟多台不同配置的服务器。比如,你想让PC1(主机名)这台电脑在访问Samba Server时使用它自己的配置文件,那么先在/etc/samba/host
  • Virtio、Vhost、Vhost-user介绍
    目录 Virtio:针对Linux的I/O的虚拟化框架 Vhost Vhost-user Vhost-user与vhost的区别 相关阅读 Virtio:针对Linux的I/O的虚拟化框架 Linux内核支持多种虚拟化模式,并且支持的数量随着虚拟化的进步和新模式的出现(例如 lguest)而增加。但是,让这些虚拟化模式能够在 Linux 之上运行之后,又如何让它们能够在 I/O 虚拟化方面利用底层内核呢? 答案是使用virtio,它为 hypervisor 和一组通用的I/O虚拟化驱动程序提供高效的抽象。探索virtio并了解为什么 Linux将成为最佳的 hypervisor。 完全虚拟化中,guest OS运行于物理机器上的hypevisor上,guest OS并不知道它已被虚拟化,并且不需要任何更改就可以在该配置下工作。半虚拟化中,guest OS不仅知道它运行在hypervisor之上,还包含让guest OS更高效地过渡到hypervisor的代码。 在完全虚拟化模式中,hypervisor必须模拟设备硬件,它是在会话的最低级别进行模拟的。尽管在该抽象中模拟很干净,但它同时也是最低效、最复杂的。在半虚拟化的模式中,guest OS和hypervisor能够共同合作,让模拟更加高效。 在虚拟机中,可以通过qemu模拟e1000网卡
  • 讲清楚说明白openstack中vm流量走向之2——DVR模式
    一、背景介绍 上一篇文章已经介绍过,在集中式网络节点模式下,所有的计算节点只安装二层代理,所有三层流量无论是南北或东西走向都必须经过网络节点,尽管可以通过HA的方式保证网络节点的高可用,但是基于vrrp的HA方式同一时间点只有一个网络节点处于工作状态,这样在大规模场景下网络节点仍然会成为性能瓶颈,为此openstack社区从Juno版本开始推出的DVR模式来解决上述问题,需要说明的是:在Mitaka版本之前DVR与L3 HA功能不能同时启用,从Mitaka版本之后才支持DVR与L3 HA功能同时开启。 二、DVR介绍 为了解决网络节点的流量瓶颈问题,DVR通过在计算节点部署L3 Agent,让不同subnet之间的东西流量和绑定floating ip的vm的南北流量直接通过计算节点访问外网,只有未绑定floating ip的vm的南北南北流量才需要通过网络节点SNAT访问外网,此时的集群架构如下图所示: 不同于集中式网络节点中所有计算节点只走二层流量,DVR模式下,每个计算节点都可以走3层流量,以此来分摊网络节点的流量压力。 三、网络、计算节点的内部组件 1.网络节点 DVR模式下,网络节点内部组件此时如下图所示: 可以看到,启用DVR模式后的网络节点多了一个SNAT Namespace空间。在在所有计算节点都开启DVR功能时,Router Namespace中的Metadata
  • 大型企业网络配置系列课程详解(九)--用Cisco路由器和预共享密钥建立多条IPSec-×××
    大型企业网络配置系列课程详解(九) ---用Cisco路由器和预共享密钥建立多条 IPSec ××× ×××技术介绍: 所谓虚拟专用网(Virtual Private Network, ×××)就是建立在公网上的,由某一组织或某一群用户专用的通信网络,其虚拟性表现在任意一对×××用户之间没有专用的物理连接,而是通过ISP提供的公共网络来实现通信的,其专用性表现在×××之外的用户无法访问×××内部的网络资源,×××内部用户之间可以实现安全通信。 由于Internet本质上是一个开放的网络,没有任何的安全措施可言。专线的连接可以实现不同地区之间的互访,但需要支付高额的费用,维护也相当的困难。随着Internet应用的扩展,很多要求安全和保密的业务需要通过廉价的Internet实现,这一需求促进了×××技术的发展。 广泛地讲,×××体系结构可以被分为两种常见的情况:站点到站点的×××(企业总部与各个分部之间的互联)和远程访问×××(远程用户与公司总部之间的互联)。×××技术实现安全互联有多种方式,如MPLS ×××、SSL ×××等,但IPSec ×××技术是现在企业用的最多的接入方式,本实验就是通过使用Cisco路由器和预共享密钥建立多条IPSec ×××实现站点到站点之间的访问。 实验背景: 某一外资企业在中国有三个分公司,分别坐落于上海、北京和深圳。由于企业信息的安全需求
  • NAT详解及相关命令
    NAT详解及相关命令 一、NAT私有网络地址和公有网络地址NAT工作原理NAT功能 二、NAT的相关命令静态NAT动态NAT 三、PAT端口多路复用PAT有以下作用PAT的类型 四、NAPT五、EasyIp六、NAT Server 一、NAT NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。 私有网络地址和公有网络地址 1、公有网络地址(以下简称公网地址)是指在互联网上全球唯一的IP地址。2019年11月26日,是人类互联网时代值得纪念的一天,全球近43亿个IPV4地址已经正式耗尽。 2、私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址, IANA (互联网数字分配机构)规定将下列的IP地址保留用作私网地址,不在Internet上被分配,可在一个单位或公司内部使用。RFC1918中规定私有地址如下: A类私有地址: 10.0.0.0~10.255.255.255 B类私有地址: 172.16.0.0~172.31.255.255 C类私有地址: 192.168.0.0~192.168.255.255 NAT工作原理 ——NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信。 ——NAT外部的主机无法主动跟位于NAT内部的主机通信,,NAT内部主机想要通信
  • Hyper-V结合远程路由访问实现一个公网IP内部多个虚拟服务器的发布
    Hyper-V结合远程路由访问实现一个公网IP 内部多个虚拟服务器的发布 现在有一台Windows Server 2008 服务器有且只有一个IP地址是可以进行Internet的网络访问,现在在该服务器上安装hyper-v的角色,并且在Hyper-v上安装两台Guest OS,VM1和VM2。VM1服务器上安装的IIS,对外提供网站服务器。 以下是这个应该的基本架构图。为了使结构简单,不容出问题,所以在物理服务器的宿主机上启用远程路由访问,为内部的物理服务器提供NAT的映射。 1.安装虚拟网卡 打开设备管理器 选择 操作—添加过时硬件 添加硬件向导,下一步 选择搜索并自动安装硬件 继续下一步 选择网络适配器,继续下一步 厂商选择Microsoft,网络适配器选择Microsoft Loopback Adapter 继续下一步 提示已经添加成功,完成添加硬件向导 我们可以再设备管理器中看见一个Microsoft Loopback Adapter的网络适配器 在网络连接中我们可以看见一块Microsoft Loopback Adapter的网卡 通过Hyper-V的虚拟网络管理器,我们需要虚拟一张外部的网卡,点击添加 虚拟网络设置名称为Microsoft Loopback,连接到外部并且允许管理操作系统共享 完成我们可以再网路连接中看见一张新的Microsoft Loopback网卡
  • 浅谈华为防火墙NAT策略
    博文目录 一、什么是NAT? 二、如何解决源地址转换环境下的环路和无效ARP问题? 三、什么是Server-map表? 四、NAT对报文的处理流程 五、开始配置NAT 一、什么是NAT? NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。此博文重点是华为相关的NAT知识上。 1、NAT分类 在内外网的边界,流量有出、入两个方向,所以NAT技术包含源地址转换和目标地址转换两类。一般情况下,源地址转换主要用于解决内部局域网计算机访问Internet的场景;而目标地址转换主要用于解决Internet用户访问局域网服务器的场景,目标地址通常被称为服务器地址映射。 华为支持的源地址转换方式有如下几类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,实际情况下使用比较少,主要适用于需要上网的用户较少,而公网地址又足够的场景下。 NAPT(Network Address and Port Translation网络地址和端口转换):类似于Cisco的PAT转换,NAPT即转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址,属于多对多或多对一转换,可以节约IP地址,使用场景较多,主要适用于内部大量用户需要上网
  • VMware中三种网络连接的区别
    1、概述  大家在安装完虚拟机后,默认安装了两个虚拟网卡,VMnet1和VMnet8,如下图。其中VMnet1是host网卡,用于host方式连接网络的。VMnet8是NAT网卡,用于NAT方式连接网络的。它们的IP地址是随机生成的。  VMware提供了三种工作模式,它们是bridged(桥接模式)、NAT(网络地址转换模式)和host-only(主机模式),如下图。要想在网络管理和维护中合理应用它们,你就应该先了解一下这三种工作模式。2、bridged(桥接模式)  在这种模式下,使用VMnet0虚拟交换机,虚拟操作系统就像是局域网中的一台独立的主机,与宿主计算机一样,它可以访问网内任何一台机器。在桥接模式下,可以手工配置它的TCP/IP配置信息(IP、子网掩码等,而且还要和宿主机器处于同一网段),以实现通过局域网的网关或路由器访问互联网;还可以将IP地址和DNS设置成“自动获取”。  如果你想利用VMWare在局域网内新建一个服务器,为局域网用户提供Web或网络服务,就应该选择桥接模式。  在桥接模式中,使用VMnet0虚拟交换机,此时虚拟机相当与网络上的一台独立计算机与主机一样,拥有一个独立的IP地址。A1、A2、A、B四个操作系统可以相互访问A1、A2的IP为“外网”IP,可以手动设置,也可以自动获取3、NAT(网络地址转换模式)  使用NAT模式,就是让虚拟机借助NAT
  • NAT网络地址转换技术原理介绍:NAT原理及其应用,Basic NAT、NAPT、NAT Serve
    什么是NAT技术?NAT(Network Address Translation,网络地址转换)是将IP数据报文中的IP地址转换为另一个IP地址的过程。当内部IP想要访问外网时,NAT主要实现内部网络和外部网络之间IP的转换,这种通过使用少量的公网IP地址代表较多的私网IP地址的方式,将有助于减缓可用IP地址空间的枯竭。 为什么要用NAT?IPv4即网际网协议第四版,IPv4定义了一个跨域各种不同网络互联的超级网络。IPv4使用32bit整数表达一个地址,32bit大约可以排列成43亿的不同的数据。以IP创建时期可被联网的设备来看,43亿已经足够宽大,很难短时间内被使用完。然而,事实却远超出人们的想象。计算机网络发展日新月异,43亿地址空间按照不同前缀长度被分为A、B、C、D四类网络;其中A类地址127段,每段约1678万个主机,B类地址有16384段,每段包括65536个主机地址...同时,ANA还以一次一段的方式向大型企业分发地址,这样一种分配策略使得IP地址浪费严重,很多IP被分配出去并没有真实得到利用,地址消耗迅速。网络专家们意识到,这样下去,IPv4地址就不够使用了。人们开始考虑IPv4的替代方案,在这样一个背景下,NAT技术诞生了。NAT技术更是对IP网络模型带来了深远的影响,其身影几乎遍布每个角落。同网段的多个私网IP地址都通过一个公网IP地址进行转发
  • 两个局域网(办公网-IDC)安全互通方案2:by GRE and linux server&深入理解GRE
    【第一、需求描述】 办公网和IDC两个局域网(or,任意两个不同局域网),相互隔离。但是在日常运维、研发过程中,需要在办公网访问IDC网络。如果都通过公网ip绕,既不方便,也不安全。如果拉专线,是最稳定可靠的办法。但是作为技术屌丝,想为公司省点钱(这也可以看作是技术价值的一部分),所以打算使用其他方案(当然是免费的方案,或者这样说,使用已有资源的方案。服务器当然也需要花钱的,但是你可以使用已有服务器来完成这个方案)解决这个需求。【第二、背景介绍】 办公网有lan192.168.1.0/24,并通过固定的公网IP上网; IDC有lan10.1.1.0/24,并有多个公网ip,两者通过公网ip互联 这就遇到问题:办公网怎样能直接访问IDC的内网,至少普通用户看起来是可以直接访问机房的内网的。你让每个用户都拨×××?很悲催,还不好管理。 这里有介绍两个方案: 1、 点到端的×××方案(架设成功之后,你可以设置为端到端的方案),之前写过一篇文章,具体可以看《创业公司办公网络安全稳定访问机房网络方案1:by×××》http://h2ofly.blog.51cto.com/6834926/1529888 2、GRE方案。如果公司有多余的固定的公网ip或者路由器本身支持GRE,建议使用本方案。why?不解释,哈哈。你可以对比、再使用两个方案之后就有感觉了。 【第三、方案实施】说了这么多
  • 2020年Linux运维面试题都不会,怎么拿Offer?
    1、什么是运维?什么是游戏运维? 1)运维是指大型组织已经建立好的网络软硬件的维护,就是要保证业务的上线与运作的正常, 在他运转的过程中,对他进行维护,他集合了网络、系统、数据库、开发、安全、监控于一身的技术 运维又包括很多种,有DBA运维、网站运维、虚拟化运维、监控运维、游戏运维等等 2)游戏运维又有分工,分为开发运维、应用运维(业务运维)和系统运维 开发运维:是给应用运维开发运维工具和运维平台的 应用运维:是给业务上线、维护和做故障排除的,用开发运维开发出来的工具给业务上线、维护、做故障排查 系统运维:是给应用运维提供业务上的基础设施,比如:系统、网络、监控、硬件等等 总结:开发运维和系统运维给应用运维提供了“工具”和“基础设施”上的支撑 开发运维、应用运维和系统运维他们的工作是环环相扣的 2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的? 游戏运营要做的一个事情除了协调工作以外 还需要与各平台沟通,做好开服的时间、开服数、用户导量、活动等计划 3、现在给你三百台服务器,你怎么对他们进行管理? 管理3百台服务器的方式: 1)设定跳板机,使用统一账号登录,便于安全与登录的考量。 2)使用salt、ansiable、puppet进行系统的统一调度与配置的统一管理。 3)建立简单的服务器的系统、配置、应用的cmdb信息管理。便于查阅每台服务器上的各种信息记录
  • 服务器基线安全-阿里云标准
    文章目录 一、系统安全基线1.1 系统登录弱口令1.2 确保root是唯一的UID为0的帐户1.3 开启地址空间布局随机化1.4 设置用户权限配置文件的权限1.5 访问控制配置文件的权限设置1.6 确保SSH LogLevel设置为INFO1.7 确保rsyslog服务已启用安全审计1.8 确保SSH MaxAuthTries设置为3到6之间1.9 确保密码到期警告天数为7或更多1.10 禁止SSH空密码用户登录 SSH服务配置1.11 检查系统空密码账户1.12 检查密码重用是否受限制1.13 密码复杂度检查1.14 设置SSH空闲超时退出时间1.15 设置密码修改最小间隔时间1.16 设置密码失效时间 二、Nginx安全基线2.1 确保已禁用自动索引模块2.2 针对Nginx SSL协议进行安全加固2.3 确保NGINX配置文件权限为6442.4 Nginx的WEB访问日志记录状态2.5 隐藏Nginx服务的Banner2.6 Nginx后端服务指定的Header隐藏状态2.7 检查Nginx进程启动账号2.8 检查是否配置Nginx账号锁定策略 三、Redis安全基线3.1 Redis未授权访问高危风险3.2 开启redis密码认证,并设置高复杂度密码3.3 修改默认6379端口3.4 打开保护模式3.5 禁用或者重命名危险命令3.6 限制redis 配置文件访问权限3.7
  • AWS - 创建一个高可用的WordPress 博客 (二)
    上一篇大概的介绍了一下高可用的wordpress的设计结构。这个设计图会涉及到VPC,EC2,ELB,RDS,S3,CloudFront,Auto Scaling,IAM和CloudWatch等核心服务,对于了解各部分的功能是个很好的练习。现在我们开始具体的配置,豆子会配置一个Ubuntu14 的WordPress,该服务器和MySQL数据库都具有高可用的功能,还可以通过CPU的负荷自动添加或者删除现有实例。具体的配置包括以下步骤:创建基本的网络和防火墙配置高可用MySQL创建一个Ubuntu 14实例Ubuntu安装LAMPStack配置S3和CloudFront CDN配置Ubuntu Virtual Host配置Route 53 DNS 测试通过之后配置成AMI镜像配置ELB配置Auto scaling测试首先我们需要配置一个基本的VPC 网络和IAM角色。之前的博客里面我已经创建了一个IAM的角色 ec2-s3,可以允许关联的虚拟机默认就有访问S3 Bucket的权限。如下所示:接下来创建一个新的VPC网络 wordpressbeanxyz创建2个子网,分别位于不同的AZ创建Internet 网关配置路由表新建一个Security Group,配置允许访问的端口准备工作差不多了,先来创建个MySql的高可用实例吧。点击RDS选择Multi-AZ
  • “找不到网络路径”的解决方法及排错步骤
    症状: 通过\\ip或\\<计算机名>访问任何计算机时都会出现“找不到网络路径”的错误提示,无法正常访问网络资源,但可以访问外部网页。 最终解决方法: 运行netsh interface ip reset c:\log.txt命令重置tcp/ip各组件到初始状态,重启电脑后解决问题。 问题解决步骤: 1、检查物理连接:因症状描述访问外部网页时没问题,所以此步可略过。 2、Ping 127.0.0.1回环地址正常,说明tcp/ip协议的安装(基本状态)没问题。 3、 ping 对方计算机名和ip地址都正常(其中有用大数据包来ping),没有丢包,说明计算机的基本连接(包括网卡本身和计算机之间的连接)和网络名称解析没问题。物理层到网络层都是没问题的,应用层协议出现了问题。 4、 检查网络设置:检查在TCP/IP协议上是否捆绑了NETBIOS(在TCP/IP协议属性—高级—WINS—选择启用TCP/IP上的NETBIOS);检查是否已经安装“Microsoft的文件和打印服务”组件,其它计算机也都必须启用“文件和打印共享”,并检查是否安装了Microsoft网络客户端。此项检查正常。 5、检查是否启动了“computer browser”的计算机浏览器服务,WIN2K/XP要确保计算机浏览服务正常启动,保证其能参与网络浏览选举和主机宣告。打开计算机管理->服务和应用程序->服务,查看
  • ×××服务器配置实例解析上篇之PPTP
    为了给企业的员工提供更多的服务,我们通常会在局域网内部搭建文件服务器、应用程序服务器或打印服务器等,一旦用离开单位(出差或在家办公)就无法使用企业内部的这些共享资源了,如何开发这些内网的共享资源给我们在外出差或在家办公的用户呢?解决这个问题我们就要用到×××(Virtual Private Network,虚拟专用网)技术,利用internet公网建立一个以远程访问协议(Remote access protocol)为基础的私有通道(tunnel),让外网用户能够安全的访问公司内部的资源。 通常在一些对网络访问性能极其安全、要求比较严格的网络中会使用一些硬件×××设备,不过Windows Server 2008也完全可以胜任×××的工作,接下来我们先了解一下×××的基础知识,然后再看一下具体的配置。 第一节 ×××部署场景及应用协议 在部署×××时一般将其分为两种连接方式,一种是让外网用户通过互联网访问内网的共享资源,我们平时家里面用的宽带拨号上网就是这种方式(PPPoE),也叫远程访问×××连接(remote access ××× connection),如下图所示: 图: 1 另外一种应用方式一般用来解决分支机构与公司总部的连接,因为分支机构的PC设备较多且集中,第一种连接方式就显得不够智能,我们更希望实现路由器与路由器之间的连接(route-to-route ×××