云计算考题(140条详细答案版)

云计算考题

---Author：张思明 ZhangSiming

---Mail：1151004164@cnu.edu.cn

---QQ：1030728296

如果有梦想，就放开的去追；
因为只有奋斗，才能改变命运；

1.Rsync有几种模式？

三种模式：
1.本地间类似cp命令的数据传输模式；(本地间数据传输)
2.借助SSH通道在两台不同IP服务器间的数据传输模式；(网络间数据传输)
3.多组服务器之间，以socket监听进程的方式启动Rsync server端的数据传输模式。(C/S数据传输)

2.Rsync的socket模式的监听端口号？

默认监听873端口。

3.Rsync的限速参数？

--bwlimit=rate(带宽)

4.NFS挂载原理？

1.首先NFS服务端启动RPC服务，RPCsocket监听进程，默认监听固定端口111；
2.其次NFS服务端再启动NFS服务，NFS服务启动的时候需要向RPC服务进行注册端口信息，告诉RPC服务自己哪些端口开放供其他主机连接NFS共享存储网络磁盘；
3.NFS客户端安装RPC插件包，利用rpcbind连接NFS服务端rpcsocket监听进程，索要NFS服务器的端口号；
4.NFS服务端的RPC监听进程把自身开放挂载NFS的其中一个端口返回给NFS客户端，同时进行标记；
5.NFS客户端TCP三次握手到目标端口号，挂载到NFS服务端。

5.NFS服务的监听端口号？

NFS服务本身不监听任何端口，NFS服务端的rpc服务监听111端口。

6.NFS在/etc/fstab里配置开机自动挂载失败了。为什么？

因为/etc/fstab会优先于网络被Linux系统加载。网络没启动时，NFS客户端就无法连接到NFS服务端，从而无法实现开机挂载。
解决办法(两种)：
1.chkconfig --level 2345 netfs on。(netfs的作用是在network服务启动后，强制二次读入/etc/fstab)
2.将nfs客户端挂载命令放在/etc/rc.local中。

7.Rsync+inotify每秒支持的并发传输文件数？（小于1秒）

200个文件。(10-100k)

8.企业自定义yum源的命令叫什么？请手写一个简单的自定义yum源文件（包路径：/root/rpm/）（详细描述.此题8分）

企业自定义yum源的命令： createrepo

[root@ZhangSiming yum.repos.d]# pwd
/etc/yum.repos.d
[root@ZhangSiming yum.repos.d]# cat local.repo 
[local]
name=local
baseurl=file:///root/rpm
gpgcheck=0
enabled=1

9.mysql默认端口号

MySQLsocket监听进程默认监听端口3306。

10.新安装的mysql设置root密码的命令

mysqladmin -uroot password '密码'

11.创建一个叫做yunjisuan的库？

create database yunjisuan；

12.删除一个叫做yunjisuan的库？

drop database yunjisuan；

13.查看mysql.user表里的user.host.password字段的所有数据

select user,host,password from mysql.user；

14.MySQL插入一条数据（写语句的架构即可）

insert into 空间名.表名 （字段1，字段2…）values ('字段1 的值'，'字段2的值'…);
insert into 空间名.表名 values ('字段1 的值'，'字段2的值'…);
#第二种写法values中必须根据表中有几个字段就按顺序给几个值
例子：
insert into mysql.user (host,user) values ('localhost','root');
insert into yunjisuan.user values ('zhangsan','1860011869');

15.MySQL更新一条数据（写语句的架构即可）

update 空间名.表名 set 字段1='字段1的值'，字段2='字段2的值'，… where 字段名='字段值'；              
#where后面的字段条件表达式匹配具体要更改哪一行的字段数据
例子：
update mysql.user set password=password('666666') where host='localhost';

16.MySQL删除一条数据（写语句的架构即可）

delete from 空间名.表名 where 字段名='字段值'； 
#where后面的字段条件表达式匹配具体要求删除哪一行的字段数据
例子：
delete from mysql.user where host='192.168.17.200';

17.授权账号yunjisuan拥有192.168.200.0/24网段的所有登陆和修改权限.密码333333

grant all on *.* to 'yunjisuan'@'192.168.200.%' identified by '333333'；
flush privileges;

18.让mysql的设置立刻生效（刷新）。

flush privileges；

19.查看当前用户的权限记录

show grants；

20.查看yunjisuan@'192.168.200.%'账号的权限记录

show grants for yunjisuan@'192.168.200.%'；
#hostIP的''引号必须加，user用户名的''引号可以不加

21.修改账户yunjisuan@'192.168.200.%'的密码为:666666

update mysql.user set password=password('666666') where user='yunjisuan' && host='192.168.200.%'； 
flush privileges;

22.什么叫慢查询日志.它用来做什么的？如何打开慢查询日志（写出文件命令）（详细描述.此题8分）

慢查询日志用于记录所有执行时间超过long_query_time秒的SQL语句，可用于找出执行时间过长的SQL语句，便于优化，默认未开启。

开启方法：

[root@ZhangSiming ~]# cat /etc/my.cnf 
[mysqld]
long_query_time = 5
log-slow-queries = mysql_slow.log

之后重启mysqld服务器，慢查询日志文件就出现/usr/local/mysql/data/
目录下，默认叫mysql_slow.log文件

23.索引的分类（五种）

1.普通索引：最基本的索引类型，没有唯一性之类的限制
2.唯一性索引：与普通索引的区别在于，索引列的所有值都只能出现一
次，必须唯一，但是可为空
3.主键索引：是一种特殊的唯一性索引，必须指定为PRIMARY KEY，具有唯
一性的同时且不能为空
4.全文索引：全文索引，全文检索
5.单列索引与多列索引：索引可以是单列上创建的索引，也可以是多列上
创建的索引

24.事务的四个属性

1.原子性（Atomicity）
2.一致性（Conistency）
3.隔离性（Isolation）
4.持久性（Durability）

25.查看系统内置变量 autocommit的信息

show variables like 'autocommit'；

26.mysql数据库的全备命令(备份所有的库所有的表)

mysqldump -u用户名 -p密码 [选项(--events --opt)] --all-databases | gzip [选项] > 备份文件路径

27.msyql数据库备份指定库（benet.yunjisuan）的命令

mysqldump -u用户 -p密码 benet yunjisuan > 备份文件路径
#指定库不需要加任何--databases等选项

28.MySQL数据库开启二进制日志的配置文件的参数是什么？

[root@ZhangSiming ~]# cat /etc/my.cnf
[mysqld]
log-bin=mysql-bin

之后重启mysql，可以发现二进制日志文件在/usr/local/mysql/data/目录下

29.控制MySQL二进制日志大小的参数是什么？

max_binlog_size = 1024000
#指定每次到达这个容量的时候建立新的二进制日志文件

30.MySQL数据库强制刷新binlog日志的配置文件参数

flush logs；

31.MyISAM引擎的特点（三条）

1.只对读数据支持非常好，不支持事务，功能单一，对系统资源占用小；
2.读写阻塞互斥；
3.一旦一个用户在写入数据，引擎直接对数据表进行表级别的锁定，其他用户不能写也不能读，不支持多用户并发写；
4.可以缓存索引，但是不缓存数据；
5.内存占用小，对服务器要求较低。

32.InnoDB引擎的特点（三条）

1.支持事务，支持事务的四种隔离级别，读写阻塞与事务隔离级别有关；
2.一旦写入数据，行级别锁定(但是全表扫描仍然会是表级别锁定)；对写支持好，可以支持并发写；
3.可以缓存索引，也可以缓存数据；
4.对CPU、内存占用大，对服务器硬件资源要求比较高。

33.MySQL主从复制原理详解(基于二进制日志的主从复制)（详细描述.此题8分）

操作流程：

• 主库：
  1.开启binlog二进制日志log-bin = mysql-bin
  2.创建主从复制账号及密码
  3.修改/etc/my.cnf配置文件[mysqld]模块中 server-id=1
• 从库：
  1.开启中继日志 relay-log = relay-bin
  2.在从库进行主从复制验证信息录入，告诉从：主库IP地址和端口号、主从复制账号及密码、要同步的binlog日志名及在当前binlog日志中所处的位置
  3.修改配置文件server-id 不等于1
  4.在从库激活主从复制 start slave

详细过程及原理：

1.在从库上执行start slave命令激活主从复制
2.一旦主库的二进制日志文件发生改变，从库的I/O线程会通过主从复制账号向主库进行验证，验证信息包括：
(1)主库IP和主库mysql socket进程的端口port
(2)从库主从复制的账号和密码
(3)复制主库哪个二进制文件的名字
(4)这个二进制文件中position具体位置
3.验证成功后，主库的IO线程就会把二进制日志文件中的二进制数据和一个最新的POS数据复制传递给从库的IO线程，从库的IO线程就会把传递过来的二进制数据放到中继日志末端（relay-log），把POS数据传到从库中的master.info中(代表这次完成后主从复制复制到了新的POS位置，下次从这个位置开始复制)
ps：从库找主库验证信息也保存在这个master.info中
4.从库的SQL线程会实时检测本地的relay-log中I/O线程新增加的日志内容，然后及时地把relay-log文件中的二进制数据翻译解析为一条一条的SQL语句，执行保存到从库的data数据目录中，完成主从复制

34.MySQL临时锁表只读命令

flush table with read lock；

35.MySQL解除临时锁表只读命令

unlock tables；

36.开启MySQL中继日志的配置文件参数

[root@ZhangSiming ~]# cat /etc/my.cnf
[mysqld]
relay-log=relay-bin

之后重启mysql，可以发现二进制日志文件在/usr/local/mysql/data/目录下

37.输入命令临时跳过一条sql线程的解析的命令

set global sql_slave_skip_counter=1；
#在MySQL主从同步，从库中执行

38.MySQL主从复制延迟时间.在哪里查看？（写出参数）

show slave status\G
#下面显示的信息有一句
Seconds_Behind_Master: 0
#0表示没有延迟

39.MySQL主从复制延迟时间大.都有哪些可能的原因及你建议的解决办法？（详细描述.此题8分）

1.主库的从库太多，导致复制延迟
解决：一般一个主库五个从库最多，不可再添加从库
2.从库的硬件条件比主库差，导致复制延迟
解决：提升从库硬件条件
3.慢SQL语句太多
解决：开启从库的慢查询日志，会记录执行时间超过指定时间的SQL语句，告诉开发，让开发去更新优化语句
4.主从复制的设计问题，从库的SQL线程为单线程，只能一条一条处理并发过来的SQL语句，所以会有延迟
解决：更新版本，mysql5.6版本之后从库的SQL线程为多线程，大大降低了延迟
5.主从库之间的网络问题
解决：优化网络
6.主库读写压力大，导致复制的时候就产生了延迟
解决：更新主库硬件配置

40.假如MySQL的binlog日志把系统盘空间占满了.你如何在不影响数据安全的情况下解决这个问题？

MySQL主从复制环境：

主库：
mysql> show master status;
+------------------+----------+--------------+------------------+
| File             | Position | Binlog_Do_DB | Binlog_Ignore_DB |
+------------------+----------+--------------+------------------+
| mysql-bin.000004 |      204 |              |                  |
+------------------+----------+--------------+------------------+
1 row in set (0.00 sec)
#查看MySQL主库正在使用哪个二进制日志文件
从库：
mysql> show slave status\G
*************************** 1. row ***************************
               Slave_IO_State: Waiting for master to send event
                  Master_Host: 192.168.17.183 
                  Master_User: checkaccount
                  Master_Port: 3306
                Connect_Retry: 60
              Master_Log_File: mysql-bin.000004
          Read_Master_Log_Pos: 204
...省略以下信息...
#看从库复制主库二进制文件复制到了哪里，确认没有复制延迟
主库：
mysql> purge master logs to 'mysql-bin.000004';      #删除正在使用的二进制日志之前的所有二进制日志
Query OK, 0 rows affected (0.00 sec)
mysql> show master logs;
+------------------+-----------+
| Log_name         | File_size |
+------------------+-----------+
| mysql-bin.000004 |       204 |
+------------------+-----------+
1 row in set (0.00 sec)
#可以看到，只剩最新的二进制日志文件了；既然从库已经备份好了的数据，就可以从主库删除相关二进制日志文件从而优化磁盘空间
[root@ZhangSiming ~]# cat /etc/my.cnf
[mysqld]
log-bin=mysql-bin
expire_logs_days = 7
#最后再主库加入二进制日志过期时间，7天默认销毁
mysql> show variables like '%expire%';
+------------------+-------+
| Variable_name    | Value |
+------------------+-------+
| expire_logs_days | 7     |
+------------------+-------+
1 row in set (0.00 sec)

41.MySQL5.6x版和MySQL5.7x版本的数据库有什么新特性？

MySQL5.6版本新特性

1.支持启用GTID，在配置主从复制，传统的方式里，你需要找到binlog和POS点，然后change master to 指向。在mysql5.6里，无须再知道binlog和POS点，只需要知道master的IP/端口/账号密码即可，因为同步复制是自动的，MySQL通过内部机制GTID自动找点同步，避免了增量同步的遗漏或者重复；
2.从库支持无损复制、延迟复制、基于库级别的并行复制；
3.基于Row复制只保存改变的列，大大节省磁盘空间，网络，内存等；
4.mysqlbinlog可远程备份binlog；
5.可统计信息的持久化。避免主从之间或数据库重启后，同一个SQL的执行计划有差异；
6.支持全文索引；
7.支持把Master和Slave的相关信息记录在Table中；原来是记录在文件里，现在则记录在表里，增强可用性；
8.支持多线程复制：事实上是针对每个database开启相应的独立线程，即每个库有一个单独的sql_thread；从库支持多SQL线程。

MySQL5.7版本新特性

1.支持在线开启GTID复制；
2.可在线修改Buffer pool的大小；
3.可查看当前正在执行的SQL的执行计划；（EXPLAIN FOR CONNECTION）
4.引入了查询改写插件(Query Rewrite Plugin),可在服务端对查询进行改写；
5.引入ALTER USER命令，可用来修改用户密码，密码的过期策略，及锁定用户等；
6.mysql.user表中存储密码的字段从password修改为authentication_string；
7.支持表空间加密；
8.优化了Performance Schema，其内存使用减少；
9.同一触发事件（INSERT，DELETE，UPDATE），同一触发时间（BEFORE，AFTER），允许创建多个触发器。在此之前，只允许创建一个触发器；
10.引入了新的逻辑备份工具-mysqlpump，支持表级别的多线程备份；
11.引入了新的客户端工具-mysqlsh，其支持三种语言：JavaScript, Python and SQL。两种API：X DevAPI，AdminAPI，其中，前者可将MySQL作为文档型数据库进行操作，后者用于管理InnoDB Cluster；
12.mysql_install_db被mysqld --initialize代替，用来进行实例的初始化；
13.可设置SELECT操作的超时时长；（max_execution_time）
14.可通过SHUTDOWN命令关闭MySQL实例；
15.SQL线程变为组提交，批量结息SQL语句，再往从库中写。

42.用户访问网站的基本流程（详细描述.此题8分）

1.用户在WEB浏览器输入域名；
2.DNS解析出域名对应的IP地址；
3.WEB浏览器TCP三次握手连接到WEB服务器，之后WEB浏览器给WEB服务器发送一个HTTP请求URL，告诉WEB服务器用户想要干什么；
4.WEB服务器响应用户的请求，发送一个响应报文给WEB浏览器；
5.WEB服务器关闭http连接，TCP连接（连接保持时间后）WEB浏览器遵循HTTP协议解析响应包到屏幕上给用户。（静态网页Web浏览器解析，动态网页WEB服务器解析）

43.DNS域名解析流程（DNS递归查询.DNS迭代查询）（详细描述.此题8分）

DNS递归查询：

1.主机查看内存有没有映射；
2.主机查看本地映射文件有没有映射；
3.主机将DNS域名解析请求发给本地设置的DNS服务器；（LDNS）
4.LDNS查看内存有没有映射；
5.LDNS查看映射文件有没有映射；
6.LDNS查看域名记录本文件有没有映射，如果都没有，就会请求外援进行DNS迭代查询。

DNS迭代查询： 比如查找www.baidu.com的ip地址

1.LDNS向根服务器请求www.baidu.com域名解析；(全球公开的最大的DNS服务器，根服务器，有十三个，其中一种服务器叫做点服务器，所有和点有关系的.com、.cn、.xx都在这里可以找到)
2.根DNS服务器会把对应的.comDNS服务器地址返回给LDNS;
3.LDNS获取到.com对应的DNS服务器地址后，就会去.com服务器请求www.baidu.com域名的解析，.com服务器会把baidu.com对应的DNS服务器地址返回给LDNS;、
4.LDNS再去baidu.com服务器请求www.baidu.com域名的解析，baidu.com服务器会反馈www.baidu.com对应的IP解析记录。如果此时还没有找到解析记录，就表示企业的域名人员没有为www.baidu.com域名做解析，即网站还没架设好；
5.最后，LDNS保存内存一份映射，之后发给主机；主机同样保存内存一份映射之后用解析出的ip三次握手连接到百度WEB服务器；这种从根DNS服务器开始一点一点迭代的过程叫做DNS迭代查询。

44.http和https的默认端口号？

http协议默认访问WEB服务器的80端口；
https协议默认访问WEB服务器的443端口，用于私密支付

45.返回码：200.301.302.304.403.404.500.502.503.504的含义（详细描述.此题8分）

46.URL由什么组成？所谓请求是什么东东？uri又是什么？

HTTP请求：是指从客户端到服务器端的请求消息。包括：主机名、端口、对资源的请求方法、统一资源标识符及使用的协议等;
URL：统一资源定位符，URL是Internet上用来描述信息资源的字符串，主要用在各种WWW客户程序和服务器程序上网页地址，一个用户的完整请求就是一个URL;
URI：统一资源标识符，表示页面的存储路径和资源的具体地址;
URL=域名+URI

47.http协议里GET和POST请求的区别？

GET请求：客户端请求指定的资源信息，服务端返回指定资源；对用户输入的信息不做任何处理，是一种快速的读请求，缺点是容易被黑客截获;
POST请求：将客户端的数据提交到服务器；是一种加密的对服务器的写请求，信息不会出现在URL上，不公开，很安全，一般用于注册表单。

48.什么是静态网页.什么是动态网页？

静态网页：在网站设计中，纯粹HTML格式的网页（可以包含图片，视频，JS（前端功能实现），CSS（样式）等）通常被称为“静态网页”；静态网页一般没有后台数据库支持，不含后端程序，不含可交互页面的网页，是独立存在在服务器上的静态网页文件；
动态网页：动态网页的URL后缀不是.htm,.html等静态网页的常见后缀扩展名形式，而是以.asp,.php,.js等形式作为后缀的，并且一般在动态网页网址中会有标志性的符号“？，&”，动态网页大多数情况下有数据库支持，包含后端程序，服务器解析这些程序或者读取后端数据库返回一个完整的网页内容，网页交互性较好。

49.伪静态网页的本质是什么？

伪静态网页的本质是PHP解析器根据.php文件中的动态php代码激活解析为SQL语句，去到数据库拿取生成临时动态网页到PHP内存里。先存到本地磁盘中，伪装为一个静态网页的形式.html，再返回给用户。好处是，下次用户再访问，直接把保存的.html静态网页文件返回给用户，加大了效率。（但是如果更新频繁的业务不适用与这种伪静态）

50.前端语言的种类.后端语言的种类

前端：html、CSS、JavaScript等
后端：PHP、JSP、ASP等…

51.报头是什么？主体是什么？

WEB服务的器HTTP响应报文结构：响应报文头部+响应报文主体；
报头：记录了访问用户和服务端的属性信息，用来说明WEB服务器响应WEB客户端URL的状况，包括协议及版本号，状态返回码等；
主体：用户请求的网页内容，文本或者二进制图片视频等…

52.什么是IP.PV.UV？(网站流量统计中)

IP(独立IP):即Unique Visitor
,独立IP数是指不同IP地址的计算机访问网站时被计算的总次数，一天内相同的IP地址的客户端访问网站页面只被计算一次；
PV（访问量):即Page View,页面浏览量或点击访问量，每次刷新WEB服务器的网站的页面就会被计算一个PV；
UV(独立访客):即Unique Visitor，访问您网站的一台电脑客户端为一个独立访客，就是浏览器的cookie。这种方式用作网站的流量数基本准确，但是无法排除一台电脑多个用户使用的情况。

53.Nginx服务三大功能？

1.WEB服务，相比于Apache支持更多的并发连接访问，而且占用资源更少，效率更高；
2.反向代理负载均衡；
3.前端业务数据缓存服务。

54.apache和nginx的网络模型是什么？

apache采用的是传统的select模型，同步阻塞I/O事件处理模型，处理大量并发连接的读写时比较低效；
nginx采用最新的epoll模型，异步非阻塞I/O事件处理模型，效率高。

55.同步阻塞I/O和异步非阻塞I/O的含义？（详细描述.此题8分）

阻塞：一个线程调用过程必须完成才返回；期间如果遇到I/O读写，线程就在那里等待I/O读写完成，I/O读写完成才返回；线程这个等待就叫做阻塞；
同步阻塞I/O：程序运行过程中触发了I/O读写，线程就卡在原地等着，线程等待整个I/O过程结束才返回，同步必然阻塞。
异步非阻塞I/O：程序运行过程中触发了I/O读写，线程会直接返回，去进行其他工作；等待下一个程序也触发了I/O读写，线程再回来处理；效率极高，没有浪费，异步非阻塞。

56.什么叫做连接保持.它的作用是什么？（详细描述.此题8分）

连接保持：保持的是TCP三次握手；在传输完成之后，服务器不是立即断开连接，而是会保持数据传输状态一段时间以等待新的数据，这个时间称为连接保持时间。好处是减少了TCP每次都要三次握手对于时间和资源的浪费，加大了效率。

57.如果用户是通过IP地址访问网站的.如何让它只能看指定的server网站？

在Nginx配置文件中，server监听端口后追加default_server。

...省略...
 server {
        listen   80   default_server;      #在端口后加default_server
        server_name  www.zhangsiming.com ;
        location / {
            root   html;
            index  index.html index.htm;
        }
...省略...

58.nginx的location五种优先级过滤规则（中文和符号都要写.并解释含义）（详细描述.此题8分）

优先级从高到低：1.location = 字符串 ：精确前缀匹配；
2.location ^~字符串 ：前缀字符串优先匹配；
3.location ~（~*）正则 ：正则匹配，*忽略大小写；
4.location 字符串 ： 常规字符串前缀匹配；(/images/优先级高于/images)
5.location / ： 默认匹配，默认最后进这个location。

59.nginx的403访问报错有可能是什么原因？

1.Nginx配置文件里没有配置默认首页参数，或者网站根目录下没有对应的index.html、index.htmindex.php等文件；Nginx在跳转首页没成功的情况下，会触发安全机制返回403权限拒绝，不会把整个根目录给你看；
2.网站的根目录或者内部程序文件没有nginx程序用户访问权限，nginx程序用户看不了里面的内容自然会返回403权限拒绝；（文件内容要有r权限，目录要有x权限）
3.配置文件里配置了allow ip；deny ip等权限限制，导致某个IP地址的客户没有权限访问返回403；
4.自行编写的return 403；

60.nginx的404访问报错有可能是什么原因？

服务器找不到客户端请求的指定页面，可能是客户端请求了服务器上不存在的资源导致

61.LNMP服务器运行原理？（详细描述.此题8分）

LNMP指的是Linux+Nginx+MySQL+PHP

• 静态请求：

1.静态请求URL到达负载均衡服务器，被负载均衡到Nginx；
2.Nginx处理静态请求(图片、视频、.html结尾的网页);Nginx的监听进程收到请求后，将请求传递给Nginxworker进程，Nginxworker中的Nginx processes线程去干活根据不同URI进入不同location去拿取需要的文件到Nginx内存中，之后返回给负载均衡服务器返回给用户。

• 动态请求：

1.动态请求的http数据包通过负载均衡到Nginx Web服务器，由于Nginx处理不了动态请求，准备发给后方的PHP；
2.Nginx基于fastcgi接口规则，通过Nginx上的fastcgi客户端fastcgi_pass将http数据包转换为fastcgi数据包发送给PHP上的fastcgi服务端PHP-fpm；fastcgi数据包大小比较大，格式非常严谨，因此PHP解析的速度非常快；
3.fastcgi数据包传输到PHP后，PHP先把.php文件中的代码读取到PHP内存中，对于静态部分不作处理，对于动态代码，PHP解析器php.ini解析开发写的PHP代码，激活PHP代码为SQL语句去找MySQL去拿取动态数据代码，取回来替换.php文件中原本的动态代码，之后从PHP内存中把处理后的.php文件内容返回给Nginx，进一步返回给用户。

62.fastcgi是什么？它的客户端和服务端名字叫啥？

fastcgi是一个可伸缩的，高速地在HTTP服务器和动态脚本语言间通信的接口；Nginx和PHP之间的传输是基于这种接口规则。

fastcgi Client为fastcgi_pass------在Nginx内；
fastcgi Server 为php-fpm -------在PHP内。

63.fastcgi服务端监听什么端口

PHP-fpm默认监听9000端口，为socket进程。

64.在nginx配置文件里.哪行代码体现了fastcgi客户端和服务端的数据传输过程？

location ~ \.(php|php5)?$ {
            root   html/blog;
            fastcgi_pass 127.0.0.1:9000;
#这行代码提现了fastcgi数据传输过程(IP:端口)
            fastcgi_index  index.php;
#这行代码指定了动态首页
            include fastcgi.conf;
#这行代码include了Nginx自身带的优化fastcgi文件
        }
#这个location实现的功能就是过滤出动态请求的URL并传递给PHP

65.什么叫做高可用？什么叫做单点故障？

高可用：集群中任意一个节点失效的情况下，该节点上的所有业务会自动转移到其他正常节点上，不影响整个集群的运行，即保持了企业业务的7*24小时运行；
单点故障：就是集群中一个节点服务器出现故障，导致整个集群不能正常工作。

66.lvs四层负载均衡和nginx七层反向代理的本质区别？（详细描述.此题8分）

LVS和Nginx负载均衡的本质区别：LVS是通过转发数据包实现的负载均衡;Nginx是通过反向代理实现的负载均衡。(Nginx新版本也支持转发数据包--with-stream模块)

67.手写一个简单的负载均衡配置文件（必须包含server模块和upsteam模块内容）（详细描述.此题8分）

（1）服务器池的名字www_pools
（2）RS节点两个.IP地址为：192.168.200.100.192.168.200.200

worker_processes  1;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    upstream www_pools {
    server 192.168.200.100 weight=1;
    server 192.168.200.200 weight=1;
}
    server {
        listen   80 ;
        server_name  www.yunjisuan.com;
        location / {
        proxy_pass http://www_pools;
#在http段下注意不要少了http://
        proxy_set_header host $host;
        proxy_set_header host $host;
#后方RS节点的日志格式也要相应调整
        }
}
}

68.新搭建的nginx反向代理.但后方节点RS的访问日志里没有用户的真实来源IP。

请问这是为什么？以及如何让后方Web访问日志记录用户的真实来源IP地址。

这是因为Nginx反向代理负载均衡给后方节点RS的请求，是Nginx反向代理服务器作为来源IP发起的新请求，所以后方节点RS的访问日志中只能查出Nginx反向代理服务器的IP。

解决：

#Nginx反向代理服务器配置文件
worker_processes  1;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    upstream www_pools {
    server 192.168.200.100 weight=1;
    server 192.168.200.200 weight=1;
}
    server {
        listen   80 ;
        server_name  www.yunjisuan.com;
        location / {
        proxy_pass http://www_pools;
        proxy_set_header X-Forwarded-For $remote_addr;
#通过Nginx内置变量remote_addr记录用户真正的来源IP并赋值给Nginx反向代理服务器发起的新请求头部中的X-Forward-For变量
        }
}
}
#Web节点配置文件
worker_processes  1;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    log_format main ‘$remote_addr-$remote_user[$time_local]“$request”’
                    ‘$status $body_bytes_sent “$http_referer”’
                    ‘“$http_user_agent”“$http_x_forward_for”’;
#设置后方Web节点的日志格式，引用和这个日志格式，就可以显示真实的来源IP了
    access_log logs/access.log main;
    server {
        listen   80 ;
        server_name  www.yunjisuan.com ;
        location / {
        root html;
        index index.html;
        }
}
}

69.新搭建的nginx反向代理.后边RS虚拟了两个网站.bbs和www。但是.我们发现无论用bbs还是www域名访问反向代理时.只能看到RS的第一个bbs网站请问这是为什么？以及要如何避免这种问题？

因为虽然Nginx反向代理服务器收到请求后，知道了用户请求的域名，但是Nginx反向代理服务器没有记录这个域名到发起的新请求中，而是直接用IP去找了后方RS节点服务器，所以后面RS节点收到新请求后，默认只给到第一个server。

解决:

#Nginx反向代理服务器配置文件
worker_processes  1;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    upstream www_pools {
    server 192.168.200.100 weight=1;
    server 192.168.200.200 weight=1;
}
    server {
        listen   80 ;
        server_name  www.yunjisuan.com;
        location / {
        proxy_pass http://www_pools;
        proxy_set_header host $host;
#代码的意思是，在Nginx反向代理服务器发起新请求时，把用户输入的$host域名赋给proxy_set_header新请求头部里的host部分，这样就告诉了后端RS节点用户请求的域名，就可以根据域名返回指定的server内容了
        }
}
}

70.什么叫做会话保持？Nginx反向代理服务器实现会话保持的四种方法？（详细描述.此题8分）

会话(session):如果用户需要登录，那么可以理解为经过三次握手以后，客户端与服务器端建立的就是会话；
连接(connection):如果用户不需要登录，那么可以理解为经过三次握手以后，客户端与服务器端建立的就是连接；
会话保持：是指在负载均衡器上的一种机制，可以识别客户端与服务器之间交互过程的关联性，在作负载均衡的同时并且保证一系列相关联的访问请求都会分配到一台后方节点上。

Nginx反向代理服务器实现会话保持的四种方法：

1.ip_hash

当新的请求到达时，Nginx反向代理服务器先将其IP通过hash算法算出一个值，在所有的客户端请求中，只要hash的值相同，就会被分配到同一台服务器,该方法可以有效解决会话保持；但是不足的是如果某个IP频繁访问，经过ip_hash算法都会去到一个后端服务器，就失去了负载均衡的意义；

2.consistent_hash一致性哈希调度算法

Nginx默认没有，需要从Tengine上打补丁，一般用于代理后端缓存服务memcached等场景，根据用户请求的URI或者指定字符串进行一致性哈希算法计算，然后调度到后端服务器上，可有效解决会话保持问题；

3.cookie共享方式

两种方式：
(1)独立用户第一次过来就记录了一个cookie，LVS或者Nginx反向代理就记住了，之后每次这个独立访客都给到一个后端服务器；
(2)将验证信息写入cookie，发给第二个接待用户的后端服务器。连接过来的时候，从cookie比对验证信息，实现会话保持；

4.session共享方式

每次同一个用户过来比对验证的时候，不在和本地验证，把验证信息保存在数据库缓存(kafka、Redis)中（修改PHP配置文件，把session存放的位置放到远程数据库缓存服务器），当切换界面，负载均衡连接到不同的Web服务器的时候，所有的后端节点服务器从数据库缓存中找随机图片验证的答案，进行比对，实现会话保持。(企业用的多)

71.简单描述网站图片盗链的本质是什么？

盗链是指服务提供商自己不提供服务的内容，通过技术手段绕过其它有利益的广告或最终用户界面，直接在自己的网站上向最终用户提供其它服务提供商的服务内容，骗取最终用户的浏览和点击率。盗链者不提供资源或提供很少的资源，而真正的服务提供商却得不到任何的收益。

72.NginxWeb服务器图片访问基本流程原理？（详细描述.此题8分）

1.浏览器根据请求URL找到对应的.html文件，解析文件中文字内容；
2.之后，浏览器处理解析html文件中的图片动态代码，发起一个新的静态请求去找这个图片；
3.静态服务器本地有的就从存储(NFS、GlusterFS)中拿取返回，本地没有的图片去网络找图片文件；
4，将找回的图片替换动态代码区域，和文字一并返回给用户。

73.Keepalived三大功能？

1.管理LVS软件负载均衡；
2.实现对LVS后端RS节点健康检查功能；
3.作为系统网络服务的高可用功能。

74.Keepalived是基于什么协议实现的故障转移？此协议的作用是什么？（详细描述.此题8分）

Keepalived是基于VRRP协议（虚拟路由冗余协议）实现的故障切换转移；
VRRP协议的作用：VRRP是一种容错协议，此协议的出现就是为了解决静态路由的单点问题，它利用广播的方式实现高可用对之间的通信，并可以在主节点出现故障的时候自动把业务转移到备节点。

75.Keepalived故障切换转移原理完整描述？（详细描述.此题8分）

Keepalived故障切换转移原理完整描述：
1.Keepalived高可用服务之间的故障切换转移，是通过VRRP协议实现的；
2.在Keepalived服务正常工作时，首先根据优先级选举出Master节点，Master 节点拥有VIP。Master节点通过发送ARP报文(多播)，将自己的虚拟MAC地址通知给与它连接的设备或者主机，从而承担报文转发任务；(用户的请求会来到Master节点上)
3.期间Master节点周期性发送多播，用以告诉备节点自己还活着；
4.如果备节点在一段时间内收不到Master节点发出的广播包，就判定Master节点死亡，将根据优先级竞争重新选举新的Master节点，继承VIP；
5.选举的新的Master节点代替原有Master节点发送广播给其他备节点，承担报文转发任务；
6.优先级高的Master节点恢复时，VIP又自动漂移回来，用户继续访问VIP去到原来的Master节点。

76.keepalived高可用对上是有脚本的。分别都是什么脚本？描述一下脚本的作用和设计思路？（详细描述.此题8分）

Keepalived检测漂移脚本(主上)

作用：实现Nginx服务不正常时候也正常漂移接管VIP的功能。
设计思路：
当检测不出Nginx服务的端口(80)的时候，关闭Keepalived服务，使VIP漂移。

检测高可用裂脑脚本(备上)

作用：实现检测裂脑的功能。
设计思路：
1.如果备服务器可以ping通主服务器心跳线网卡，同时nmap或者telnet检测对方nginx正常工作，但是备Keepalived服务器有vip就报警------防火墙挡住了心跳包；
2.如果备服务器ping不通主服务器心跳线网卡，就ping主Keepalived服务器另外一块网卡。如果ping另外一个块网卡成功了，同时nmap或者telnet检测对方nginx正常工作，但是备Keepalived服务器有vip就报警------心跳线断了。

77.为何keepalived高可用对之间要用专门的心跳线进行连接？

因为在同一局域网中，可能有多组keepalived高可用队。如果不用专门的心跳线，当有keepalived主机发生宕机时，备份服务器却还会收到同网段其他高可用主机发送的广播报，而不会启动接管程序，从而导致服务中止，所以必须要专门的心跳线进行连接，以避免出现上述情况。

心跳线好处：

1.防止中间其他设备故障引起裂脑；(交换机等)
2.防止与其他高可用对互相收广播包冲突。

78.tomcat的端口号是多少？

Tomcat服务端监听端口：8080
Tomcat监听SHUTDOWN命令进程端口:8005
Tomcat ajp连接端口:8009

79.tomcat四种基础的安全优化两种基础性能优化？

四种安全优化：

1.降权启动：普通用户启动Tomcat；
2.telnet管理端口保护：修改默认的8005为其他的端口；
3.ajp连接端口保护：屏蔽掉Tomcat的8009端口；
4.禁用管理端：删除webapps目录下不需要用到的目录，并清除webapps/ROOT初始安装下面的所有文件。规避可能的代码漏洞。

2种基础性能优化：

1.屏蔽DNS查询：进制DNS反向解析，enableLookups="false"
2.JVM调优：优化catalina.sh脚本

80.生产环境下某台tomcat服务器.在刚发布的时候一切都很正常.在运行一段时间后就出现CPU占用很高的问题.基本上是负载一天比一天高。诸如此类问题.请排查！

问题分析：
1.程序密集频繁调用CPU，联系开发排查情况；
2.程序代码出现死循环。

优化排查过程：

1.首先查找进程高的PID号(先找到是哪个PID号的进程导致的)

[root@ZhangSiming ~]# top -H -n1 
#-H：显示所有线程数、-n：显示几次的静态结果
top - 20:04:35 up 4 min,  2 users,  load average: 0.06, 0.08, 0.04
Threads: 154 total,   1 running, 153 sleeping,   0 stopped,   0 zombie
%Cpu(s):  0.0 us,  5.9 sy,  0.0 ni, 94.1 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem :   997956 total,   574916 free,   208536 used,   214504 buff/cache
KiB Swap:  2097148 total,  2097148 free,        0 used.   622588 avail Mem 
   PID USER      PR  NI    VIRT    RES    SHR S %CPU %MEM     TIME+ COMMAND    
  1504 root      20   0 2266976  80436  13348 S  6.7  8.1   0:00.09 java       
  1541 root      20   0  161980   2176   1536 R  6.7  0.2   0:00.01 top        
     1 root      20   0  125348   3824   2564 S  0.0  0.4   0:01.06 systemd    
     2 root      20   0       0      0      0 S  0.0  0.0   0:00.00 kthreadd   
...省略...

2.之后查看占用CPU、MEM高的进程的线程调用情况

[root@ZhangSiming ~]# yum -y install strace &>/dev/null
#yum安装strace
[root@ZhangSiming ~]# strace -p 1504
strace: Process 1504 attached
futex(0x7f4db2fb59d0, FUTEX_WAIT, 1505, NULL^Cstrace: Process 1504 detached
 <detached ...>
#这个1505就是线程号

3.最后利用jstack找出高占用线程调用的开发代码，交给开发处理

[root@ZhangSiming ~]# printf "%x\n" 1505
5e1
#将线程号换为16进制
[root@ZhangSiming ~]# jstack 1504 | grep 5e1 -A 30
#用jstack追踪1504中过滤高占用线程的代码调用情况，返回给开发
"main" #1 prio=5 os_prio=0 tid=0x00007f4dac009000 nid=0x5e1 runnable [0x00007f4db2fb3000]
   java.lang.Thread.State: RUNNABLE
    at java.net.PlainSocketImpl.socketAccept(Native Method)
    at java.net.AbstractPlainSocketImpl.accept(AbstractPlainSocketImpl.java:409)
    at java.net.ServerSocket.implAccept(ServerSocket.java:545)      #这里显示的为java代码中的545行
...省略...

81.tomcat的日志文件叫什么名字？

Linux下Tomcat的标准输出与标准错误都会输出到/usr/local/tomcat/logs/catalina.out；
/usr/local/tomcat/logs下除了catalina.out还有两种日志文件：catalina.{yyyy-MM-dd}.log和localhost.{yyyy-MM-dd}.log；
catalina.{yyyy-MM-dd}.log是tomcat自己运行的一些日志，这些日志还会输出到catalina.out，但是应用向console(控制台)输出的日志不会输出到catalina.{yyyy-MM-dd}.log；
localhost.{yyyy-MM-dd}.log主要是应用初始化(listener, filter, servlet)未处理的异常最后被tomcat捕获而输出的日志，而这些未处理异常最终会导致应用无法启动。

82.MHA故障切换转移原理（详细描述.此题8分）

1.从宕机崩溃的master保存二进制日志事件（binlog events）；
2.识别含有最新更新的slave，如果MHA配置文件设置了优先备选的主，就识别这个主；
3.应用差异的中继日志（relay log）到其他的slave；
4.应用从master保存的二进制日志事件（binlog events）；
5.提升一个slave为新的master；
6.使其他的slave连接新的master进行复制。

83.MySQL的从库的relay-log日志如果太大了怎么办？

[root@ZhangSiming ~]# mysql -uroot -S /usr/local/mysql/tmp/mysql3307.sock -e "show slave status\G" | grep Seconds_Behind_Master
        Seconds_Behind_Master: 0
#查看MySQL主从同步是否有延迟，0代表没有延迟
[root@ZhangSiming ~]# mysql -uroot -S /usr/local/mysql/tmp/mysql3307.sock -e "stop slave;" 
#先停止MySQL主从复制
[root@ZhangSiming ~]# mysql -uroot -S /usr/local/mysql/tmp/mysql3307.sock -e "reset slave;" 
#再用reset slave直接删除master.info和relay-log.info文件，并删除所有的relay log，然后重新生成一个新的relay log

然后在MySQL配置文件中修改参数"max_relay_log_size"，可限制以后生成的relay_log文件大小。

84.MHA的MySQL高可用架构.如何解决MHA管理端的单点问题？

在企业中，除了主库和备库，其它每个从库上都装MHA管理端，这样就保证了MHA管理端的高可用性，当master出现故障时，他们都可以自动将合适的slave提升为新的master，然后将所有其他的slave重新指向新的master。

85.什么叫做DevOps

DevOps（Development和Operations的组合词）是一种重视“软件开发人员”和“IT运维技术人员”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程，来使得构建、测试、发布软件能够更加地快捷、频繁和可靠。

86.什么叫做CI/CD流水线

CI/CD流水线指的是DevOps自动化的一个持续构建、持续部署和持续交付的流程。

• 持续集成(Continuous Integration):代码合并，构建，部署，测试都在一起，不断地执行这个过程，并对结果反馈；
• 持续部署(Continuous Deployment):部署到测试环境、预生产环境、生成环境；
• 持续交付(Continuous Delivery):将最终产品发布到生产环境、给用户使用。

87.请描述DevOps自动化CI/CD自动化测试的基本流程（jenkins+svn+ansible实现）（详细描述.此题8分）

1.开发提交代码变更到SVN服务器；
2.Jenkins拉取变更的代码，通过Jenkins集成构建，利用ansible(一般为Jenkins从节点)部署到测试环境服务器；
3.测试人员在测试服务器上进行测试并将测试结果反馈给开发。

88.生产环境服务器自动化代码上线需要ansible吗？

可以不需要，因为Jenkins自身的Pipeline流水线脚本配合相关插件就具有部署到集群的功能
但是，一般生产环境中，对于一个部署系统的要求绝对不仅仅是一个自动化的部署过程，实际生产中需要解耦构建和部署过程、管理复杂的部署环境、
支持多种部署策略等；所以，一般需要ansible独立作为部署工具。

89.jenkins+svn和jenkins+svn+ansible的使用环境差异在哪里？

对于上线代码到一台服务器

二者没有任何区别；Jenkins+svn方法需要安装部署插件即可实现部署的功能，Jenkins+svn+ansible方法可以在Jenkins上安装ansible可视化插件方便看部署过程；

对于上线代码到多台服务器集群

Jenkins+svn需要把集群节点全部配置为Jenkins从节点，之后启用Jenkins Pipeline项目，比较麻烦；Jenkins+svn+ansible可以直接把节点写入ansible配置文件，利用ssh远程部署，比较方便。

90.Zabbix-sever端的Pollers进程和Trappers进程的作用

Pollers进程:用于Zabbix Server的主动模式，Zabbix Server端主动收集数据用的进程，数量越多Zabbix Server压力越大；
Trappers进程:用于Zabbix Server的被动模式，Zabbix Server负责处理Agent端推送过来的数据的进程，Zabbix Server被动模式的时候，这个Trapper进程数量要多一点。

91.ZabbixServer默认监听端口？ZabbixAgent默认监听端口？

Zabbix Server默认监听10051端口；
Zabbix Agent默认监听10050端口。

92.Zabbix-agent主动模式和被动模式的区别？及在哪修改agent主动模式

Zabbix-agent主动模式：是Agent端主动把数据推送给Server端，Server端通过10051端口来接收数据；
Zabbix-agent被动模式：是Zabbixserver端主动找Agent端要数据，这种模式对Server端的压力非常大。
Zabbix-agent默认是被动模式，可以在/etc/zabbix/zabbix_agentd.conf修改配置开启Zabbix-agent的主动模式：

[root@ZhangSiming ~]# cat /etc/zabbix/zabbix_agentd.conf | grep ServerActive
ServerActive=192.168.17.133:10051
#ServerActive后接Zabbix Server的IP+端口
#然后Web监控项选择Zabbix主动模式

93.Zabbix-server的监控模式有四种.哪四种？分别是做什么用的？（详细描述.此题8分）

Zabbix Server的四种监控模式：
1.agent代理程序接口模式：设置监控项item来监控监控操作系统，以及软件服务，需要添加各种监控项；
2.SNMP：监控网络设备，交换机路由器。一旦开启了，Zabbix Server端会启一个snmp的端口，等路由器交换机通过SNMP协议发数据包；
3.JMX：专用于监听根java有关的模式；Tomcat外部主动监听是不行的，只有内部送数据出来，从JMX接口；服务端开启JMX就是让java虚拟机（Tomcat）通过JMX主动把数据送出来；
4.IPMI：监控服务器的硬件（需要安装IPMtools的安装包，获取硬件设施，进行推送）。

94.企业中Zabbix-server的监控频率是如何设定的？

监控频率：每次监控数据之间间隔的时间
通过Zabbix Web界面监控项设置中的数据更新时间来设置，一般不低于60s,在工作中通常设为90s,在特殊时间内可设置不同的监控频率，空闲时间一般为300s。

95.企业中Zabbix-server的报警频率是如何设定的？

告警频率：比如每次出现问题警报3次，每次间隔的时间就是告警频率
通过在Zabbix Web界面:配置-动作-创建动作-操作-默认持续步骤持续时间来设置。一般最少设为60s,即每分钟进行发送。同时在操作细节中设定发送次数，即每分钟发送次数，一般设为3次。

96.ZabbixServer如何开启java支持？

#Zabbix server必须有jdk环境
[root@ZhangSiming ~]# java -version
java version "1.8.0_171"
Java(TM) SE Runtime Environment (build 1.8.0_171-b11)
Java HotSpot(TM) 64-Bit Server VM (build 25.171-b11, mixed mode)
#编译Zabbix server支持JMX
[root@ZhangSiming ~]# cd /usr/src/zabbix-3.2.4/
[root@ZhangSiming zabbix-3.2.4]# ./configure --prefix=/usr/local/zabbix --with-mysql --with-net-snmp --with-libcurl --enable-server --enable-agent --enable-proxy --enable-java --with-libxml2 && make && make install
#开启JavaPollers进程，指定JAVAGateway端口
[root@ZhangSiming zabbix]# pwd
/usr/local/zabbix
[root@ZhangSiming zabbix]# sed -n '215p;223p;231p' etc/zabbix_server.conf
JavaGateway=127.0.0.1
JavaGatewayPort=10052
StartJavaPollers=5
[root@ZhangSiming zabbix]# /usr/local/zabbix/sbin/zabbix_java/startup.sh 
[root@ZhangSiming zabbix]# /etc/init.d/zabbix_server start

97.ZabbixServer的java gateway干啥的？监听端口多少？

JavaGateway用来采集TomcatJMX提供的客户端数据，本身是作为一个Tomcat数据采集器的功能而存在。
监听端口为：10052

98.ZabbixServer的Java Pollers进程的作用？

当Zabbix Server需要知道java应用程序的某项性能的时候，会启动自身的一个JavaPollers进程去连接JavaGateway请求数据，JavaGateway作为一个采集器去JMX接口采集Tomcat数据之后返回给，JavaPollers进程，最后回到Zabbix Server。

99.KVM和Docker的本质区别.至少说三点（虚拟化类型.资源占用.程序安全）（详细描述.此题8分）

100.写出至少20个docker命令？（详细描述.此题8分）

101.docker如何限制容器的内存和CPU？如何动态扩展CPU和内存？

限制内存:

[root@ZhangSiming ~]# docker run -dit -m 100m --memory-swap=100m centos
9bd6196ba0942377c935e7628ea0e06279137f6ed8cda1b0d32cc33c99f7955b
#-m限制内存大小、--memory-swap为设置内存+swap的使用限额；如果不设置，默认可以超出-m设置的内存大小2倍才杀掉进程

限制CPU：

[root@ZhangSiming ~]# docker run -dit -c 1024 --cpuset-cpus="0" centos 
7e2e43f8c8dd7240e65915e1afea995aeda29c35d6eff5a887a689ff3234ff58
#-c：限制docker间占用CPU资源的比重，默认比重1024；-cpuset-cpus="CPU编号"：使用哪个编号的CPU
#查看Linux系统CPU编号的方法
[root@ZhangSiming ~]# cat /proc/cpuinfo | grep processor
processor   : 0
processor   : 1
#两个CPU，编号为0和1

动态扩展内存和CPU：

[root@ZhangSiming ~]# docker ps -a
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
7e2e43f8c8dd        centos              "/bin/bash"         4 minutes ago       Up 3 minutes                            suspicious_brattain
[root@ZhangSiming ~]# docker update -m 100m --memory-swap=150m 7e2e43f8c8dd
7e2e43f8c8dd
[root@ZhangSiming ~]# docker update -c 512 --cpuset-cpus="0" 7e2e43f8c8dd
7e2e43f8c8dd
#使用docker update动态扩展内存和CPU

102.Git分布式版本控制系统和SVN中央版本控制系统的区别？

svn管理方便，逻辑明确，更符合一般人的思维习惯，并且易于管理，集中化服务器更能保持安全性，由于只有一个中央版本仓库，代码一致性非常高。但是中央服务器压力太大，数据库容量共用，开发必须联网到中央服务器，还有着单点问题；
Git适合分布式开发，强调个体；远程公共服务器的压力不会太大，支持离线工作，并且任意两个开发之间可以很容易的解决冲突，支持私人远程仓库GitLab；就是学习起来要比SVN更难一点。

103.工作区.暂存区.本地仓库.远程仓库代表的含义？（详细描述.此题8分）

工作区：使用者建立的本地git项目目录；
暂存区：将工作区里变更的部分(与上一版本不同的部分)暂时存储起来，准备提交到本地仓库的区域---git add；
本地仓库：在本地创建的git版本仓库，用于提交工作区的变更---git commit；
远程仓库：GitLab(私有)、GitHub(公有)或者用户在服务器上所建立的一个远程仓库---git push。

104.git fetch.git merge.git pull的区别？

git pull = git fetch + git merge
git pull:获取并整合另一个仓库或者分支；
git fetch：从另外一个软件仓库下载对象或引用到本地；
git merge：融合git fetch拉取的代码到本地软件仓库。
注：工作中一般不用git pull因为怕出现版本冲突。

105.git如何回滚代码到任意版本.请写出大概命令步骤？（详细描述.此题8分）提示：git reflog与git log --pretty=oneline

[root@Zhangsiming aaa]# git log --pretty=oneline
#git log看历史版本
a8c2aa5394fcc218e3c636de47663252e88acded 3
253bb2ed1585fb8ea5b0947a61e7825f1cfec50e 2
460ac29f2c34c389ef55d4341d705ca1d5142ddc 1
[root@Zhangsiming aaa]# git tag v1.2
#历史有三个版本，现在处于版本3，tagv1.2
#利用哈希码回滚到版本1
[root@Zhangsiming aaa]# git reset --hard 460ac29f2c34c389ef55d4341d705ca1d5142ddc
HEAD is now at 460ac29 1
[root@Zhangsiming aaa]# ls
1
[root@Zhangsiming aaa]# git log --pretty=oneline
460ac29f2c34c389ef55d4341d705ca1d5142ddc 1
#此时用git log无法查看未来版本，需要用git reflog
#利用哈希码回滚到未来版本
[root@Zhangsiming aaa]# git reflog 
460ac29 HEAD@{0}: reset: moving to 460ac29f2c34c389ef55d4341d705ca1d5142ddc
a8c2aa5 HEAD@{1}: commit: 3
253bb2e HEAD@{2}: commit: 2
460ac29 HEAD@{3}: commit (initial): 1
[root@Zhangsiming aaa]# git reset --hard 253bb2e
HEAD is now at 253bb2e 2
[root@Zhangsiming aaa]# ls
1  2
#利用tag回滚到未来版本tagv1.2
[root@Zhangsiming aaa]# git reflog 
253bb2e HEAD@{0}: reset: moving to 253bb2e
460ac29 HEAD@{1}: reset: moving to 460ac29f2c34c389ef55d4341d705ca1d5142ddc
a8c2aa5 HEAD@{2}: commit: 3
253bb2e HEAD@{3}: commit: 2
460ac29 HEAD@{4}: commit (initial): 1
[root@Zhangsiming aaa]# git reset --hard v1.2
HEAD is now at a8c2aa5 3
[root@Zhangsiming aaa]# ls
1  2  3
#利用HEAD指针回滚到上一版本
[root@Zhangsiming aaa]# git log --pretty=oneline
a8c2aa5394fcc218e3c636de47663252e88acded 3
253bb2ed1585fb8ea5b0947a61e7825f1cfec50e 2
460ac29f2c34c389ef55d4341d705ca1d5142ddc 1
[root@Zhangsiming aaa]# git reset --hard HEAD^
HEAD is now at 253bb2e 2
[root@Zhangsiming aaa]# ls
1  2
[root@Zhangsiming aaa]# git reset --hard HEAD~1
HEAD is now at 460ac29 1
[root@Zhangsiming aaa]# ls
1
#HEAD^和HEAD~1都是指向上一版本的版本指针

106.Git分支合并的代码出现冲突如何解决？（详细描述.此题8分）

[root@ZhangSiming aaa]# cat file
hello world
[root@ZhangSiming aaa]# git branch 
  dev
* master
#现在处于master分支，file文件里的内容是hello world
[root@ZhangSiming aaa]# git checkout dev
Switched to branch 'dev'
[root@ZhangSiming aaa]# vim file 
[root@ZhangSiming aaa]# git add *
[root@ZhangSiming aaa]# git commit -m "zhangsiming"
[dev f1cbbfa] zhangsiming
 1 file changed, 1 insertion(+), 1 deletion(-)
#切换分支到dev分支，修改file内容为hello zhangsiming并提交到本地仓库
[root@ZhangSiming aaa]# git checkout master
Switched to branch 'master'
[root@ZhangSiming aaa]# vim file 
[root@ZhangSiming aaa]# git add *
[root@ZhangSiming aaa]# git commit -m "lihaiying"
[master 0b384b3] lihaiying
 1 file changed, 1 insertion(+), 1 deletion(-)
#切换分支回master分支，修改file文件的内容为hello lihaiying并提交到本地仓库
[root@ZhangSiming aaa]# git merge dev
Auto-merging file
CONFLICT (content): Merge conflict in file
Automatic merge failed; fix conflicts and then commit the result.
#合并dev分支到master分支，提示冲突，文件为file
[root@ZhangSiming aaa]# cat file 
<<<<<<< HEAD
hello lihaiying
=======
hello zhangsiming
>>>>>>> dev
[root@ZhangSiming aaa]# vim file 
[root@ZhangSiming aaa]# cat file
hello lihaiying
#修改冲突文件内容
[root@ZhangSiming aaa]# git add *
[root@ZhangSiming aaa]# git commit -m "fixed"
[master d43d7ff] fixed
[root@ZhangSiming aaa]# git branch -d dev
Deleted branch dev (was f1cbbfa).
[root@ZhangSiming aaa]# git branch
* master
#提交修改后的文件，删除dev分支，完成分支合并，解决了冲突

什么情况下会出现分支冲突？

比如现在在master分支，基于这个分支创建一个dev分支，然后可以进行任意修改，并且合并dev分支回到master分支，不会有问题；
如果用户在操作dev分支的时候，master分支别其他人修改了，合并的时候dev分支和master分支存在同文件同行内容不同，才会产生冲突。

107.Git将本地仓库用作远程仓库时的初始化命令？(只初始化本地仓库.不能提交代码)

[root@Zhangsiming aaa]# git init --bare
Initialized empty Git repository in /root/aaa/
[root@Zhangsiming aaa]# ls
branches  config  description  HEAD  hooks  info  objects  refs
#本地远程仓库的URL为:用户@IP:仓库绝对路径
例如：git@192.168.17.132:/home/git/repos

108.GitLab私有仓库一共有几种权限设置.他们之间的差别在哪？（详细描述.此题8分）

项目组成员的五种权限：

109.svn数据迁移到GitLab是通过什么命令实现的？这个命令在什么版本的Git里有？（详细描述.此题8分）

#SVN服务器开启SVN服务
[root@ZhangSiming ~]# svnserve -d -r /application/svndata/
[root@ZhangSiming ~]# ps -elf | grep svn
1 S root       1215      1  0  80   0 - 45179 inet_c 09:18 ?        00:00:00 svserve -d -r /application/svndata/
0 R root       1217   1186  0  80   0 - 28176 -      09:18 pts/0    00:00:00 grep --color=auto svn
#git服务器拉取
[root@ZhangSiming git-2.9.5]# mkdir /svnqianyi
[root@ZhangSiming git-2.9.5]# cd /svnqianyi
[root@ZhangSiming svnqianyi]# which git-svn
/usr/bin/git-svn
[root@ZhangSiming svnqianyi]# git-svn clone --no-metadata svn://192.168.17.160/yunjisuan/master/ /svnqianyi
Initialized empty Git repository in /svnqianyi/.git/
    A   master.txt
r1 = ed493f9a510ee02469f9261c9dd65bb989105ba0 (refs/remotes/git-svn)
Checked out HEAD:
  svn://192.168.17.160/yunjisuan/master r1
[root@ZhangSiming svnqianyi]# tree .
.
└── master.txt
0 directories, 1 file

git-svn命令只有git 2.9.5版本以后才有。

110.GitLab的备份和恢复命令分别是什么?

#开启GitLab服务
[root@ZhangSiming svnqianyi]# gitlab-ctl restart
[root@ZhangSiming svnqianyi]# netstat -antup | grep gitlab
tcp        0      0 127.0.0.1:9229          0.0.0.0:*               LISTEN      15013/gitlab-workho 
#进行GitLab备份
[root@ZhangSiming svnqianyi]# gitlab-rake gitlab:backup:create
Dumping database ... 
Dumping PostgreSQL database gitlabhq_production ... [DONE]
done
Dumping repositories ...
 * demo/demo ... [DONE]
[SKIPPED] Wiki
done
Dumping uploads ... 
done
Dumping builds ... 
done
Dumping artifacts ... 
done
Dumping pages ... 
done
Dumping lfs objects ... 
done
Dumping container registry images ... 
[DISABLED]
Creating backup archive: 1550108504_2019_02_14_11.2.3_gitlab_backup.tar ... done
#数据恢复的时候需要这个码
Uploading backup archive to remote storage  ... skipped
Deleting tmp directories ... done
done
done
done
done
done
done
done
Deleting old backups ... skipping
#进行GitLab数据恢复
#停止相关的数据连接服务
[root@ZhangSiming svnqianyi]# gitlab-ctl stop unicorn
[root@ZhangSiming svnqianyi]# gitlab-ctl stop sidekiq
[root@ZhangSiming svnqianyi]# gitlab-rake gitlab:backup:restore BACKUP=1550108504_2019_02_14_11.2.3
#进行GitLab数据恢复
#重启GitLab
[root@ZhangSiming svnqianyi]# gitlab-ctl restart
#可以检查一下恢复情况
[root@ZhangSiming svnqianyi]#  gitlab-rake gitlab:check SANITIZE=true

111.Jenkins的Pipeline流水线发布PHP项目基本构建流程？（详细描述.此题8分）

1.编写流水线脚本，流水线脚本分为三个阶段:拉取PHP项目代码阶段、部署阶段、完成反馈阶段，并且每个Pipeline节点下内容一致都包括上面三部分；
2.把流水线脚本和PHP项目代码提交到GitLab仓库；
3.启动Jenkins服务，访问Web界面；
4.添加Pipeline需要发布到的服务器为Jenkins从节点；
5.创建一个基于Pipeline发布PHP的流水线项目；
6.添加选择参数化构建(流水线脚本不支持git参数化构建)；
7.配置流水线项目，添加连接远程git仓库的凭据配置，选择并配置"Pipeline script from SCM"，从远程GitLab仓库拉取流水线脚本；
8.进行项目构建。

112.Jenkins的Pipeline流水线发布JAVA项目基本构建流程?（详细描述.此题8分）

1.编写流水线脚本，流水线脚本分为四个阶段:拉取JAVA项目代码阶段、maven构建阶段、部署阶段、完成反馈阶段，由于JAVA需要启动Tomcat，需要在部署阶段添加环境变量：JENKINS_NODE_COOKIE=dontkillme，并且每个Pipeline节点下内容一致都包括上面四部分；
2.把流水线脚本和JAVA项目代码提交到GitLab仓库；
3.启动Jenkins服务，访问Web界面；
4.添加Pipeline需要发布到的服务器为Jenkins从节点；
5.创建一个基于Pipeline发布JAVA的流水线项目；
6.添加选择参数化构建(流水线脚本不支持git参数化构建)；
7.配置流水线项目，添加连接远程git仓库的凭据配置，选择并配置"Pipeline script from SCM"，从远程GitLab仓库拉取流水线脚本；
8.进行项目构建。

113.分布式存储的最大的两个瓶颈在哪？

1.GlusterFS对小文件，尤其是海量小文件存储效率和访问性能表现差，小文件一律推到CDN；
2.网络带宽瓶颈。

114.Glusterfs的存储卷的动态（在线）扩容命令？

[root@GlusterFS1 zhangside]# gluster volume add-brick gs2 replica 2 GlusterFS1:/gluster/brick2 GlusterFS2:/gluster/brick2 force      #进行复制卷的扩容，如果第一次指定的replica为2，扩容也必须是2的倍数
volume add-brick: success
[root@GlusterFS1 zhangside]# gluster volume rebalance gs2 start      #扩容完了进行平衡数据，否则不会生效

115.Glusterfs的磁盘平衡功能的用处是什么？以及命令是什么？

[root@GlusterFS1 zhangside]# gluster volume rebalance gs2 start      

如果扩容之后不进行磁盘平衡，写入的数据还是会写入到原来的磁盘中；需要先将本地的所有数据进行一次平衡，之后的写入才会平均地写入到每个磁盘中。

116.Glusterfs的默认连接端口范围

默认访问端口：24007~24011
Glusterfs各个节点之间连接的TCP端口：49152~49162

117.写出五条Glusterfs的优化参数中文版？

118.Glusterfs服务器我们通常需要监控哪些选项？

监控使用Zabbix的自带模板；
监控项：CPU，内存，主机存活，磁盘空间，主机运行时间，系统负载LOAD等...

119.请说出.一台Glusterfs节点服务器爆炸以后.你是如何处理的(恢复数据的步骤)？

STEP1：首先配置一台与故障机完全一致的机器(IP,硬盘，等等...)，查看故障节点的UUID

[root@GlusterFS2 ~]# gluster peer status
Number of Peers: 3
Hostname: GlusterFS3
Uuid: 07f31c0f-3c17-4928-a1fe-b008593fe327
State: Peer in Cluster (Disconnected)      #记录下这个UUID
Hostname: GlusterFS1
Uuid: c4ef65ed-9dec-4e85-8577-ffb3eb35f471
State: Peer in Cluster (Connected)
Hostname: GlusterFS4
Uuid: e3b38653-2ede-43d6-8e63-4260801b359c
State: Peer in Cluster (Connected)
#把新主机的环境设置为和GlusterFS3一致
[root@GlusterFS5 glu]# hostname -I
192.168.17.226       #IP一致
[root@GlusterFS5 glu]# df -hT | tail -2
df: `/zhangsiming': Stale file handle
/dev/sdb                     ext4      20G  172M   19G   1% /gluster/brick1
/dev/sdc                     ext4      20G  172M   19G   1% /gluster/brick2
[root@GlusterFS5 glu]# which glusterfs
/usr/sbin/glusterfs      #安装glusterfs工具

STEP2：把UUID赋给新主机，执行修复命令

[root@GlusterFS5 glu]# vim /var/lib/glusterd/glusterd.info 
[root@GlusterFS5 glu]# cat /var/lib/glusterd/glusterd.info
UUID=07f31c0f-3c17-4928-a1fe-b008593fe327
operating-version=30712
#自动检测修复成功
[root@GlusterFS2 ~]# gluster peer status
Number of Peers: 3
Hostname: GlusterFS3
Uuid: 07f31c0f-3c17-4928-a1fe-b008593fe327
State: Peer Rejected (Connected)
Hostname: GlusterFS1
Uuid: c4ef65ed-9dec-4e85-8577-ffb3eb35f471
State: Peer in Cluster (Connected)
Hostname: GlusterFS4
Uuid: e3b38653-2ede-43d6-8e63-4260801b359c
State: Peer in Cluster (Connected)
#如果是Volume中的brick坏了，还要在新机器执行修复命令
[root@GlusterFS2 ~]# gluster volume heal gs2 full
Launching heal operation to perform full self heal on volume gs2 has been successful 
Use heal info commands to check status
#查看修复状态
[root@glusterfs04 ~]# gluster volume heal gs2 info
Brick glusterfs03:/gluster/brick1
Status: Connected
Number of entries: 0
Brick glusterfs04:/gluster/brick1
Status: Connected
Number of entries: 0
#修复成功

120.lvs有几种模式？模式之间的本质区别在哪？（一句话解释）

LVS有四种工作模式：

• NAT（Network Address Translation）
• TUN（Tunneling）
• DR（Direct Routing）
• FULLNAT（Full Network Address Translation）

DR模式是直接路由模式；
TUN模式与DR模式的本质区别是LVS和后方可以跨网段；
NAT模式与其他模式的本质区别是访问来回都需要经过LVS，别的模式回的时候不需要经过LVS；
FULLNAT模式与其他模式的区别是访问来的时候，DNAT和SNAT一起做。

121.lvs负载均衡器上有几块网卡？它的后方Web节点.在什么模式下也需要双网卡？

两块网卡，DR模式。

122.LVS的direct routing模式的详细原理解

1.用户输入域名，经过DNS解析，DNS解析出来网关的公网IP，GIP；
2.同网段数据传输依靠MAC地址转换，因此网关要先进行ARP协议获取LVS的MAC地址；
3.在网关设置DNAT，修改目标IP地址，给到LVS服务器（已知VIP获取VMAC）；
4.LVS将数据包转发到RS节点池，期间因为是同网段所以IP地址没有变，只是MAC地址的改变，LVS也需要获取后方RS的MAC地址才能修改目标MAC地址，把数据包发送过去（已知RIP获取RMAC）；
5.为了防止后方的RS节点收到数据包发现目标地址不是RIP而是VIP丢包，后方RS节点就需要绑定VIP地址；并且需要抑制VIP这个地址的VRP响应；
6.处理完成后，返回给用户。网关DNAT管一去一回，改回源为GIP，目标是CIP给到用户。

123.redis的默认监听端口？

Redis默认监听6379端口；
Sentinel默认监听6800端口。

124.redis部署必做的四种初始调优？

• 调整系统文件描述符

[root@ZhangSiming redis]# vim /etc/security/limits.conf 
[root@ZhangSiming redis]# tail -1 /etc/security/limits.conf
* - nofile 10240
[root@ZhangSiming redis]# exit
logout
#退出登录之后重新登录使更改生效
[root@ZhangSiming ~]# ulimit -n
10240
#单个进程文件描述符备改为10240

• 调整系统TCP连接数

[root@ZhangSiming ~]# echo "net.core.somaxconn = 10240" >> /etc/sysctl.conf
[root@ZhangSiming ~]# sysctl -p
net.core.somaxconn = 10240
#调整TCP连接数为10240

• 调整系统内存分配策略

[root@ZhangSiming ~]# echo "vm.overcommit_memory = 1" >> /etc/sysctl.conf
[root@ZhangSiming ~]# tail -1 /etc/sysctl.conf
vm.overcommit_memory = 1
[root@ZhangSiming ~]# sysctl -p
net.core.somaxconn = 10240
vm.overcommit_memory = 1
#调整vm.overcommit_memory为1
[root@ZhangSiming ~]# sysctl -a | grep commit
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.ens32.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
vm.nr_overcommit_hugepages = 0
vm.overcommit_kbytes = 0
vm.overcommit_memory = 1
#调整生效
vm.overcommit_ratio = 50

• 关闭系统内核的巨大内存页支持

[root@ZhangSiming ~]# echo 'echo never > /sys/kernel/mm/transparent_hugepage/enabled' >> /etc/rc.local
[root@ZhangSiming ~]# echo 'echo never > /sys/kernel/mm/transparent_hugepage/defrag' >> /etc/rc.local
[root@ZhangSiming ~]# echo never > /sys/kernel/mm/transparent_hugepage/enabled
[root@ZhangSiming ~]# echo never > /sys/kernel/mm/transparent_hugepage/defrag
[root@ZhangSiming ~]# tail -2 /etc/rc.local
echo never > /sys/kernel/mm/transparent_hugepage/enabled
echo never > /sys/kernel/mm/transparent_hugepage/defrag
#根据日志中警告提示修改

125.redis的两种数据持久化模式是什么？两种模式间有何区别？（详细描述.此题8分）

rdb存储和aof存储；
rdb存储是通过在配置文件中设置save属性开启，每次触发设置的save格式自动触发存储；
aof存储，执行aof重写后会创建一个当前aof文件的体积优化版本。即使重写失败，也不会有任何的数据丢失，因为旧的aof文件在重写操作成功之前不会被修改。从Redis2.4版本开始，aof重写由Redis自行触发，bgrewriteaof命令仅仅用于手动触发重写操作。

126.平滑修改redis配置文件的方法（无需重启redis）？

[root@ZhangSiming ~]# redis-cli config set appendonly yes
OK
[root@ZhangSiming ~]# redis-cli config rewrite
OK

127.redis中必须被屏蔽掉的危险命令都有什么？（至少写出3个）

[root@ZhangSiming ~]# sed -n "28p;58p;59p;60p" /usr/local/redis/conf/redis.conf
appendonly no
rename-command flushall ""
rename-command flushdb ""
rename-command keys ""
#在配置文件最后设置重命名命令为空，就可以屏蔽了；但是注意对于flushall命令，必须设置appendonly no ，否则服务器无法启动
[root@ZhangSiming ~]# redis-server /usr/local/redis/conf/redis.conf
[root@ZhangSiming ~]# redis-cli flushdb
(error) ERR unknown command `flushdb`, with args beginning with: 
[root@ZhangSiming ~]# redis-cli flushall
(error) ERR unknown command `flushall`, with args beginning with: 
[root@ZhangSiming ~]# redis-cli keys
(error) ERR unknown command `keys`, with args beginning with: 
[root@ZhangSiming ~]# redis-cli get key
(nil)
#成功屏蔽掉敏感命令

128.redis手动关闭主从复制的命令（只能在从上进行）

[root@ZhangSiming ~]# redis-cli slaveof no one
OK
[root@ZhangSiming ~]# redis-cli config rewrite
OK

129.我们平时是如何分析redis的Key和Key的大小的?我们为什么要分析？（详细描述，此题8分）

使用pip安装rdbtools工具分析key及key的大小

[root@ZhangSiming ruby-2.2.7]# which rdb
/usr/bin/rdb
[root@ZhangSiming ruby-2.2.7]# rdb -c memory /data/redis-cluster/7000/dump.rdb > /root/memory.csv
#从内存中把.rdb文件键值的所有软链接导入到了/root/memory.csv方便分析
WARNING: python-lzf package NOT detected. Parsing dump file will be very slow unless you install it. To install, run the following command:
pip install python-lzf
[root@ZhangSiming ruby-2.2.7]# cat /root/memory.csv | tr ',' ' ' | sort -k4n | head
#tr是替换命令，把逗号替换为空格，之后sort-k4按照第四行排列，-rn是按照数字倒叙排列(大的在上边)，之后head看前十行就得到了最大的前十的key的大小
database type key size_in_bytes encoding num_elements len_largest_element expiry
0 string key3_00002 72 string 11 11 
0 string key3_00003 72 string 11 11 
0 string key3_00006 72 string 11 11 
0 string key3_00007 72 string 11 11 
0 string key3_00010 72 string 11 11 
0 string key3_00014 72 string 11 11 
0 string key3_00018 72 string 11 11 
0 string key3_00020 72 string 11 11 
0 string key3_00021 72 string 11 11 
#可以找出异常的键值进行优化操作

由于Redis是单进程工作只能使用单核CPU，所以在Redis中不易单key过大，这个单key指的是string类型的。当单key过大时，每一次访问都会造成redis阻塞，其他请求只能等待了，如果应用中设置了1秒超时等，那么用户就会得到一个错误信息。最后删除的时候也会造成redis阻塞；
如果是集群模式下，无法做到负载均衡，导致请求倾斜到某个实例上，而这个实例的QPS会比较大，内存占用也较多；对于Redis单线程模型又容易出现CPU瓶颈，当内存出现瓶颈时，只能进行纵向库容，使用更高配的服务器；
涉及到大key的操作，尤其是使用hgetall、lrange 0 -1、get、hmget 等操作时，网卡可能会成为瓶颈，也会到导致堵塞其它操作，qps 就有可能出现突降或者突升的情况，趋势上看起来十分不平滑，严重时会导致应用程序连不上，实例或者集群在某些时间段内不可用的状态；
假如这个key需要进行删除操作，如果直接进行DEL 操作，被操作的实例会被Block住，导致无法响应应用的请求，而这个Block的时间会随着key的变大而变长。

130.你们公司生产环境的服务器是如何做操作系统安全和性能优化？

系统性能优化

1.精简化安装系统

精简安装策略：
1.仅安装需要的，按需安装，不用不装；
2.开发包、基本网络包、基本应用包。

2.关闭NetworkManager服务并关闭开机自启动

[root@ZhangSiming ~]# systemctl stop NetworkManager 
[root@ZhangSiming ~]# systemctl disable NetworkManager 

3.进行配置DNS设置

1./etc/resolv.conf:临时修改DNS地址，重启网卡会被网卡里面的DNS配置覆盖；
2./etc/sysconfig/network-scripts/ifcfg-ens32网卡中配置DNS。

4.修改服务器自身主机名

[root@ZhangSiming tomcat]# cat /etc/hostname
ZhangSiming
#修改之后重启生效，仅限于CentOS7.5

5.服务器自身主机名映射

[root@ZhangSiming tomcat]# tail -1 /etc/hosts
127.0.0.1 ZhangSiming
#注意一定要有127.0.0.1的映射，因为有些服务需要验证自身的主机名有没有被映射

6.更新常用的yum源及必要软件包的安装

[root@ZhangSiming ~]# cat yum.sh 
#!/bin/bash
ping -c 1 www.baidu.com &>/dev/null
if [ $? != 0 ];then
    echo "network problem" 
    exit 1
fi
yum -y install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm &>/dev/null
yum -y install http://repository.it4i.cz/mirrors/repoforge/redhat/el7/en/x86_64/rpmforge/RPMS/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm &>/dev/null
yum -y clean all   &>/dev/null
yum makecache  &>/dev/null
yum -y update &>/dev/null
echo "yum is ready!"
[root@ZhangSiming ~]# sh yum.sh 
yum is ready!
#yum配置优化完成
[root@ZhangSiming ~]# ls /etc/yum.repos.d/
epel.repo          local.repo               mirrors-rpmforge-testing
epel.repo.rpmnew   mirrors-rpmforge         rpmforge.repo
epel-testing.repo  mirrors-rpmforge-extras
#注意，CentOS7和CentOS6的网yum源地址不同，自行查找下载配套的即可

7.修改时区与定时自动更新服务器时间

推荐时间服务器：ntp.sjtu.edu.cn ntp1.aliyun.com

[root@ZhangSiming ~]# yum -y install ntpdate
[root@ZhangSiming ~]# cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
#修改时区
[root@ZhangSiming ~]# ntpdate ntp.sjtu.edu.cn
#校准时间
23 Feb 14:58:12 ntpdate[1523]: step time server 202.108.6.95 offset -2.118379 sec
[root@ZhangSiming ~]# echo '*/5* * * * /usr/sbin/ntpdate ntp.sjtu.edu.cn >> /var/log/ntp.log 2>&1; /sbin/hwclock -w' >> /var/spool/cron/root
#加入定时任务，每5分钟执行一次；/sbin/hwclock -w 的意思是将时钟信息刷新到bios里
[root@ZhangSiming ~]# crontab -l
*/5* * * * /usr/sbin/ntpdate ntp.sjtu.edu.cn >> /var/log/ntp.log 2>&1; /sbin/hwclock -w

8.必须开启的5个服务(其他服务全关闭)

crond：定时任务、network：网络服务、rsyslog：日志服务、sshd：远程连接服务、sysstat：系统工具包

[root@ZhangSiming ~]# systemctl enable crond.service
[root@ZhangSiming ~]# systemctl enable network.service
[root@ZhangSiming ~]# systemctl enable sshd.service
[root@ZhangSiming ~]# systemctl enable sysstat.service
[root@ZhangSiming ~]# systemctl enable syslog.service

9.删除无关的用户和用户组

10.定时自动清理垃圾文件

1.普通大文件；
2.cron定时任务产生的邮件文件和小碎片文件。

11.线上服务器系统内核参数优化策略

[root@ZhangSiming ~]# sed -n '60,67p' /etc/security/limits.conf
*   soft    core    unlimited
*   hard    core    unlimited
#开启并且不限制core文件大小，
*   soft    fsize   unlimited
*   hard    fsize   unlimited
#不限制最大文件大小
*   soft    nofile  65536
*   hard    nofile  65536
#单个进程的最大文件打开数为65536
*   soft    nproc   65536
*   hard    nproc   65536
#最大进程数为65536
[root@ZhangSiming ~]# exit
logout
#退出登录即可生效

12.文件系统优化选择

• ext4：Linux原生态文件格式
• xfs：Centos7开始默认支持

建议：

读操作频繁，同时小文件众多的应用：首选ext4文件系统
写操作频繁的应用，首选xfs。

13.代码程序优化

交给开发来做。

服务器安全优化

1.selinux配置

[root@ZhangSiming tomcat]# sestatus
SELinux status:                 disabled
[root@ZhangSiming tomcat]# vim /etc/selinux/config 
[root@ZhangSiming tomcat]# sed -n '7p' /etc/selinux/config
SELINUX=disabled
#SELINUX再生产环境中不是很好用，一般需要关闭

2.iptables配置

[root@ZhangSiming ~]# systemctl start firewalld
[root@ZhangSiming ~]# iptables -F
iptables -P INPUT ACCEPT
iptables -F
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 1.1.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 2.2.2.2/32 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#上述为firewalld配置范例，根据不同公司有不同修改

3.线上服务器ssh登陆安全策略

[root@ZhangSiming ~]# cat -n /etc/ssh/sshd_config.bak | sed -n '17p;38p;43p;47p;65p;79p;115p'
cat: /etc/ssh/sshd_config.bak: No such file or directory
[root@ZhangSiming ~]# cat -n /etc/ssh/sshd_config | sed -n '17p;38p;43p;47p;65p;79p;115p'
    17  Port 22221
#修改端口为22221,一个是不用默认端口安全，一个是1w以上的端口不会被nmap扫描出来
    38  PermitRootLogin no
#禁止root用户登录(小规模服务方便管理可以开启)
    43  PubkeyAuthentication yes
#允许使用ssh公钥连接
    47  AuthorizedKeysFile  .ssh/authorized_keys
#公钥放置位置
    65  PasswordAuthentication no
#不允许密码认证连接方式
    79  GSSAPIAuthentication no
#关闭GSSAPI认证，加快ssh速率
   115  UseDNS no
#关闭DNS反向解析，加快ssh速率

把公钥放到需要连接的服务器，然后管理人员通过私钥即可xshell连接到对应服务器。
注意两点：
1.公钥权限600，不能太高，不安全。事实上太高也连不上；
2.如果想要登录普通用户，可以公钥发普通用户家目录对应位置；也可以root公钥连接上了之后su - 普通用户(sudo提前提好相应权限)

4.管理用户用户sudo权限策略

[root@ZhangSiming ~]# vim /etc/sudoers
[root@ZhangSiming ~]# sed -n '93p' /etc/sudoers
yunjisuan ALL=(ALL)     NOPASSWD:ALL    
[root@ZhangSiming ~]# su - yunjisuan
Last login: Sat Feb 23 13:58:57 CST 2019 on pts/0
[yunjisuan@ZhangSiming ~]$ sudo -l
Matching Defaults entries for yunjisuan on ZhangSiming:
    !visiblepw, always_set_home, match_group_by_gid, env_reset,
    env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
User yunjisuan may run the following commands on ZhangSiming:
    (ALL) NOPASSWD: ALL
#由于不能给所有人root账号，所以把给普通运维的账号sudo提权为root账号的权限，方便管理

5.重要文件安全策略(/etc/sudoers、/etc/shadow、/etc/passwd、/etc/grub.conf)

#i锁就是设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容
[root@ZhangSiming /]# chattr +i /etc/sudoers
[root@ZhangSiming /]# chattr +i /etc/shadow
[root@ZhangSiming /]# chattr +i /etc/passwd
[root@ZhangSiming /]# chattr +i /etc/grub.conf
#CentOS6是grub.conf，CentOS7已经改为grub2.cfg并且已经系统保护好了
[root@ZhangSiming /]# chattr +i /etc/grub2.cfg
chattr: Operation not supported while reading flags on /etc/grub2.cfg

6.系统磁盘及磁盘分区优化

磁盘分区，RAID设置，swap设置等......

131.生产环境服务器如何评估CPU的性能好坏？

• 查看cpu是否支持超线程

[root@ZhangSiming ~]# cat /proc/cpuinfo | grep "physical id" | uniq | wc -l
1
#cpu个数
[root@ZhangSiming ~]# cat /proc/cpuinfo | grep "cores" | uniq | wc -l
1
#cpu物理核心总个数
[root@ZhangSiming ~]# cat /proc/cpuinfo | grep "processor" | uniq | wc -l
1
#cpu逻辑核心个数
#如果cpu总物理核心个数等于逻辑核心个数，那么cpu不支持超线程

• cpu性能评估工具------vmstat

[root@ZhangSiming ~]# vmstat 3 5
#每3秒刷新一次，输出5次
procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu-----
 r  b   swpd   free   buff  cache   si   so    bi    bo   in   cs us sy id wa st
 3  0      0 343264   2784 536164    0    0    14    35   59   69  0  0 100  0  0
 0  0      0 343264   2784 536164    0    0     0     0   81   84  0  0 100  0  0
 0  0      0 343264   2784 536164    0    0     0     0   78   81  0  0 100  0  0
 0  0      0 343264   2784 536164    0    0     0     0   84   90  0  0 100  0  0
 0  0      0 343264   2784 536164    0    0     0     0   80   82  0  0 100  0  0

参数详解

• cpu性能评估工具------iostat(主要评估磁盘)

[root@ZhangSiming ~]# iostat -c 3 5
#3秒刷新一次，显示5次的数据
Linux 3.10.0-862.el7.x86_64 (ZhangSiming)   02/23/2019  _x86_64_    (1 CPU)
avg-cpu:  %user   %nice %system %iowait  %steal   %idle
           0.14    0.00    0.21    0.02    0.00   99.63
avg-cpu:  %user   %nice %system %iowait  %steal   %idle
           0.00    0.00    0.00    0.00    0.00  100.00
avg-cpu:  %user   %nice %system %iowait  %steal   %idle
           0.00    0.00    0.00    0.00    0.00  100.00
avg-cpu:  %user   %nice %system %iowait  %steal   %idle
           0.00    0.00    0.33    0.00    0.00   99.67
avg-cpu:  %user   %nice %system %iowait  %steal   %idle
           0.00    0.00    0.00    0.00    0.00  100.00

参数详解

总标准：