我刚刚用strongswan(4.5)build立了VPN站点到站点的隧道。 隧道看起来很好,并连接到另一边,但似乎有一个问题路由通过隧道的stream量。 任何想法? 谢谢! networking图 +———————————-+ |Dedicated server: starfleet | +—————–+ | | | CISCO ASA | | +————————-| internet | | | |eth0: XX.XX.XX.195/29 +——————-| YY.YYY.YYY.155 | | +————————-| +——+———-+ | |virbr1: 192.168.100.1/24 | | | +—-+——————–| | | | | | | | | +—————–+ | | | |network | | +——-+ | […]
我们租用公共数据中心的一些主机。 数据中心不提供专用VLAN; 所有主机接收一个(或多个)公共IPv4 / IPv6地址。 主机带有非常现代化的CPU(Haswell四核,3.4GHz),并具有Gbit上行链路。 数据中心的不同区域(房间?楼层?build筑物?)与我所知道的Gbit或500Mbit链路相互连接。 我们的主机正在运行debian wheezy。 目前我们正在运行10台以上的主机,预计在不久的将来会有所增长。 我正在寻找一种方式让所有主机相互之间进行安全,保密的通信。 第3层是好的,第2层好(但不是必要的)。 由于我无法访问VLAN,因此必须是某种VPN。 对我来说重要的是: 吞吐量高,理想接近线速 分散的,网状体系结构 – 这是为了确保吞吐量不会被一个中心元素(例如VPN集中器)减慢, CPU足迹不是过度的(给予AESNI和GCM密码套件,我希望这不是一个荒谬的要求) 操作方便使用; 不要太复杂的设置; networking可以增长而不失去已build立的连接 我们目前正在使用tinc 。 它剔[2]和[4],但是我只能达到960Mbit / s线速的大约600Mbit / s(单工),而且我完全松动了一个内核。 此外,目前正在开发中的tinc 1.1还没有multithreading,所以我坚持单播性能。 传统的IPSec是不可能的,因为它需要一个中心元素,或者需要configuration一大堆隧道来实现[2]。 IPsec与机会encryption将是一个解决scheme,但我不知道它曾经把它变成稳定的生产代码。 我今天偶然发现了tcpcrypt 。 除了缺lessauthentication,它看起来像我想要的。 用户空间的实现闻起来很慢,但所有其他的VPN也是如此。 而且他们提到了内核实现。 我还没有尝试过,并且对它的行为感兴趣[1]和[3]。 还有什么其他的select? 人们在做什么,谁不在 AWS上? 附加信息 我对GCM感兴趣,希望能够减lessCPU占用空间。 请参阅英特尔关于此主题的论文 。 当与一位tinc开发人员交谈时,他解释说即使使用AESNI进行encryption,HMAC(例如SHA-1)在Gbit速度下仍然非常昂贵。 最终更新 IPsec在传输模式下工作完美,并做我想要的。 经过多次评估,我select了Openswan over IPsec-tools,只是因为它支持AES-GCM。 在Haswell CPU上,我测量的单工吞吐量约为910-920Mbit / […]
我希望能够得到一个电子邮件通知每当syslogdlogging的东西,比如说优先级或更高。 假设这是一个兼容BSD的syslog守护进程。 这能做到吗? 我应该使用命名pipe道到shell脚本吗? 还有哪些其他可能的解决scheme?
我正在监视服务器上的TCP堆栈,希望一般地推断出盒子上的应用程序的问题。 我的第一个倾向是测量所有报告状态(LISTEN,ESTABLISHED,FIN_WAIT2,TIME_WAIT等)中的套接字数量并检测一些exception。 一个队友build议'lsof'将是一个更好的工具来查看TCP栈的状态。 来自serverfault人群的任何偏好或经验提示?
我以为DNS冗余的主要/辅助是直截了当的。 我的理解是,你应该有一个主要的,至less有一个次要的,你应该build立在不同的地理位置,但也在不同的路由器(请参阅https://serverfault.com/questions/48087 /为什么有几个域名服务器为我的域名 ) 目前,我们的主数据中心都有两台名称服务器。 最近,我们因各种原因而遭受了一些中断,这些中断导致两台域名服务器都出现故障,并且让我们和我们的客户在几小时内不使用DNS。 我已经要求我的系统pipe理员团队完成在另一个数据中心中设置DNS服务器并将其configuration为辅助名称服务器。 但是,我们的系统pipe理员声称,如果其他数据中心不如主数据中心那么可靠,这一点就没有什么帮助。 他们声称,当主数据中心停机时,大多数客户仍然无法正确查找,或者时间太长。 就我个人而言,我确信我们不是唯一有此类问题的公司,而且很可能已经解决了这个问题。 我无法想象所有这些互联网公司都受到我们这种问题的影响。 但是,我无法find很好的在线文档来解释失败情况(例如,客户端超时)以及如何解决这些问题。 我可以用什么理由来打破我们的系统pipe理员的推理漏洞? 任何在线资源,我可以咨询,以更好地了解他们声称存在的问题? 阅读答复之后还有一些附注: 我们在Linux上 我们有更多复杂的DNS需求; 我们的DNS条目是由一些自定义软件pipe理的,BIND目前使用Twisted DNS实现,还有一些视图。 但是,我们完全有能力在另一个数据中心build立我们自己的DNS服务器。 我在谈论外部人员的权威DNS来寻找我们的服务器,而不是我们本地客户端的recursionDNS服务器。
我不能解释决定放置/ opt安装包的“可变程序数据”的决定因素。 一方面,FHS表示将所有指示程序状态的variables数据放入/ var / lib中,并且在重新启动后这些数据应该保留。 它也说这个数据是主机特定的。 现在FHS还说/ var / opt目录应该包含select“可变数据”的选项。 所以..让我们只是说我已经安装了一个软件包,我可以select设置其“工作目录(这是软件包如何命名这个path)”。 我应该把它放在哪里? 供参考请参阅: http://www.pathname.com/fhs/pub/fhs-2.3.html#VARLIBVARIABLESTATEINFORMATION http://www.pathname.com/fhs/pub/fhs-2.3.html#VAROPTVARIABLEDATAFOROPT 请注意,这个问题自然延伸到/ usr /局部variables数据。
如果我通过在命令行中正常input进程来启动进程,例如 wget http://site.com/bigfile.zip 然后决定我想把它移动到背景,我知道我可以使用类似ctrl+z东西,然后bg 1 (或者如果需要获得id的话,首先是jobs )放在后台。 我的问题是,如果有一种方法可以将工作从前台直接移动到后台而不停止,就像ctrl+z之外的另一个快捷方式那样。 我也意识到,我可以附加到原始命令的末尾,在后台启动它,但问题是关于何时在前台启动进程, 然后意识到要将其移动到后台。
每当交换使用率达到100%时,我都会收到警报邮件。 在我的情况下,交换使用不会减less(即使内存是免费的),所以我每小时收到一封警报邮件。 如何在不重新启动Linux服务器的情况下减less交换使用量?
我正在创build一个用户如下 user { $username: comment => "$name", shell => "$shell", managehome => false, password => "$password", groups => $groups } 现在,你可以看到我正在做一个pipe理家是错误的现在稍后在通道我需要将文件推送到用户的主目录。 $key = "${homedir}/${name}/file" file { $key: ensure => present, owner => $username, group => $username, mode => 600, content => "$keyvalue", subscribe => User[$username], } 我怎样才能得到这个用户的主目录 ?
我在隧道模式下使用IPSEC。 如何使一个iptables规则只匹配通过IPSEC隧道到达的数据包(即在 IPSEC解密之后 ,IPSEC数据包到达之前和解密之前)。 关键是要有一个特定的港口,只有通过IPSEC才能进入,世界其他地方无法进入。