Docker - 迄今为止发生的那些事情

Docker 是一个专为 Linux 容器而设计的工具集，用于‘构建、交付和运行’分布式应用。它最初是 DotCloud 的一个开源项目，于2013年3月发布。这个项目越来越受欢迎，以至于 DotCloud 公司都更名为 Docker 公司（并最终出售了原有的 PaaS 业务)。Docker 1.0是在2014年6月发布的，而且延续了之前每月更新一个版本的传统。

Docker 1.0版本的发布标志着 Docker 公司认为该平台已经充分成熟，足以用于生产环境中（由该公司与合作伙伴提供付费支持选择）。每个月发布的更新表明该项目正在迅速发展，比如增添一些新特性、解决一些他们发现的问题。该项目已经成功地分离了‘运行’和‘交付’两件事，所以来自任何版本的 Docker 镜像源都可以与其它版本共同使用（具备向前和向后兼容的特性），这为 Docker 应对快速变化提供了稳定的保障。

Docker 之所以能够成为最受欢迎的开源项目之一可能会被很多人看做是炒作，但是也是由其坚实的基础所决定的。Docker 的影响力已经得到整个行业许多大企业的支持，包括亚马逊, Canonical 公司, CenturyLink, 谷歌, IBM, 微软, New Relic, Pivotal, 红帽和 VMware。这使得只要有 Linux 的地方，Docker 就可以无处不在。除了这些鼎鼎有名的大公司以外，许多初创公司也在围绕着 Docker 发展，或者改变他们的发展方向来与 Docker 更好地结合起来。这些合作伙伴们（无论大或小）都将帮助推动 Docker 核心项目及其周边生态环境的快速发展。

Docker 技术简要综述

Docker 利用 Linux 的一些内核机制例如 cGroups、命名空间和 SElinux 来实现容器之间的隔离。起初 Docker 只是 LXC 容器管理器子系统的前端，但是在 0.9 版本中引入了 libcontainer，这是一个原生的 go 语言库，提供了用户空间和内核之间的接口。

容器是基于 AUFS 这样的联合文件系统的，它允许跨多个容器共享组件，如操作系统镜像和已安装的相关库。这种文件系统的分层方法也被 Dockerfile 的 DevOps 工具所利用，这些工具能够缓存成功完成的操作。这就省下了安装操作系统和相关应用程序依赖包的时间，极大地加速测试周期。另外，在容器之间的共享库也能够减少内存的占用。

一个容器是从一个镜像开始运行的，它可以来自本地创建，本地缓存，或者从一个注册库（registry）下载。Docker 公司运营的 Docker Hub 公有注册库，为各种操作系统、中间件和数据库提供了官方仓库存储。各个组织和个人都可以在 docker Hub 上发布的镜像的公有库，也可以注册成私有仓库。由于上传的镜像可以包含几乎任何内容，所以 Docker 提供了一种自动构建工具（以往称为“可信构建”），镜像可以从一种称之为 Dockerfile 的镜像内容清单构建而成。

容器 vs. 虚拟机

容器会比虚拟机更高效，因为它们能够分享一个内核和分享应用程序库。相比虚拟机系统，这也将使得 Docker 使用的内存更小，即便虚拟机利用了内存超量使用的技术。部署容器时共享底层的镜像层也可以减少存储占用。IBM 的 Boden Russel 已经做了一些基准测试来说明两者之间的不同。

相比虚拟机系统，容器具有较低系统开销的优势，所以在容器中，应用程序的运行效率将会等效于在同样的应用程序在虚拟机中运行，甚至效果更佳。IBM 的一个研究团队已经发表了一本名为[虚拟机与 Linux 容器的性能比较]的文章11。

容器只是在隔离特性上要比虚拟机逊色。虚拟机可以利用如 Intel 的 VT-d 和 VT-x 技术的 ring-1 硬件隔离技术。这种隔离可以防止虚拟机突破和彼此交互。而容器至今还没有任何形式的硬件隔离，这使它容易受到攻击。一个称为 Shocker 的概念攻击验证表明，在 Docker 1.0 之前的版本是存在这种脆弱性的。尽管 Docker 1.0 修复了许多由 Shocker 漏洞带来的较为严重的问题，Docker 的 CTO Solomon Hykes 仍然说，“当我们可以放心宣称 Docker 的开箱即用是安全的，即便是不可信的 uid0 程序（超级用户权限程序），我们将会很明确地告诉大家。”Hykes 的声明承认，其漏洞及相关的风险依旧存在，所以在容器成为受信任的工具之前将有更多的工作要做。

对于许多用户案例而言，在容器和虚拟机之间二者选择其一是种错误的二分法。Docker 同样可以在虚拟机中工作的很好，这让它可以用在现有的虚拟基础措施、私有云或者公有云中。同样也可以在容器里跑虚拟机，这也类似于谷歌在其云平台的使用方式。像 IaaS 服务这样普遍可用的基础设施，能够即时提供所需的虚拟机，可以预期容器与虚拟机一起使用的情景将会在数年后出现。容器管理和虚拟机技术也有可能被集成到一起提供一个两全其美的方案；这样，一个硬件信任锚微虚拟化所支撑的 libcontainer 容器，可与前端 Docker 工具链和生态系统整合，而使用提供更好隔离性的不同后端。微虚拟化（例如 Bromium 的 vSentry 和 VMware 的 Project Fargo)已经用于在桌面环境中以提供基于硬件的应用程序隔离，所以类似的方法也可以用于 libcontainer，作为 Linux内核中的容器机制的替代技术。

‘容器化’ 的应用程序

几乎所有 Linux 应用程序都可以在 Docker 容器中运行，并没有编程语言或框架的限制。唯一的实际限制是以操作系统的角度来允许容器做什么。即使如此，也可以在特权模式下运行容器，从而大大减少了限制（与之对应的是容器中的应用程序的风险增加，可能导致损坏主机操作系统）。

容器都是从镜像开始运行的，而镜像也可以从运行中的容器获取。本质上说，有两种方法可以将应用程序放到容器中，分别是手动构建和 Dockerfile。

手动构建

手动构建从启动一个基础的操作系统镜像开始，然后在交互式终端中用你所选的 Linux 提供的包管理器安装应用程序及其依赖项。Zef Hemel 在‘使用 Linux 容器来支持便携式应用程序部署’的文章中讲述了他部署的过程。一旦应用程序被安装之后，容器就可以被推送至注册库（例如Docker Hub）或者导出为一个tar文件。

Dockerfile

Dockerfile 是一个用于构建 Docker 容器的脚本化系统。每一个 Dockerfile 定义了开始的基础镜像，以及一系列在容器中运行的命令或者一些被添加到容器中的文件。Dockerfile 也可以指定对外的端口和当前工作目录，以及容器启动时默认执行的命令。用 Dockerfile 构建的容器可以像手工构建的镜像一样推送或导出。Dockerfile 也可以用于 Docker Hub 的自动构建系统，即在 Docker 公司的控制下从头构建，并且该镜像的源代码是任何需要使用它的人可见的。

单进程?

无论镜像是手动构建还是通过 Dockerfile 构建，有一个要考虑的关键因素是当容器启动时仅启动一个进程。对于一个单一用途的容器，例如运行一个应用服务器，运行一个单一的进程不是一个问题（有些关于容器应该只有一个单独的进程的争议）。对于一些容器需要启动多个进程的情况，必须先启动 supervisor 进程，才能生成其它内部所需的进程。由于容器内没有初始化系统，所以任何依赖于 systemd、upstart 或类似初始化系统的东西不修改是无法工作的。

容器和微服务

全面介绍使用微服务结构体系的原理和好处已经超出了这篇文章的范畴（在 InfoQ eMag: Microservices 有全面阐述）。然而容器是绑定和部署微服务实例的捷径。

大规模微服务部署的多数案例都是部署在虚拟机上，容器只是用于较小规模的部署上。容器具有共享操作系统和公用库的的内存和硬盘存储的能力，这也意味着它可以非常有效的并行部署多个版本的服务。

连接容器

一些小的应用程序适合放在单独的容器中，但在许多案例中应用程序需要分布在多个容器中。Docker 的成功包括催生了一连串新的应用程序组合工具、编制工具及平台作为服务(PaaS)的实现。在这些努力的背后，是希望简化从一组相互连接的容器来创建应用的过程。很多工具也在扩展、容错、性能管理以及对已部署资产进行版本控制方面提供了帮助。

连通性

Docker 的网络功能是相当原始的。在同一主机，容器内的服务可以互相访问，而且 Docker 也可以通过端口映射到主机操作系统，使服务可以通过网络访问。官方支持的提供连接能力的库叫做 libchan，这是一个提供给 Go 语言的网络服务库，类似于channels。在 libchan 找到进入应用的方法之前，第三方应用仍然有很大空间可提供配套的网络服务。例如，Flocker 已经采取了基于代理的方法使服务实现跨主机（以及底层存储）的移植。

合成

Docker 本身拥有把容器连接在一起的机制，与元数据相关的依赖项可以被传递到相依赖的容器中，并用于环境变量和主机入口。如 Fig 和 geard 这样的应用合成工具可以在单一文件中展示出这种依赖关系图，这样多个容器就可以汇聚成一个连贯的系统。CenturyLink 公司的 Panamax 合成工具类似 Fig 和 geard 的底层实现方法，但新增了一些基于 web 的用户接口，并直接与 GitHub 相结合，以便于应用程序分享。

编制

像 Decking、New Relic 公司的 Centurion 和谷歌公司的 Kubernetes 这样的编制系统都是旨在协助容器的部署和管理其生命周期系统。也有许多 Apache Mesos （特别是 [Marathon（马拉松式）持续运行很久的框架]）的案例（例如Mesosphere）已经被用于配合 Docker 一起使用。通过为应用程序与底层基础架构之间（例如传递 CPU 核数和内存的需求）提供一个抽象的模型，编制工具提供了两者的解耦，简化了应用程序开发和数据中心操作。有很多各种各样的编制系统，因为许多来自内部系统的以前开发的用于大规模容器部署的工具浮现出来了；如 Kubernetes 是基于谷歌的 Omega 系统的，Omega 是用于管理遍布谷歌云环境中容器的系统。

虽然从某种程度上来说合成工具和编制工具的功能存在重叠，但这也是它们之间互补的一种方式。例如 Fig 可以被用于描述容器间如何实现功能交互，而 Kubernetes pods（容器组）可用于提供监控和扩展。

平台（即服务）

有一些 Docker 原生的 PaaS 服务实现，例如 Deis 和 Flynn 已经显现出 Linux 容器在开发上的的灵活性（而不是那些“自以为是”的给出一套语言和框架）。其它平台，例如 CloudFoundry、OpenShift 和 Apcera Continuum 都已经采取将 Docker 基础功能融入其现有的系统的技术路线，这样基于 Docker 镜像（或者基于 Dockerfile）的应用程序也可以与之前用支持的语言和框架的开发的应用一同部署和管理。

所有的云

由于 Docker 能够运行在任何正常更新内核的 Linux 虚拟机中，它几乎可以用在所有提供 IaaS 服务的云上。大多数的主流云厂商已经宣布提供对 Docker 及其生态系统的支持。

亚马逊已经把 Docker 引入它们的 Elastic Beanstalk 系统（这是在底层 IaaS 上的一个编制系统）。谷歌使 Docker 成为了“可管理的 VM”，它提供了GAE PaaS 和GCE IaaS 之间的中转站。微软和 IBM 也都已经宣布了基于 Kubernetes 的服务，这样可以在它们的云上部署和管理多容器应用程序。

为了给现有种类繁多的后端提供可用的一致接口，Docker 团队已经引进 libswarm, 它可以集成于众多的云和资源管理系统。Libswarm 所阐明的目标之一是“通过切换服务来源避免被特定供应商套牢”。这是通过呈现一组一致的服务（与API相关联的）来完成的，该服务会通过特定的后端服务所实现。例如 Docker 服务器将支持本地 Docker 命令行工具的 Docker 远程 API 调用，这样就可以管理一组服务供应商的容器了。

基于 Docker 的新服务类型仍在起步阶段。总部位于伦敦的 Orchard 实验室提供了 Docker 的托管服务，但是 Docker 公司表示，收购 Orchard 后，其相关服务不会置于优先位置。Docker 公司也出售了之前 DotCloud 的PaaS 业务给 cloudControl。基于更早的容器管理系统的服务例如 OpenVZ 已经司空见惯了，所以在一定程度上 Docker 需要向主机托管商们证明其价值。

Docker 及其发行版

Docker 已经成为大多数 Linux 发行版例如 Ubuntu、Red Hat 企业版（RHEL)和 CentOS 的一个标准功能。遗憾的是这些发行版的步调和 Docker 项目并不一致，所以在发布版中找到的版本总是远远落后于最新版本。例如 Ubuntu 14.04 版本中的版本是 Docker 0.9.1，而当 Ubuntu 升级至 14.04.1 时 Docker 版本并没有随之升级（此时 Docker 已经升至 1.1.2 版本）。在发行版的软件仓库中还有一个名字空间的冲突，因为 “Docker” 也是 KDE 系统托盘的名字；所以在 Ubuntu 14.04 版本中相关安装包的名字和命令行工具都是使用“Docker.io”的名字。

在企业级 Linux 的世界中，情况也并没有因此而不同。CentOS 7 中的 Docker 版本是 0.11.1，这是 Docker 公司宣布准备发行 Docker 1.0 产品版本之前的开发版。Linux 发行版用户如果希望使用最新版本以保障其稳定、性能和安全，那么最好地按照 Docker 的安装说明进行，使用 Docker 公司的所提供的软件库而不是采用发行版的。

Docker 的到来也催生了新的 Linux 发行版，如 CoreOS 和红帽的 Project Atomic，它们被设计为能运行容器的最小环境。这些发布版相比传统的发行版，带着更新的内核及 Docker 版本，对内存的使用和硬盘占用率也更低。新发行版也配备了用于大型部署的新工具，例如 fleet（一个分布式初始化系统）和etcd（用于元数据管理）。这些发行版也有新的自我更新机制，以便可以使用最新的内核和 Docker。这也意味着使用 Docker 的影响之一是它抛开了对发行版和相关的包管理解决方案的关注，而对 Linux 内核（及使用它的 Docker 子系统）更加关注。

这些新发行版也许是运行 Docker 的最好方式，但是传统的发行版和它们的包管理器对容器来说仍然是非常重要的。Docker Hub 托管的官方镜像有 Debian、Ubuntu 和 CentOS，以及一个‘半官方’的 Fedora 镜像库。RHEL 镜像在Docker Hub 中不可用，因为它是 Red Hat 直接发布的。这意味着在 Docker Hub 的自动构建机制仅仅用于那些纯开源发行版下（并愿意信任那些源于 Docker 公司团队提供的基础镜像）。

Docker Hub 集成了如 Git Hub 和 Bitbucket 这样源代码控制系统来自动构建包管理器，用于管理构建过程中创建的构建规范（在Dockerfile中）和生成的镜像之间的复杂关系。构建过程的不确定结果并非是 Docker 的特定问题——而与软件包管理器如何工作有关。今天构建完成的是一个版本，明天构建的可能就是更新的版本，这就是为什么软件包管理器需要升级的原因。容器抽象（较少关注容器中的内容）以及容器扩展（因为轻量级资源利用率）有可能让这种不确定性成为 Docker 的痛点。

Docker 的未来

Docker 公司对核心功能（libcontainer），跨服务管理(libswarm) 和容器间的信息传递（libchan）的发展上提出了明确的路线。与此同时，该公司已经表明愿意收购 Orchard 实验室，将其纳入自身生态系统。然而 Docker 不仅仅是 Docker 公司的，这个项目的贡献者也来自许多大牌贡献者，其中不乏像谷歌、IBM 和 Red Hat 这样的大公司。在仁慈独裁者、CTO Solomon Hykes 掌舵的形势下，为公司和项目明确了技术领导关系。在前18个月的项目中通过成果输出展现了其快速行动的能力，而且这种趋势并没有减弱的迹象。

许多投资者正在寻找10年前 VMware 公司的 ESX/vSphere 平台的特征矩阵，并试图找出虚拟机的普及而带动的企业预期和当前 Docker 生态系统两者的距离（和机会）。目前 Docker 生态系统正缺乏类似网络、存储和（对于容器的内容的）细粒度版本管理，这些都为初创企业和创业者提供了机会。

随着时间的推移，在虚拟机和容器（Docker 的“运行”部分）之间的区别将变得没那么重要了，而关注点将会转移到“构建”和“交付”方面。这些变化将会使“Docker发生什么？”变得不如“Docker将会给IT产业带来什么？”那么重要了。

via: http://www.infoq.com/articles/docker-future

作者：Chris Swan 译者：disylee 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

泄露数据包括Gmail、Hotmail以及Yahoo邮箱

一名黑客非法窃取了在线交友网站Topface一个包含2000万用户资料的数据库。

目前并不清楚这些数据是否已经公开，但是根据某些未公开页面的消息说，某个网名为“Mastermind”的人声称掌握着这些数据。

泄露数据列表涵盖了全世界数百个域名

此人号称泄露数据的内容100%真实有效，而Easy Solutions的CTO，Daniel Ingevaldson 周日在一篇博客中说道，泄露数据包括Hotmail、Yahoo和Gmail等邮箱地址。

Easy Solutions是一家位于美国的公司，提供多个不同平台的网络检测与安全防护产品。

据Ingevaldson所说，泄露的数据中，700万来自于Hotmail，250万来自于Yahoo，220万来自于Gmail.com。

我们并不清楚这些数据是可以直接登录邮箱账户的用户名和密码，还是登录交友网站的账户。另外，也不清楚这些数据在数据库中是加密状态还是明文存在的。

邮箱地址常常被用于在线网站的登录用户名，用户可以凭借唯一密码进行登录。然而重复使用同一个密码是许多用户的常用作法，同一个密码可以登录许多在线账户。

Ingevaldson 还说：“看起来，这些数据事实上涵盖了全世界数百个域名。除了原始被黑的网页，黑客和不法分子很可能利用窃取的帐密进行暴库、自动扫描、危害包括银行业、旅游业以及email提供商在内的多个网站。”

预计将披露更多信息

据我们的多个消息源爆料，数据的泄露源就是Topface，一个包含9000万用户的在线交友网站。其总部位于俄罗斯圣彼得堡，超过50%的用户来自于俄罗斯以外的国家。

我们联系了Topface，向他们求证最近是否遭受了可能导致如此大量数据泄露的网络攻击；但目前我们仍未收到该公司的回复。

攻击者可能无需获得非法访问权限就窃取了这些数据，Easy Solutions 推测攻击者很可能针对网站客户端使用钓鱼邮件直接获取到了用户数据。

我们无法通过Easy Solutions的在线网站联系到他们，但我们已经尝试了其他交互通讯方式，目前正在等待更多信息的披露。

via:http://news.softpedia.com/news/Data-of-20-Million-Users-Stolen-from-Dating-Website-471179.shtml

发布时间:26 Jan 2015, 10:20 GMT

作者：Ionut Ilascu 译者：Mr小眼儿 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出

随着基于 Web 的应用和服务的增多，IT 系统管理员肩上的责任也越来越重。当遇到不可预期的事件如流量达到高峰，流量增大或者内部的挑战比如硬件的损坏或紧急维修，无论如何，你的 Web 应用都必须要保持可用性。甚至现在流行的 devops 和持续交付（CD）也可能威胁到你的 Web 服务的可靠性和性能的一致性。

不可预测，不一致的性能表现是你无法接受的。但是我们怎样消除这些缺点呢？大多数情况下一个合适的负载均衡解决方案可以解决这个问题。今天我会给你们介绍如何使用 HAProxy 配置 HTTP 负载均衡器。

什么是 HTTP 负载均衡？

HTTP 负载均衡是一个网络解决方案，它将进入的 HTTP 或 HTTPs 请求分配至一组提供相同的 Web 应用内容的服务器用于响应。通过将请求在这样的多个服务器间进行均衡，负载均衡器可以防止服务器出现单点故障，可以提升整体的可用性和响应速度。它还可以让你能够简单的通过添加或者移除服务器来进行横向扩展或收缩，对工作负载进行调整。

什么时候，什么情况下需要使用负载均衡？

负载均衡可以提升服务器的使用性能和最大可用性，当你的服务器开始出现高负载时就可以使用负载均衡。或者你在为一个大型项目设计架构时，在前端使用负载均衡是一个很好的习惯。当你的环境需要扩展的时候它会很有用。

什么是 HAProxy？

HAProxy 是一个流行的开源的 GNU/Linux 平台下的 TCP/HTTP 服务器的负载均衡和代理软件。HAProxy 是单线程，事件驱动架构，可以轻松的处理 10 Gbps 速率 的流量，在生产环境中被广泛的使用。它的功能包括自动健康状态检查，自定义负载均衡算法，HTTPS/SSL 支持，会话速率限制等等。

这个教程要实现怎样的负载均衡

在这个教程中，我们会为 HTTP Web 服务器配置一个基于 HAProxy 的负载均衡。

准备条件

你至少要有一台，或者最好是两台 Web 服务器来验证你的负载均衡的功能。我们假设后端的 HTTP Web 服务器已经配置好并可以运行。

在 Linux 中安装 HAProxy

对于大多数的发行版，我们可以使用发行版的包管理器来安装 HAProxy。

在 Debian 中安装 HAProxy

在 Debian Wheezy 中我们需要添加源，在 /etc/apt/sources.list.d 下创建一个文件 "backports.list" ，写入下面的内容

deb http://cdn.debian.net/debian wheezy­backports main 

刷新仓库的数据，并安装 HAProxy

# apt­ get update
# apt ­get install haproxy 

在 Ubuntu 中安装 HAProxy

# apt ­get install haproxy 

在 CentOS 和 RHEL 中安装 HAProxy

# yum install haproxy 

配置 HAProxy

本教程假设有两台运行的 HTTP Web 服务器，它们的 IP 地址是 192.168.100.2 和 192.168.100.3。我们将负载均衡配置在 192.168.100.4 的这台服务器上。

为了让 HAProxy 工作正常，你需要修改 /etc/haproxy/haproxy.cfg 中的一些选项。我们会在这一节中解释这些修改。一些配置可能因 GNU/Linux 发行版的不同而变化，这些会被标注出来。

1. 配置日志功能

你要做的第一件事是为 HAProxy 配置日志功能，在排错时日志将很有用。日志配置可以在 /etc/haproxy/haproxy.cfg 的 global 段中找到他们。下面是针对不同的 Linux 发型版的 HAProxy 日志配置。

CentOS 或 RHEL:

在 CentOS/RHEL中启用日志，将下面的：

log         127.0.0.1 local2 

替换为：

log         127.0.0.1 local0 

然后配置 HAProxy 在 /var/log 中的日志分割，我们需要修改当前的 rsyslog 配置。为了简洁和明了，我们在 /etc/rsyslog.d 下创建一个叫 haproxy.conf 的文件，添加下面的内容：

$ModLoad imudp 
$UDPServerRun 514  
$template Haproxy,"%msg%\n" 
local0.=info ­/var/log/haproxy.log;Haproxy 
local0.notice ­/var/log/haproxy­status.log;Haproxy 
local0.* ~ 

这个配置会基于 $template 在 /var/log 中分割 HAProxy 日志。现在重启 rsyslog 应用这些更改。

# service rsyslog restart 

Debian 或 Ubuntu:

在 Debian 或 Ubuntu 中启用日志，将下面的内容

log /dev/log        local0 
log /dev/log        local1 notice 

替换为：

log         127.0.0.1 local0 

然后为 HAProxy 配置日志分割，编辑 /etc/rsyslog.d/ 下的 haproxy.conf （在 Debian 中可能叫 49-haproxy.conf），写入下面你的内容

$ModLoad imudp 
$UDPServerRun 514  
$template Haproxy,"%msg%\n" 
local0.=info ­/var/log/haproxy.log;Haproxy 
local0.notice ­/var/log/haproxy­status.log;Haproxy 
local0.* ~ 

这个配置会基于 $template 在 /var/log 中分割 HAProxy 日志。现在重启 rsyslog 应用这些更改。

 # service rsyslog restart 

2. 设置默认选项

下一步是设置 HAProxy 的默认选项。在 /etc/haproxy/haproxy.cfg 的 default 段中，替换为下面的配置：

    defaults 
    log     global 
    mode    http 
    option  httplog 
    option  dontlognull 
    retries 3 
    option redispatch 
    maxconn 20000 
    contimeout      5000 
    clitimeout      50000 
    srvtimeout      50000

上面的配置是当 HAProxy 为 HTTP 负载均衡时建议使用的，但是并不一定是你的环境的最优方案。你可以自己研究 HAProxy 的手册并配置它。

3. Web 集群配置

Web 集群配置定义了一组可用的 HTTP 服务器。我们的负载均衡中的大多数设置都在这里。现在我们会创建一些基本配置，定义我们的节点。将配置文件中从 frontend 段开始的内容全部替换为下面的：

listen webfarm *:80 
       mode http 
       stats enable 
       stats uri /haproxy?stats 
       stats realm Haproxy\ Statistics 
       stats auth haproxy:stats 
       balance roundrobin 
       cookie LBN insert indirect nocache 
       option httpclose 
       option forwardfor 
       server web01 192.168.100.2:80 cookie node1 check 
       server web02 192.168.100.3:80 cookie node2 check 

"listen webfarm *:80" 定义了负载均衡器监听的地址和端口。为了教程的需要，我设置为 "*" 表示监听在所有接口上。在真实的场景汇总，这样设置可能不太合适，应该替换为可以从 internet 访问的那个网卡接口。

stats enable 
stats uri /haproxy?stats 
stats realm Haproxy\ Statistics 
stats auth haproxy:stats 

上面的设置定义了，负载均衡器的状态统计信息可以通过 http:///haproxy?stats 访问。访问需要简单的 HTTP 认证，用户名为 "haproxy" 密码为 "stats"。这些设置可以替换为你自己的认证方式。如果你不需要状态统计信息，可以完全禁用掉。

下面是一个 HAProxy 统计信息的例子

"balance roundrobin" 这一行表明我们使用的负载均衡类型。这个教程中，我们使用简单的轮询算法，可以完全满足 HTTP 负载均衡的需要。HAProxy 还提供其他的负载均衡类型：

• leastconn：将请求调度至连接数最少的服务器­
• source：对请求的客户端 IP 地址进行哈希计算，根据哈希值和服务器的权重将请求调度至后端服务器。
• uri：对 URI 的左半部分（问号之前的部分）进行哈希，根据哈希结果和服务器的权重对请求进行调度
• url\_param：根据每个 HTTP GET 请求的 URL 查询参数进行调度，使用固定的请求参数将会被调度至指定的服务器上
• hdr(name)：根据 HTTP 首部中的 字段来进行调度

"cookie LBN insert indirect nocache" 这一行表示我们的负载均衡器会存储 cookie 信息，可以将后端服务器池中的节点与某个特定会话绑定。节点的 cookie 存储为一个自定义的名字。这里，我们使用的是 "LBN"，你可以指定其他的名称。后端节点会保存这个 cookie 的会话。

server web01 192.168.100.2:80 cookie node1 check 
server web02 192.168.100.3:80 cookie node2 check 

上面是我们的 Web 服务器节点的定义。服务器有由内部名称（如web01，web02），IP 地址和唯一的 cookie 字符串表示。cookie 字符串可以自定义，我这里使用的是简单的 node1，node2 ... node(n)

启动 HAProxy

如果你完成了配置，现在启动 HAProxy 并验证是否运行正常。

在 Centos/RHEL 中启动 HAProxy

让 HAProxy 开机自启，使用下面的命令

# chkconfig haproxy on
# service haproxy start 

当然，防火墙需要开放 80 端口，像下面这样

CentOS/RHEL 7 的防火墙

# firewall­cmd ­­permanent ­­zone=public ­­add­port=80/tcp
# firewall­cmd ­­reload 

CentOS/RHEL 6 的防火墙

把下面内容加至 /etc/sysconfig/iptables 中的 ":OUTPUT ACCEPT" 段中

­A INPUT ­m state ­­state NEW ­m tcp ­p tcp ­­dport 80 ­j ACCEPT 

重启iptables：

# service iptables restart 

在 Debian 中启动 HAProxy

启动 HAProxy

# service haproxy start 

不要忘了防火墙开放 80 端口，在 /etc/iptables.up.rules 中加入：

­A INPUT ­p tcp ­­dport 80 ­j ACCEPT 

在 Ubuntu 中启动HAProxy

让 HAProxy 开机自动启动在 /etc/default/haproxy 中配置

ENABLED=1 

启动 HAProxy：

# service haproxy start 

防火墙开放 80 端口：

# ufw allow 80 

测试 HAProxy

检查 HAProxy 是否工作正常，我们可以这样做

首先准备一个 test.php 文件，文件内容如下

<?php
header('Content-Type: text/plain');
echo "Server IP: ".$_SERVER['SERVER_ADDR'];
echo "\nX-Forwarded-for: ".$_SERVER['HTTP_X_FORWARDED_FOR'];
?>

这个 PHP 文件会告诉我们哪台服务器（如负载均衡）转发了请求，哪台后端 Web 服务器实际处理了请求。

将这个 PHP 文件放到两个后端 Web 服务器的 Web 根目录中。然后用 curl 命令通过负载均衡器（192.168.100.4）访问这个文件

$ curl http://192.168.100.4/test.php 

我们多次运行这个命令此时，会发现交替的输出下面的内容（因为使用了轮询算法）：

Server IP: 192.168.100.2
X-Forwarded-for: 192.168.100.4

Server IP: 192.168.100.3
X-Forwarded-for: 192.168.100.4

如果我们停掉一台后端 Web 服务，curl 命令仍然正常工作，请求被分发至另一台可用的 Web 服务器。

总结

现在你有了一个完全可用的负载均衡器，以轮询的模式对你的 Web 节点进行负载均衡。还可以去实验其他的配置选项以适应你的环境。希望这个教程可以帮助你们的 Web 项目有更好的可用性。

你可能已经发现了，这个教程只包含单台负载均衡的设置。这意味着我们仍然有单点故障的问题。在真实场景中，你应该至少部署 2 台或者 3 台负载均衡以防止意外发生，但这不是本教程的范围。

如果你有任何问题或建议，请在评论中提出，我会尽我的努力回答。

via: http://xmodulo.com/haproxy-http-load-balancer-linux.html

作者：Jaroslav Štěpánek 译者：Liao 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Chrony是一个开源的自由软件，它能帮助你保持系统时钟与时钟服务器（NTP）同步，因此让你的时间保持精确。它由两个程序组成，分别是chronyd和chronyc。chronyd是一个后台运行的守护进程，用于调整内核中运行的系统时钟和时钟服务器同步。它确定计算机增减时间的比率，并对此进行补偿。chronyc提供了一个用户界面，用于监控性能并进行多样化的配置。它可以在chronyd实例控制的计算机上工作，也可以在一台不同的远程计算机上工作。

在像CentOS 7之类基于RHEL的操作系统上，已经默认安装有Chrony。

Chrony配置

当Chrony启动时，它会读取/etc/chrony.conf配置文件中的设置。CentOS 7操作系统上最重要的设置有：

server - 该参数可以多次用于添加时钟服务器，必须以"server "格式使用。一般而言，你想添加多少服务器，就可以添加多少服务器。

server 0.centos.pool.ntp.org
server 3.europe.pool.ntp.org

stratumweight - stratumweight指令设置当chronyd从可用源中选择同步源时，每个层应该添加多少距离到同步距离。默认情况下，CentOS中设置为0，让chronyd在选择源时忽略源的层级。

driftfile - chronyd程序的主要行为之一，就是根据实际时间计算出计算机增减时间的比率，将它记录到一个文件中是最合理的，它会在重启后为系统时钟作出补偿，甚至可能的话，会从时钟服务器获得较好的估值。

rtcsync - rtcsync指令将启用一个内核模式，在该模式中，系统时间每11分钟会拷贝到实时时钟（RTC）。

allow / deny - 这里你可以指定一台主机、子网，或者网络以允许或拒绝NTP连接到扮演时钟服务器的机器。

allow 192.168.4.5
deny 192.168/16

cmdallow / cmddeny - 跟上面相类似，只是你可以指定哪个IP地址或哪台主机可以通过chronyd使用控制命令

bindcmdaddress - 该指令允许你限制chronyd监听哪个网络接口的命令包（由chronyc执行）。该指令通过cmddeny机制提供了一个除上述限制以外可用的额外的访问控制等级。

bindcmdaddress 127.0.0.1
bindcmdaddress ::1

makestep - 通常，chronyd将根据需求通过减慢或加速时钟，使得系统逐步纠正所有时间偏差。在某些特定情况下，系统时钟可能会漂移过快，导致该调整过程消耗很长的时间来纠正系统时钟。该指令强制chronyd在调整期大于某个阀值时步进调整系统时钟，但只有在因为chronyd启动时间超过指定限制（可使用负值来禁用限制），没有更多时钟更新时才生效。

使用chronyc

你也可以通过运行chronyc命令来修改设置，命令如下：

accheck - 检查NTP访问是否对特定主机可用

activity - 该命令会显示有多少NTP源在线/离线

add server - 手动添加一台新的NTP服务器。

clients - 在客户端报告已访问到服务器

delete - 手动移除NTP服务器或对等服务器

settime - 手动设置守护进程时间

tracking - 显示系统时间信息

你可以通过使用帮助命令查看完整的命令列表：

via: http://linoxide.com/linux-command/chrony-time-sync/

作者：Adrian Dinu 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

当你想重装Ubuntu或者仅仅是想安装它的一个新版本的时候，如果有个便捷的方法来重新安装之前的应用并且重置其设置会很方便的。此时 Aptik 粉墨登场，它可以帮助你轻松实现。

Aptik（自动包备份和恢复）是一个可以用在Ubuntu，Linux Mint 和其他基于Debian以及Ubuntu的Linux发行版上的应用，它允许你将已经安装过的包括软件库、下载包、安装的应用和主题、用户设置在内的PPAs(个人软件包存档)备份到外部的U盘、网络存储或者类似于Dropbox的云服务上。

注意：当我们在此文章中说到输入某些东西的时候，如果被输入的内容被引号包裹，请不要将引号一起输入进去，除非我们有特殊说明。

想要安装Aptik，需要先添加其PPA。使用Ctrl + Alt + T快捷键打开一个新的终端窗口。输入以下文字，并按回车执行。

sudo apt-add-repository –y ppa:teejee2008/ppa

当提示输入密码的时候，输入你的密码然后按回车。

在命令行提示符输入下边的命令，来确保资源库已经是最新版本。

sudo apt-get update

更新完毕后，你就完成了安装Aptik的准备工作。接下来输入以下命令并按回车：

sudo apt-get install aptik

注意：你可能会看到一些有关于获取不到包更新的错误提示。不过别担心，如果这些提示看起来跟下边图片中类似的话，你的Aptik的安装就没有任何问题。

安装过程会被显示出来。其中一个被显示出来的消息会提到此次安装会使用掉多少磁盘空间，然后提示你是否要继续，按下“y”再按回车，继续安装。

当安装完成后，输入“Exit”并按回车或者按下左上角的“X”按钮，关闭终端窗口。

在正式运行Aptik前，你需要设置好备份目录到一个U盘、网络驱动器或者类似于Dropbox和Google Drive的云帐号上。这儿的例子中，我们使用的是Dropbox。

一旦设置好备份目录，点击启动栏上方的“Search”按钮。

在搜索框中键入 “aptik”。结果会随着你的输入显示出来。当Aptik图标显示出来的时候，点击它打开应用。

此时一个对话框会显示出来要求你输入密码。输入你的密码并按“OK”按钮。

Aptik的主窗口显示出来了。从“Backup Directory”下拉列表中选择“Other…”。这个操作允许你选择你已经建立好的备份目录。

注意：在下拉列表的右侧的 “Open” 按钮会在一个文件管理窗口中打开选择目录功能。

在 “Backup Directory” 对话窗口中，定位到你的备份目录，然后按“Open”。

注意：如果此时你尚未建立备份目录或者想在备份目录中新建个子目录，你可以点“Create Folder”来新建目录。

点击“Software Sources (PPAs).”右侧的 “Backup”来备份已安装的PPAs。

然后“Backup Software Sources”对话窗口显示出来。已安装的包和对应的源（PPA）同时也显示出来了。选择你需要备份的源（PPAs），或者点“Select All”按钮选择所有源。

点击 “Backup” 开始备份。

备份完成后，一个提示你备份完成的对话窗口会蹦出来。点击 “OK” 关掉。

一个名为“ppa.list”的文件出现在了备份目录中。

接下来，“Downloaded Packages (APT Cache)”的项目只对重装同样版本的Ubuntu有用处。它会备份下你系统缓存(/var/cache/apt/archives)中的包。如果你是升级系统的话，可以跳过这个条目，因为针对新系统的包会比现有系统缓存中的包更加新一些。

备份和恢复下载过的包，这可以在重装Ubuntu，并且重装包的时候节省时间和网络带宽。因为一旦你把这些包恢复到系统缓存中之后，他们可以重新被利用起来，这样下载过程就免了，包的安装会更加快捷。

如果你是重装相同版本的Ubuntu系统的话，点击 “Downloaded Packages (APT Cache)” 右侧的 “Backup” 按钮来备份系统缓存中的包。

注意：当你备份下载过的包的时候是没有二级对话框出现的。你系统缓存 (/var/cache/apt/archives) 中的包会被拷贝到备份目录下一个名叫 “archives” 的文件夹中，当整个过程完成后会出现一个对话框来告诉你备份已经完成。

有一些包是你的Ubuntu发行版的一部分。因为安装Ubuntu系统的时候会自动安装它们，所以它们是不会被备份下来的。例如，火狐浏览器在Ubuntu和其他类似Linux发行版上都是默认被安装的，所以默认情况下，它不会被选择备份。

像package for the Chrome web browser这种系统安装完后才安装的包或者包含 Aptik 的包会默认被选择上。这可以方便你备份这些后安装的包。

按照需要选择想要备份的包。点击 “Software Selections” 右侧的 “Backup” 按钮备份顶层包。

注意：依赖包不会出现在这个备份中。

备份目录中出现了两个名为 “packages.list” 和“packages-installed.list” 的文件，并且会弹出一个通知你备份完成的对话框。点击 ”OK“关闭它。

注意：“packages-installed.list”文件包含了所有的包，而 “packages.list” 在包含了所有包的前提下还指出了那些包被选择上了。

要备份已安装软件的设置的话，点击 Aptik 主界面 “Application Settings” 右侧的 “Backup” 按钮，选择你要备份的设置，点击“Backup”。

注意：如果你要选择所有设置，点击“Select All”按钮。

被选择的配置文件统一被打包到一个名叫 “app-settings.tar.gz” 的文件中。

当打包完成后，打包后的文件被拷贝到备份目录下，另外一个备份成功的对话框出现。点击“OK”关掉。

放在 “/usr/share/themes” 目录的主题和放在 “/usr/share/icons” 目录的图标也可以备份。点击 “Themes and Icons” 右侧的 “Backup” 来进行此操作。“Backup Themes” 对话框默认选择了所有的主题和图标。你可以安装需要的、取消一些不要的，然后点击 “Backup” 进行备份。

主题被打包拷贝到备份目录下的 “themes” 文件夹中，图标被打包拷贝到备份目录下的 “icons” 文件夹中。然后成功提示对话框出现，点击“OK”关闭它。

一旦你完成了需要的备份，点击主界面左上角的“X”关闭 Aptik 。

备份过的文件已存在于你选择的备份目录中，可以随时查看。

当你重装Ubuntu或者安装新版本的Ubuntu后，在新的系统中安装 Aptik 并且将备份好的文件置于新系统中使用。运行 Aptik，并使用每个条目的 “Restore” 按钮来恢复你的软件源、应用、包、设置、主题以及图标。

via: http://www.howtogeek.com/206454/how-to-backup-and-restore-your-apps-and-ppas-in-ubuntu-using-aptik/

作者：Lori Kaufman 译者：Ping 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

如果你是一个测试入侵侦测系统或一些网络访问控制策略的网络管理员，那么你经常需要抓取数据包并在离线状态下分析这些文件。当需要保存捕获的数据包时，我们一般会存储为 libpcap 的数据包格式 pcap，这是一种被许多开源的嗅探工具以及捕包程序广泛使用的格式。如果 pcap 文件被用于入侵测试或离线分析的话，那么在将他们注入网络之前通常要先对 pcap 文件进行一些操作。

在这篇文章中，我将介绍一些操作 pcap 文件的工具，以及如何使用它们 。

Editcap 与 Mergecap

Wireshark，是最受欢迎的 GUI 嗅探工具，实际上它带了一套非常有用的命令行工具集。其中包括 editcap 与 mergecap。editcap 是一个万能的 pcap 编辑器，它可以过滤并且能以多种方式来分割 pcap 文件。mergecap 可以将多个 pcap 文件合并为一个。 这篇文章就是基于这些 Wireshark 命令行工具的。

如果你已经安装过 Wireshark 了，那么这些工具已经在你的系统中了。如果还没装的话，那么我们接下来就安装 Wireshark 命令行工具。 需要注意的是，在基于 Debian 的发行版上我们可以不用安装 Wireshark GUI 而仅安装命令行工具，但是在 Red Hat 及 基于它的发行版中则需要安装整个 Wireshark 包。

Debian, Ubuntu 或 Linux Mint

$ sudo apt-get install wireshark-common

Fedora, CentOS 或 RHEL

$ sudo yum install wireshark

当安装好工具后， 就可以开始使用 editca 与 mergecap 了。

pcap 文件过滤

通过 editcap， 我们能以很多不同的规则来过滤 pcap 文件中的内容，并且将过滤结果保存到新文件中。

首先，以“起止时间”来过滤 pcap 文件。 " - A < start-time > 和 " - B < end-time > 选项可以过滤出在这个时间段到达的数据包（如，从 2:30 ～ 2:35）。时间的格式为 “ YYYY-MM-DD HH:MM:SS"。

$ editcap -A '2014-12-10 10:11:01' -B '2014-12-10 10:21:01' input.pcap output.pcap 

也可以从某个文件中提取指定的 N 个包。下面的命令行从 input.pcap 文件中提取100个包（从 401 到 500）并将它们保存到 output.pcap 中：

$ editcap input.pcap output.pcap 401-500

使用 "-D < dup-window >" （dup-window可以看成是对比的窗口大小，仅与此范围内的包进行对比）选项可以提取出重复包。每个包都依次与它之前的 < dup-window > -1 个包对比长度与MD5值，如果有匹配的则丢弃。

$ editcap -D 10 input.pcap output.pcap

遍历了 37568 个包, 在 10 窗口内重复的包仅有一个，并丢弃。

也可以将 < dup-window > 定义成时间间隔。使用"-w < dup-time-window >"选项，对比< dup-time-window > 时间内到达的包。

$ editcap -w 0.5 input.pcap output.pcap 

检索了 50000 个包, 以0.5s作为重复窗口，未找到重复包。

分割 pcap 文件

当需要将一个大的 pcap 文件分割成多个小文件时，editcap 也能起很大的作用。

将一个 pcap 文件分割成数据包数目相同的多个文件

$ editcap -c <packets-per-file> <input-pcap-file> <output-prefix> 

输出的每个文件有相同的包数量，以 < output-prefix >-NNNN的形式命名。

以时间间隔分割 pcap 文件

$ editcap -i <seconds-per-file> <input-pcap-file> <output-prefix> 

合并 pcap 文件

如果想要将多个文件合并成一个，用 mergecap 就很方便。

当合并多个文件时，mergecap 默认将内部的数据包以时间先后来排序。

$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]

如果要忽略时间戳，仅仅想以命令行中的顺序来合并文件，那么使用 -a 选项即可。

例如，下列命令会将 input.pcap 文件的内容写入到 output.pcap, 并且将 input2.pcap 的内容追加在后面。

$ mergecap -a -w output.pcap input.pcap input2.pcap 

总结

在这篇指导中，我演示了多个 editcap、 mergecap 操作 pcap 文件的例子。除此之外，还有其它的相关工具，如 reordercap用于将数据包重新排序，text2pcap 用于将 pcap 文件转换为文本格式， pcap-diff用于比较 pcap 文件的异同，等等。当进行网络入侵测试及解决网络问题时，这些工具与包注入工具非常实用，所以最好了解他们。

你是否使用过 pcap 工具？ 如果用过的话，你用它来做过什么呢？

via: http://xmodulo.com/filter-split-merge-pcap-linux.html

作者：Dan Nanni 译者：SPccman 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出