Z2OS

作者: gemcjz

  • ZFS文件系统介绍 – 快照和克隆

    快照是文件系统或卷的只读副本,而克隆是可读写的卷或文件系统,克隆只能从快照创建。

    ZFS快照

    创建快照几乎没有任何成本,可以即时创建完成,而且快照创建的最初几乎不占用额外的存储池空间,ZFS采用COW策略,快照会与原始文件系统共享快照创建后一直没有变化的存储块。无法直接访问卷的快照,但是可以对它们执行克隆、备份、回滚等操作

    创建ZFS快照

    使用zfs snapshot filesystem@snapname,快照名称由两部分组成,@前面为文件系统名称,@后面为快照标识,二者组成完成的快照名

    # zfs snapshot reservoir/data@thursday

    查看ZFS快照

    
# zfs list -t snapshot
NAME USED AVAIL REFER MOUNTPOINT
reservoir/data@thursday 0 – 30K –

    使用-r选项为所有后代文件系统递归创建快照

    # zfs snapshot reservoir/data@thursday

    销毁ZFS快照

    使用zfs destroy filesystem@snapname销毁ZFS快照

    # zfs destroy reservoir/data@thursday

    如果数据集(dataset)存在快照,则不能销毁该数据集。也可指定-r选项一起销毁快照和数据集。

    重命名ZFS快照

    可以重命名快照,但是不能跨越池和数据集对它们进行重命名。

    # zfs rename reservoir/data@thursday reservoir/data@thursday1

    可以使用更快捷的方式重命名快照

    # zfs rename reservoir/data@thursday thursday1

    回滚ZFS快照

    可以使用 zfs rollback 命令放弃自特定快照创建以来对文件系统所做的全部更改。文件系统恢复到创建快照时的状态。缺省情况下,该命令无法回滚到除最新快照以外的快照。
    要回滚到早期快照,必须销毁所有的中间快照。可以通过指定 -r 选项销毁早期的快照。如果存在任何中间快照的克隆,则还必须指定 -R 选项以销毁克隆。

    # zfs rollback reservoir/data@thursday

    则自此快照之后文件系统的任何改变都会被丢弃。

    ZFS快照差异比较

    可以使用 zfs diff 命令来比较两个ZFS快照之间的差异。

    比如下面的例子

    
# cd /reservoir/data/

# touch file1

# zfs snapshot reservoir/data@snap1

# touch file2

# zfs diff reservoir/data@snap1 reservoir/data@snap2

M /reservoir/data/

+ /reservoir/data/file2

    M表示目录被修改过了,+表示文件/reservoir/data/file2存在与更新的快照中zfs diff 命令输出符号的含义见下表

    
文件或目录更改 标识符

————————————————– ——

文件或目录已被修改,或文件或目录链接已更改 M

文件或目录出现在较旧的快照中,但未出现在较新的快照中 –

文件或目录出现在较新的快照中,但未出现在较旧的快照中 +

文件或目录已重命名 R

    ZFS克隆

    克隆是可写入的卷或文件系统,其初始内容与从中创建它的数据集的内容相同。与快照一样,创建克隆几乎是即时的,而且最初不占用其他磁盘空间。此外,还可以创建克隆的快照。克隆只能从快照创建。克隆快照时,会在克隆和快照之间建立隐式相关性。即使克隆是在文件系统分层结构中的其他位置创建的,但只要克隆存在,就无法销毁原始快照。

    创建ZFS克隆

    使用 zfs clone 命令创建克隆,指定从中创建克隆的快照以及新文件系统或卷的名称。新文件系统或卷可以位于ZFS文件系统分层结构中的任意位置。新数据集与从其中创建克隆的快照属同一类型(例如文件系统或卷)。不能在原始文件系统快照所在池以外的池中创建该文件系统的克隆,亦即克隆是不能跨越存储池的。

    # zfs clone reservoir/data@snap2 reservoir/clone_snap2

    销毁ZFS克隆

    # zfs destroy reservoir/clone_snap2

    必须先销毁克隆,才能销毁父快照。

    发送和接收ZFS快照流

    通过使用zfs send命令,可以将 ZFS 文件系统或卷的快照转换为快照流。然后可以通过zfs receive命令使用快照流重新创建 ZFS 文件系统或卷。

    可以生成两种快照流:

    完整流 – 包含从创建数据集时开始到指定的快照为止的所有数据集内容。zfs send 命令生成的缺省流是完整流。它包含一个文件系统或卷,直到并包括指定的快照。流不会包含在命令行上指定的快照之外的快照。

    增量流 – 包含一个快照与另一个快照之间的差异。

    使用 zfs send 命令来发送快照流,并在同一系统的另一个池中或用于存储备份数据的不同系统上的另一个池中接收快照流。

    例如

    # zfs send reservoir/data@snap1 | zfs receive reservoir/data_received

    这样通过send和receive发送和接收快照流生成一个新的ZFS文件系统reservoir/data_snap_stream

    使用 zfs send -i 选项可以发送增量数据。

    例如:

    # zfs send -i reservoir/data@snap1 reservoir/data@snap2 | zfs receive reservoir/data_received

    这里snap1是较早的快照,snap2是较晚的快照,而且reservoir/data_received必须已经存在而且已经接收了snap1快照流,增量接收才能成功。

    可以通过SSH将快照流发送到远程系统

    # zfs send reservoir/data@snap1 | ssh remote_system zfs receive reservoir/data_received

    还可以将快照流压缩归档保存

    # zfs send reservoir/data@snap1 | gzip > data.gz

    然后可以接收压缩归档的快照流

    # zfs gunzip -c data.gz | zfs receive reservoir/data_recv

    可以将发送接收ZFS快照流以及其增量机制作为备份ZFS文件系统的一种策略,但这种备份方式不能逐个恢复文件,必须恢复整个文件系统。

  • 构建强健的HTTPS网站:Nginx SSL 配置优化

    开启SPDY

    SPDY(音:speedy)是Google开发的基于TCP的应用层协议,用以加速网站通信,减少带宽使用,优化用户的网络使用体验。SPDY并不是一种用于替代HTTP的协议,而是对HTTP协议的增强。详情请看https://developers.google.com/speed/spdy/。另外HTTP/2是基于SPDY/2来开发的。按照官网的说法的好处就是:

    • 压缩报头和去掉不必要的头部来减少当前HTTP使用的带宽
    • 单个TCP连接支持并发的HTTP请求
    • 允许服务器在需要时发起对客户端的连接并推送数据(比如css,js等)。

    Nginx1.5.10以前支持SPDY/2,以后的版本支持SPDY/3. 源码编译请加–with-http_spdy_module来启用SPDY模块。另外为了在同一个端口同时处理HTTPS和SPDY连接。 OpenSSL必须支持NPN(Next Protocol Negotiation)TLS扩展, 意思要openssl的版本要求要>=1.0.1

    
listen 443 ssl spdy; #启用SPDY。
spdy_headers_comp 0; #header压缩等级,默认不压缩。0-9
spdy_chunk_size 8k; #SPDY块大小,默认8k

    网站是否启用SPDY可以通过SPDYcheck来检测,另外可以通过chrome://net-internals 里的SPDY标签中SPDY sessions查看是否有该网站建立的会话。

    使用安全的TLS协议

    如果不配置ssl_protocols,Nginx默认使用SSLv3 TLSv1 TLSv1.1 TLSv1.2。但是SSLv3协议爆出了POODLE漏洞,所以现在SSL3协议是不安全的,整个SSL协议组我们都不应该使用,除非是为了兼容旧有的一些客户端并且应该谨慎安全的配置。从此以后,我们应该使用更安全的TLS协议。Nginx需要openssl版本>=1.0.1来支持TLSv1.2协议。

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2

    设置SSL会话缓存

    设置SSL会话缓存,将可以使客户端在一定时间内复用这个SSL会话而不需要重新进行TLS握手建立SSL会话,并且也可以减少服务器资源的占用。使用ssl_session_cache,据Nginx官方手册介绍每1M缓存可以存储4000个会话。这个设置在流量大的HTTPS网站可以有显著效果,提升服务器处理SSL并发连接的能力。

    ssl_session_cache shared:SSL:10m; #使用10m共享内存
ssl_session_timeout 10m; #设置会话过期时间为10分钟

    设置OCSP stapling

    OCSP(Online Certificate Status Protocol)在线证书状态协议,用来验证网站证书有效性。使用OCSP可以加快HTTPS链接的建立、减少客户端带宽使用,因为OCSP克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。浏览器只需要向证书提供的OSCP服务器发送1个请求就可以验证证书状态而不需要下载整个CRL。
    如果ssl_certificate中没有包含中级证书,我们就必须设置ssl_trusted_certificate,里面包含PEM格式的CA根证书和中级证书。比如本站的SSL证书是AlphaSSL证书,而AlphaSSL是GlobalSign这个CA签发的中级证书。

    ssl_stapling on; 
ssl_stapling_verify on; 
ssl_trusted_certificate conf.d/cert/AlphaSSLroot.crt; #
resolver 8.8.8.8; #添加resolver解析OSCP响应服务器的主机名

    开启HSTS

    HSTS(HTTP Strict Transport Security)强制安全传输技术是一种网站安全机制,它会让浏览器强制使用HTTPS来请求网站资源,用以防止一些恶意行为。具体请参见RFC6797。而开启HSTS只需要添加一个header就可以

    add_header Strict-Transport-Security "max-age=31536000"; 365天内使用HTTPS访问网站

    使用安全的加密套件

    ssl_ciphers定义了网站使用那些加密套件,nginx的默认设置是HIGH:!aNULL:!MD5;这个值已经是比较安全的。最主要的是ssl_prefer_server_ciphers的设置,开启这个设置可以优先使用服务器定义的加密算法以防止Beast Attacks。

    ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

    使用2048位的DHE Paramaters

    如果没有定义ssl_dhparam的话,Nginx默认使用openssl随机生成的1024位
    使用openssl生产2048位的

    openssl gendh -out dh2048.pem 2048

    设置Nginx的ssl_dhparam参数

    ssl_dhparam conf.d/cert/dh2048.pem;

    配置文件完整示例

    如果是使用通配符证书(Wildcard Certificate),可以添加到nginx.conf里的http{}配置段中,所有开启了ssl的网站共享配置。

    
#Add SPDY Support
listen 443 ssl spdy;
#SSL Certificate
ssl_certificate conf.d/cert/wildcard_chenpei.org.crt;
ssl_certificate_key conf.d/cert/wildcard_chenpei.org.key;
#TLS only
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#SSL Session Cache
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
#OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate conf.d/cert/AlphaSSLroot.crt;
resolver 8.8.8.8;
#HSTS
add_header Strict-Transport-Security "max-age=31536000";
#Disable Beast Attacks
ssl_prefer_server_ciphers on;
#Stronger DHE Parameters
ssl_dhparam conf.d/cert/dh2048.pem;