标签:
近段时间,在测试和部署 Greenplum集群,在集群一开始部署的时候,以及后面测试的一些高可用功能时,都涉及到的Linux主机之间的访问权限问题。在排查好这写问题后,有必要进行一下访问权限的梳理和总结,以便以后避免这个问题。
对于Linux主机而言,主机之间的访问,主要涉及几个问题: IP地址,ssh协议,selinux限制,iptables防火墙,/etc/hosts.allow 服务器限制。这几个方面相互关联,其中又以ssh协议是核心和关联:ssh 协议决定了服务器连接的端口,默认为22端口,可以进行修改,也可以添加多个端口;ssh 协议端口与IP地址进行配合,是客户端连接服务器的硬件地址,再加上用户名和密码的授权,就可以控制用户对远程主机的访问了;selinux的限制,一般都是直接关闭的;iptables 防火墙配置可以对进入或者输出的IP地址、端口进行访问限制,在测试环境中,有些人为了方便,会将iptables关闭,避免网络方面的干扰,但实际生产环境,这个是必须要开的;/etc/hosts.allow 服务器限制也是非常重要的,它是从服务器和用户角度进行的访问限制。
selinux服务设置对于selinux服务,一般都是直接禁用的,在其配置文件中直接修改:vim /etc/selinux/config 修改为如下内容:
SELINUX=disabled
IP地址设置对于IP地址来说,一方面是涉及 /etc/sysconfig/network-scripts/ifcfg-eth0 网卡的配置,一方面是涉及/etc/hosts IP与主机的解析,/etc/sysconfig/network 主机名设置:这个涉及的内容为:vim /etc/sysconfig/network-scripts/ifcfg-eth0
service network restart
vim /etc/sysconfig/networkhostname
vim /etc/hosts
sshd服务设置对于sshd服务,一方面是配置的密码和密钥问题,另一方面是sshd的配置文件,主要是端口问题:vim /etc/ssh/sshd_config
# default value.Port 22Port 22000
重启服务器与验证:/etc/init.d/sshd restartnetstat -ntlp | grep sshd
iptables防火墙设置iptables 防火墙主要是在 /etc/sysconfig/iptables 配置文件中,添加相关策略,对于一个集群的几个主机来说,添加所有端口都可以相互访问的方法如下,集群有四台服务器需要相互访问,配置文件添加:vim /etc/sysconfig/iptables
-A INPUT -p all -s 192.168.0.201 -j ACCEPT-A INPUT -p all -s 192.168.0.202 -j ACCEPT-A INPUT -p all -s 192.168.0.203 -j ACCEPT-A INPUT -p all -s 192.168.0.200 -j ACCEPT
-A OUTPUT -p all -s 192.168.0.201 -j ACCEPT-A OUTPUT -p all -s 192.168.0.202 -j ACCEPT-A OUTPUT -p all -s 192.168.0.203 -j ACCEPT-A OUTPUT -p all -s 192.168.0.200 -j ACCEPT
重启服务器与验证:
service iptables rstartiptables -L -n
/etc/hosts.allow服务器访问限制/etc/hosts.allow服务器限制内容如下:vim /etc/hosts.allow
ALL:192.168.0.0/255.255.255.0sshd:ALL
重启服务器与验证:/etc/rc.d/init.d/xinetd restart/etc/rc.d/init.d/network restart
注意:/etc/hosts.allow 配置文件中 ALL:192.168.0.0/255.255.255.0配置,并不能代替下面的配置,之前系统中有上面一行,可以正常初始化完成,但在安装Greenplum master standby和 segment mirror时都会报错, 加入后面的 sshd:ALL 后,这两个操作才正常执行完成。
通过以上几个方面的配置与设置,就可以保证一个集群内部几个节点主机之间的相互访问和连通性了。
标签:
原文地址:http://blog.csdn.net/yumushui/article/details/51330485
