网站站外优化怎么做,网站建设维护教程,网站设计欣赏,营销模式有哪些 新型一、序言
在部署拓扑和方案方面#xff0c;HP Anyware Manager 非常灵活#xff0c;可以部署在单个主机中#xff0c;也可以部署在多个主机中#xff0c;具体取决于组织的网络环境和运营要求。
二、单主机部署
2.1 描述
此部署配置是当 Anyware Manager 和 MongoDB 以及…一、序言
在部署拓扑和方案方面HP Anyware Manager 非常灵活可以部署在单个主机中也可以部署在多个主机中具体取决于组织的网络环境和运营要求。
二、单主机部署
2.1 描述
此部署配置是当 Anyware Manager 和 MongoDB 以及 Vault 服务器在单个主机上运行时可将其部署在任何云或本地的虚拟机上。 可以使用与 Anyware Manager 进行初始原型设计或小规模生产部署。如果用于生产环境则必须确保有备份和恢复过程。这对于最大限度地减少数据丢失和最大限度地减少停机时间是必要的。
2.2 虚拟机系统需求
操作系统RHEL 8 和 Rocky Linux 8。最低 8 GB RAM4 CPU60 GB 存储空间如果您使用 LVM并/var安装在单独的卷上则该卷必须具有 30GB 或更多空间才能成功安装并且 Anyware Manager 才能正常运行。Active Directory 权限设置为列出内容和读取所有属性。如果不设置这些权限您将无法连接到特定的远程工作站。VM的主机名应符合RFC1123中定义的标准并且必须 -仅包含 253 个字符。 -仅包含小写字母数字字符、“-”或“。”。 -以字母数字字符开头。 -以字母数字字符结尾。
默认安装过程链接
三、两/三台主机部署
3.1 描述
此部署配置适用于 Anyware Manager、MongoDB 和 Vault 服务器在单独的主机上运行的情况。 通过在单独的计算机上托管数据库和机密存储可以降低 Anyware Manager 服务器发生故障时数据丢失的风险。
此配置通过部署多个 Anyware Manager 实例来实现 Anyware Manager 的高可用性和可扩展性。此配置具有以下限制
如果仅部署一个 MongoDB 和 Vault 实例数据持久层无法实现高可用性并且必须为托管 MongoDB 和 Vault 的服务器制定备份和恢复过程以最大限度地减少数据丢失。可以在本地或任何云上托管的虚拟机上配置此部署。 此配置需要一定程度的 MongoDB 和 Vault 技术知识才能正确部署和操作这些外部组件。
四、三主机安装 之 为外部DB和Vault创建自签名证书
这些命令的目的是生成一个自签名的根证书颁发机构 (CA) 证书和一个由该根CA签署的服务器证书并包括特定的Subject Alternative Name (SAN) 条目。每个命令的详细功能如下 生成根CA私钥 openssl genrsa -out rootCA.key 4096生成一个4096位的RSA私钥并将其保存在rootCA.key文件中。这个私钥将用于签署根CA证书。 生成自签名根CA证书 openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt -subj /CCA/STBC/OTeam Voltron/CNVoltron Test CA使用生成的私钥rootCA.key创建一个新的自签名根CA证书并将其保存为rootCA.crt。-x509表示生成一个自签名证书。-days 1024指定证书的有效期为1024天。-subj提供证书的主题信息国家、州/省、组织和通用名称。 设置Subject Alternative Name (SAN) 环境变量 export SANsubjectAltNameDNS:DBVault-10-47,IP:192.168.10.47,IP:192.168.10.47,IP:127.0.0.1将特定的SAN值存储在SAN环境变量中。SAN包含DNS名称和多个IP地址用于扩展证书的主机名验证。 生成服务器私钥 openssl genrsa -out mycert.key 2048生成一个2048位的RSA私钥并将其保存在mycert.key文件中。这个私钥将用于生成服务器证书签名请求 (CSR)。 生成证书签名请求 (CSR) openssl req -new -sha256 \
-key mycert.key \
-subj /CCA/STBC/OTeam Voltron/CNlocalhost \
-reqexts SAN \
-config (cat /etc/pki/tls/openssl.cnf (printf \n[SAN]\n${SAN})) \
-out mycert.csr使用mycert.key生成一个新的CSR并将其保存为mycert.csr。-subj提供CSR的主题信息。-reqexts SAN和-config (cat /etc/pki/tls/openssl.cnf (printf \n[SAN]\n${SAN}))用于将SAN信息添加到CSR中。-sha256指定使用SHA-256哈希算法。 使用根CA签署服务器证书 openssl x509 -req -in mycert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out mycert.crt -days 500 -sha256 -extfile (printf ${SAN})使用根CA证书rootCA.crt和根CA私钥rootCA.key签署CSR mycert.csr生成服务器证书mycert.crt。-CAcreateserial生成一个序列号文件默认为rootCA.srl。-days 500指定证书的有效期为500天。-extfile (printf ${SAN})包含SAN信息的扩展文件。 将服务器证书追加到 PEM 文件 cat mycert.crt myserver.pem将生成的服务器证书 (mycert.crt) 的内容追加到 myserver.pem 文件中。myserver.pem 文件将包含服务器证书的公钥。 将服务器私钥追加到 PEM 文件 cat mycert.key myserver.pem将生成的服务器私钥 (mycert.key) 的内容追加到 myserver.pem 文件中。myserver.pem 文件现在包含了服务器的公钥和私钥。 通过这两个步骤你将服务器证书和私钥组合到一个 PEM 文件 (myserver.pem) 中这个文件可以方便地用于配置支持 SSL/TLS 的服务。 验证服务器证书 openssl verify -CAfile rootCA.crt mycert.crt使用根CA证书 (rootCA.crt) 验证服务器证书 (mycert.crt) 的有效性。-CAfile rootCA.crt 指定用于验证的根CA证书。如果证书有效且由指定的根CA签署OpenSSL 会输出 mycert.crt: OK。如果证书无效或不匹配OpenSSL 会输出相应的错误信息。
总结
这些命令的整体操作流程如下
创建一个根CA证书及其私钥。为服务器生成一个私钥和一个包含SAN的CSR。使用根CA证书和私钥签署该CSR生成一个包含SAN的服务器证书。将服务器证书和私钥组合到一个 PEM 文件中 (myserver.pem)。使用根CA证书验证服务器证书的有效性确保服务器证书是由指定的根CA签署的并且没有问题。 这些步骤通常用于准备证书和密钥以便在配置支持SSL/TLS的服务如MongoDB、HashiCorp Vault等时使用。
五、三主机安装之 HashiCorp Vault 1.11 安装配置
安装和配置 Vault 安装 yum-utils 工具包: sudo yum install -y yum-utils安装 yum-utils这是一个提供各种 YUM 命令的工具包用于管理和维护 YUM 仓库及软件包。 添加 HashiCorp 的 YUM 仓库: sudo yum-config-manager --add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo将 HashiCorp 官方的 YUM 仓库添加到系统中以便安装 HashiCorp 的软件包包括 Vault。 安装 Vault: sudo yum -y install vault-1.11.6-1.x86_64从刚刚添加的 YUM 仓库安装 Vault 1.11.6 版本。 运行 Vault 命令以验证安装: vault运行 Vault 命令行工具以确认 Vault 已正确安装并能够启动。
配置 Vault 复制服务器证书到 Vault 目录: sudo cp myserver.pem /opt/vault/tls/myserver.pem将之前生成的服务器证书 (myserver.pem) 复制到 Vault 的 TLS 目录中。 备份现有的 Vault 配置文件: sudo mv /etc/vault.d/vault.hcl /etc/vault.d/vault.hcl.old将现有的 Vault 配置文件重命名为备份文件以便后续创建新的配置文件。 编辑 Vault 配置文件: vi /etc/vault.d/vault.hcl打开 Vault 配置文件进行编辑。
Vault 配置文件 (/etc/vault.d/vault.hcl)
# Full configuration options can be found at https://www.vaultproject.io/docs/configurationui truestorage raft {path /opt/vault/datanode node1
}# HTTP listener
listener tcp {address 0.0.0.0:8200tls_cert_file /opt/vault/tls/myserver.pemtls_key_file /opt/vault/tls/myserver.pem
}api_addr https://127.0.0.1:8200
cluster_addr https://127.0.0.1:8201ui true: 启用 Vault 的 Web 用户界面。storage raft: 配置 Raft 存储后端数据存储在 /opt/vault/data 目录。listener tcp: 配置 TCP 监听器在 8200 端口上启用 TLS 加密使用指定的证书和密钥文件。api_addr 和 cluster_addr: 配置 Vault 的 API 地址和集群地址均使用 HTTPS。
配置 Vault 服务 编辑 Vault 服务文件: sudo vi /etc/systemd/system/vault.serviceVault 服务文件内容 (/etc/systemd/system/vault.service): [Unit]
DescriptionHashiCorp Vault - A tool for managing secrets
Documentationhttps://www.vaultproject.io/docs/
Requiresnetwork-online.target
Afternetwork-online.target
ConditionFileNotEmpty/etc/vault.d/vault.hcl
StartLimitIntervalSec60
StartLimitBurst3[Service]
Uservault
Groupvault
ProtectSystemfull
ProtectHomeread-only
PrivateTmpyes
PrivateDevicesyes
SecureBitskeep-caps
AmbientCapabilitiesCAP_IPC_LOCK
CapabilitiesCAP_IPC_LOCKep
CapabilityBoundingSetCAP_SYSLOG CAP_IPC_LOCK
NoNewPrivilegesyes
ExecStart/usr/bin/vault server -config/etc/vault.d/vault.hcl
ExecReload/bin/kill --signal HUP $MAINPID
KillModeprocess
KillSignalSIGINT
Restarton-failure
RestartSec5
TimeoutStopSec30
StartLimitInterval60
StartLimitIntervalSec60
StartLimitBurst3
LimitNOFILE65536
LimitMEMLOCKinfinity[Install]
WantedBymulti-user.target定义了 Vault 的系统服务单元配置了启动、重启、权限、安全设置等。 启用 Vault 服务: sudo systemctl enable vault设置 Vault 服务在系统启动时自动启动。 启动 Vault 服务: sudo systemctl start vault启动 Vault 服务。 检查 Vault 服务状态: sudo systemctl status vault检查 Vault 服务是否正在运行并且工作正常。
初始化和解封 Vault
以下命令需要重新开一个SSH执行 设置 Vault 地址: export VAULT_ADDRhttps://192.168.10.47:8200设置环境变量 VAULT_ADDR 指定 Vault 的 API 地址。 设置 CA 证书路径: export VAULT_CACERT/opt/vault/tls/myserver.pem设置环境变量 VAULT_CACERT 指定 Vault 的 CA 证书路径。 初始化 Vault: vault operator init初始化输出示例: Unseal Key 1: 6vcvTnoLnFirU9f4Ehrc88RWphgavO5fgdhiH4/DYDg
Unseal Key 2: rZFy2KipZxnJec5O6geU4DFTXxiVZbLfuD5YDvSbbvl
Unseal Key 3: COGjZgfPBlKS0Ok6vLtIlfui2WA7LHmS5BC9ipXx7vD
Unseal Key 4: VeeP6EkdnW7Hs85KtY3Zo8sWfMNqG8RAMLHpin9MHU
Unseal Key 5: s7eu5VWbjqaSAZZKIejdEIa7bDKbIoIT6rc7jQ5XtZInitial Root Token: hvs.QIdivPRK0dUrycWFrh1gQe8Z初始化 Vault 并生成解封密钥和 Root Token。 解封 Vault: vault operator unseal需要执行三次输入不同的解封密钥。 登录 Vault: vault login hvs.QIdivPRK0dUrycWFrh1gQe8Z使用 Root Token 登录 Vault。 启用密钥值 (KV) 存储引擎: vault secrets enable -pathsecret/ kv创建 Vault 策略: vault policy write casm-policy - EOF
path secret/data/* {
capabilities [create, update, read, delete, list]
}
EOF创建角色和 token: vault write auth/token/roles/casm-role allowed_policiescasm-policy period768h
vault token create -rolecasm-role -orphan创建 token 输出示例: Key Value
--- -----
token hvs.CAESIDA0kcPwDitAjXPtrKjckEj1qJA8DQAl8fEyHo_z7g1WGh4KHGh2cy5lU2pLdU1tb1FWbFgyUE1nVUw0OVlYUzU设置 Vault 跳过证书验证仅用于测试环境: export VAULT_SKIP_VERIFYTrue重新解封 Vault: vault operator unseal在 Vault 重启后执行解封操作。
六、三主机安装之 MongoDB 4.2 安装配置
下面是这些系统命令的详细解释及其功能
配置 MongoDB YUM 仓库 创建并编辑 MongoDB 仓库文件: sudo vi /etc/yum.repos.d/mongodb-org-4.2.repoMongoDB 仓库配置文件内容 (/etc/yum.repos.d/mongodb-org-4.2.repo): [mongodb-org-4.2]
nameMongoDB Repository
baseurlhttps://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.2/x86_64/
gpgcheck1
enabled1
gpgkeyhttps://www.mongodb.org/static/pgp/server-4.2.ascname: 为仓库指定名称。baseurl: 指定 MongoDB 软件包的下载地址。gpgcheck: 启用 GPG 签名检查以确保软件包的完整性和来源可靠性。enabled: 启用这个仓库。gpgkey: 指定用于验证软件包签名的 GPG 密钥的 URL。 安装 MongoDB 相关包: yum install -y mongodb-org-4.2.14 mongodb-org-server-4.2.14 mongodb-org-shell-4.2.14 mongodb-org-mongos-4.2.14 mongodb-org-tools-4.2.14安装 MongoDB 4.2.14 及其所有相关组件包括服务器、Shell、Mongos 和工具。
配置 MongoDB 移动和设置证书权限: mv myserver.pem /etc/myserver.pem
chmod 755 /etc/myserver.pem将证书文件 myserver.pem 移动到 /etc 目录并设置文件权限为 755所有者可读写执行其他用户可读。 备份并编辑 MongoDB 配置文件: sudo mv /etc/mongod.conf /etc/mongod.conf.orig
sudo vi /etc/mongod.confMongoDB 配置文件内容 (/etc/mongod.conf): #mongod.conf#for documentation of all options, see:
# http://docs.mongodb.org/manual/reference/configuration-options/# where to write logging data.
systemLog:destination: filelogAppend: truepath: /var/log/mongodb/mongod.log# Where and how to store data.
storage:dbPath: /var/lib/mongojournal:enabled: true
# engine:
# wiredTiger:# how the process runs
processManagement:fork: true # fork and run in backgroundpidFilePath: /var/run/mongodb/mongod.pid # location of pidfiletimeZoneInfo: /usr/share/zoneinfo# network interfacesnet:port: 27017bindIp: 0.0.0.0 # Enter 0.0.0.0,:: to bind to all IPv4 and IPv6 addresses or, alternatively, use the net.bindIpAll setting.tls:# mode allowTLS allows connections to be either TLS or non-TLS, but requireTLS means all connections must be TLSmode: requireTLS # All connections MUST be TLScertificateKeyFile: /etc/myserver.pemsecurity:authorization: enabledsystemLog: 配置日志记录包括日志文件位置和是否追加日志。storage: 配置数据存储包括数据文件位置和启用日志。processManagement: 配置 MongoDB 进程管理包括后台运行、PID 文件路径等。net: 配置网络接口包括端口号、绑定 IP 地址和 TLS 设置。security: 启用 MongoDB 的认证授权。 重新加载系统服务管理器配置: sudo systemctl daemon-reload使系统服务管理器重新加载服务配置文件。 设置证书的 SELinux 上下文: chcon system_u:object_r:mongod_var_lib_t:s0 /etc/myserver.pem设置证书文件的 SELinux 上下文以便 MongoDB 服务可以访问它。 启动 MongoDB 服务并检查状态: sudo systemctl start mongod
sudo systemctl status mongod启动 MongoDB 服务并检查其运行状态。
配置和使用 MongoDB 以 TLS 连接到 MongoDB: mongo --tls --tlsAllowInvalidCertificates使用 TLS 连接到 MongoDB 实例即使证书无效也允许连接用于测试。 切换到 casm 数据库: use casm创建用户并设置权限: db.createUser(
{
user: sunia,
pwd: Hc2024,
roles: [ {db: casm, role: readWrite} ], // user only needs readWrite Access to cam DB,authenticationRestrictions: [{serverAddress: [192.168.10.47] // IP for the MongoDB server}]
});在 casm 数据库中创建一个用户 sunia密码为 Hc2024并赋予 readWrite 权限。用户只能从 IP 地址 192.168.10.47 进行认证。
注意事项 1 完成MongoDB安装后登录第一次创建用户会出现问题是 无权限在casm总增加用户 2024-07-18T20:04:42.9590800 E QUERY [js] uncaught exception: Error: couldn’t add user: not authorized on casm to execute command { createUser: “sunia”, pwd: “xxx”, roles: [ { db: “casm”, role: “readWrite” } ], authenticationRestrictions: [ { serverAddress: [ “192.168.10.47” ] } ], digestPassword: true, writeConcern: { w: “majority”, wtimeout: 600000.0 }, lsid: { id: UUID(“05fe2644-2cdd-4e33-9476-e4e29ba5cbdb”) }, $db: “casm” } : _getErrorWithCodesrc/mongo/shell/utils.js:25:13 DB.prototype.createUsersrc/mongo/shell/db.js:1413:11 (shell):1:1
解决办法 第一次安装mongodb后需要增加一个账户如果创建账户的时候报这个错误是因为启动mongod的时候指定的配置文件mongodb.conf中需要先用noauth true启动注释掉auth true
-------------------防火墙打开----------------------------- sudo firewall-cmd --list-all sudo firewall-cmd --add-port27017/tcp --permanent #MongoDB sudo firewall-cmd --add-port8200/tcp --permanent #Vault sudo firewall-cmd --reload
总结
这些命令完成了 MongoDB 的安装、配置和启动包括
配置 MongoDB YUM 仓库并安装 MongoDB 4.2 版本。配置 MongoDB 使其支持 TLS 和启用认证。设置 MongoDB 服务并启动确保服务正常运行。创建 MongoDB 用户并设置权限以便进行访问控制。
七、三主机安装之 Manager配置刷新
在虚机安装完成Manager之后需要配置Manager使用外部安装的MongoDB和Vault服务上面。 如下是配置命令
cat /opt/manager.conf
{vault-type: vault,vault-url: https://192.168.10.47:8200,vault-token: hvs.CAESIEAIMGzQFyc3ts2WJsjvA-YcavVXizkdFdLFML0cw0bSGh4KHGh2cy5yeXFKTVFsekZDZlFwMUZ2UDJ5ejdjdmw,vault-secret-path: secret/data,vault-skip-verify-cert: true,db-connection-string: mongodb://sunia:Hc%402024192.168.10.47/casm,db-enable-tls: true,db-skip-verify-cert: true
}sudo /usr/local/bin/anyware-manager configure --config-file /opt/manager.conf
文章转载自: http://www.morning.ypcbm.cn.gov.cn.ypcbm.cn http://www.morning.qkxnw.cn.gov.cn.qkxnw.cn http://www.morning.zmpqt.cn.gov.cn.zmpqt.cn http://www.morning.jcxqc.cn.gov.cn.jcxqc.cn http://www.morning.nrfrd.cn.gov.cn.nrfrd.cn http://www.morning.sjwzz.cn.gov.cn.sjwzz.cn http://www.morning.ngznq.cn.gov.cn.ngznq.cn http://www.morning.nmfxs.cn.gov.cn.nmfxs.cn http://www.morning.srzhm.cn.gov.cn.srzhm.cn http://www.morning.jytrb.cn.gov.cn.jytrb.cn http://www.morning.zdydj.cn.gov.cn.zdydj.cn http://www.morning.pwggd.cn.gov.cn.pwggd.cn http://www.morning.lwhsp.cn.gov.cn.lwhsp.cn http://www.morning.rzmsl.cn.gov.cn.rzmsl.cn http://www.morning.hwpcm.cn.gov.cn.hwpcm.cn http://www.morning.qjghx.cn.gov.cn.qjghx.cn http://www.morning.pctsq.cn.gov.cn.pctsq.cn http://www.morning.smrty.cn.gov.cn.smrty.cn http://www.morning.yhdqq.cn.gov.cn.yhdqq.cn http://www.morning.smdkk.cn.gov.cn.smdkk.cn http://www.morning.rhjsx.cn.gov.cn.rhjsx.cn http://www.morning.nhdmh.cn.gov.cn.nhdmh.cn http://www.morning.bysey.com.gov.cn.bysey.com http://www.morning.lxhny.cn.gov.cn.lxhny.cn http://www.morning.bntgy.cn.gov.cn.bntgy.cn http://www.morning.dtfgr.cn.gov.cn.dtfgr.cn http://www.morning.bmmyx.cn.gov.cn.bmmyx.cn http://www.morning.ccdyc.cn.gov.cn.ccdyc.cn http://www.morning.nlnmy.cn.gov.cn.nlnmy.cn http://www.morning.kgrwh.cn.gov.cn.kgrwh.cn http://www.morning.c7495.cn.gov.cn.c7495.cn http://www.morning.rttkl.cn.gov.cn.rttkl.cn http://www.morning.rqzyz.cn.gov.cn.rqzyz.cn http://www.morning.tsmcc.cn.gov.cn.tsmcc.cn http://www.morning.wqnc.cn.gov.cn.wqnc.cn http://www.morning.nzfyx.cn.gov.cn.nzfyx.cn http://www.morning.gbpanel.com.gov.cn.gbpanel.com http://www.morning.yhdqq.cn.gov.cn.yhdqq.cn http://www.morning.xkjrq.cn.gov.cn.xkjrq.cn http://www.morning.fcwb.cn.gov.cn.fcwb.cn http://www.morning.srwny.cn.gov.cn.srwny.cn http://www.morning.hrtfz.cn.gov.cn.hrtfz.cn http://www.morning.nkpml.cn.gov.cn.nkpml.cn http://www.morning.pjqxk.cn.gov.cn.pjqxk.cn http://www.morning.lfcfn.cn.gov.cn.lfcfn.cn http://www.morning.wnrcj.cn.gov.cn.wnrcj.cn http://www.morning.xtrnx.cn.gov.cn.xtrnx.cn http://www.morning.kjxgc.cn.gov.cn.kjxgc.cn http://www.morning.mgwpy.cn.gov.cn.mgwpy.cn http://www.morning.chmkt.cn.gov.cn.chmkt.cn http://www.morning.fnmtc.cn.gov.cn.fnmtc.cn http://www.morning.lyhry.cn.gov.cn.lyhry.cn http://www.morning.qtwd.cn.gov.cn.qtwd.cn http://www.morning.nwbnt.cn.gov.cn.nwbnt.cn http://www.morning.zljqb.cn.gov.cn.zljqb.cn http://www.morning.dwrbn.cn.gov.cn.dwrbn.cn http://www.morning.tsmxh.cn.gov.cn.tsmxh.cn http://www.morning.dpppx.cn.gov.cn.dpppx.cn http://www.morning.xmpbh.cn.gov.cn.xmpbh.cn http://www.morning.ymrq.cn.gov.cn.ymrq.cn http://www.morning.kwxr.cn.gov.cn.kwxr.cn http://www.morning.lqlfj.cn.gov.cn.lqlfj.cn http://www.morning.tqlhn.cn.gov.cn.tqlhn.cn http://www.morning.hqzmz.cn.gov.cn.hqzmz.cn http://www.morning.srbfz.cn.gov.cn.srbfz.cn http://www.morning.pkrtz.cn.gov.cn.pkrtz.cn http://www.morning.byjwl.cn.gov.cn.byjwl.cn http://www.morning.smtrp.cn.gov.cn.smtrp.cn http://www.morning.lrskd.cn.gov.cn.lrskd.cn http://www.morning.zdwjg.cn.gov.cn.zdwjg.cn http://www.morning.pbpcj.cn.gov.cn.pbpcj.cn http://www.morning.jcrfm.cn.gov.cn.jcrfm.cn http://www.morning.zwckz.cn.gov.cn.zwckz.cn http://www.morning.pxjp.cn.gov.cn.pxjp.cn http://www.morning.rnmc.cn.gov.cn.rnmc.cn http://www.morning.nynpf.cn.gov.cn.nynpf.cn http://www.morning.jxzfg.cn.gov.cn.jxzfg.cn http://www.morning.tbkqs.cn.gov.cn.tbkqs.cn http://www.morning.fykrm.cn.gov.cn.fykrm.cn http://www.morning.xnqjs.cn.gov.cn.xnqjs.cn
