milowssy_个人页

问题分析

ECS续费变配通常是会发生服务器重启，并不会直接导致停机

问题案例

使用续费变配功能，可以参考官方ECS续费变配文档步骤

ECS续费和变配也可以理解成两个事情，通常包年包月的ECS服务器不能正常续费，或者提示库存不足，可以考虑先对ECS服务器进行变配操作，选择合适的有库存的实例规格，在进行续费，也可以直接选择续费变配操作，此处以升级配置为例，变配操作可以参考如下步骤

1、登录ECS管理控制台。

2、在左侧导航栏，单击实例与镜像 > 实例。

3、在顶部菜单栏左上角处，选择地域。

4、找到待操作的包年包月实例，在操作列中，单击升降配。

5、选择升级配置 > 继续。

6、在升级配置界面根据实际需要选择对应配置规格的实例后，确认定单即可。

7、完成配置升级后库存充足，可以参考手动续费实例文档步骤完成续费，并建议再次开启自动续费功能。

问题分析

如果是使用的nginx-ingress暴露的SLB地址，默认ACK集群是kube-system空间下，通常ACK使用了SLB方式作为容器入口，那么spec.externalTrafficPolicy的值可以有两个选择，Local和Cluster，Local模式只能同一个node上的pod之间使用SLB地址访问，Cluster可以允许当前所有node上的任意pod使用SLB地址访问。（此处以nginx-ingress-lb服务为例，自定义服务配置修改方式相同）

修改spec.externalTrafficPolicy值的方式，参考以下演示步骤修改即可。

1、登录阿里云ACK管理控制台，获得集群管理权限

2、选择网络，服务（Service），找到nginx-ingress-lb的服务，点击查看YAML，直接编辑spec.externalTrafficPolicy的值为Cluster，点击更新即可完成更改并立即生效，如图所示

参考文献

Service的负载均衡配置注意事项

问题解答

阿里云抢占式实例是支持节省停机方式的

注意

如果是核心业务不建议直接使用抢占式实例，详情可以查阅阿里云官网抢占式实例概述，推荐ACK集群节点适当采用抢占式实例。

如下图所示

问题分析

阿里云RDS购买包月价格查询方式可以直接在RDS管理工作台，点击实例购买，在购买页面选择对应规格配置和付费方式、付费周期后，可以在页面右下角看到对应的价格，如下图所示

也可以通过查阅RDS实例产品计费说明文档来确定相关配置的实例价格

附录

云数据库RDS购买指南

云数据库RDS计费概览

问题分析

通常查看OSS存储中文件的大小，可以通过OSS管理控制台直接搜索到指定文件后查看如下图所示

可以通过ossutil命令行管理工具查看，命令如下，查询Bucket为abc的20211013目录下block.xml.20211013文件大小

ossutil64 ls oss://abc/20211013/block.xml.20211013 -c /etc/.oss-config

命令执行结果如下

可以通过OSS挂载到ECS服务器文件系统，然后使用ECS服务器中的文件管理方式直接查看文件大小

附录

命令行工具ossutil快速入门

图形化管理工具ossbrowser快速入门

问题分析

如果网站被浏览器提示为"不安全"，可能是因为SSL证书签发过程中出现了一些问题。具体原因有很多，比如证书签发机构没有将证书正确安装到网站服务器上，客户端浏览器缓存问题，或者证书过期了等。

如果你正在遇到这个问题，可以检查网站服务器上的SSL证书是否已经安装正确，并确认证书是否已经过期。如果发现问题，可以联系证书签发机构进行处理。

此外，你还可以通过在浏览器中查看网站的安全信息来进一步了解问题的原因。在浏览器地址栏中输入网站地址，然后点击"安全"标志，即可查看安全信息。如果发现问题，可以根据浏览器提示的信息来解决问题。

附录

SSL证书部署后访问未生效或显示不安全

使用云安全中心的OpenAPI的GO语言接口模版，配置AK的方式有多种方式，本文就介绍两个常用方式如下

通常可以直接在模版中对应位置填写AK的值如下代码所示

说明

参考上图标记处，把对应的AK值替换为实际AK值即可

也可以通过读取系统环境变量加载AK值如下代码所示

package mainimport (  "fmt"  "os")func main() {  AK_id := os.Getenv("AccessKey_ID")  AK_secret := os.Getenv("AccessKey_Secret")  fmt.Println(AK_id)  fmt.Println(AK_secret)}

说明

系统环境变量定义

Linux系统中可以参考如下命令

export AccessKey_ID=123export AccessKey_Secret=abc

Windows系统可以参考如下命令

SET AccessKey_ID=123SET AccessKey_Secret=abc

import (

"fmt"

"os"

)

func main() {

AK_id := os.Getenv("AccessKey_ID")

AK_secret := os.Getenv("AccessKey_Secret")

fmt.Println(AK_id)

fmt.Println(AK_secret)

}

使用阿里云无影云桌面，配置网络有以下步骤完成

1、登录无影云桌面控制台

2、在桌面功能列表，依次点击工作区，创建工作区，如下图所示

3、在创建工作区窗口，根据网络规划，配置对应的工作区网络地址段，该配置类VPC网络中的创建交换机，如果计划使用CEN或想实现多网段内网互通，请保持规划的每个工作区网段不冲突，如下图所示

4、如果需要配置云桌面访问公网，可以结合CEN网络规划实现，也可以直接配置独立的公网地址，这里介绍独立公网地址配置，步骤参考如下图所示

说明

独立公网地址配置类似创建弹性IP地址，可以选择固定带宽计费和按量计费两种方式。

ECS服务器配置黑白名单有两种方式

• ECS服务器控制台安全组配置
• ECS服务器内部系统中配置

ECS服务器控制台安全组配置

1、打开阿里云ECS管理控制台

2、选择相关ECS实例，打开实例详情页面，点击安全组打开安全组管理界面，点击配置规则

3、在安全组配置规则界面，选择入方向，点击手动添加按钮，选择授权策略，依次根据提示输入相对应的参数内容即可

4、举例说明，配置黑名单192.169.2.20地址禁止访问22端口，允许192.168.2.0/20网段访问22端口，两个规则优先级保持相同即可，规则如下

注释

• 允许代表白名单
• 拒绝代表黑名单
• 出方向默认允许全部通行
• 入方向默认拒绝全部通行
• 优先级同优先级下，优先执行拒绝策略

ECS服务器内部系统中配置

默认ECS实例创建后系统防火墙服务为关闭状态如果启用需要自定义配置安全规则不能与控制台配置的安全组规则冲突且控制台安全组规则优先级高于系统内部安全规则因此不建议在系统内部开启安全规则

• Linux系统配置黑白名单
• Windows系统配置黑白名单

Linux系统配置黑白名单

Linux系统中通常有以下三种防火墙服务

• firewalld
• iptables
• ufw

Firewalld

防火墙常用命令介绍

systemctl status firewalld  #查看服务运行状态systemctl stop firewalld    #停止服务systemctl start firewalld   #启动服务systemctl restart firewalld #重启服务systemctl disable firewalld #关闭开机自启动服务systemctl enable firewalld  #开启开机自启动服务

举例说明

• 查看已开放的端口

firewall-cmd --list-all 

• 允许192.168.1.1地址访问本机8080端口

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept'

• 允许192.168.1.0/24网段访问本机8080-8090端口

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="8080-8090" accept'

• 禁止192.168.1.1地址访问本机8080端口

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" reject'

• 删除允许192.168.1.1地址访问本机8080端口规则

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept'

• 规则变更重新加载firewall使配置生效

firewall-cmd --reload

Iptables

防火墙常用命令介绍

service iptables status #查看服务运行状态service iptables stop   #停止服务service iptables start  #启动服务service iptables restart    #重启服务chkconfig iptables on   #开启开机自启动服务chkconfig iptables off  #关闭开机自启动服务

举例说明

查看当前规则

iptables -L -n

允许ip为192.168.1.1的地址访问22端口

iptables -A INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT

允许ip为192.168.1.0/24的网段访问22端口

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT

拒绝ip为192.168.1.0/24的网段访问22端口

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j DROP

查看规则编号

iptables -nvL --line-number

 如下图所示

删除某条规则

iptables -D 规则编号

清除全部规则

iptables -F

Ufw

防火墙常用命令介绍

sudo ufw status 		#查看服务状态sudo ufw disable    #关闭服务sudo ufw enable     #开启服务

举例说明

允许外部访问本机所有

sudo ufw default allow

默认拒绝所有外部访问主机

sudo ufw default deny

允许外部访问22端口

sudo ufw allow 22

拒绝外部访问22端口

sudo ufw deny 22

允许外部192.168.1.10地址访问本机所有端口

sudo ufw allow from 192.168.1.10

允许外部192.168.1.10地址访问本机22端口tcp协议

sudo ufw allow from 192.168.1.10 to any port 22 proto tcp

删除允许外部访问22端口规则

sudo ufw delete allow 22

Windows系统配置黑白名单

Windows系统用户建议关闭系统默认防火墙，直接使用ECS安全组策略，结合使用阿里云云盾产品实现防护

• Windows Server 版本配置防火墙

问题分析

变更了域名DNS信息，没有生效的问题有以下几种。

• 变更了域名DNS解析
• 变更了域名DNS服务器
• 跨服务商配置DNS解析
• 域名状态异常
• 域名过期
• 域名没有完成备案

解决思路

通过使用域名检测工具，判断域名状态，如果域名过期，通过续费即可完成恢复正常；如果域名状态异常，通常需要联系通信管理局进行申诉处理。

• ok （状态正常）
• serverHold （状态异常）
• clientHold （状态异常）......正常结果如下图所示：

    异常结果如下图所示：

如果是变更了域名DNS服务器信息或者跨域名服务商配置了DNS解析，那么确认变更信息正确后，需等待24-48小时后生效；如果是变更了域名DNS解析记录，那么确认变更信息正确后，可以通过修改本地客户端hosts文件来手动更新覆盖本地的DNS解析记录。（本操作前需要备份hosts文件，等验证后使用备份文件恢复原内容）

Windows系统操作参考如下

1、使用管理员账户权限，打开运行窗口。

2、输入C:\WINDOWS\system32\drivers\etc，点击回车键，打开hosts文件所在位置。

3、双击打开访问方式，选择记事本打开。

4、在编辑窗口输入域名解析记录，如下图所示。

5、在CMD命令窗口使用如下命令确认解析是否正常。

Linux系统操作参考如下

1、使用管理员权限账户，远程登录命令行窗口。2、使用如下命令编写hosts文件。

echo "10.6.2.124      abc.demo.com" >> /etc/hosts

3、使用如下命令确认域名解析是否正常。

ping abc.demo.comcurl -I http://abc.demo.com

结果如下图所示：

附录

• 域名解析常见问题

解决方案

延长ssh远程会话窗口时间的方案通常有两种方式，方式一，修改 sshd 服务的 sshd_config 配置文件或修改ssh客户端 ssh_config 配置文件。方式二，使用 ssh 命令的 -o 参数。

详细步骤

方式一：修改配置文件

通常情况下sshd_config配置文件是在ssh目标服务器上配置，ssh_config配置文件是在发起ssh链接的服务器上配置，这两个配置文件变更其中一个即可，也可以两个同时变更。

风险提醒:ssh会话是有默认上限的，保持长链接会话需要规划合理的长链接保持时间和会话上限，配置变更需要重启sshd服务。

Linux系统配置文件更改

默认sshd_config和ssh_config配置文件存放在/etc/ssh目录下。

• 修改sshd_config配置文件，参考如下命令添加相关参数。vim /etc/ssh/sshd_config参数如下：ClientAliveInterval 60 #server每隔60秒发送一次请求给client，然后client响应，从而保持会话链接ClientAliveCountMax 3 #server发出请求后，客户端没有响应得次数达到3次，自动断开连接，通常情况下，client不会不响应注意:以上参数值根据现场情况设置
• 修改ssh_config配置文件，参考如下命令添加相关参数。vim /etc/ssh/ssh_config参数如下：ServerAliveInterval 60 #client每隔60秒发送一次请求给server，然后server响应，从而保持会话链接ServerAliveCountMax 3 #client发出请求后，服务器端没有响应得次数达到3次，自动断开连接，通常情况下，server不会不响应注意:以上参数值根据现场情况设置
• Linux系统sshd服务配置文件更改后重启服务，参考如下命令。service sshd restart或者systemctl restart sshd

Windows系统sshd服务配置文件更改

默认sshd_config和ssh_config配置文件存放在C:\ProgramData\ssh目录下。参考以上Linux系统步骤，添加相关参数即可

• Windows系统sshd服务配置文件更改后重启服务，参考如下命令。1、打开CMD命令行终端窗口2、依次执行如下命令重启sshd服务net stop sshd #停止sshd服务运行net start sshd #启动sshd服务注意:如果当前sshd服务处于停止运行状态，可以直接执行启动命令

方式二：ssh命令-o参数

通过ssh命令-o参数控制会话链接时间，是临时性操作，不需要重启服务端和客户端服务,参考命令如下:

ssh -o ServerAliveInterval=60 -o ServerAliveCountMax=3 -p 22 User@localhostssh -o ClientAliveInterval=60 -o ClientAliveCountMax=3 -p 22 User@localhost ssh -o ServerAliveInterval=60 -o ServerAliveCountMax=3 -o ClientAliveInterval=60 -o ClientAliveCountMax=3 -p 22 User@localhost 

注意:以上参数值根据现场情况设置

附录

• Linux实例如何设置SSH客户端的会话连接保持时间
• Windows系统安装使用sshd服务