经过整整两天的“研究”(阅读:将我的头撞在我的键盘上)并诅咒 TeamCity/MSDN/Tomcat 文档以及幻影 IIS 绑定,我想出了一个非常令人困惑的问题的答案:如何才能我在运行 Windows Server 2008 和 IIS 7 的多宿主服务器上更改了 TeamCity 的 IP 地址和端口号,这有必要吗?.
首先,介绍一下背景。我们的构建服务器运行 Windows Server 2008,在一个 NIC 上有两个 IP 地址(192.168.1.30 和 192.168.1.31)。我已将 IIS 配置为将其唯一的站点显式绑定到端口 80 上的 192.168.1.30。此时,我认为 192.168.1.31 是完全开放的,可以用于 TeamCity 了……不完全是。
第一个烦恼:在安装 TeamCity 时,它完全无视有多个 IP 地址与此服务器关联的事实,仅询问它应该绑定到哪个端口。对于服务器级软件,这非常令人惊讶。
第二个烦恼:TeamCity 默认使用端口 8080(什么??)。由于第一个烦恼,端口选择有点模棱两可:TeamCity 是否要绑定到两个 IP 地址上的端口 8080?将端口选择更改为 80 会产生一个警告,即另一个服务已经绑定到端口 80。嗯,IIS 应该只绑定到 192.168.1.30 上的端口 80;192.168.1.31 不应绑定任何内容。显然 TeamCity 在 192.168.1.30 上与 IIS 竞争。
完成 TeamCity 的安装,选择 80 端口并忽略绑定警告后,我打开“C:\TeamCity\server.xml”。旁注:“C:\TeamCity\”是 TeamCity 的默认安装目录,而“C:\Users\.BuildServer”是默认数据目录。无论如何,“server.xml”是配置文件,您可以在其中设置 TeamCity 网络界面的端口和 IP 地址等内容。经过一番研究,我想出了在端口 80 上绑定 …
我有 2 个 Cisco 路由器,每个路由器都有一个 Internet 馈送,仅为 BGP 提供默认路由,这允许我们在每个馈送中通告某些路由。我们没有使用完整的 DFZ,因为虽然我们通常运行所有 Cisco 3925,但我们目前暂时有一个 Cisco 2911,它没有足够的 RAM 来处理 DFZ。
路由器共享一个第 2 层 LAN,使用 Campus vLAN(Router-On-A-Stick)配置,我们真的很想利用这种共享的 LAN 连接并获得一些 Internet 馈送弹性,使用 BGP 不仅通告主要通过其自然归属地路由,但也包括属于其他平台路由器的路由,但带有辅助路由 AS-Path Prepended,使其不如通过其自然归属路由器通告的路由理想,反之亦然。
我们还有一个单独的(当前非活动的)站点,其中有 2 个路由器和一对(当前)备用的 /24s,我正在使用它进行试验,但是我没有成功获得主路由和预置的 AS 路径次要路由,通过同一个 BGP 邻居同时发布。我的测试是在 AS39152 上,路由 91.192.234.0/24 和 91.192.235.0/24,广告到 AS29550,用它来显示我的测试结果:-
% telnet route-server.as3257.net
route-server.as3257.net> sho ip bgp regexp 29550 39152
BGP table version is 25589080, local router ID is 213.200.87.253
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal …TL;DR 基于 OpenBSD 策略的路由对多宿主服务器/网关情况有帮助吗?如果是这样,我该如何配置它?
长表
我正在管理一个带有两个 ISP 链接和 VPN 隧道到远程路由节点的 OpenBSD。
最初,我们使用了多个具有不同指标的默认路由——通过静态 IP 地址的首选路由是 NAT 路由器,而 NAT 路由器又动态分配了地址(它基本上是一个电缆调制解调器)。
在实践中,这并不理想,但效果很好。从网关(以下简称为“gw”)建立的新连接,如果已启动,将选择速度更快、延迟更低的路由;如果链路断开,则通过电缆调制解调器出去。入站连接只能通过更好的路由,因为其他 IP 地址在 NAT 之后(无法从外部路由。
现在,我们需要通过一个额外的代理/VPN 路由器节点将流量路由到“云端”,以降低我们静态 IP 地址上的 DDoS 风险。
那些通过隧道连接到网关。
第一的。然后我们发现我们的管理员访问权限会偶尔下降。
使问题进一步复杂化的是,该网关具有到特定 VLAN 的额外活动接口。他们与这个问题无关,但不能被打扰。
可能的解决方案
我的印象是我们应该使用基于策略的路由rdomains。我想这意味着我为三个涉及的接口中的每一个创建路由表,并且任何这些接口(包括tun0隧道接口)上的任何连接都应该通过该域的表进行路由(因此每个都可以有自己的默认路由)。
我在正确的轨道上吗?
这是一个图表和一个清理列表,如果接口设置:
________
| 隧道| _______
~~~+~~~~ | GW |======++
| ~+~+~+~ ||
| _________ | | | ||
+-----| prefISP |------------+ | | __||____ ... ...
~~~~~~~w~ | +-----| 交换机 |-----( 集群 )
| ~~~~~~~~ ^^^^^^^^^
_________ .....|...... || … 我有一台运行 CentOS 6.4 的 Linux 服务器,用作 iSCSI 目标。服务器是多宿主的,有两个 NIC,都在同一个子网上。iSCSI 多路径负责负载平衡/故障转移,因此我需要的只是让每个 NIC 独立运行。我如何配置这个系统来避免多宿主设置中总是出现的所有奇怪的路由和 ARP 问题,例如流量从源的不同接口返回,或者一个接口接受发送到 IP 的流量其他。绑定解决方案不是一种选择,因为它存在 iSCSI 连接问题。
重要的东西:
多宿主是我听说的一个术语,用于在通过无线连接等方式连接到 Internet 的同时连接到 LAN。
我听说这非常严重,以至于我听说过的某些大公司将其定为可立即解雇的罪行。
解释的方式是,Joe Hacker 将通过互联网连接破坏机器,然后访问 LAN。
我的问题是,
这很难解释,所以请耐心等待。
我们有 2 个域控制器,每个域控制器跨越 2 个内部子网(子网 A 和子网 B),并提供 dns、dhcp 和 ldap 身份验证。
两个域控制器都有 2 个 DNS 条目。两个条目具有相同的主机名,但分别对应于子网 A 和子网 B(显示的示例条目):
dc1 主机 192.168.8.1
dc1 主机 192.168.9.1
dc2 主机 192.168.8.2
dc2 主机 192.168.9.2
我们的 dmz 也有第三个子网(子网 C),两个域控制器都没有 IP 地址,但是我们的防火墙/路由表提供从子网 C 到子网 A 的访问,反之亦然,但不允许访问子网B 来自子网 C。
这是我的问题。当子网 C 上的服务器通过主机名查询任一域控制器时,如何强制/确定使用哪个 dns 条目?现在它似乎随机选择两个条目之一,换出 IP 地址的名称,就是这样。
问题是如果它随机选择对应于 9.x 子网 B 的条目(没有来自子网 C 的访问),则服务器无法解析。如果它选择 8.x 子网 A 的条目,则它会解析(为这两个子网之间的通信定义的防火墙/路由表)
这是我想知道的: