PHPor 的Blog – 第75页

nginx 之fail_over

问题：默认情况下，nginx会自动failover，即：其中一个上游服务器处理失败时会自动将请求转发到下一个上游服务器；有些情况下是不期望如此的;

但是这里没有区分上游服务器的失败原因，如果是连接失败，则自动fail_over 基本是没问题的；如果是已经发送了数据然后等待响应超时失败，可能并不想fail_over

避免failover的办法：

对于fastcgi： fastcgi_next_upstream off
对于proxy： proxy_next_upstream off

如果把 proxy_next_upstream 写到fastcgi_pass 中是不会有效果的，虽然不会报错

可能在应用层来避免重复处理才是正道

关于tcp健康检查

方法1： connect then close

这种情况，上层应用会感知到一个连接的进入，并准备开始处理，然后便因为client端close而中止

方法2： send syn then receive syn-ack then send reset

这样的话，远端根本不需要完成一个tcp连接，也不会被上层应用感知到；这样需要更加底层的socket（raw socket）编程

方法3： send syn then receive syn-ack then send ack then send reset

2015-12-17 更新：

初写这篇文章时，阿里金融云SLB的tcp健康检查使用的是方法1，也是因此才写的该文章；今天发现阿里金融云SLB的tcp健康检查使用的是方法2，于是在此更新一下该文章。

2016-11-10 更新：

发现阿里金融云的SLB的tcp健康检查又不是方法2了, 阿里云文档上写的是方法2，实际上不是方法2，而是方法3，方法3更坑爹，有些web server会报client异常关闭连接

2018-8-2 更新：

SLB的HTTP模式下，健康检查允许关闭， TCP模式下不允许关闭健康检查；虽然允许设置检查其他端口来避免健康检查对某些服务的骚扰，但依然觉得很别扭;

2018-11-09更新：

对于HTTP服务，仅检查端口存活不大严格，如果进程假死，依然无法提供服务，但是端口是活的，所以，对于HTTP服务，通过HTTP请求来检查还是比较合理的，为了避免不必要的访问日志，可以对这种请求不记录访问日志

nmap 的半连接端口检查：

nmap -sS -p 22 127.0.0.1

1	nmap -sS -p 22 127.0.0.1

关于sshd之key登录方式

题记：学习要细心

缘起：ssh 的免密登录方式很方便，但是很多苛刻的要求你可能很少会去注意，一旦遇到，你会很郁闷，这里记录一下

私钥必须属主是自己，mode为600，否则不会被参考
公钥在服务器上必须不能被其它用户可写，不仅仅是文件本身，也包括任何层级的父目录

bash “格式化”脚本

将写在一行的脚本推到后台执行，切换到前台的时候，居然是做了“格式化”了…

cgroup 学习

题记： cgroup早该学习了

缘起：

几十台虚拟机，没有资源限制，宿主机经常挂掉，不知道因为啥。

该看看cgroup了

上网查文档
安装：

# yum install libcgroup # chkconfig cgconfig on # chkconfig cgred on

1
2
3

# yum install libcgroup
# chkconfig cgconfig on
# chkconfig cgred on

配置
/etc/cgconfig.conf 添加：

group vagrant{
        cpuset {
                cpuset.cpus = "0,1";
                cpuset.mems = "0";
        }
}

group vagrant{

cpuset {

cpuset.cpus = "0,1";

cpuset.mems = "0";

}

注意： cpuset.mems = “0”；是需要的，否则不生效哦（稍后再看是咋回事儿）
/etc/cgrules.conf 添加： (据说对子进程是生效的)

*:/usr/bin/vagrant * vagrant

1	:/usr/bin/vagrant vagrant

重启服务：

# /etc/init.d/cgconfig restart # /etc/init.d/cgred restart

1
2

# /etc/init.d/cgconfig restart
# /etc/init.d/cgred restart

cgconfig是配置服务， cgred是规则引擎daemon
测试：
。。。发现 /usr/bin/vagrant 启动的进程都放到了vagrant组中了，cpu只使用0、1，其他的都不会被用到
修改配置文件后，重启两个服务，即可生效，可以立即影响到正在运行的进程

libcgroup 工作方式：

cgconfig服务其实是通过 /sbin/cgconfigparser 解析并load /etc/cgconfig.conf 以及 /etc/cgconfig.d/* ,把配置文件中需要mount的mount上去
cgred服务其实是/sbin/cgrulesengd ；主要是listen /var/run/cgred.socket , 这个socket是个比较核心的东西，系统没启动一个进程（或者别的操作也会），就会通知到该socket，而/sbin/cgrulesengd就是要根据配置的规则把启动的那个进程添加（就是写一个文件那么的简单）到指定的cgroup中去
注意：
1. /sbin/cgrulesengd 的man中说他可以接收USR1信号，但是实际上把这个信号发过去，进程就直接死掉，连pid文件和lock文件都不会清理掉的
2. 内存限制指的是对该组中所有进程占用内存之和的限制，oom触发在申请内存的时候，如果是后期加入的，不会在加入的时候触发oom; blkio 的限制也是组内共享的
3. /cgroup/memory/memory.oom_control 为 1时，内存不够时不会杀死进程，但是申请内存的程序会hang住
4. cgexec 不依赖cgrulesengd ，cgrulesengd偶尔会不太好使，比如：修改完配置文件之后忘记重启了，所以，建议直接使用 cgexec来测试
5. 限制blkio时需要知道磁盘的主设备号和次设备号，查看方法： lsblk
6. cgred 服务stop时，不会将添加到cgroup中的pid给移除掉，但是cgconfig服务stop时会移除所有的cgroup
7. /etc/cgrules.conf 中controller部分的 ‘*’ 代表添加到所有的子系统中（如果配置了的话），但是测试发现，如果同时添加到cpuset,memory 子系统中，写 ‘*’ 却只添加到了cpuset中了，明确些cpuset,memory 就好使（这种问题浪费了新人很多的时间）
8. 当将进程加入某个group时，如果该进程没有在加入group之后发生内存（资源）申请时，则子系统的统计信息中是没有包含该进程的资源信息的，虽然该进程已经占用了很大的rss，内存子系统中的rss很有可能依然是零.（可能这根本就不是问题）

参考：

https://www.kernel.org/doc/Documentation/cgroups/memory.txt

http://www.cnblogs.com/yanghuahui/p/3751826.html

mkdir 之 mode

题记：学习要细心

曾经，在php中要创建一个权限为 0777的目录：

<?php
mkdir("/tmp/abc", 0777);

1 2	<?php mkdir("/tmp/abc", 0777);

应该问题不大，写完就交差了，测也不测；后来发现，创建的目录是 0755的，再检查一遍代码，确认是0777，不可能错的！可能是谁给修改成0755了吧？然后就做别的去了…

终于有一天，同事遇到了同样的问题，叫我过去看看，猜测可能和umask有关系，修改umask=0000（零零零零）后，终于创建出了0777的目录了，果然和umask有关系，有点儿坑die吧？

难道是PHP中添加了这种奇怪的逻辑？（写C的同学不要笑我，俺没写过C）

查看PHP源代码，发现PHP的mkdir直接调用的是glibc中的mkdir，没有做任何特殊处理，那么？

man 2 mkdir

有如下描述：

问题真相大白了。

我们知道命令行的mkdir -m 0777 能创建出来777的目录，难道命令行的mkdir用的不是glibc的mkdir？不太可能，参看： mkdir –help

很有可能mkdir在创建目录之后，chmod修改了目录的权限

logstash 学习

https://www.elastic.co/guide/en/logstash/current/configuration-file-structure.html

神奇的cpu 100%

系统cpu占用 100% ，但是没有一个进程使用cpu很高，如下：

祭出 vmstat 看看吧：

in/cs 都很高

结果发现有类似下面的一个程序：

#!/bin/bash
#真实的程序没这么简单，不管怎样，是有一个分支没考虑到，没有写sleep
if [ -e /tmp/my_test_file ];then
	sleep 1
	sh $0 &
	exit 1
fi
sh $0 &

#!/bin/bash

#真实的程序没这么简单，不管怎样，是有一个分支没考虑到，没有写sleep

if [ -e /tmp/my_test_file ];then

sleep 1

sh $0 &

exit 1

sh $0 &

于是当 /tmp/my_test_file 不存在时，程序在拼命地”生孩子<=>死掉”；于是，你不知道那个进程占用cpu很高，你只知道cpu被用光了

阿里云SLB的tcp代理的一个测试

号称阿里云的SLB可以处理syn-flood攻击，如何实现的呢？

猜想：

阿里云的SLB在做tcp代理时，如果能在和client端tcp握手成功之后，再和后端服务器进行tcp连接，然后进行正常的服务，这样不就可以很好地避免后端服务器遭受syn-flood攻击了吗？

测试：

在A机器上添加iptable规则，drop掉所有SLB进来的数据包（就是为了drop掉syn-ack），避免成功创建连接
在A机器上抓包，在SLB后面的机器上抓包
从A机器向SLB发送请求
结果：SLB后端机器上可以看到syn请求

如果符合猜想，则：SLB后端机器上不会看到syn请求；事实上看到了syn请求，于是，不符合猜想。

结论： SLB在做tcp代理时，不会在和client握手成功之后才向后端服务器发起tcp连接的。（可能那样会比较麻烦，可能需要处理序号之类的东西）

对于一个高级的tcp负载均衡设备来讲，当接到client的syn包后，就先去连接后端，如果后端能连接，再syn-ack给client，这样逻辑上是好的

linux 之 mv

缘起

mv是多么简单的一个命令啊，但是，获取有些东西你真的不知道。

一个同事mv big_dir_of_small_file to_other_disk ; 明明看着目标地址的空间使用在增加，但就是不见源地址的空间使用在减少，为什么呢?

lsof 查了一下，移走的文件没有立即删除。那就应该是全部移完之后再删除了。

因为文件实在太多，如果中断了程序，会是什么结果呢?

猜测：

删除移过的文件，保留没有移动的文件
那么，移动一半的文件是删除还是不删除呢？

参看： http://lingrok.org/xref/coreutils/src/mv.c

解疑：

其实代码很简单，就是先copy，最后在删除，根本没处理执行一半时被中断做何处理；所以，如果中断的话，就是：copy多少算多少，不删除任何文件。