00:00
好,那我们接下来看一下第二章一个安装对吧,咱们来了解一下它的一个部署过程,那首先咱们要做一些准备工作,如果你直接照着官网上的来,可能会踩到一些坑,那咱们要先提前把一些环境的配置准备好,那首先第一个呢,咱们这个防火墙,呃,先把它关掉对吧?呃,省得它影响我们。当然如果在实际工作中,防火墙需要的话,你再去像一些IP的限制啊,端口的限制啊,你再去配就可以了啊,那这个咱们就不展开了,那咱们现在为了方便先把防火墙关掉,第二一个santa OS。取消文件限制,这个是什么呢?来咱们打开一个虚拟机啊,U limit-AU limit是咱们。呃,可以理解为Linux系统的一些限制,那这边你看是不是一堆东西啊。那咱们要改的是什么呢?哎,我放大一点来。
01:02
一个是我看看啊。这。Open fires。这个。这个咱们经常要改啊。还有一个东西是这。也就是说咱们,呃,未来你要用这个命令查看,主要关注还是这两个东西,什么意思呢?一个是打开的文件数,其实看名字大家都能知道了,另外一个是什么max u processor。Process是不是用户最大的进程数,也就是说我一个用户,比如说我现在是艾特硅谷对吧,那我就可以指定我艾特硅谷用户最多能打开几个进程,那我们为什么要改这个呢?因为咱们说了这个click house它比较吃什么CPU。而且它的数据存在哪里啊,是本地磁盘呢。所以它你数据量一大,然后你的查询的线程一多等等,它可能对于咱们打开的文件数也好,进程数也好,就不够用了,所以咱们要把它调大一点,那其实调这个东西大家之前也调过,你想想是哪个框架,是不是ES。
02:16
E是不是也会调这两个对吧,所以大家要明白这个调这个是什么意思啊,你不要光怎么操作啊,尽量多思考思考,多理解理解对吧,那么来瞅一瞅了,那改这个的话,咱们通常是在这个路径。ETC。Security security limits com这个里面去加,那我再给大家解释解释,分别是什么意思,那这边我可能需要修do ETC啊,Security。然后是一个limits.com是一些系统限制啊,打开那这边我其实已经加过了,就是这几行,这个是我已经加上了,那其实这边是什么意思呢。
03:04
这边咱们有几列啊,有几列,这是第一列,第二列,第三列,第四列,我分别给大家解释一下呗,第一个呢,其实就是你要限制的那个用户跟用户组。对吧,用户跟用户主,我这边写的心表示什么意思啊,所有用户所有组啊,这边为了省事我直接打开,如果未来你在公司里面想要配的话,是单独对某一些开发用户开发账号,呃开放的话,你你就可以怎么写呢?格式是这样,你往下拉。你往下走一点。这里都有解释对吧,一个用户还有一个用户组,那正常是怎么写呢。正常是这样,比如说我举个例子啊,艾特硅谷这个是用户对吧,然后一个艾特符号啊,它是哪个组呢?比如说也是艾特硅谷组的用户组的,那就是这样,那你第一列这边就写这样子。
04:03
这是用户名,这是组,用一个艾特符号隔开就可以了,那接下来我们看一下第二点。大家可以看到,我这边有一个叫soft,一个叫hard。啥意思呢?这个salt叫做软线纸啊,Hard叫硬线纸对吧,那你想想你的。啊,行,咱不举一些不恰当的例子了啊,大家自己体会了,那什么叫软,什么叫硬呢?说白了我举大白话,什么理解?软就是当前生效的。Hard是什么?最大?就是上线呗。所以大家可想而知,咱们的软能不能大于硬的呀,就像某些比如说嗯。啊不不别某些了,不合适啊,那咱们想想呃,它软的状态是不是肯定比硬的状态要小一点是吧,那这个时候呢,硬的就代表咱们的一个上限在哪里,最大是多少,那soft软呢,就是你现在日常状态生效的是多少,所以咱们一般配的时候,大家注意这个软的值要比硬的值要小。
05:18
要小于等于啊,要小于等于硬的。那其实它还有一个配置叫什么杠,杠代表软跟硬一起配的,然后呢,其实是一样的啊,杠就是软硬一起配,那咱们没有一起配啊,咱们是软硬都配了,呃,然后这个。Number fire。那我们看第三列呗,这边我们主要配了两种东西,一个叫number five,一个叫number process,其实很简单,上面这个是什么文件描述符的数量?No,就是number嘛,Number的一个缩写,一个简简写文件数,打开的文件数,呃,下面这个PC是什么?Process就进程数,用户的进程数,能打开的进程数,所以我们刚才u limit命令也看到说关注了这两个对吧?啊就这个意思很简单啊,那后面这个打开文件数我配成65536,那后面这个进程数我配的是65536的两倍啊,65536的两倍,那这个呢,大家一般这么配也就够了,如果不够你再去调,一般65536都最大的啊。
06:33
这个配你直接粘过来就行了啊,如果你有需要再根据我介绍的你去改就可以了啊,然后呢,保存退出对吧,我这边之前已经改好,那还有一个地方就是咱们系统的原因,有时候啊呃,除了这个文件指定之外,它还会被另一个文件所覆盖啊,是这个。说白了,你记这个东西,点D这个文件夹下面,它是可以覆盖上面Li这个。
07:04
呃,这个里面的配置了,所以咱们正常呢,呃,这边也要配一下啊,来我们来瞅一眼。Do EDC security。诶敲错啊,敲错了啊security,然后呢点D啊。然后里面呢,我们先进来吧。我们先看一眼这里有什么啊啊is。是不是有一个这个,如果没有怎么办?你创建一个呗。对吧,好,我们打开这个文件。二零杠n PC com,其实这两个是默认的。默认了,后面这四行是我追加的。其实这个文件大家看名字也知道它是配啥的,NPC的嘛,那咱们那个no fire文件数,正常来讲呢,咱们还会单独创建一个文件来放,但是这边只有一个,咱们图省事,反正它读取的都是点D路径下的所有配,呃,所有文件,咱们直接就怎么样把这四个配置在这里在写一份就行了,所以我们把number fair的也写在这里,不影响啊,不影响,那同样的这四列的含义刚才解释过了啊,咱们这次讲的比较详细,相信大家应该现在比较理解了啊,你要知其然,你要知其所以然。
08:37
把这四个搞好就行了,就这两个地方,那怎么让它生效呢?需要重启吗?同学们,没必要。没必要,咱们这里的配置只需要什么重新登录就行了。重新登录啊。登录,也就是说你把当前用户退出,然后再重新连上登录进来,它就生效了,那具体你要看有没有生效,怎么办呢?U limit-A这个命令你就可以瞅一眼,首先这个值变了没有。
09:09
第二一个打开文件数变了没有,如果看到已经变化了,那就说明已经生效了,那咱们现在先不做这个操作,因为咱们还要改一些事儿啊,后面再一起。重置就行了啊,那完事之后咱们是不是只改了一台呀,那你是不是三台都要部署的话,你是不是都得改一下,所以你是不是要同步一下对吧?用咱们之前的同步脚本把这两个文件配置文件把它同步一下就OK了啊,就OK了,但是你注意这是系统路径,所以你要怎么样用修度的方式来同步,不然会报什么权限不足啊,这边我就不再去同步了啊,那这个脚本全路径就看你放在哪里了,好吧。这是咱们准备工作啊,文件限制,还有进程数的限制,第三一个安装这个依赖。
10:02
咱们在安装肯定house的时候啊,他可能需要一些相关的依赖环境,那这个呢,如果你之前没装过,你就执行一下就行了,通过样命令来安装啊,那这个我装过了,我就不再去装了,这个很简单,没什么好讲的,那还有相关的依赖UN o dbc相关的啊,把它也装一下这两个。大家注意三,呃,你要部署的节点都得装啊,你别回头只装了一个节点啊,忘了啊。呃,咱们安装就是考验你够不够细,对吧,要做一个细致的男人。对吧,当然不是像母亲一样那么细啊,咱们不是说那个,咱们说的是你细心啊,要细心一点,很多事都能避免。好,我们再聊最后一个准备工作。SE Linux这个东西相信大家并不陌生,但大家对它了解吗?如果不了解,我简单提一提这个是什么增强。
11:02
呃,这个应该叫S是什么呢?安全的一个缩写嘛,Security。啊,E呢。是一个增强嘛,强制强迫就什么呢,Enforce。这个就SE的缩写,呃,那么Linux就是Linux操作系统的,那这个东西是什么呢?是为了系操作系统的安全。设计的是内核级别的啊,Linux的一个内核,那么它呢是它的来源是什么?美国国家安全局啊,大家注意是美国的啊,国家安全局开源的,那么可以说它是目前对Linux操作系统安全防护做的最到位最好的。最强大最全面的啊,应该就是他了,但是呢,咱们其实大家应该发现了啊,在企业里面,公司里面经常会把这个东西关掉。为啥呢?他这么强,我为什么要关掉啊?大家注意,就是因为他管的太多了。
12:04
你大家想想嘛,你想想你的父母,或者想想现在的父母带小孩,现在是不是呃,由于可能都现在小孩比较金贵嘛,啊对吧,比较金贵,比较娇贵,然后呢,各种东西都呃。照顾的很好,那这个时候你是不是对小孩就要求限制特别多,小孩又怎么样,是不是感到很烦啊?说你这也要管,那也要管,对吧?玩会手机说胖眼睛不好,呃。干点啥,又说这不行那不行。当然大家可以想,可能对孩子的一些坏习惯是起到一个纠正的作用。但你想想你这样。从当事人的角度来讲,是不是很烦呢?而且你你作为管理者,你作为父母,你也得考虑担忧很多呀,是吧,好是好,但他带来的一些负担是不是还比较大是吧?你再想想,你跟你对象相处,他啥都要管你啊,比如说你你是男生,你喜欢打游戏,你对象天天就管着你,你到底还爱不爱我,你到底是爱游戏还是爱玩呀,对吧?你你次数多了,你是不是也很烦呢?那女生呢,就是,呃,男生老管你出去,你你比如说你喜欢出去跟朋友聚聚会啊,喝点下午茶,拍拍照,旅旅游,男生就说你们天天出去玩呢,你你你怎么样收敛一点,对吧?那你会觉得他很烦啊,同样的道理,同学们,他好是好,但是你要。
13:34
玩明白它,你要把它玩明白是很难的啊,所以企业里面呢,咱们是不是一般有一些专业的运维来负责一个操作系统啊,那你想想,如果为了这个东西,首先使用着很不方便,动不动就这又不行,那又不行了,就是因为它的一个一些安全措施把你拦住了,那这个时候运维就需要很了解这个增强安全增强型Linux的一些操作配置。
14:01
那其实说白了得不偿失。得不偿失。也不是得不偿失了,说白了可能是功夫不到家呗。呃,主要是你需要花很多的精力去研究它,学习它,熟悉它,然后才能用好,所以人家干脆怎么样关了呗。我直接把你关了,那安全怎么办?那就是做一些什么防火墙的一些IP限制啊,端口限制啊。对吧,就做一些这些事儿,甚至呢,呃,咱们企业是不是经常会有一个东西叫跳板机啊。对吧,通过其他的方式更呃来保证一个安全性对吧?呃,所以正常咱们会把它关掉,那同样的道理,咱们这篇啊,就不要让他来影响我们了,因为如果你是一些企业版的Linux什么的,它默认这个是打开的。默认是携带这个东西并且打开的,所以我们要先把它关掉啊,那怎么改呢?来它的路径也很直白,速度YETC,然后有一个SE Linux。
15:09
对吧,然后有一个con,就是这个配置文件。在ETC下面,然后呢,OK,你注意要加个修do啊,不然你没权限,它默认是什么?Forforcing表示开启,那我们要把它修改成disable啊,注意别改错了,这个地方我再提醒一遍,一定要确认。它关掉了。改完之后退出对吧,然后你别忘了要怎么样分发啊,你要部署的节点都分发一下之后,它怎么生效呢?它必须什么从。你这是内核级别的更改,你不重启它是不生效的,这个你要注意啊,那现在问题就来了,在生产环境里面,就企业里面,比如说我现在服务器并不是新买的,也就原来就有的,运维呢,已经配置好了相关的系统跟环境,但是这个安全增强型它忘了关,现在你又要装click house。
16:12
又不想重启机器怎么办?可以临时生效生效啊,嗯,Sentence。叫什么来着?我想想啊,打错了,我们先看一下状态吧,Get in。你看这就是查看当前安全增强型Linux是什么状态,现在是关闭,那如果你没关,现在应该显示forcing,对吧,表示开启,那你可以临时生效,是这样set。对吧,这个单词你从这把它劈开,一个是get,一个是什么set。然后呢,零表示关闭,一表示打开,然后我试一下啊,比如说我设置成一。
17:07
但是他报错了,目前是关闭的对吧,它是什么呢?只有你开启的时候能临时关一下,但你关的时候开不了。你关的时候想开必须重启啊,来,我们再get一下。改不了我改不了啊,所以你要临时生效,你就设一下设成零就行了。啊,如果没权限加一个修度对吧,那为什么要讲这个,你可以怎么样。取巧嘛,想办法嘛,你不想重启可以啊,你是配置文件改掉,但是配置文件怎么样。是不是只有重启才生效,那你现在不重启,你别管,你先改好对吧,那接下来你是不是让用这个语法set一下,让它临时生效。临时关闭啊,那未来比如说你服务器不管出于什么原因,维护也好,故障也好,是不是发生了重启啊,那你重启完之后,这个配置是不是就生效了。
18:04
对吧,那你还没重启之前,你也是临时关了也不影响,这个是一个取巧的一个方式啊,说白了大家不一定非要重启。能理解吧,这都是一些呃,偷奸耍滑的技巧对吧?啊行,这是咱们的一个准备工作啊,呃,讲的比较多,比较啰嗦啊,大家就看情况呗,好吧。那这些我是都做过,我就不再去什么重启不重启的好吧。
我来说两句