Set up the FTP server for file backup on CentOS 7

1. Install vsftpd on the server

2. Edit the configuration of vsftpd

 Here is my config file >>

3. open the port on firewalld

 If you want to check the port is accurately opened >>

4. Create user for ftp client and set to nologin

and create the chroot_list file for ftp user login list, write the ftp user name on it

5. Done. Start/restart the vsftpd daemon and connect via FTP client like 'Filezilla'

SWAP partition in Linux, similar with virtual memory in Windows.

When the memory got out of range, the program will be located in swap partition.

But the speed is slower than the RAM because swap partition is on the disk.

Goods

-Give more memory spaces to insufficient RAM

-Allocate the program that is need fast memory

Bads

-Can not control the portion of swap dynamically

-Increase disk usage

-Does not always lead performance enhancement

http

Hyper Text Transfer Protocol

https

-http over secure socket layer.

-http using SSL.

Data communication over http could be read or altered by someone. To overcome this security issue, https uses public key encrpytion.

SSL was developed by Netscape, and changed name to TLS for IETF management. But SSL is popular than TLS.

SSL is digital document for certification by 3rd person.

SSL uses Symmetric key crpytosystem for data and Public key crpytosystem for symmetric key.

http를 통한 데이터 통신은 누군가에 의해 감청될 수 있다. 이를 극복하기 위해 등장한것이 https이다.

Netscape 사가 SSL을 개발했고, IETF에서 표준 관리를 위해 TLS라는 이름으로 변경했다.

SSL은 제 3자 인증을 위한 전자 문서다. 데이터 암호화에 대칭키 방식이 사용되며, 대칭키를 암호화 하기 위해 공개키 방식이 사용된다.

SSL's purposes:

-Ensure that the server which is connected with client is trusted.

-Provide a SSL public key to the client.

SSL은 클라이언트와 연결된 서버를 보증하고, SSL 공개키를 클라이언트에 제공하는 것이 주 목적이다.

SSL CA: Certificate Athority.

Includes service information(CA, service domain, etc) and server's public-key.

SSL에서 CA란 접속하려는 서버의 공개키와 제공하는 서비스에 대한 정보(CA, 서비스 도메인 등)를 포함한다. 

Browser already knows the CA list and each public-key.

웹 브라우저에는 사전에 공인된 CA 목록과 공개키를 가지고 있다.

모든 요청과 응답 데이터는 네트워크로 보내기 전에 암호화되며, 전송 레벨 암호 보안 계층이 있어 SSL 또는 TLS를 이용하여 구현한다. 서버 포트는 443번을 기본값으로 사용한다.

-       서버 인증서

n  인증서 일련번호

n  유효기간

n  사이트 조직 이름

n  DNS 호스트 명

n  공개키

n  인증서 발급기관(CA – Certificate Authority)

n  발급자 서명

HTTPS 트랜잭션 시작 시, 브라우저는 서버에서 디지털 인증서를 가져온다. 서버에 인증서가 없으면 보안 커넥션은 실패한다.

브라우저는 인증서의 서명 기관을 검사하고, 가지고 있는 공개키로 검증한다. 브라우저가 알 수 없는 기관이라면 사용자에게 확인한다.

HTTPS

-       인증서 검사

n  유효 기간 확인

n  CA 신뢰도 검사: 브라우저의 CA 리스트와 비교

n  서명 검사: 공개키를 서명에 적용, 체크섬과 비교해 무결성 검사

n  사이트 신원 검사: 인증서의 도메인과 실제 대화중인 서버 호스트 명 검사

가상호스팅 인증서
가상 호스팅의 경우 인증서에 나열된 호스트명으로 리디렉션을 통해 보안 프로토콜 지원

Web Server

 Client로 부터 요청을 받아 정적인 페이지 컨텐츠(html, jpeg, css 등) 제공

 Apache, NGINX, IIS 등

WAS

 DB 조회, 로직처리 등 동적 컨텐츠 제공을 위해 만들어진 application server

 Tomcat, Jeus, JBoss, Web Sphere 등

-정적인 컨텐츠 요청 시 WAS 단독으로는 성능이 느릴 수 있다. 따라서 Web Server에 WAS들을 plugin 형태로 설정하여 효율적으로 처리되도록 한다.

-디렉토리를 등록하여 백업

-각 센터 백업 어플라이언스 구축 후 WAN Replication 후 PTL 저장

-SAN Backup : FC. DB, 주요 시스템, 빠른 백업/복구 필요한 시스템 (8G)

-Network Backup: Ethernet. FS, 중요도 낮은 시스템 (1G, 10G)

-Off-host Backup: FC. DB

-파일 백업:. 매일/주 1회/매월 마지막일 FULL BACKUP

-Oracle DB: 증분/FULL

로드 밸런싱 : 부하 분산을 위해서 Virtual IP를 통해 여러 서버로 접속하도록 분배하는 기능

주요 기능

 -NAT: 사설 IP를 공인 IP로 바꾸는데 사용하는 주소 변조기

 -DSR(Dynamic Source Routing protocol): 클라이언트로 응답하는 경우에 스위치를 거치지 않고 바로 클라이언트로 찾아가는 개념

 -Tunneling: 데이터를 캡슐화 하여 연결된 상호간에만 캡슐화된 패킷을 구별해 캡슐 해제

동작 방식

 -Bridge/Transparent Mode

  1. 요청 전달 시 변조

   사용자 > L4 > NAT(IP/MAC 변조) > real server

  2. 응답 전달 시 변조

   real server > NAT > L4 > 사용자 - source IP를 L4 virtual IP로 변조. MAC은 변조하지 않음

 -Router Mode

  Bridge/Transparent Mode와 유사. Source MAC 변조 포함

 -One Arm Mode

  사용자가 real server 접근 시 목적지 IP는 L4 IP를 바라보며, L4에 도달하면 클라이언트에게 받은 목적지 IP를 L4 IP에서 real server IP와 real server MAC으로 변조. 되돌아가는 IP는 L4의 IP Pool의 IP로 변조

 -DSR(Direct Server Return) Mode

  사용자가 real server 접근 시 출발지와 목적지 IP 변조 없이 L4에서 관리하는 real server의 MAC addr table 확인하여 MAC 주소만 변조

HAProxy 동작 방식

기본적으로 reverse proxy 형태로 동작. 브라우저에서 사용되는 일반적인 proxy의 경우, 클라이언트 앞에서 처리하는 기능으로, forward proxy라 함. Reverse proxy의 역할은 real server 요청에 대해 서버 앞 단에 존재하면서 서버로 들어오는 요청을 대신 받아 서버에 전달하고 그 결과를 다시 전달하는 것.

최초 접근 > 응답 시 쿠키에 서버 정보 추가 > 재요청 시 클라이언트가 가지고 있는 쿠키 정보를 proxy에서 확인하여 요청 > 응답 시 쿠키에 정보 추가 없고 이후 요청 시 쿠키 재사용

XFF (X-Forwarded-For) header

HTTP header 중 하나로 client의 IP 식별을 위한 사실상의 표준

WAS 앞의 L4 등의 LB나 Proxy, Caching, WAS Connector 등이 있을 경우 HTTP나 AJP(전용 프로토콜)

로 요청을 보낸 후 받은 결과를 가공하여 클라이언트에 재전송하기 때문에 웹서버나 WAS에서 request.getRemoteAddr(); 등으로 client IP를 얻게 되는데 원하는 결과가 아니므로 이를 해결하기 위해서 사용하는것이 XFF Header 이다. 콤마 구분자로 client IP와 proxy IP를 식별할 수 있다

HA 구성

Virtual Router Redundancy Protocol 지원으로 성능상 초당 8만 건 정도의 연결 처리 가능

소프트웨어 기반 솔루션이기 때문에 HAProxy 설치 서버에 문제 발생 시 HW L4보다는 불안정

HA 구성으로 master HAProxy에 문제가 생겨도 slave HAProxy에서 서비스 제공하도록 구성

vIP를 공유하는 active HAProxy와 stnadby HAProxy가 heartbeat를 주고받으며 서로 체크

단일 HAProxy와 다른점은 최초 접근 시 서버 정보를 쿠키가 아닌 서버에서 jsessionid 전달 시 합쳐서 전달한다

쿠키에 정보 추가 없이 XFF에 정보 추가 > 쿠키 추가 없음 > Jsessionid 추가 > 서버 정보 + jsessionid 쿠키에 추가 > 쿠키에서 서버 판별 후 jsessionid만 전달

L4 + HAProxy HA 구성

HAProxy와 기존 HW 스위치를 이용하여 더 확장된 형태의 HA 구조 설계

클라이언트에서 연결되는 부분은 vIP + L4 구성으로 HW 이중화 구축

L4에서 서버 앞단에 HAProxy 구축

GSLB (Global Service Load Balancing) + HAProxy

IDC간 이중화 및 global 환경 무정지 서비스를 위한 DR 시스템 구축

GSLB용 L4는 고가의 장비이므로 DNS를 이용한 구축 형태

client에서 DNS 도메인 조회 > 근거리 IDC 정보 전달

ref: http://d2.naver.com/helloworld/284659

-네트워크 스위치의 한 포트에서 보이는 모든 네트워크 패킷 혹은 전체 VLAN의 모든 패킷들을 다른 모니터링 포트로 복제하는데 사용.

-IDS, 패시브 프로브 또는 Application Performance Management에 필요한 Real User Monitoring 기술과 같이 네트워크 트래픽을 모니터링 해야하는 네트워크 장비에서 사용.

-시스코 – Switched Port Analyzer / Remote Switched Port Analyzer

-네트워크 상의 데이터 분석 및 디버그, 오류 진단에 사용. 인바운드/아웃바운드 트래픽을 N:N으로 미러링 가능

"Core dump"란 UNIX 계열에서 프로그램이 비정상적으로 종료되는 경우에 프로그램이 종료될 당시의 메모리 상태를 기록하여 생성된 파일을 말합니다. 이 파일은 해당 프로그램에 어떤 문제가 있었는지 디버깅 하는 용도로 사용된다고 합니다.

그러면 왜 error 나 log 등의 이름이 아닌가 하면, DRAM 반도체를 사용하지 않던 시절에는 "Magnetic Core Memory" 라는 RAM을 사용했고, 그 이름이 아직까지 이어져 사용되고 있다고 합니다.

Magnetic core memory에 대하여 설명하자면,

전자기기, 안테나 등에 자주 사용되는 Ferrite(페라이트) 자성체로된 고리에 케이블이 통과하는 모양의 격자 구조로 되어있는 메모리 입니다. 코어 1개가 1비트의 저장용량을 지니며, 한 코어에 읽기 케이블 1가닥, 쓰기 케이블 2가닥이 지나갑니다. 각 케이블에 전류를 흘려 해당 코어들에 자화를 일으켜 전류 방향에 따라 0 또는 1을 기록하는 방식입니다.

또한 Core dump 파일은 크기가 매우 커서 계속 생성되도록 하면 디스크 용량을 계속 차지하기

 때문에 생기지 않도록 막는것이 보통이라고 합니다. 따라서 이름에 core가 들어갔지만 삭제해도 시스템에 영향을 미치는 파일이 아니고 오히려 파일 시스템 관리 측면에서 정리 대상 우선순위가 높은 파일이라 할 수 있습니다.

echo “source <(kubectl completion bash | sed s/kubectl/k/g)” >> ~/.basgrc

- Layer 2 Data link layer (Ethernet)

Unit : Frame

Header : Includes MAC address of source and destination

Source broad casts the data and can receive data who has destination MAC address.

- Layer 3 Network Layer (IP)

Unit : Packet

Header : Includes IP addresses of source and destination

Use routing to distinct the network.

Routing table has IP and route information to find best route.

- Layer 4

Transport Layer (TCP/UDP)

Header : Use port to networking. http, ftp, smtp etc

Load balancing on the server farm environment

- Layer 7

Application Layer

To overcome L4's limitation.

Using more informations to networking : Data payloads (IP, port, URL, cookies, FTP file name, SSL ID, virus pattern etc)

DNS

Domain Name Space

TLD (Top Level Domain)

 루트 도메인 계층 하위에 해당하는 계층으로, 국가 할당 도메인과 국제적 업체 할당 도메인으로 분류된다.

Third Level Domain

Name Server

Resource Record (RR)

DNS work flow

ref: https://aws.amazon.com/ko/route53/what-is-dns/

1. Enter the domain on web browser

2. Find the IP address of the domain from local - ISP DNS resolver

3. ISP DNS resolver requests the IP address to DNS root name server.

   DNS root server replies the TLD (Top Level Domain) server.

4. Try the domain to TLD server. (ex. .com, .kr, .jp, .net...)

   TLD server replies the name server of the domain.

5. Request to the name server

6. Name server response with IP address of the domain

7. DNS resolver response with the IP address to browser

8. Browser request to the webserver with IP address, port, and URL

9. Web server responses to the end user