Tagged: Linux

09/28/2014

iptable 의 hashlimit 를 이용한 접속 제한

보통 DDOS 공격과 같은 경우에 초당 몇 십개에서 몇백번건의 접속을 시도 합니다. 이러한 초당 수백건의 접속을 이용해서 iptables 의 hashlimit 를 이용한 접속 제한을 할 수 있습니다.

hashlimit match options

  --hashlimit-upto            max average match rate
                                   [Packets per second unless followed by
                                   /sec /minute /hour /day postfixes]
  –hashlimit-above           min average match rate
  –hashlimit-mode           mode is a comma-separated list of
                                   dstip,srcip,dstport,srcport (or none)
  –hashlimit-srcmask      source address grouping prefix length
  –hashlimit-dstmask      destination address grouping prefix length
  –hashlimit-name           name for /proc/net/ipt_hashlimit
  –hashlimit-burst 	    number to match in a burst, default 5
  –hashlimit-htable-size     number of hashtable buckets
  –hashlimit-htable-max      number of hashtable entries
  –hashlimit-htable-gcinterval    interval between garbage collection runs
  –hashlimit-htable-expire        after which time are idle entries expired?

hashlimit match options

--hashlimit-upto max average match rate

[Packets per second unless followed by

/sec /minute /hour /day postfixes]

–hashlimit-above min average match rate

–hashlimit-mode mode is a comma-separated list of

dstip,srcip,dstport,srcport (or none)

–hashlimit-srcmask source address grouping prefix length

–hashlimit-dstmask destination address grouping prefix length

–hashlimit-name name for /proc/net/ipt_hashlimit

–hashlimit-burst number to match in a burst, default 5

–hashlimit-htable-size number of hashtable buckets

–hashlimit-htable-max number of hashtable entries

–hashlimit-htable-gcinterval interval between garbage collection runs

–hashlimit-htable-expire after which time are idle entries expired?

예를들어 초당 20번 이상 접속을 시도하는 것을 차단하고 싶다면 다음과 같이 지정하면 됩니다.

-m hashlimit --hashlimit-name dnsudplimit --hashlimit-above 20/second --hashlimit-mode srcip --hashlimit-burst 100 --hashlimit-srcmask 24 --hashlimit-htable-expire 3600 -j DROP

1	-m hashlimit --hashlimit-name dnsudplimit --hashlimit-above 20/second --hashlimit-mode srcip --hashlimit-burst 100 --hashlimit-srcmask 24 --hashlimit-htable-expire 3600 -j DROP

이 차단은 약 1시간 동안 유지됩니다.

09/28/2014

[번역] 리눅스 커널 튜닝 – swappiness and overcommit_memory

이 문서는 다음 주소의 내용을 발 번역한 것입니다.

http://tonylixu.blogspot.kr/2014/01/linux-kernel-tuning-swappiness-and.html

리눅스 커널 튜닝 – swappiness and overcommit_memory

리눅스 커널 튜닝가능한 파라메터 vm.swappiness (/proc/sys/vm/swappiness) 는 어떻게 메모리 페이지들이(memory pages) 적극적으로 디스크에 스왑(swap)되어질 수 있는지를 정의하는데 사용되어질 수 있습니다. 리눅스는 활용할 수 있는 free 메모리양이 충분하더라도 오랫동안 메모리 페이지에 접근하지 않는 것들을 스왑 공간으로 이동시킵니다. 이러한 동작은 “swappiness” 커널 파라메터 값을 /proc/sys/vm/swappiness 에서 변경할 수 있습니다.

높은 swappiness 값은 커널은 매핑된 페이지를 좀 더 해제하라는 의미 입니다. 낮은 swappiness 값은 반대의 의미로 커널은 매핑된 페이지를 덜 해제하도록 하라는 의미 입니다. 바꿔말해서, vm.swappiness 값이 높을 수록 시스템은 좀 더 많이 스왑을 할 것입니다.

vm.swappiness 는 스와핑 활동과 freeing 캐쉬사이의 균형을 바꾸기 위해서 0 에서 100 사이의 값을 가집니다. 100 은 커널이 항상 비활성 페이지를 찾게되고 그것들을 스왑 합니다. 다른 말로, 스왑의 발생은 애플리케이션이 메모리를 얼마나 많이 사용하는지, 어떻게 부족한 캐쉬가 찾기 활동을하고 비활성 아이템을 릴리즈하는가에 의존합니다.

echo 0 > /proc/sys/vm/swappiness
cat /proc/sys/vm/swappiness

1 2	echo 0 > /proc/sys/vm/swappiness cat /proc/sys/vm/swappiness

일반적으로 프로세스들은 함수 malloc() 를 호출함으로서 메모리를 할당 합니다. 커널은 충분한 메모리가 활용가능한지 판단하고 할당요청을 허용하거나 거부할지를 결정합니다. 리눅스는 메모리 오버커밋(overcommit memory) 할 수 있는 기능을 지원 합니다. 그것은 물리적 램과 스왑을 합쳐 더 많은 메모리를 할당되어질 수 있도록 허용하는 것 입니다. 이것은 무섭지만, 때때로 애플리케이션이 최악의 케이스 시나리오로 메모리를 할당하는 경우에 필요하지만 절대로 이러한 케이스를 사용해서는 안됩니다. (애플리케이션이 메모리를 많이 잡아먹도록 만들지 말라는 이야기 입니다.)

vm.overcommit_memory 는 3가지 가능한 세팅 값이 있습니다.

0 (heuristic overcommit) : 충분한 메모리가 활용가능하지 체크하고, 만약 그렇다면, 할당을 허용한다. 만약 메모리가 충분하지 않다면, 요청을 거부하거나 애플리케이션에 에러를 리턴한다.
1 (always overcommit) : 커널은 “모든 돈을 걸어라”는 것과 같다. 1로 세팅하는 것은 커널에게 애플리케이션의 메모리에 대한 요청을 항상 성공으로 리턴하라고 명령하는 것이다. 이것은 듣기에따라서 섬뜩하고 무서운 것이다.
2 (strict covercommit) : 메모리에 물리적 메모리와 스왑을 합쳐 초과 할당을 vm.overcommit_ratio 에 정의되어진 것만큼 할당하도록 허용하라. vm.overcommit_ratio 파라메터는 비율로서 얼마나 커널이 오버커밋을 할 수 있는지를 결정할때에 추가할 메모리의 양이다. 예를들어, vm.overcommit_ratio 가 50 이고 1GB 의 램을 가지고 있따면 커널은 요청이 실페하기전에 0.5GB 의 물리메모리와 스왑을 더해서 할당되어질 수 있도록 허용하게 된다. 결국 물리메모리를 낭비하게 된다.

프로세스가 포크(fork)될때나 fork()함수를 호출할때, 이것은 전체 페이지 테이블(page table)이 복제된다. 다른 말로하면, 작식 프로세스는 완벽하게 부모의 메모리공간의 복사본을 가진다는 것이며 이는 당신이 예상한대로 두배의 메모리양을 필요로한다. (부모 메모리, 자식 메모리) 만약 그 자식들의 의도가 즉각적으로 exec()를 호출하는 것이라면( 하나의 프로세스가 다른것으로 교체되는) 부모의 메모리를 복제하는 활동은 시간을 낭비한다. 왜냐하면 이러한 패턴은 아주 일반적인것으로, fork()와 달리 vfork()로 생성은 부모 메모리를 복제하지 않으며 대신에 자식 프로세스가 exec() 를 호출하거나 사라질때까지 그것을 블럭킹한다. The problem is that the HotSpot JVM developers implemented Java’s fork operation using fork() rather than vfork()

echo 1 >  /proc/sys/vm/overcommit_memory
cat /proc/sys/vm/overcommit_memory

1 2	echo 1 > /proc/sys/vm/overcommit_memory cat /proc/sys/vm/overcommit_memory

영구적으로 바꾸기.

#vi /etc/sysctl.conf
add the following (dash not included)
---------------------------------
# Hadoop Kernel tuning
vm.swappiness=0
vm.overcommit_memory=1
---------------------------------

#vi /etc/sysctl.conf

add the following (dash not included)

---------------------------------

# Hadoop Kernel tuning

vm.swappiness=0

vm.overcommit_memory=1

---------------------------------

09/27/2014

CentOS IPv6 비활성화

IPv4 의 부족분을 대체하기 위해서 IPv6 가 개발되었지만 아직까지 사용빈도가 높지않아 리눅스 IPv6 비활성화 시켜서 자원을 아낄 수 있습니다. 기본적으로 CentOS 6, 7 에서는 IPv6 가 활성화 되어 있습니다.

# 소켓 리스닝 상태
netstat -lpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1550/rpcbind        
tcp        0      0 0.0.0.0:39698               0.0.0.0:*                   LISTEN      1568/rpc.statd      
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1622/sshd           
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      1698/master         
tcp        0      0 :::111                      :::*                        LISTEN      1550/rpcbind        
tcp        0      0 :::22                       :::*                        LISTEN      1622/sshd           
tcp        0      0 ::1:25                      :::*                        LISTEN      1698/master         
tcp        0      0 :::57468                    :::*                        LISTEN      1568/rpc.statd      
udp        0      0 0.0.0.0:877                 0.0.0.0:*                               1550/rpcbind        
udp        0      0 0.0.0.0:111                 0.0.0.0:*                               1550/rpcbind        
udp        0      0 0.0.0.0:896                 0.0.0.0:*                               1568/rpc.statd      
udp        0      0 0.0.0.0:46387               0.0.0.0:*                               1568/rpc.statd      
udp        0      0 0.0.0.0:68                  0.0.0.0:*                               1462/dhclient       
udp        0      0 :::877                      :::*                                    1550/rpcbind        
udp        0      0 :::111                      :::*                                    1550/rpcbind        
udp        0      0 :::46198                    :::*                                    1568/rpc.statd

# 커널 모듈 상태
lsmod | grep ipv6
nf_conntrack_ipv6       8337  2 
nf_defrag_ipv6         11156  1 nf_conntrack_ipv6
nf_conntrack           79758  7 xt_conntrack,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state
ipv6                  318183  153 ip6t_REJECT,nf_conntrack_ipv6,nf_defrag_ipv6

# 소켓 리스닝 상태

netstat -lpn

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1550/rpcbind

tcp 0 0 0.0.0.0:39698 0.0.0.0:* LISTEN 1568/rpc.statd

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1622/sshd

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1698/master

tcp 0 0 :::111 :::* LISTEN 1550/rpcbind

tcp 0 0 :::22 :::* LISTEN 1622/sshd

tcp 0 0 ::1:25 :::* LISTEN 1698/master

tcp 0 0 :::57468 :::* LISTEN 1568/rpc.statd

udp 0 0 0.0.0.0:877 0.0.0.0:* 1550/rpcbind

udp 0 0 0.0.0.0:111 0.0.0.0:* 1550/rpcbind

udp 0 0 0.0.0.0:896 0.0.0.0:* 1568/rpc.statd

udp 0 0 0.0.0.0:46387 0.0.0.0:* 1568/rpc.statd

udp 0 0 0.0.0.0:68 0.0.0.0:* 1462/dhclient

udp 0 0 :::877 :::* 1550/rpcbind

udp 0 0 :::111 :::* 1550/rpcbind

udp 0 0 :::46198 :::* 1568/rpc.statd

# 커널 모듈 상태

lsmod | grep ipv6

nf_conntrack_ipv6 8337 2

nf_defrag_ipv6 11156 1 nf_conntrack_ipv6

nf_conntrack 79758 7 xt_conntrack,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state

ipv6 318183 153 ip6t_REJECT,nf_conntrack_ipv6,nf_defrag_ipv6

위와같이 IPv6 가 사용 됩니다.

CentOS 6

1. IPv6 커널 모듈 비활성화

다음과 같이 IPv6 커널 모듈이 로딩되지 않도록 해줍니다.

echo "install ipv6 /bin/true" > /etc/modprobe.d/disable_ipv6.conf

1	echo "install ipv6 /bin/true" > /etc/modprobe.d/disable_ipv6.conf

2. 커널 파라메터 추가

다음과 같이 IPv6 커널 파라메터를 추가해 줍니다.

echo "net.ipv6.conf.default.disable_ipv6=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf

1 2	echo "net.ipv6.conf.default.disable_ipv6=1" >> /etc/sysctl.conf echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf

이제 재부팅을 해주면 IPv6 가 비활성화 됩니다.

CentOS 7

1. Grub2 IPv6 비활성화 옵션 추가

# vim /etc/default/grub
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console"
GRUB_CMDLINE_LINUX="ipv6.disable=1 vconsole.font=latarcyrheb-sun16 vconsole.keymap=ko crashkernel=auto  rhgb quiet"
GRUB_DISABLE_RECOVERY="true"

# vim /etc/default/grub

GRUB_TIMEOUT=5

GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"

GRUB_DEFAULT=saved

GRUB_DISABLE_SUBMENU=true

GRUB_TERMINAL_OUTPUT="console"

GRUB_CMDLINE_LINUX="ipv6.disable=1 vconsole.font=latarcyrheb-sun16 vconsole.keymap=ko crashkernel=auto rhgb quiet"

GRUB_DISABLE_RECOVERY="true"

이와같이 GRUB_CMDLINUX_LINUX=”ipv6.disable=1 …” 를 추가 합니다.

그리고 다음과 같이 Grub 을 재성해 줍니다.

grub2-mkconfig -o /boot/grub2/grub.cfg

1	grub2-mkconfig -o /boot/grub2/grub.cfg

위 절정을 다하고 시스템을 reboot 해주면 IPv6 가 비활성화 됩니다.

09/21/2014

RabbitMQ 설정

RabbitMQ 는 기본적으로 효율적으로 RabbitMQ 서버을 운영하기에 충분할만큼 내장된 설정으로 가지고 있습니다. 만약에 이 설정을 변경하고자 한다면 설정을 해야 합니다.

RabbitMQ 설정은 기본적으로 다음과 같이 3가지 방법을 제공 합니다.

환경변수들(environment variables) : 포트(port), 파일 위치(file location), 파일 이름(file name)들을 정의. 이것은 쉘 환경변수로부터 가지고 올수 있으며 rabbitmq-env.conf 파일에 설정할 수 있다.
설정파일 : 허가권(permission), 제한과 클러스터, 플러그인 세팅과 같은 서버 컨포넌트들을 정의.
런타임 파라미터와 정책들 : 클러스터 전체 세팅을 런타임에서 변경할 수 있다.

설정파일의 위치는 배포판의 경우에 /etc/rabbitmq 를 루트하며, 컴파일 설치시에 지정해준 디렉토리를 기준으로 합니다.

rabbitmq-env.conf

이 설정 파일은 RabbitMQ 서버의 전체적인 설정들, 예를들어 서버 Port, 호스트이름, 노드이름등 입니다.

이는 쉘의 환경변수로 설정이 가능한데, 이 설정파일의 변수들에 ‘RABBITMQ_’ 를 붙이면 사용가능 합니다.

#example rabbitmq-env.conf file entries
#Rename the node
NODENAME=bunny@myhost
#Config file location and new filename bunnies.config
CONFIG_FILE=/etc/rabbitmq/bunnies

# 이는 다음과 같이 쉘 환경변수로 설정이 가능 합니다.
# export RABBITMQ_NODENAME=bunny@myhost
# export RABBITMQ_CONFIG_FILE=/etc/rabbitmq/bunnies.config

#example rabbitmq-env.conf file entries

#Rename the node

NODENAME=bunny@myhost

#Config file location and new filename bunnies.config

CONFIG_FILE=/etc/rabbitmq/bunnies

# 이는 다음과 같이 쉘 환경변수로 설정이 가능 합니다.

# export RABBITMQ_NODENAME=bunny@myhost

# export RABBITMQ_CONFIG_FILE=/etc/rabbitmq/bunnies.config

rabbitmq.conf

이 파일은 기본적으로 rabbitmq-env.conf 에서 지정 가능합니다. 주의해야 할 것은 파일명을 적을때에 conf 확장자를 생략하고 적으셔야 합니다. 왜냐하면 RabbitMQ 가 확장자 conf 를 추가하기 때문입니다.

# ##########################
# Mac: /usr/local/etc/rabbitmq/rabbitmq
# If the configuration file is present it is used by the server
# The .config extension is automatically appended
# This file is also used to auto-configure RabbitMQ clusters
# Example:
#   Config file location and new filename bunnies.config
#   CONFIG_FILE=/usr/local/etc/rabbitmq/bunnies
# ##########################
CONFIG_FILE=/etc/rabbitmq/rabbitmq

# ##########################

# Mac: /usr/local/etc/rabbitmq/rabbitmq

# If the configuration file is present it is used by the server

# The .config extension is automatically appended

# This file is also used to auto-configure RabbitMQ clusters

# Example:

# Config file location and new filename bunnies.config

# CONFIG_FILE=/usr/local/etc/rabbitmq/bunnies

# ##########################

CONFIG_FILE=/etc/rabbitmq/rabbitmq

이 설정 파일에서는 RabbitMQ 운영에 관련된 내용들을 주로 다룹니다. 사용할 메모리, 인증방법, SSL 인증서 설정등 입니다.

이러한 설정들은 다음의 명령어로 확인이 가능 합니다.

# rabbitmq 상태 확인
rabbitmqctl status

1 2	# rabbitmq 상태 확인 rabbitmqctl status

09/27/2014

리눅스 아파치 설치

Apache 는 전세계 웹 서버로 가장 많이 쓰이는 HTTP 서버 입니다.

Apache 는 최신 2.4 으로 넘어오면서 많은 변화를 겪었습니다.

이 문서는 리눅스 아파치 설치 하는 방법을 설명한 것입니다.

1. 개요

CentOS 7 배포판은 RHEL 7 을 재컴파일해서 만들어진 배포판 입니다. 이전 버전과 달리 서비스 데몬 관리로 Systemd 를 채용했고 기본 파일 시스템으로 XFS 를 채용하는등 많은 변화를 겪었습니다.

CentOS 7 에 서버 프로그램을 설치하게 될 경우에 이 Systemd 와 결합을 시키는 것도 중요한 일로 떠올랐습니다. Systemd 는 단순하게 서비스 데몬을 관리하는 것뿐만 아니라 시스템의 전반적인 인프라자체이므로 매우 중요한 요소가 되었습니다.

이 문서에 Apache 2.4.10 은 바로 Systemd 와 통합하는 방법을 포함 합니다. 이 문서의 내용은 Fedora 22 배포판을 많이 채용한 것입니다.

2. Apache 2.4.10

2.4.10 버전에서는 이전과 달리 기본 MPM으로 Event 입니다. 별도로 MPM을 지정해주지 않으면 Event 로 지정되었습니다. 하지만, 이 기본 Event 가 라이브러리 의존성을 가지고 있기 때문에 라이브러리가 갖추어지지 않았다면 Prefork 와 Worker 가 공유라이브러리로 컴파일되고 설치 이후에 무엇을 쓸것인지를 지정해줘야 합니다.

2.4.10 버전의 경우에 Event 를 활성화하기 위해서는 Apr, Apr-utils 의 버전이 1.5 이상이여 합니다. 하지만 CentOS 7 배포판에서는 현재 1.4 버전임으로 컴파일 설치할때에 1.5 이상을 같이 컴파일 해줘야 합니다.

3. Download and Unpack

Apache 2.4.10 을 Event 로 동작하도록 컴파일 하기위해서 다운로드 합니다.

Httpd-2.4.10
Apr-1.5.1
Apr-utils-1.5.4

다운로드한 후에 압축을 해제하고 apr, apr-utils 는 srclib 디렉토리에 압축을 해제하고 버전을 제거한 패키지 이름으로 변경해 줍니다.

# httpd-2.4.10 압축해제
tar xjf httpd-2.4.10.tar.bz2
# apr-1.5.1, apr-util-1.5.4 이동.
mv apr-* httpd-2.4.10/srclib/
# 디렉토리 변경
cd httpd-2.4.10/srclib
# 압축해제
tar xjf apr-1.5.1.tar.bz2
tar xjf apr-util-1.5.4.tar.bz2
# 디렉토리 이름 변경
mv apr-1.5.1 apr
mv apr-util-1.5.4 apr-util
# httpd-2.4.10 디렉토리로 이동
mv ../

# httpd-2.4.10 압축해제

tar xjf httpd-2.4.10.tar.bz2

# apr-1.5.1, apr-util-1.5.4 이동.

mv apr-* httpd-2.4.10/srclib/

# 디렉토리 변경

cd httpd-2.4.10/srclib

# 압축해제

tar xjf apr-1.5.1.tar.bz2

tar xjf apr-util-1.5.4.tar.bz2

# 디렉토리 이름 변경

mv apr-1.5.1 apr

mv apr-util-1.5.4 apr-util

# httpd-2.4.10 디렉토리로 이동

mv ../

4. Patch Download and Patch

이 패치는 Fedora 22 에 httpd-.2.4.10 패키지에 있는 것을 가지고 온 것 입니다. 여기에는 보안 패치와 더불어 Systemd 와 통합되는 모듈이 들어있습니다.

패치는 다음과 같이 다운로드 받습니다.

download: httpd-2.4.10_patch.tar.bz2

httpd-2.4.10 디렉토리에서 다운로드 받은 파일을 압축해제하고 패치를 적용합니다.

# 압축해제
tar xvjf httpd-2.4.10_patch.tar.bz2
# 패치적용
./patch_run.sh

# 압축해제

tar xvjf httpd-2.4.10_patch.tar.bz2

# 패치적용

./patch_run.sh

5.Configure and Compile and install

프로그램에 설정을 할때는 어떤 기능을 쓸것인지를 결정해야 합니다. 어떤 역활로 서버를 사용할 것인지를 고민한 후에 프로그램을 설정하는 것이 좋습니다.

export CFLAGS='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches   -m64 -mtune=generic -D_LARGEFILE64_SOURCE'
# lib64 Link
export LDFLAGS=-Wl,-z,relro,-z,now,-L/usr/lib64

./configure --prefix=/usr/local/apache2.4.10 \
--enable-pie \
--with-pcre \
--enable-mods-static='dir unique_id vhost_alias log_config logio mime mime_magic alias headers status http negotiation allowmethods include setenvif ssl cache socache_shmcb' \
--enable-mods-shared='cache_disk file_cache deflate expires usertrack actions userdir autoindex cgi auth_digest auth_basic rewrite remoteip ratelimit reqtimeout socache_memcache proxy proxy-fcgi proxy-balancer proxy-ajp proxy-http' \
--enable-mime-magic \
--enable-cern-meta \
--enable-cache \
--enable-data \
--enable-env \
--enable-so \
--enable-mpms-shared=all \
--disable-dir \
--disable-imagemap \
--disable-charset-lite \
--disable-cgid \
--disable-asis \
--disable-authn-socache \
--disable-socache-dbm \
--disable-session_dbd \
--disable-ldap \
--disable-authnz-ldap \
--disable-authz-dbd \
--disable-authn-dbm \
--disable-authn-anon \
--disable-dav \
--disable-dav-fs \
--disable-isapi \
--disable-proxy-connect \
--disable-proxy-ftp \
--disable-proxy-scgi \
--disable-proxy-fdpass \
--disable-proxy-express \
--disable-ext-filter \
--disable-authnz-ldap \
--disable-lbmethod-byrequests \
--disable-lbmethod-bytraffic \
--disable-lbmethod-bybusyness \
--disable-lbmethod-heartbeat \
--disable-dav-lock \
--with-included-apr

export CFLAGS='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -D_LARGEFILE64_SOURCE'

# lib64 Link

export LDFLAGS=-Wl,-z,relro,-z,now,-L/usr/lib64

./configure --prefix=/usr/local/apache2.4.10 \

--enable-pie \

--with-pcre \

--enable-mods-static='dir unique_id vhost_alias log_config logio mime mime_magic alias headers status http negotiation allowmethods include setenvif ssl cache socache_shmcb' \

--enable-mods-shared='cache_disk file_cache deflate expires usertrack actions userdir autoindex cgi auth_digest auth_basic rewrite remoteip ratelimit reqtimeout socache_memcache proxy proxy-fcgi proxy-balancer proxy-ajp proxy-http' \

--enable-mime-magic \

--enable-cern-meta \

--enable-cache \

--enable-data \

--enable-env \

--enable-so \

--enable-mpms-shared=all \

--disable-dir \

--disable-imagemap \

--disable-charset-lite \

--disable-cgid \

--disable-asis \

--disable-authn-socache \

--disable-socache-dbm \

--disable-session_dbd \

--disable-ldap \

--disable-authnz-ldap \

--disable-authz-dbd \

--disable-authn-dbm \

--disable-authn-anon \

--disable-dav \

--disable-dav-fs \

--disable-isapi \

--disable-proxy-connect \

--disable-proxy-ftp \

--disable-proxy-scgi \

--disable-proxy-fdpass \

--disable-proxy-express \

--disable-ext-filter \

--disable-authnz-ldap \

--disable-lbmethod-byrequests \

--disable-lbmethod-bytraffic \

--disable-lbmethod-bybusyness \

--disable-lbmethod-heartbeat \

--disable-dav-lock \

--with-included-apr

위 configure 는 다음과 같은 기능을 제공하지 않습니다.

dav 안됨

이제 컴파일과 설치를 해줍니다.

# 컴파일
make
# 설치
make install

# 컴파일

make

# 설치

make install

6. mod_systemd 설치.

httpd-2.4.10 에 Systemd 와 통합을 위한 패치를 했지만 컴파일할때에 모듈설치 옵션을 ‘all’이나 ‘most’ 로하지 않는 이상 컴파일 설치가 되지 않습니다. 이는 apxs 를 이용해서 모듈 설치를 해줍니다.

# mod_systemd 모듈 파일이 있는 위치로 이동
cd modules/arch/unix
# apxs 를 이용한 mod_systemd 설치
/usr/local/apache2.4.10/bin/apxs -c mod_systemd.c
/usr/local/apache2.4.10/build/libtool --silent --mode=compile gcc -std=gnu99 -prefer-pic -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -D_LARGEFILE64_SOURCE  -DLINUX -D_REENTRANT -D_GNU_SOURCE -pthread -I/usr/local/apache2.4.10/include  -I/usr/local/apache2.4.10/include   -I/usr/local/apache2.4.10/include   -c -o mod_systemd.lo mod_systemd.c && touch mod_systemd.slo
/usr/local/apache2.4.10/build/libtool --silent --mode=link gcc -std=gnu99 -Wl,-z,relro,-z,now,-L/usr/lib64   -o mod_systemd.la  -rpath /usr/local/apache2.4.10/modules -module -avoid-version    mod_zystemd.lo

# mod_systemd 모듈 파일이 있는 위치로 이동

cd modules/arch/unix

# apxs 를 이용한 mod_systemd 설치

/usr/local/apache2.4.10/bin/apxs -c mod_systemd.c

/usr/local/apache2.4.10/build/libtool --silent --mode=compile gcc -std=gnu99 -prefer-pic -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -D_LARGEFILE64_SOURCE -DLINUX -D_REENTRANT -D_GNU_SOURCE -pthread -I/usr/local/apache2.4.10/include -I/usr/local/apache2.4.10/include -I/usr/local/apache2.4.10/include -c -o mod_systemd.lo mod_systemd.c && touch mod_systemd.slo

/usr/local/apache2.4.10/build/libtool --silent --mode=link gcc -std=gnu99 -Wl,-z,relro,-z,now,-L/usr/lib64 -o mod_systemd.la -rpath /usr/local/apache2.4.10/modules -module -avoid-version mod_zystemd.lo

위에 잘 보면 link 시에 systemd_daemon 링킹이 되지 않습니다. 이것을 다음과 같이 수동으로 다시 만들어 줍니다.

/usr/local/apache2.4.10/build/libtool --silent --mode=link gcc -std=gnu99 -Wl,-z,relro,-z,now,-L/usr/lib64   -o mod_systemd.la  -rpath /usr/local/apache2.4.10/modules -module -avoid-version    mod_systemd.lo -lsystemd-daemon

1	/usr/local/apache2.4.10/build/libtool --silent --mode=link gcc -std=gnu99 -Wl,-z,relro,-z,now,-L/usr/lib64 -o mod_systemd.la -rpath /usr/local/apache2.4.10/modules -module -avoid-version mod_systemd.lo -lsystemd-daemon

그리고 다음과 같이 설치해 줍니다.

/usr/local/apache2.4.10/bin/apxs -i -a -n systemd mod_systemd.la

1	/usr/local/apache2.4.10/bin/apxs -i -a -n systemd mod_systemd.la

7. systemd 파일 등록.

이제 httpd 의 systemd 파일을 등록해 줍니다. 파일은 다음과 같습니다.

# It's not recommended to modify this file in-place, because it will be
# overwritten during package upgrades.  If you want to customize, the best
# way is to create a file "/etc/systemd/system/httpd.service",
# containing
#   .include /lib/systemd/system/httpd.service
#   ...make your changes here...
# For more info about custom unit files, see
# http://fedoraproject.org/wiki/Systemd#How_do_I_customize_a_unit_file.2F_add_a_custom_unit_file.3F

# For example, to pass additional options (for instance, -D definitions) to the
# httpd binary at startup, you need to create a file named
# "/etc/systemd/system/httpd.service" containing:
#       .include /lib/systemd/system/httpd.service
#       [Service]
#       Environment=OPTIONS=-DMY_DEFINE

[Unit]
Description=The Apache HTTP Server
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=notify
Environment=LANG=C

ExecStart=/usr/local/apache2.4.10/bin/httpd $OPTIONS -DFOREGROUND
ExecReload=/usr/local/apache2.4.10/bin/httpd $OPTIONS -k graceful
# Send SIGWINCH for graceful stop
KillSignal=SIGWINCH
KillMode=mixed
PrivateTmp=true

[Install]
WantedBy=multi-user.target

# It's not recommended to modify this file in-place, because it will be

# overwritten during package upgrades. If you want to customize, the best

# way is to create a file "/etc/systemd/system/httpd.service",

# containing

# .include /lib/systemd/system/httpd.service

# ...make your changes here...

# For more info about custom unit files, see

# http://fedoraproject.org/wiki/Systemd#How_do_I_customize_a_unit_file.2F_add_a_custom_unit_file.3F

# For example, to pass additional options (for instance, -D definitions) to the

# httpd binary at startup, you need to create a file named

# "/etc/systemd/system/httpd.service" containing:

# .include /lib/systemd/system/httpd.service

# [Service]

# Environment=OPTIONS=-DMY_DEFINE

[Unit]

Description=The Apache HTTP Server

After=network.target remote-fs.target nss-lookup.target

[Service]

Type=notify

Environment=LANG=C

ExecStart=/usr/local/apache2.4.10/bin/httpd $OPTIONS -DFOREGROUND

ExecReload=/usr/local/apache2.4.10/bin/httpd $OPTIONS -k graceful

# Send SIGWINCH for graceful stop

KillSignal=SIGWINCH

KillMode=mixed

PrivateTmp=true

[Install]

WantedBy=multi-user.target

‘httpd.service’ 파일로 저장하고 다음과 같이 systemd 디렉터리로 옮겨 줍니다.

mv httpd.service /usr/lib/systemd/system

1	mv httpd.service /usr/lib/systemd/system

httpd.service 를 systemd 에 등록하고 시작해주면 됩니다.

# systemd 에 httpd 를 활성화
systemctl enable httpd
# systemd 릴로드
systemctl daemon-reload
# httpd 시작
systemctl start httpd

# systemd 에 httpd 를 활성화

systemctl enable httpd

# systemd 릴로드

systemctl daemon-reload

# httpd 시작

systemctl start httpd

실행상태는 다음과 같이 확인 가능 합니다.

systemctl status httpd
httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled)
   Active: active (running) since 토 2014-09-27 19:55:20 KST; 49s ago
 Main PID: 18166 (httpd)
   Status: "Total requests: 0; Idle/Busy workers 100/0;Requests/sec: 0; Bytes served/sec:   0 B/sec"
   CGroup: /system.slice/httpd.service
           ├─18166 /usr/local/apache2.4.10/bin/httpd -DFOREGROUND
           ├─18167 /usr/local/apache2.4.10/bin/httpd -DFOREGROUND
           ├─18168 /usr/local/apache2.4.10/bin/httpd -DFOREGROUND
           └─18169 /usr/local/apache2.4.10/bin/httpd -DFOREGROUND

 9월 27 19:55:20 localhost.localdomain httpd[18166]: AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using localhost.localdomain. Set the 'ServerName' dir... this message
 9월 27 19:55:20 localhost.localdomain systemd[1]: Started The Apache HTTP Server.
Hint: Some lines were ellipsized, use -l to show in full.

systemctl status httpd

httpd.service - The Apache HTTP Server

Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled)

Active: active (running) since 토 2014-09-27 19:55:20 KST; 49s ago

Main PID: 18166 (httpd)

Status: "Total requests: 0; Idle/Busy workers 100/0;Requests/sec: 0; Bytes served/sec: 0 B/sec"

CGroup: /system.slice/httpd.service

├─18166 /usr/local/apache2.4.10/bin/httpd -DFOREGROUND

├─18167 /usr/local/apache2.4.10/bin/httpd -DFOREGROUND

├─18168 /usr/local/apache2.4.10/bin/httpd -DFOREGROUND

└─18169 /usr/local/apache2.4.10/bin/httpd -DFOREGROUND

9월 27 19:55:20 localhost.localdomain httpd[18166]: AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using localhost.localdomain. Set the 'ServerName' dir... this message

9월 27 19:55:20 localhost.localdomain systemd[1]: Started The Apache HTTP Server.

Hint: Some lines were ellipsized, use -l to show in full.

추가 관련내용

09/06/2014

Man 페이지 텍스트, PDF로 저장

Man 페이지 텍스트 파일로 저장.

man grep | col -b > grep.man

1	man grep \| col -b > grep.man

Man 페이지 PDF 파일로 저장.

man -t grep | ps2pdf - > grep.pdf

1	man -t grep \| ps2pdf - > grep.pdf

Man 페이지 HTML 파일로 저장.

먼저 패키지를 설치해야 합니다.

yum install man2html-core.x86_64 netpbm-progs.x86_64 psutils.x86_64

1	yum install man2html-core.x86_64 netpbm-progs.x86_64 psutils.x86_64

그리고 다음과 같이 해줍니다.

zcat /usr/share/man/man1/man.1.gz  | groff -mandoc -Thtml > a.html

1	zcat /usr/share/man/man1/man.1.gz \| groff -mandoc -Thtml > a.html

09/06/2014

Man Page 컬러로 보기

리눅스의 Man Page 는 컬러가 아닙니다. 흑백으로만 나옵니다. 중요한 내용에 컬러를 입히면 눈에 잘 들어올텐데, 이걸 가능하게 하는 방법입니다.

]$ vim .bashrc
man() {
 env \
  LESS_TERMCAP_mb=$(printf "\e[1;31m") \
  LESS_TERMCAP_md=$(printf "\e[1;31m") \
  LESS_TERMCAP_me=$(printf "\e[0m") \
  LESS_TERMCAP_se=$(printf "\e[0m") \
  LESS_TERMCAP_so=$(printf "\e[1;44;33m") \
  LESS_TERMCAP_ue=$(printf "\e[0m") \
  LESS_TERMCAP_us=$(printf "\e[1;32m") \
   man "$@"
}

]$ vim .bashrc

man() {

env \

LESS_TERMCAP_mb=$(printf "\e[1;31m") \

LESS_TERMCAP_md=$(printf "\e[1;31m") \

LESS_TERMCAP_me=$(printf "\e[0m") \

LESS_TERMCAP_se=$(printf "\e[0m") \

LESS_TERMCAP_so=$(printf "\e[1;44;33m") \

LESS_TERMCAP_ue=$(printf "\e[0m") \

LESS_TERMCAP_us=$(printf "\e[1;32m") \

man "$@"

}

‘source ~/.bashrc’ 를 해주면 바로 적용 됩니다.

그런데, xterm 을 사용하고 있다면 다음과 같이 .Xdefaults 에 다음과 같이 해줍니다.

*VT100.colorBDMode:     true
*VT100.colorBD:         red
*VT100.colorULMode:     true
*VT100.colorUL:         cyan

*VT100.colorBDMode: true

*VT100.colorBD: red

*VT100.colorULMode: true

*VT100.colorUL: cyan

그리고 다음과 같이 적용을 해줍니다.

]$ xrdb -load ~/.Xdefaults

1	]$ xrdb -load ~/.Xdefaults

출처: http://www.cyberciti.biz/faq/linux-unix-colored-man-pages-with-less-command/

09/06/2014

Bash 패스워드 생성기.

쉘 스크립트에서 간단하게 패스워드를 생성할 수 있습니다.

]$ vim .bashrc
genpasswd() {
        local l=$1
        [ "$l" == "" ] && l=8
        tr -dc A-Za-z0-9_ < /dev/urandom | head -c ${l} | xargs
}

]$ source .bashrc

]$ vim .bashrc

genpasswd() {

local l=$1

[ "$l" == "" ] && l=8

tr -dc A-Za-z0-9_ < /dev/urandom | head -c ${l} | xargs

}

]$ source .bashrc

사용법은 다음과 같습니다.

genpasswd [자릿수]

1	genpasswd [자릿수]

09/02/2014

Python 3 설치

Python 3 설치. 현재 Python 2.x 버전이 2019년까지 수면을 연장했지만 이미 많은 모듈들이 2.x 버전에서 개발이 중단되거나 Python 3.x 를 지원하기 시작했다. 앞으로는 Python 2.x 를 개발하더라도 Python 3.x 와 호환을 고려해서 작성해야 한다.

1. Downloads and Unpack

다운로드는 Python 홈페이지에서 받는다.

wget https://www.python.org/ftp/python/3.4.1/Python-3.4.1.tgz

tar xvzf Python-3.4.1.tgz -C /usr/src

wget https://www.python.org/ftp/python/3.4.1/Python-3.4.1.tgz

tar xvzf Python-3.4.1.tgz -C /usr/src

2. Configure and Compile and Install

export LDFLAGS=-L/usr/lib64 
export LINKCC="gcc"
if pkg-config openssl ; then
    export CFLAGS="$CFLAGS `pkg-config --cflags openssl`"
    export LDFLAGS="$LDFLAGS `pkg-config --libs-only-L openssl`"
fi

export CHOST="x86_64-pc-linux-gnu"
export CC=gcc

./configure --prefix=/usr/local/python3 --enable-shared --with-system-expat --with-signal-module --with-threads

make

make install

export LDFLAGS=-L/usr/lib64

export LINKCC="gcc"

if pkg-config openssl ; then

export CFLAGS="$CFLAGS `pkg-config --cflags openssl`"

export LDFLAGS="$LDFLAGS `pkg-config --libs-only-L openssl`"

export CHOST="x86_64-pc-linux-gnu"

export CC=gcc

./configure --prefix=/usr/local/python3 --enable-shared --with-system-expat --with-signal-module --with-threads

make

make install

3. 후속작업

설치한 후에 python3 을 실행하면 다음과 같이 실행이되지 않는다.

/usr/local/python3/bin/python3
/usr/local/python3/bin/python3: error while loading shared libraries: libpython3.4m.so.1.0: cannot open shared object file: No such file or directory

1 2	/usr/local/python3/bin/python3 /usr/local/python3/bin/python3: error while loading shared libraries: libpython3.4m.so.1.0: cannot open shared object file: No such file or directory

공유라이브러리가 없기 때문에 나타나는 현상으로 다음과 같이 공유라이브러리를 인식시켜준다.

]# vim /etc/ld.so.conf.d/python3.conf
/usr/local/python3/lib

ldconfig

]# vim /etc/ld.so.conf.d/python3.conf

/usr/local/python3/lib

ldconfig

08/27/2014

KVM 의 Bridege 를 OpenvSwitch 로 바꾸기.

KVM은 리눅스 커널 기반의 가상화 시스템이다. KVM 을 이용하면 네트워크도 가상화를 해주는데, 이는 KVM 의 네트워크 가상화는 Bridege 네트워크를 이용하도록 되어 있다.

Figure2. 가상화된 네트워킹 인프라 — Figure1. 가상화된 네트워킹 인프라.(Ibm develop works 참조)

위 그림은 KVM 하이퍼바이저의 가상 네트워킹을 보여준다. 네트워크 가상화를 하이퍼바이저내에서 이루어지다보니 가상 시스템을 모아놓은 상태에서 전체 네트워킹을 설정하고 변경하기가 쉽지가 않게 된다. 가상 네트워킹을 관리하기 좀 더 쉽게 하이퍼바이저내에서 빼내서 가상 네트워킹을 가능하도록 한다면 어떨까. OpenvSwitch 가 이것을 가능하게 해준다.

1. 환경.

CentOS 7 의 KVM 환경이다. OpenvSwitch 는 2.0 버전이며 이는 OpenStack IceHouse 패키지 저장소에 있는 것을 이용했다.

2. KVM 가상화 구축.

다음과 같이 패키지를 설치한다.

yum -y install qemu-kvm libvirt virt-install bridge-utils

1	yum -y install qemu-kvm libvirt virt-install bridge-utils

재부팅을 하면 다음과 같이 네트워크 인터페이스들을 볼 수 있다.

eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.110.6  netmask 255.255.254.0  broadcast 192.168.111.255
        inet6 fe80::20c:29ff:fe62:f9d3  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:62:f9:d3  txqueuelen 1000  (Ethernet)
        RX packets 49  bytes 7163 (6.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 64  bytes 10038 (9.8 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 0  (Local Loopback)
        RX packets 2  bytes 140 (140.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2  bytes 140 (140.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

virbr0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 192.168.122.1  netmask 255.255.255.0  broadcast 192.168.122.255
        ether 6a:e2:f0:1a:cf:c7  txqueuelen 0  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500

inet 192.168.110.6 netmask 255.255.254.0 broadcast 192.168.111.255

inet6 fe80::20c:29ff:fe62:f9d3 prefixlen 64 scopeid 0x20<link>

ether 00:0c:29:62:f9:d3 txqueuelen 1000 (Ethernet)

RX packets 49 bytes 7163 (6.9 KiB)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 64 bytes 10038 (9.8 KiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536

inet 127.0.0.1 netmask 255.0.0.0

inet6 ::1 prefixlen 128 scopeid 0x10<host>

loop txqueuelen 0 (Local Loopback)

RX packets 2 bytes 140 (140.0 B)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 2 bytes 140 (140.0 B)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

virbr0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500

inet 192.168.122.1 netmask 255.255.255.0 broadcast 192.168.122.255

ether 6a:e2:f0:1a:cf:c7 txqueuelen 0 (Ethernet)

RX packets 0 bytes 0 (0.0 B)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 1 bytes 90 (90.0 B)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

virbr0 는 KVM 하이퍼바이저 생성한 인터페이스이며 기본적으로 NAT 기반의 네트워킹이다. 이는 가상화 쉘을 통해서 네트워크를 확인할 수 있다.

virsh net-list
 이름               상태     자동 시작 Persistent
----------------------------------------------------------
 default              활성화  예           예

virsh net-list

이름 상태 자동 시작 Persistent

----------------------------------------------------------

default 활성화 예 예

가상화 네트워크의 이름은 ‘default’ 이며 내용은 다음과 같이 확인할 수 있다.

virsh net-edit default
<network>
  <name>default</name>
  <uuid>cc156804-6f05-4f61-9e2a-b64c73ed49c5</uuid>
  <forward mode='nat'/>
  <bridge name='virbr0' stp='on' delay='0' />
  <ip address='192.168.122.1' netmask='255.255.255.0'>
    <dhcp>
      <range start='192.168.122.2' end='192.168.122.254' />
    </dhcp>
  </ip>
</network>

virsh net-edit default

<name>default</name>

<dhcp>

</dhcp>

</ip>

</network>

보통 NAT 가상화 네트워크를 이용하지 않고 물리 네트워크 인터페이스와 Bridege 시켜서 사용을 한다.

여기서는 NAT 이던 Bridege 던지간에 KVM 하이퍼바이저의 가상 네트워크를 이용하지 않고 OpenvSwitch 를 이용할 것이다.

3. KVM 가상 네트워크 삭제.

다음과 같이 KVM 가상 네트워크를 삭제해준다.

]# virsh net-destroy default
default 네트워크 강제 종료

]# virsh net-autostart --disable default
자동 시작으로 default 네트워크를 표시하지 않음

]# virsh net-destroy default

default 네트워크 강제 종료

]# virsh net-autostart --disable default

자동 시작으로 default 네트워크를 표시하지 않음

4. OpenvSwitch 설치.

OpenvSwitch 의 RedHat 패키지는 OpenStack Rdo 프로젝트의 저장소를 이용하면 쉽게 설치할 수 있다.

yum install yum install -y http://rdo.fedorapeople.org/rdo-release.rpm

1	yum install yum install -y http://rdo.fedorapeople.org/rdo-release.rpm

그리고 다음과 같이 yum 으로 설치해 준다.

yum install openvswitch -y

1	yum install openvswitch -y

이제 systemd 에 활성화해주고 데몬을 시작해 준다.

]# systemctl enable openvswitch
ln -s '/usr/lib/systemd/system/openvswitch.service' '/etc/systemd/system/multi-user.target.wants/openvswitch.service'

]# systemctl start openvswitch
]# systemctl status openvswitch
openvswitch.service - Open vSwitch
   Loaded: loaded (/usr/lib/systemd/system/openvswitch.service; enabled)
   Active: active (exited) since 목 2014-08-28 00:06:13 KST; 3s ago
  Process: 11364 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
 Main PID: 11364 (code=exited, status=0/SUCCESS)

 8월 28 00:06:13 localhost.localdomain systemd[1]: Started Open vSwitch.

]# systemctl enable openvswitch

ln -s '/usr/lib/systemd/system/openvswitch.service' '/etc/systemd/system/multi-user.target.wants/openvswitch.service'

]# systemctl start openvswitch

]# systemctl status openvswitch

openvswitch.service - Open vSwitch

Loaded: loaded (/usr/lib/systemd/system/openvswitch.service; enabled)

Active: active (exited) since 목 2014-08-28 00:06:13 KST; 3s ago

Process: 11364 ExecStart=/bin/true (code=exited, status=0/SUCCESS)

Main PID: 11364 (code=exited, status=0/SUCCESS)

8월 28 00:06:13 localhost.localdomain systemd[1]: Started Open vSwitch.

재부팅을 한번 해준 후에 커널 모듈을 살펴보면 openvswitch 커널 모듈이 적재된 것을 볼 수 있다.

]# lsmod | grep open
openvswitch            70743  0 
vxlan                  37584  1 openvswitch
gre                    13808  1 openvswitch
libcrc32c              12644  2 xfs,openvswitch

]# lsmod | grep open

openvswitch 70743 0

vxlan 37584 1 openvswitch

gre 13808 1 openvswitch

libcrc32c 12644 2 xfs,openvswitch

5. OpenvSwitch 설정.

OpenvSwitch 의 인터페이스와 물리적인 네트워크 인터페이스를 브릿지 해준다.

]# vim /etc/sysconfig/network-scripts/ifcfg-ovsbr0
DEVICE=ovsbr0
ONBOOT=yes
DEVICETYPE=ovs
TYPE=OVSBridge
BOOTPROTO=static
IPV6INIT=no
DELAY=0
IPADDR=192.168.110.6
PREFIX=23
GATEWAY=192.168.110.1
DNS1=8.8.8.8
HOTPLUG=no

]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736
HWADDR="00:0C:29:62:F9:D3"
TYPE="OVSPort"
DEVICETYPE="ovs"
OVS_BRIDGE="ovsbr0"
BOOTPROTO="none"
NAME="eno16777736"
UUID="5cc31ab7-c26d-48b6-89f2-a7c933d53cb8"
ONBOOT="yes"
NM_CONTROLLED="no"

]# vim /etc/sysconfig/network-scripts/ifcfg-ovsbr0

DEVICE=ovsbr0

ONBOOT=yes

DEVICETYPE=ovs

TYPE=OVSBridge

BOOTPROTO=static

IPV6INIT=no

DELAY=0

IPADDR=192.168.110.6

PREFIX=23

GATEWAY=192.168.110.1

DNS1=8.8.8.8

HOTPLUG=no

]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736

HWADDR="00:0C:29:62:F9:D3"

TYPE="OVSPort"

DEVICETYPE="ovs"

OVS_BRIDGE="ovsbr0"

BOOTPROTO="none"

NAME="eno16777736"

UUID="5cc31ab7-c26d-48b6-89f2-a7c933d53cb8"

ONBOOT="yes"

NM_CONTROLLED="no"

다음으로 리눅스의 네트워크 서비스를 재시작 해준다.

systemctl restart network

1	systemctl restart network

OpenvSwitch 상태를 살펴보면 다음과 같다.

ovs-vsctl show
9e903f10-46c4-4318-8d03-89f5760136b2
    Bridge "ovsbr0"
        Port "eno16777736"
            Interface "eno16777736"
        Port "ovsbr0"
            Interface "ovsbr0"
                type: internal
    ovs_version: "2.0.0"

ovs-vsctl show

9e903f10-46c4-4318-8d03-89f5760136b2

Bridge "ovsbr0"

Port "eno16777736"

Interface "eno16777736"

Port "ovsbr0"

Interface "ovsbr0"

type: internal

ovs_version: "2.0.0"

네트워크 인터페이스 카드 상태는 다음과 같다.

ifconfig 
eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::20c:29ff:fe62:f9d3  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:62:f9:d3  txqueuelen 1000  (Ethernet)
        RX packets 3392  bytes 251802 (245.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 539  bytes 137998 (134.7 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 0  (Local Loopback)
        RX packets 2  bytes 140 (140.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2  bytes 140 (140.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ovsbr0: flags=67<UP,BROADCAST,RUNNING>  mtu 1500
        inet 192.168.110.6  netmask 255.255.254.0  broadcast 192.168.111.255
        inet6 fe80::ccdb:4bff:fe33:2dd0  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:62:f9:d3  txqueuelen 0  (Ethernet)
        RX packets 125  bytes 17134 (16.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 64  bytes 6704 (6.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ifconfig

eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500

inet6 fe80::20c:29ff:fe62:f9d3 prefixlen 64 scopeid 0x20<link>

ether 00:0c:29:62:f9:d3 txqueuelen 1000 (Ethernet)

RX packets 3392 bytes 251802 (245.9 KiB)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 539 bytes 137998 (134.7 KiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536

inet 127.0.0.1 netmask 255.0.0.0

inet6 ::1 prefixlen 128 scopeid 0x10<host>

loop txqueuelen 0 (Local Loopback)

RX packets 2 bytes 140 (140.0 B)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 2 bytes 140 (140.0 B)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

ovsbr0: flags=67<UP,BROADCAST,RUNNING> mtu 1500

inet 192.168.110.6 netmask 255.255.254.0 broadcast 192.168.111.255

inet6 fe80::ccdb:4bff:fe33:2dd0 prefixlen 64 scopeid 0x20<link>

ether 00:0c:29:62:f9:d3 txqueuelen 0 (Ethernet)

RX packets 125 bytes 17134 (16.7 KiB)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 64 bytes 6704 (6.5 KiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

이제 KVM 하이퍼바이저의 가상 네트워킹을 OpenvSwitch 를 사용하도록 해야 한다. 이전에 지웠던 기본 가상 네트워킹을 OpenvSwitch 로 사용하도록 설정해주면 되는 것이다.

]# vim ovsbr0.xml
<network>
  <name>ovsbr0</name>
  <forward mode='bridge'/>
  <bridge name='ovsbr0'/>
  <virtualport type='openvswitch'/>
  <portgroup name='vlan-01' default='yes'>
  </portgroup>
</network>

]# vim ovsbr0.xml

<name>ovsbr0</name>

</portgroup>

</network>

ovsbr0.xml 파일을 위와 같이 만들었다면 이것을 virsh 를 이용해서 가상 네트워킹으로 인식시켜주면 된다.

]# virsh net-define ovsbr0.xml
ovsbr0에서 정의된 ovsbr0.xml 네트워크

]# virsh net-start ovsbr0 
ovsbr0 네트워크 시작

]# virsh net-autostart ovsbr0
자동 시작으로 ovsbr0 네트워크가 표시됨

]# virsh net-list
이름               상태     자동 시작 Persistent
----------------------------------------------------------
 ovsbr0               활성화  예           예

]# virsh net-define ovsbr0.xml

ovsbr0에서 정의된 ovsbr0.xml 네트워크

]# virsh net-start ovsbr0

ovsbr0 네트워크 시작

]# virsh net-autostart ovsbr0

자동 시작으로 ovsbr0 네트워크가 표시됨

]# virsh net-list

이름 상태 자동 시작 Persistent

----------------------------------------------------------

ovsbr0 활성화 예 예

6. 사용.

virt-install 이나 virt-manager 를 이용해서 Guest 만들때에 네트워크에서 ovsbr0 를 선택하면 된다.