>本課重點：互聯(lián)網(wǎng)架構(gòu)師之路---服務(wù)器集群搭建搂誉、管理、與快速部署。

負載均衡： 一臺服務(wù)承受的業(yè)務(wù)壓力過大時广辰，需要使用多臺服務(wù)器來一起協(xié)作工作。

1.如何做好服務(wù)器的安全管理

2.項目團隊成員應(yīng)該具有的服務(wù)器權(quán)限

3.分別部署測試環(huán)境與產(chǎn)品環(huán)境

4.自動化部署

架設(shè)小規(guī)模集群主之，以4臺Ubuntu虛擬機為例：

搭設(shè)這種小規(guī)模集群可以隨時擴展服務(wù)器數(shù)量择吊，比如說現(xiàn)在服務(wù)器負載很大可以隨時把4臺擴成8臺，可以很快的完成操作槽奕。

做大規(guī)模集群通常的情況下會專門開一臺服務(wù)器來做DNS解析几睛，這樣的服務(wù)器叫做DNS服務(wù)器。因搭建小規(guī)模服務(wù)器集群單獨拿出一臺服務(wù)器來做DNS解析有些浪費資源粤攒，所以可以選擇另外一種方式所森。不用DNS解析可以設(shè)置服務(wù)器中的hosts文件囱持。

第一步先給每一臺服務(wù)器起名字：

比如用一臺專門來做管理服務(wù)器起名叫MS，一臺是數(shù)據(jù)庫服務(wù)器起名叫DB1焕济，有一臺做測試服務(wù)器起名叫T1洪唐，最后一臺就是產(chǎn)品服務(wù)器起名叫P1。
修改服務(wù)器主機名Ubuntu系統(tǒng)中的文件是：

/etc/hostname

修改完成之后重啟一下服務(wù)器吼蚁，每臺都改完之后進行第二步凭需。

第二步配置每臺服務(wù)器的hosts文件中的ip：

先用ifconfig命令分別查出每臺服務(wù)器的ip地址，然后記錄下來肝匆。

用編輯器打開：/etc/hosts

先將自己的主機名更改成剛才新起的名字粒蜈，再將其它幾臺服務(wù)的ip地址和起好的主機名對應(yīng)錄入到這里。
每配置好一臺要用ping 主機名命令來測試一遍其它服務(wù)器旗国，來判斷是否識別了其它服務(wù)器枯怖。
都配置好了之后可以使用scp命令直接進行服務(wù)器之間的文件傳輸。
例如：

scp aaa zhangsan@T1:/tmp/

這樣就能將當(dāng)前服務(wù)的這個aaa文件推送到T1服務(wù)器上的/tmp/目錄中去能曾。

第三步配置服務(wù)器成員安全

因為產(chǎn)品服務(wù)器的ip是暴露在外的度硝，所以我們將產(chǎn)品服務(wù)器、測試服務(wù)器寿冕、數(shù)據(jù)庫服務(wù)器這些與產(chǎn)品運營相關(guān)的服務(wù)的使用密碼登錄選項全部關(guān)掉蕊程。但是關(guān)掉之后我們就無法再登錄服務(wù)器了，我們要怎樣管理服務(wù)器呢驼唱？因為我們知道Linux使用ssh服務(wù)登錄有兩種模式藻茂，一種是傳統(tǒng)的密碼登錄，另一種就是秘鑰登錄玫恳。就是如果設(shè)置成公私鑰登錄方式的辨赐，就是只有拿到秘鑰才能登錄服務(wù)器，即使別人拿到賬號密碼也無法進行暴力破解京办。
那么首先要給每臺服務(wù)要安裝ssh服務(wù)掀序，這樣我們用遠程客戶端工具就能連接服務(wù)器進行操作了。讓這4臺服務(wù)器中只有MS服務(wù)器可以通過遠程登錄惭婿，其它服務(wù)器只能在內(nèi)網(wǎng)集群內(nèi)登錄不恭。那要配置一個什么環(huán)境呢？
讓我們的管理員审孽、運維工程師县袱、技術(shù)總監(jiān)、架構(gòu)師只有一個服務(wù)器可以通過公私登錄佑力，也就是在服務(wù)器集群以外的地方只有MS這臺服務(wù)器可以被登錄式散，P1、T1打颤、DB1這些服務(wù)器只能通過內(nèi)網(wǎng)集群內(nèi)登錄暴拄。
先創(chuàng)建秘鑰命令為：

ssh-keygen -t rsa

創(chuàng)建完之后家目錄下會有一個.ssh的隱藏目錄生成漓滔，這個文目錄下有兩個文件：id_rsa是私鑰、id_rsa.pub是公鑰乖篷。
生成之后我們將公鑰分別上傳到P1响驴、T1、DB1服務(wù)器上撕蔼，并創(chuàng)建一個.ssh的目錄進去豁鲤。然后將用以下命令：

cat ../id_rsa.pub >> authorized_keys

將公鑰重定向到這里。然后重啟服務(wù)器鲸沮，這樣就能用MS這臺服務(wù)器登錄其它服務(wù)器了琳骡。命令如下：

ssh zhangsan@DB1

就能登錄到DB1這臺服務(wù)器上，使用exit命令可以退出讼溺。這樣就實現(xiàn)了只能用SM這臺服務(wù)器來管理其它服務(wù)器了楣号。
下面最后一步，就是將其它所有服務(wù)的密碼都關(guān)閉怒坯，如果有必要的話還可以設(shè)置一下防火墻規(guī)則為只有局域網(wǎng)ip可以登錄炫狱。這樣做的話就只有SM這臺服務(wù)可以登錄其它服務(wù)器了。
關(guān)閉密碼登錄選項：

/etc/ssh/sshd_config文件中PasswordAuthentication選項

改成NO之后打開前面注釋開啟選項剔猿。這樣就將服務(wù)的密碼登錄選項關(guān)閉了视译。
配置完成之后給MS服務(wù)器做個鏡像備份，因為MS服務(wù)器要是壞了就無法登錄管理其它服務(wù)器了艳馒。
這樣小規(guī)模服務(wù)器集群的基本安全配置就配置完成了憎亚。