探索CentOS Stream高级功能应用指南从系统管理到网络配置全面解析企业级Linux发行版的强大功能

威震华夏关云长

引言

CentOS Stream作为企业级Linux发行版，为系统管理员和网络工程师提供了强大的功能和灵活性。作为RHEL（Red Hat Enterprise Linux）的上游开发平台，CentOS Stream不仅提供了稳定可靠的操作环境，还让用户能够提前体验到即将在RHEL中发布的新功能。本文将深入探讨CentOS Stream的高级功能，从系统管理到网络配置，全面解析这个强大操作系统的各个方面，帮助读者充分利用CentOS Stream的潜力来构建和维护高效的企业级IT基础设施。

CentOS Stream概述

CentOS Stream是CentOS项目的一个重大转变，它从传统的RHEL下游版本转变为RHEL的上游开发分支。这一变化使得CentOS Stream成为一个滚动发布的发行版，位于Fedora Linux和RHEL之间。用户可以提前获取到将在未来RHEL版本中出现的功能和更新，这对于需要规划和测试新功能的企业来说非常有价值。

CentOS Stream保留了RHEL的稳定性、安全性和性能，同时增加了更多的灵活性和创新性。它支持x86_64、ARM64、POWER9和s390x等多种架构，适用于从小型企业到大型数据中心的各种环境。

CentOS Stream的主要特点

1. 滚动更新模型：持续接收更新和改进，而不是等待主要版本发布。
2. 接近RHEL的功能：提供即将在RHEL中出现的功能，使企业能够提前适应和测试。
3. 企业级稳定性：尽管是滚动发布，但仍然保持高度的稳定性和可靠性。
4. 长期支持：提供长期的支持周期，适合企业级部署。
5. 广泛的软件生态系统：拥有丰富的软件包和工具，满足各种企业需求。

系统管理高级功能

系统监控与性能优化

CentOS Stream提供了多种工具来监控系统性能和资源使用情况，这些工具对于维护系统健康和优化性能至关重要。

top是Linux系统中最基本的实时监控工具，而htop则是其增强版本，提供了更友好的用户界面和更多功能。

2. # 安装htop
3. sudo dnf install htop
5. # 运行htop
6. htop

复制代码

htop提供了颜色编码的输出，可以轻松识别CPU密集型进程、内存使用情况等。与top相比，htop支持鼠标操作，可以垂直和水平滚动，更直观地查看所有进程。

vmstat是一个强大的工具，用于报告关于进程、内存、分页、块IO、陷阱（中断）和CPU活动的信息。

2. # 每2秒更新一次，共更新5次
3. vmstat 2 5

复制代码

输出解释：

• r: 运行队列中的进程数
• b: 等待IO的不可中断进程数
• swpd: 使用的虚拟内存量
• free: 空闲内存量
• buff: 用作缓冲区的内存量
• cache: 用作缓存的内存量
• si: 从磁盘交换的内存量（/s）
• so: 交换到磁盘的内存量（/s）
• bi: 从块设备接收的块（blocks/s）
• bo: 发送到块设备的块（blocks/s）
• in: 每秒中断数
• cs: 每秒上下文切换数
• us: 用户空间CPU时间百分比
• sy: 内核空间CPU时间百分比
• id: 空闲时间百分比
• wa: 等待IO的时间百分比

sar（System Activity Reporter）是sysstat软件包的一部分，可以收集、报告和保存系统活动信息。

2. # 安装sysstat
3. sudo dnf install sysstat
5. # 启用并启动sysstat服务
6. sudo systemctl enable sysstat
7. sudo systemctl start sysstat
9. # 查看CPU使用情况
10. sar -u
12. # 查看内存使用情况
13. sar -r
15. # 查看网络统计
16. sar -n DEV

复制代码

Performance Co-Pilot是一个系统性能和分析工具包，支持实时监控和历史数据收集。

2. # 安装PCP
3. sudo dnf install pcp
5. # 启动PCP服务
6. sudo systemctl start pmcd
7. sudo systemctl enable pmcd
9. # 使用pmstat查看基本性能指标
10. pmstat
12. # 使用pmchart进行图形化监控
13. pmchart

复制代码

软件包管理

CentOS Stream使用DNF（Dandified YUM）作为其默认的软件包管理器，它是YUM的下一代版本，提供了更好的性能和更丰富的功能。

2. # 更新所有软件包
3. sudo dnf update
5. # 安装软件包
6. sudo dnf install package_name
8. # 删除软件包
9. sudo dnf remove package_name
11. # 搜索软件包
12. sudo dnf search keyword
14. # 显示软件包信息
15. sudo dnf info package_name
17. # 列出所有已安装的软件包
18. sudo dnf list installed
20. # 查找提供特定文件的软件包
21. sudo dnf provides /path/to/file
23. # 清理缓存
24. sudo dnf clean all

复制代码

DNF允许用户安装预定义的软件包组，这对于设置特定功能的服务器非常有用。

2. # 列出所有可用的软件组
3. sudo dnf group list
5. # 查看特定软件组的详细信息
6. sudo dnf group info "Group Name"
8. # 安装软件组
9. sudo dnf group install "Group Name"
11. # 删除软件组
12. sudo dnf group remove "Group Name"

复制代码

CentOS Stream允许用户添加和管理额外的软件仓库，以访问更多的软件包。

2. # 列出所有启用的仓库
3. sudo dnf repolist
5. # 列出所有仓库（包括禁用的）
6. sudo dnf repolist all
8. # 启用仓库
9. sudo dnf config-manager --enable repository_name
11. # 禁用仓库
12. sudo dnf config-manager --disable repository_name
14. # 添加新仓库（以EPEL为例）
15. sudo dnf install epel-release

复制代码

CentOS Stream引入了模块流的概念，允许用户安装同一软件的不同版本。

2. # 列出所有可用的模块
3. sudo dnf module list
5. # 查看特定模块的详细信息
6. sudo dnf module info module_name
8. # 安装特定模块流
9. sudo dnf module install module_name:stream
11. # 切换到不同的模块流
12. sudo dnf module reset module_name
13. sudo dnf module enable module_name:stream
14. sudo dnf module install module_name

复制代码

服务管理

CentOS Stream使用systemd作为其初始化系统和服务管理器，它取代了传统的SysV初始化系统。

2. # 启动服务
3. sudo systemctl start service_name
5. # 停止服务
6. sudo systemctl stop service_name
8. # 重启服务
9. sudo systemctl restart service_name
11. # 重新加载服务配置
12. sudo systemctl reload service_name
14. # 启用服务（开机自启）
15. sudo systemctl enable service_name
17. # 禁用服务
18. sudo systemctl disable service_name
20. # 查看服务状态
21. sudo systemctl status service_name
23. # 检查服务是否启用
24. sudo systemctl is-enabled service_name
26. # 列出所有已启用的服务
27. sudo systemctl list-unit-files | grep enabled

复制代码

创建自定义服务是CentOS Stream中的一个重要功能，允许用户管理自己的应用程序和脚本。

以下是一个创建自定义服务的示例：

2. # 创建服务文件
3. sudo nano /etc/systemd/system/myapp.service

复制代码

在文件中添加以下内容：

2. [Unit]
3. Description=My Custom Application
4. After=network.target
6. [Service]
7. Type=simple
8. User=myuser
9. ExecStart=/path/to/myapp
10. Restart=on-failure
11. RestartSec=5s
13. [Install]
14. WantedBy=multi-user.target

复制代码

保存文件后，执行以下命令：

2. # 重新加载systemd配置
3. sudo systemctl daemon-reload
5. # 启动服务
6. sudo systemctl start myapp
8. # 启用服务（开机自启）
9. sudo systemctl enable myapp
11. # 检查服务状态
12. sudo systemctl status myapp

复制代码

systemd提供了定时器功能，可以替代传统的cron作业。

创建定时器示例：

2. # 创建定时器文件
3. sudo nano /etc/systemd/system/mytimer.timer

复制代码

在文件中添加以下内容：

2. [Unit]
3. Description=Run my task daily
5. [Timer]
6. OnCalendar=daily
7. Persistent=true
9. [Install]
10. WantedBy=timers.target

复制代码

创建对应的服务文件：

2. sudo nano /etc/systemd/system/mytimer.service

复制代码

在文件中添加以下内容：

2. [Unit]
3. Description=My Task
5. [Service]
6. Type=oneshot
7. ExecStart=/path/to/mytask

复制代码

启用定时器：

2. # 重新加载systemd配置
3. sudo systemctl daemon-reload
5. # 启用定时器
6. sudo systemctl enable mytimer.timer
8. # 启动定时器
9. sudo systemctl start mytimer.timer
11. # 检查定时器状态
12. sudo systemctl list-timers --all

复制代码

安全管理

CentOS Stream提供了多种安全工具和功能，帮助管理员保护系统免受各种威胁。

SELinux（Security-Enhanced Linux）是Linux内核的一个安全模块，提供了强制访问控制（MAC）功能。

2. # 检查SELinux状态
3. sestatus
5. # 临时设置SELinux模式
6. sudo setenforce 0  # Permissive mode
7. sudo setenforce 1  # Enforcing mode
9. # 永久更改SELinux模式
10. sudo nano /etc/selinux/config

复制代码

在配置文件中，将SELINUX=行更改为disabled、permissive或enforcing。

2. # 查看SELinux布尔值
3. getsebool -a
5. # 设置SELinux布尔值
6. sudo setsebool -P httpd_can_network_connect on
8. # 查看文件的安全上下文
9. ls -Z /path/to/file
11. # 更改文件的安全上下文
12. sudo chcon -t httpd_sys_content_t /path/to/file
14. # 恢复文件的默认安全上下文
15. sudo restorecon -v /path/to/file

复制代码

CentOS Stream使用firewalld作为其默认的防火墙管理工具，它提供了动态管理的防火墙，支持网络/防火墙区域定义。

2. # 检查firewalld状态
3. sudo systemctl status firewalld
5. # 启动并启用firewalld
6. sudo systemctl start firewalld
7. sudo systemctl enable firewalld
9. # 列出所有可用的区域
10. sudo firewall-cmd --get-zones
12. # 列出当前活动的区域
13. sudo firewall-cmd --get-active-zones
15. # 获取默认区域
16. sudo firewall-cmd --get-default-zone
18. # 列出特定区域的所有设置
19. sudo firewall-cmd --zone=public --list-all
21. # 开放端口
22. sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
24. # 关闭端口
25. sudo firewall-cmd --zone=public --remove-port=8080/tcp --permanent
27. # 开放服务
28. sudo firewall-cmd --zone=public --add-service=http --permanent
30. # 关闭服务
31. sudo firewall-cmd --zone=public --remove-service=http --permanent
33. # 重新加载防火墙配置
34. sudo firewall-cmd --reload

复制代码

fail2ban是一个入侵防御软件，可以监控日志文件并根据预设规则禁止可疑IP地址。

2. # 安装fail2ban
3. sudo dnf install fail2ban
5. # 启动并启用fail2ban
6. sudo systemctl start fail2ban
7. sudo systemctl enable fail2ban
9. # 创建本地配置文件
10. sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
12. # 编辑配置文件
13. sudo nano /etc/fail2ban/jail.local

复制代码

在配置文件中，可以设置各种服务的保护规则，例如SSH：

2. [sshd]
3. enabled = true
4. port = ssh
5. logpath = %(sshd_log)s
6. maxretry = 3
7. bantime = 3600

复制代码

重启fail2ban服务：

2. sudo systemctl restart fail2ban

复制代码

检查fail2ban状态：

2. sudo fail2ban-client status
3. sudo fail2ban-client status sshd

复制代码

网络配置高级功能

网络接口配置

CentOS Stream使用NetworkManager作为其网络配置工具，提供了灵活的网络管理功能。

nmcli是NetworkManager的命令行工具，可以用来管理网络连接。

2. # 列出所有网络连接
3. nmcli connection show
5. # 列出活动连接
6. nmcli connection show --active
8. # 显示网络设备状态
9. nmcli device status
11. # 创建新的以太网连接
12. sudo nmcli connection add type ethernet con-name my-connection ifname eth0
14. # 修改连接设置
15. sudo nmcli connection modify my-connection ipv4.addresses 192.168.1.100/24
16. sudo nmcli connection modify my-connection ipv4.gateway 192.168.1.1
17. sudo nmcli connection modify my-connection ipv4.dns "8.8.8.8 8.8.4.4"
18. sudo nmcli connection modify my-connection ipv4.method manual
20. # 启用连接
21. sudo nmcli connection up my-connection
23. # 禁用连接
24. sudo nmcli connection down my-connection
26. # 删除连接
27. sudo nmcli connection delete my-connection

复制代码

nmtui是一个基于文本的用户界面，为那些更喜欢图形化界面的用户提供了方便。

2. # 启动nmtui
3. nmtui

复制代码

在nmtui界面中，可以使用键盘导航来编辑连接、激活连接和设置系统主机名。

虽然NetworkManager是推荐的网络配置方法，但CentOS Stream仍然支持传统的ifcfg文件配置方式。

配置文件位于/etc/sysconfig/network-scripts/目录下，例如ifcfg-eth0：

2. DEVICE=eth0
3. BOOTPROTO=none
4. ONBOOT=yes
5. IPADDR=192.168.1.100
6. PREFIX=24
7. GATEWAY=192.168.1.1
8. DNS1=8.8.8.8
9. DNS2=8.8.4.4

复制代码

保存文件后，重启网络服务：

2. sudo systemctl restart NetworkManager

复制代码

网络绑定允许将多个网络接口组合成一个逻辑接口，以提高带宽和提供冗余。

2. # 安装绑定工具
3. sudo dnf install teamd
5. # 创建绑定接口配置文件
6. sudo nano /etc/sysconfig/network-scripts/ifcfg-bond0

复制代码

添加以下内容：

2. DEVICE=bond0
3. TYPE=Bond
4. BONDING_MASTER=yes
5. IPADDR=192.168.1.100
6. PREFIX=24
7. GATEWAY=192.168.1.1
8. DNS1=8.8.8.8
9. DNS2=8.8.4.4
10. ONBOOT=yes
11. BONDING_OPTS="mode=4 miimon=100"

复制代码

配置从属接口：

2. sudo nano /etc/sysconfig/network-scripts/ifcfg-eth0

复制代码

添加以下内容：

2. DEVICE=eth0
3. TYPE=Ethernet
4. BOOTPROTO=none
5. ONBOOT=yes
6. MASTER=bond0
7. SLAVE=yes

复制代码

对eth1接口重复上述步骤，然后重启网络服务：

2. sudo systemctl restart NetworkManager

复制代码

验证绑定配置：

2. cat /proc/net/bonding/bond0

复制代码

VLAN（虚拟局域网）允许在物理网络上创建逻辑分段。

2. # 创建VLAN接口
3. sudo nmcli connection add type vlan con-name vlan100 dev eth0 id 100
5. # 配置VLAN接口
6. sudo nmcli connection modify vlan100 ipv4.addresses 192.168.100.100/24
7. sudo nmcli connection modify vlan100 ipv4.gateway 192.168.100.1
8. sudo nmcli connection modify vlan100 ipv4.method manual
10. # 激活VLAN接口
11. sudo nmcli connection up vlan100

复制代码

防火墙高级配置

CentOS Stream的firewalld提供了丰富的功能，可以满足复杂的网络安全需求。

区域是firewalld的一个重要概念，它定义了信任级别和相应的规则。

2. # 创建自定义区域
3. sudo firewall-cmd --new-zone=myzone --permanent
5. # 设置默认区域
6. sudo firewall-cmd --set-default-zone=public
8. # 为接口分配区域
9. sudo firewall-cmd --zone=public --change-interface=eth0 --permanent
11. # 列出所有区域及其规则
12. sudo firewall-cmd --list-all-zones

复制代码

丰富的规则允许更复杂的防火墙规则配置。

2. # 允许特定IP访问所有服务
3. sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept' --permanent
5. # 拒绝特定IP访问特定端口
6. sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.5" port protocol="tcp" port="80" reject' --permanent
8. # 允许特定IP访问特定服务
9. sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.2.10" service name="http" accept' --permanent
11. # 转发端口
12. sudo firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080 --permanent
14. # 重新加载防火墙配置
15. sudo firewall-cmd --reload

复制代码

直接规则允许直接向防火墙添加iptables规则。

2. # 添加直接规则
3. sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 8080 -j ACCEPT --permanent
5. # 列出所有直接规则
6. sudo firewall-cmd --direct --get-all-rules
8. # 重新加载防火墙配置
9. sudo firewall-cmd --reload

复制代码

网络服务配置

CentOS Stream提供了多种网络服务，可以满足企业级应用需求。

DHCP（动态主机配置协议）服务器自动分配IP地址给网络中的设备。

2. # 安装DHCP服务器
3. sudo dnf install dhcp-server
5. # 配置DHCP服务器
6. sudo nano /etc/dhcp/dhcpd.conf

复制代码

添加以下配置：

2. # DHCP服务器配置
3. default-lease-time 600;
4. max-lease-time 7200;
5. authoritative;
7. subnet 192.168.1.0 netmask 255.255.255.0 {
8.   range 192.168.1.100 192.168.1.200;
9.   option routers 192.168.1.1;
10.   option domain-name-servers 8.8.8.8, 8.8.4.4;
11.   option domain-name "example.com";
12. }
14. # 静态IP分配
15. host fixed-host {
16.   hardware ethernet 00:0C:29:AA:BB:CC;
17.   fixed-address 192.168.1.50;
18. }

复制代码

启动并启用DHCP服务器：

2. sudo systemctl start dhcpd
3. sudo systemctl enable dhcpd

复制代码

BIND是CentOS Stream中最常用的DNS服务器软件。

2. # 安装BIND
3. sudo dnf install bind bind-utils
5. # 配置BIND
6. sudo nano /etc/named.conf

复制代码

基本配置示例：

2. options {
3.   listen-on port 53 { 127.0.0.1; 192.168.1.1; };
4.   listen-on-v6 port 53 { ::1; };
5.   directory "/var/named";
6.   dump-file "/var/named/data/cache_dump.db";
7.   statistics-file "/var/named/data/named_stats.txt";
8.   memstatistics-file "/var/named/data/named_mem_stats.txt";
9.   recursing-file "/var/named/data/named.recursing";
10.   secroots-file "/var/named/data/named.secroots";
11.   allow-query { localhost; 192.168.1.0/24; };
12.   
13.   recursion yes;
14.   
15.   dnssec-enable yes;
16.   dnssec-validation yes;
17.   
18.   managed-keys-directory "/var/named/dynamic";
19.   
20.   pid-file "/run/named/named.pid";
21.   session-keyfile "/run/named/session.key";
22. };
24. logging {
25.   channel default_debug {
26.     file "data/named.run";
27.     severity dynamic;
28.   };
29. };
31. zone "." IN {
32.   type hint;
33.   file "named.ca";
34. };
36. zone "example.com" IN {
37.   type master;
38.   file "example.com.zone";
39.   allow-update { none; };
40. };
42. zone "1.168.192.in-addr.arpa" IN {
43.   type master;
44.   file "192.168.1.zone";
45.   allow-update { none; };
46. };
48. include "/etc/named.rfc1912.zones";
49. include "/etc/named.root.key";

复制代码

创建正向区域文件：

2. sudo nano /var/named/example.com.zone

复制代码

添加以下内容：

2. $TTL 86400
3. @   IN  SOA ns1.example.com. admin.example.com. (
4.     2023081501  ; Serial
5.     3600        ; Refresh
6.     1800        ; Retry
7.     604800      ; Expire
8.     86400       ; Minimum TTL
9. )
10. @   IN  NS  ns1.example.com.
11. @   IN  A   192.168.1.1
12. ns1 IN  A   192.168.1.1
13. www IN  A   192.168.1.100
14. mail IN  A   192.168.1.150

复制代码

创建反向区域文件：

2. sudo nano /var/named/192.168.1.zone

复制代码

添加以下内容：

2. $TTL 86400
3. @   IN  SOA ns1.example.com. admin.example.com. (
4.     2023081501  ; Serial
5.     3600        ; Refresh
6.     1800        ; Retry
7.     604800      ; Expire
8.     86400       ; Minimum TTL
9. )
10. @   IN  NS  ns1.example.com.
11. 1   IN  PTR ns1.example.com.
12. 100 IN  PTR www.example.com.
13. 150 IN  PTR mail.example.com.

复制代码

设置正确的文件权限：

2. sudo chown -R named:named /var/named
3. sudo restorecon -Rv /var/named

复制代码

启动并启用BIND：

2. sudo systemctl start named
3. sudo systemctl enable named

复制代码

Apache HTTP Server是CentOS Stream中最常用的Web服务器。

2. # 安装Apache
3. sudo dnf install httpd
5. # 启动并启用Apache
6. sudo systemctl start httpd
7. sudo systemctl enable httpd
9. # 配置防火墙允许HTTP和HTTPS流量
10. sudo firewall-cmd --permanent --add-service={http,https}
11. sudo firewall-cmd --reload

复制代码

创建虚拟主机配置：

2. sudo nano /etc/httpd/conf.d/example.com.conf

复制代码

添加以下内容：

2. <VirtualHost *:80>
3.     ServerName example.com
4.     ServerAlias www.example.com
5.     DocumentRoot /var/www/example.com
6.     ErrorLog /var/log/httpd/example.com-error.log
7.     CustomLog /var/log/httpd/example.com-access.log combined
8. </VirtualHost>

复制代码

创建网站目录和文件：

2. sudo mkdir -p /var/www/example.com
3. sudo echo "<h1>Welcome to Example.com</h1>" | sudo tee /var/www/example.com/index.html
4. sudo chown -R apache:apache /var/www/example.com
5. sudo restorecon -Rv /var/www/example.com

复制代码

重启Apache服务：

2. sudo systemctl restart httpd

复制代码

VSFTPD是CentOS Stream中最安全、最常用的FTP服务器。

2. # 安装VSFTPD
3. sudo dnf install vsftpd
5. # 配置VSFTPD
6. sudo nano /etc/vsftpd/vsftpd.conf

复制代码

基本配置示例：

2. anonymous_enable=NO
3. local_enable=YES
4. write_enable=YES
5. local_umask=022
6. dirmessage_enable=YES
7. xferlog_enable=YES
8. connect_from_port_20=YES
9. xferlog_std_format=YES
10. listen=NO
11. listen_ipv6=YES
12. pam_service_name=vsftpd
13. userlist_enable=YES
14. userlist_file=/etc/vsftpd/user_list
15. userlist_deny=NO
16. chroot_local_user=YES
17. allow_writeable_chroot=YES
18. pasv_min_port=40000
19. pasv_max_port=50000

复制代码

创建FTP用户并设置密码：

2. sudo useradd -m ftpuser
3. sudo passwd ftpuser

复制代码

将用户添加到允许列表：

2. echo "ftpuser" | sudo tee -a /etc/vsftpd/user_list

复制代码

启动并启用VSFTPD：

2. sudo systemctl start vsftpd
3. sudo systemctl enable vsftpd

复制代码

配置防火墙允许FTP流量：

2. sudo firewall-cmd --permanent --add-service=ftp
3. sudo firewall-cmd --reload

复制代码

高可用性网络配置

CentOS Stream提供了多种高可用性解决方案，确保关键服务的连续性。

网络绑定（Teaming）是一种将多个网络接口组合成一个逻辑接口的方法，以提高带宽和提供冗余。

2. # 安装teamd
3. sudo dnf install teamd
5. # 创建team接口配置文件
6. sudo nano /etc/sysconfig/network-scripts/ifcfg-team0

复制代码

添加以下内容：

2. DEVICE=team0
3. DEVICETYPE=Team
4. TEAM_CONFIG="{"runner": {"name": "activebackup"}}"
5. BOOTPROTO=none
6. IPADDR=192.168.1.100
7. PREFIX=24
8. GATEWAY=192.168.1.1
9. DNS1=8.8.8.8
10. DNS2=8.8.4.4
11. ONBOOT=yes

复制代码

配置从属接口：

2. sudo nano /etc/sysconfig/network-scripts/ifcfg-eth0

复制代码

添加以下内容：

2. DEVICE=eth0
3. DEVICETYPE=TeamPort
4. TEAM_MASTER=team0
5. ONBOOT=yes

复制代码

对eth1接口重复上述步骤，然后重启网络服务：

2. sudo systemctl restart NetworkManager

复制代码

验证team配置：

2. teamdctl team0 state

复制代码

VLAN桥接允许在物理网络上创建逻辑分段，并将这些分段桥接到虚拟机或其他网络设备。

2. # 安装bridge-utils
3. sudo dnf install bridge-utils
5. # 创建桥接接口
6. sudo nmcli connection add type bridge con-name br0 ifname br0
8. # 配置桥接接口
9. sudo nmcli connection modify br0 ipv4.addresses 192.168.1.100/24
10. sudo nmcli connection modify br0 ipv4.gateway 192.168.1.1
11. sudo nmcli connection modify br0 ipv4.dns "8.8.8.8 8.8.4.4"
12. sudo nmcli connection modify br0 ipv4.method manual
14. # 创建VLAN接口
15. sudo nmcli connection add type vlan con-name vlan100 dev eth0 id 100
17. # 将VLAN接口添加到桥接
18. sudo nmcli connection add type bridge-slave con-name br0-slave100 ifname vlan100 master br0
20. # 激活连接
21. sudo nmcli connection up br0
22. sudo nmcli connection up vlan100
23. sudo nmcli connection up br0-slave100

复制代码

验证桥接配置：

2. brctl show

复制代码

使用Keepalived和HAProxy可以实现高可用性和负载均衡。

2. # 安装Keepalived和HAProxy
3. sudo dnf install keepalived haproxy
5. # 配置Keepalived
6. sudo nano /etc/keepalived/keepalived.conf

复制代码

主节点配置示例：

2. vrrp_script chk_haproxy {
3.   script "killall -0 haproxy"
4.   interval 2
5.   weight 2
6. }
8. vrrp_instance VI_1 {
9.   state MASTER
10.   interface eth0
11.   virtual_router_id 51
12.   priority 101
13.   advert_int 1
14.   authentication {
15.     auth_type PASS
16.     auth_pass secret
17.   }
18.   virtual_ipaddress {
19.     192.168.1.200/24
20.   }
21.   track_script {
22.     chk_haproxy
23.   }
24. }

复制代码

备份节点配置示例：

2. vrrp_script chk_haproxy {
3.   script "killall -0 haproxy"
4.   interval 2
5.   weight 2
6. }
8. vrrp_instance VI_1 {
9.   state BACKUP
10.   interface eth0
11.   virtual_router_id 51
12.   priority 100
13.   advert_int 1
14.   authentication {
15.     auth_type PASS
16.     auth_pass secret
17.   }
18.   virtual_ipaddress {
19.     192.168.1.200/24
20.   }
21.   track_script {
22.     chk_haproxy
23.   }
24. }

复制代码

配置HAProxy：

2. sudo nano /etc/haproxy/haproxy.cfg

复制代码

添加以下内容：

2. frontend http-in
3.   bind *:80
4.   default_backend servers
6. backend servers
7.   balance roundrobin
8.   server server1 192.168.1.101:80 check
9.   server server2 192.168.1.102:80 check

复制代码

启动并启用Keepalived和HAProxy：

2. sudo systemctl start keepalived
3. sudo systemctl enable keepalived
4. sudo systemctl start haproxy
5. sudo systemctl enable haproxy

复制代码

容器化与虚拟化支持

CentOS Stream提供了强大的容器化和虚拟化支持，使企业能够构建灵活、高效的IT基础设施。

使用Podman进行容器管理

Podman是CentOS Stream中的默认容器引擎，它提供了一个与Docker兼容的CLI，但不需要守护进程。

2. # 安装Podman
3. sudo dnf install podman
5. # 搜索容器镜像
6. podman search nginx
8. # 拉取容器镜像
9. podman pull nginx
11. # 列出本地镜像
12. podman images
14. # 运行容器
15. podman run -d -p 8080:80 --name mynginx nginx
17. # 列出运行中的容器
18. podman ps
20. # 列出所有容器（包括已停止的）
21. podman ps -a
23. # 停止容器
24. podman stop mynginx
26. # 启动容器
27. podman start mynginx
29. # 删除容器
30. podman rm mynginx
32. # 删除镜像
33. podman rmi nginx

复制代码

创建Dockerfile：

2. mkdir myapp && cd myapp
3. nano Dockerfile

复制代码

添加以下内容：

2. FROM centos:stream8
3. RUN dnf install -y httpd
4. COPY index.html /var/www/html/
5. EXPOSE 80
6. CMD ["/usr/sbin/httpd", "-D", "FOREGROUND"]

复制代码

创建index.html文件：

2. echo "<h1>Welcome to My Custom Container</h1>" > index.html

复制代码

构建容器镜像：

2. podman build -t myapp .

复制代码

运行自定义容器：

2. podman run -d -p 8081:80 --name myapp-container myapp

复制代码

Pod是一组共享资源的容器，类似于Kubernetes中的Pod。

2. # 创建Pod
3. podman pod create --name mypod -p 8082:80
5. # 在Pod中运行容器
6. podman run -d --pod mypod --name mynginx nginx
8. # 查看Pod信息
9. podman pod inspect mypod
11. # 列出Pod中的容器
12. podman pod ps --pod mypod
14. # 停止Pod
15. podman pod stop mypod
17. # 启动Pod
18. podman pod start mypod
20. # 删除Pod
21. podman pod rm mypod

复制代码

使用Kubernetes进行容器编排

CentOS Stream提供了对Kubernetes的支持，使企业能够构建和管理大规模的容器化应用。

2. # 安装Minikube
3. curl -LO https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64
4. sudo install minikube-linux-amd64 /usr/local/bin/minikube
6. # 安装kubectl
7. curl -LO "https://dl.k8s.io/release/$(curl -L -s https://dl.k8s.io/release/stable.txt)/bin/linux/amd64/kubectl"
8. sudo install kubectl /usr/local/bin/kubectl
10. # 启动Minikube
11. minikube start --driver=podman
13. # 检查Minikube状态
14. minikube status

复制代码

创建部署配置文件：

2. nano myapp-deployment.yaml

复制代码

添加以下内容：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: myapp-deployment
6. spec:
7.   replicas: 3
8.   selector:
9.     matchLabels:
10.       app: myapp
11.   template:
12.     metadata:
13.       labels:
14.         app: myapp
15.     spec:
16.       containers:
17.       - name: myapp
18.         image: nginx
19.         ports:
20.         - containerPort: 80
21. ---
22. apiVersion: v1
23. kind: Service
24. metadata:
25.   name: myapp-service
26. spec:
27.   selector:
28.     app: myapp
29.   ports:
30.     - protocol: TCP
31.       port: 80
32.       targetPort: 80
33.   type: LoadBalancer

复制代码

部署应用：

2. kubectl apply -f myapp-deployment.yaml

复制代码

检查部署状态：

2. kubectl get deployments
3. kubectl get pods
4. kubectl get services

复制代码

访问应用：

2. minikube service myapp-service

复制代码

使用KVM进行虚拟化

CentOS Stream支持KVM（Kernel-based Virtual Machine），允许在Linux系统上运行虚拟机。

2. # 检查系统是否支持虚拟化
3. grep -E 'svm|vmx' /proc/cpuinfo
5. # 安装KVM和相关工具
6. sudo dnf install qemu-kvm libvirt virt-install virt-manager
8. # 添加用户到libvirt组
9. sudo usermod -aG libvirt $(whoami)
11. # 启动并启用libvirtd服务
12. sudo systemctl start libvirtd
13. sudo systemctl enable libvirtd
15. # 验证KVM安装
16. virsh list --all

复制代码

2. # 下载操作系统镜像
3. wget https://dl.fedoraproject.org/pub/fedora/linux/releases/35/Server/x86_64/iso/Fedora-Server-dvd-x86_64-35-1.2.iso
5. # 创建虚拟机磁盘
6. sudo qemu-img create -f qcow2 /var/lib/libvirt/images/fedora35.qcow2 20G
8. # 创建虚拟机
9. sudo virt-install \
10.   --name fedora35 \
11.   --memory 2048 \
12.   --vcpus 2 \
13.   --disk path=/var/lib/libvirt/images/fedora35.qcow2,size=20 \
14.   --cdrom /path/to/Fedora-Server-dvd-x86_64-35-1.2.iso \
15.   --os-variant fedora35 \
16.   --network network=default

复制代码

2. # 列出所有虚拟机
3. virsh list --all
5. # 启动虚拟机
6. virsh start fedora35
8. # 连接到虚拟机控制台
9. virsh console fedora35
11. # 关闭虚拟机
12. virsh shutdown fedora35
14. # 强制关闭虚拟机
15. virsh destroy fedora35
17. # 暂停虚拟机
18. virsh suspend fedora35
20. # 恢复虚拟机
21. virsh resume fedora35
23. # 删除虚拟机
24. virsh undefine fedora35

复制代码

自动化与脚本管理

CentOS Stream提供了多种自动化工具和技术，帮助系统管理员提高效率并减少人为错误。

使用Ansible进行自动化配置管理

Ansible是一个强大的自动化工具，可以用于配置管理、应用部署和任务自动化。

2. # 安装Ansible
3. sudo dnf install ansible
5. # 创建Ansible配置文件
6. mkdir -p ~/ansible && cd ~/ansible
7. nano ansible.cfg

复制代码

添加以下内容：

2. [defaults]
3. inventory = inventory
4. host_key_checking = False
5. remote_user = your_username
6. ask_pass = False
8. [privilege_escalation]
9. become = True
10. become_method = sudo
11. become_user = root
12. become_ask_pass = False

复制代码

创建主机清单文件：

2. nano inventory

复制代码

添加以下内容：

2. [webservers]
3. web1.example.com
4. web2.example.com
6. [databases]
7. db1.example.com
9. [all:vars]
10. ansible_python_interpreter=/usr/bin/python3

复制代码

创建一个简单的Playbook来安装和配置Web服务器：

2. nano webserver.yml

复制代码

添加以下内容：

2. ---
3. - name: Install and configure Apache web server
4.   hosts: webservers
5.   become: yes
6.   
7.   tasks:
8.     - name: Install httpd package
9.       dnf:
10.         name: httpd
11.         state: present
12.    
13.     - name: Start and enable httpd service
14.       systemd:
15.         name: httpd
16.         state: started
17.         enabled: yes
18.    
19.     - name: Open firewall for HTTP
20.       firewalld:
21.         service: http
22.         permanent: yes
23.         state: enabled
24.         immediate: yes
25.    
26.     - name: Create custom index.html
27.       copy:
28.         content: "<h1>Welcome to {{ ansible_hostname }}</h1>"
29.         dest: /var/www/html/index.html

复制代码

运行Playbook：

2. ansible-playbook webserver.yml

复制代码

Roles是Ansible中组织Playbook的一种方式，可以提高代码的可重用性和可维护性。

创建Role结构：

2. mkdir -p roles/webserver/{tasks,handlers,templates,files,vars,defaults,meta}

复制代码

创建任务文件：

2. nano roles/webserver/tasks/main.yml

复制代码

添加以下内容：

2. ---
3. - name: Install httpd package
4.   dnf:
5.     name: httpd
6.     state: present
7.   notify: Start httpd
9. - name: Open firewall for HTTP
10.   firewalld:
11.     service: http
12.     permanent: yes
13.     state: enabled
14.     immediate: yes
16. - name: Create custom index.html
17.   template:
18.     src: index.html.j2
19.     dest: /var/www/html/index.html

复制代码

创建处理器文件：

2. nano roles/webserver/handlers/main.yml

复制代码

添加以下内容：

2. ---
3. - name: Start httpd
4.   systemd:
5.     name: httpd
6.     state: started
7.     enabled: yes

复制代码

创建模板文件：

2. nano roles/webserver/templates/index.html.j2

复制代码

添加以下内容：

2. <h1>Welcome to {{ ansible_hostname }}</h1>
3. <p>This server is managed by Ansible.</p>
4. <p>Last updated: {{ ansible_date_time.iso8601 }}</p>

复制代码

创建使用Role的Playbook：

2. nano site.yml

复制代码

添加以下内容：

2. ---
3. - name: Configure webservers
4.   hosts: webservers
5.   become: yes
6.   roles:
7.     - webserver

复制代码

运行Playbook：

2. ansible-playbook site.yml

复制代码

使用Shell脚本进行系统管理

Shell脚本是Linux系统管理的传统工具，可以快速实现各种自动化任务。

创建系统监控脚本：

2. nano system_monitor.sh

复制代码

添加以下内容：

2. #!/bin/bash
4. # 系统监控脚本
5. # 输出到日志文件
6. LOG_FILE="/var/log/system_monitor.log"
7. DATE=$(date +"%Y-%m-%d %H:%M:%S")
9. # 获取系统信息
10. HOSTNAME=$(hostname)
11. UPTIME=$(uptime -p)
12. CPU_USAGE=$(top -bn1 | grep "Cpu(s)" | sed "s/.*, *\([0-9.]*\)%* id.*/\1/" | awk '{print 100 - $1}')
13. MEMORY_USAGE=$(free -m | awk 'NR==2{printf "%.2f%%", $3*100/$2}')
14. DISK_USAGE=$(df -h | awk '$NF=="/"{printf "%s", $5}')
16. # 记录到日志文件
17. echo "[$DATE] System Status Report for $HOSTNAME" >> $LOG_FILE
18. echo "Uptime: $UPTIME" >> $LOG_FILE
19. echo "CPU Usage: $CPU_USAGE%" >> $LOG_FILE
20. echo "Memory Usage: $MEMORY_USAGE" >> $LOG_FILE
21. echo "Disk Usage: $DISK_USAGE" >> $LOG_FILE
22. echo "----------------------------------------" >> $LOG_FILE
24. # 检查CPU使用率是否超过阈值
25. THRESHOLD=80
26. if (( $(echo "$CPU_USAGE > $THRESHOLD" | bc -l) )); then
27.     echo "[$DATE] WARNING: High CPU usage detected: $CPU_USAGE%" >> $LOG_FILE
28.     # 发送邮件通知
29.     echo "High CPU usage detected on $HOSTNAME: $CPU_USAGE%" | mail -s "CPU Alert: $HOSTNAME" admin@example.com
30. fi
32. # 检查磁盘使用率是否超过阈值
33. DISK_THRESHOLD=90
34. if [ ${DISK_USAGE%?} -gt $DISK_THRESHOLD ]; then
35.     echo "[$DATE] WARNING: High disk usage detected: $DISK_USAGE" >> $LOG_FILE
36.     # 发送邮件通知
37.     echo "High disk usage detected on $HOSTNAME: $DISK_USAGE" | mail -s "Disk Alert: $HOSTNAME" admin@example.com
38. fi

复制代码

使脚本可执行：

2. chmod +x system_monitor.sh

复制代码

设置定时任务：

2. crontab -e

复制代码

添加以下内容以每小时运行一次脚本：

2. 0 * * * * /path/to/system_monitor.sh

复制代码

创建服务文件：

2. sudo nano /etc/systemd/system/system-monitor.service

复制代码

添加以下内容：

2. [Unit]
3. Description=System Monitor Service
5. [Service]
6. Type=oneshot
7. ExecStart=/path/to/system_monitor.sh

复制代码

创建定时器文件：

2. sudo nano /etc/systemd/system/system-monitor.timer

复制代码

添加以下内容：

2. [Unit]
3. Description=Run system monitor every hour
4. Requires=system-monitor.service
6. [Timer]
7. OnCalendar=hourly
8. Persistent=true
10. [Install]
11. WantedBy=timers.target

复制代码

启用并启动定时器：

2. sudo systemctl daemon-reload
3. sudo systemctl enable system-monitor.timer
4. sudo systemctl start system-monitor.timer

复制代码

检查定时器状态：

2. sudo systemctl list-timers --all

复制代码

故障排除与最佳实践

系统日志分析

CentOS Stream使用journald和传统的日志文件来记录系统事件。

2. # 查看所有日志
3. journalctl
5. # 查看当前启动的日志
6. journalctl -b
8. # 查看特定服务的日志
9. journalctl -u httpd
11. # 查看特定时间范围的日志
12. journalctl --since "2023-08-01" --until "2023-08-15"
14. # 实时跟踪日志
15. journalctl -f
17. # 查看内核日志
18. journalctl -k
20. # 查看错误日志
21. journalctl -p err

复制代码

Logrotate用于管理日志文件的轮转和压缩。

2. # 安装logrotate
3. sudo dnf install logrotate
5. # 创建自定义日志轮转配置
6. sudo nano /etc/logrotate.d/myapp

复制代码

添加以下内容：

2. /var/log/myapp/*.log {
3.     daily
4.     missingok
5.     rotate 7
6.     compress
7.     delaycompress
8.     notifempty
9.     create 644 myuser mygroup
10.     postrotate
11.         /usr/bin/systemctl reload myapp
12.     endscript
13. }

复制代码

测试日志轮转配置：

2. sudo logrotate -d /etc/logrotate.d/myapp

复制代码

强制执行日志轮转：

2. sudo logrotate -f /etc/logrotate.d/myapp

复制代码

性能调优

CentOS Stream提供了多种工具和技术来优化系统性能。

Tuned是一个系统调优守护进程，可以根据特定的用例优化系统性能。

2. # 安装tuned
3. sudo dnf install tuned
5. # 启动并启用tuned
6. sudo systemctl start tuned
7. sudo systemctl enable tuned
9. # 列出可用的配置文件
10. sudo tuned-adm list
12. # 应用特定的配置文件
13. sudo tuned-adm profile throughput-performance
15. # 查看当前活动的配置文件
16. sudo tuned-adm active

复制代码

通过修改/etc/sysctl.conf文件或创建自定义配置文件来调整内核参数。

2. # 创建自定义内核参数配置文件
3. sudo nano /etc/sysctl.d/99-custom.conf

复制代码

添加以下内容：

2. # 网络调优
3. net.core.rmem_max = 16777216
4. net.core.wmem_max = 16777216
5. net.ipv4.tcp_rmem = 4096 87380 16777216
6. net.ipv4.tcp_wmem = 4096 65536 16777216
7. net.ipv4.tcp_congestion_control = bbr
8. net.ipv4.tcp_fastopen = 3
10. # 文件系统调优
11. fs.file-max = 100000
12. vm.swappiness = 10
13. vm.dirty_ratio = 60
14. vm.dirty_background_ratio = 2

复制代码

应用内核参数：

2. sudo sysctl -p /etc/sysctl.d/99-custom.conf

复制代码

通过修改/etc/security/limits.conf文件来设置用户资源限制。

2. sudo nano /etc/security/limits.conf

复制代码

添加以下内容：

2. # 增加打开文件数量限制
3. * soft nofile 65536
4. * hard nofile 65536
6. # 增加进程数量限制
7. * soft nproc 4096
8. * hard nproc 16384

复制代码

安全最佳实践

CentOS Stream提供了多种安全功能和最佳实践，帮助保护系统免受各种威胁。

2. # 更新系统
3. sudo dnf update -y
5. # 安装安全工具
6. sudo dnf install -y setroubleshoot-server setools setools-console policycoreutils-python-utils
8. # 禁用不必要的服务
9. sudo systemctl disable avahi-daemon
10. sudo systemctl disable cups
12. # 配置SSH安全
13. sudo nano /etc/ssh/sshd_config

复制代码

修改以下设置：

2. PermitRootLogin no
3. PasswordAuthentication no
4. Port 2222
5. Protocol 2
6. MaxAuthTries 3
7. LoginGraceTime 60

复制代码

重启SSH服务：

2. sudo systemctl restart sshd

复制代码

2. # 创建新的区域
3. sudo firewall-cmd --permanent --new-zone=internal
5. # 设置区域规则
6. sudo firewall-cmd --permanent --zone=internal --set-target=DROP
7. sudo firewall-cmd --permanent --zone=internal --add-service=ssh
8. sudo firewall-cmd --permanent --zone=internal --add-service=dns
9. sudo firewall-cmd --permanent --zone=internal --add-service=dhcp
11. # 将接口分配到区域
12. sudo firewall-cmd --permanent --zone=internal --change-interface=eth1
14. # 重新加载防火墙配置
15. sudo firewall-cmd --reload

复制代码

AIDE（Advanced Intrusion Detection Environment）是一个文件完整性检查工具。

2. # 安装AIDE
3. sudo dnf install aide
5. # 初始化AIDE数据库
6. sudo aide --init
8. # 重命名数据库
9. sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
11. # 执行检查
12. sudo aide --check
14. # 创建定时任务
15. sudo nano /etc/cron.daily/aide

复制代码

添加以下内容：

2. #!/bin/bash
3. /usr/sbin/aide --check | /usr/bin/mail -s "AIDE Report for $(hostname)" admin@example.com

复制代码

使脚本可执行：

2. sudo chmod +x /etc/cron.daily/aide

复制代码

结论

CentOS Stream作为企业级Linux发行版，提供了丰富的高级功能和工具，从系统管理到网络配置，从容器化到自动化，为企业构建和维护高效、安全、可靠的IT基础设施提供了全面的支持。

通过本文的介绍，我们深入了解了CentOS Stream的各个方面，包括系统监控与性能优化、软件包管理、服务管理、安全管理、网络配置、容器化与虚拟化支持、自动化与脚本管理以及故障排除与最佳实践。这些功能和工具使系统管理员和网络工程师能够更好地管理和维护企业级系统，提高工作效率，减少人为错误，并确保系统的安全性和稳定性。

无论是小型企业还是大型数据中心，CentOS Stream都能提供所需的灵活性、可靠性和性能，满足各种企业级应用需求。通过充分利用CentOS Stream的强大功能，企业可以构建现代化、高效、安全的IT基础设施，为业务发展提供坚实的技术支持。