在Hyper-V環境下進行安裝Centos7系統

1.建立虛拟機

步驟1，在磁盤上建立目錄。建立一個CenOS7_Nginx_Keepalived_03的目錄，分别在目錄下建立三個檔案夾：SmartPaging File，Snapshots，Virtual Hard Disks。

步驟2，點選New，然後選擇Virtual Machine..，打開建立虛拟機視窗。

步驟3，點選下一步按鈕。

步驟4，輸入虛拟機的名稱和選擇存儲的路徑。

步驟5，為虛拟機配置設定記憶體，可根據自己需求配置設定大小，然後點選下一步按鈕。

步驟6，選擇網絡連接配接New Virtual Switch後，點選下一步按鈕。

步驟7，為系統配置設定磁盤空間，可根據需求來配置設定大小，然後點選下一步按鈕。

步驟8，選擇安裝的鏡像檔案後，點選下一步按鈕。

步驟9，點選完成按鈕後，完成整個虛拟機的建立

步驟10，在Hyper-V管理界面中，選擇虛拟機後，右鍵彈出菜單選擇Settings選項。

步驟11，分别選中Snapshot File Location 和Smart Paging FileLocation後，更改存儲目錄。

步驟12，選擇IDE Controller1檢視Image File的檔案是否存在，檢查後，點選确認按鈕。

在Hyper-V中選擇虛拟機，然後右鍵彈出菜單，選擇Start選項開始進行安裝系統，再輕按兩下打開虛拟機。

2.安裝系統

步驟1，啟動安裝界面。

步驟2，安裝界面中，選擇英文，然後點選繼續按鈕。

步驟2，在安裝界面中進行相關配置。

2.1設定日期和時間

選擇Asia->HongKong，選擇香港時間或者Shanghai上海時間，然後點選Done按鈕。

2.2設定鍵盤

點選KEYBOARDLAYOUT後，設定鍵盤，可添加多個語言，例如：添加中午，點選+按鈕後，在彈出視窗中輸入chi會自動搜尋資料，找到Chinese後選中并點選Add按鈕。最後點選Done按鈕。

2.3支援語言

除了支援English外還可添加其他語言的支援，例如想支援中文，可在輸入框中輸入Chinese後便可顯示中文的選項。

選擇中文後，再勾選簡體中文複選框，當然可根據需求選擇相應版本的中文，然後點選Done按鈕。

2.4安裝源

點選INSTALLATION SOURCE，進行設定安裝源，點選Verify按鈕，進行檢查。

顯示安裝源正常，如果需要其他的安裝源可根據需求進行添加，最後點選Done按鈕。該步驟也已忽略

2.5安裝分區

如果不需要進行分區，直接點選Done按鈕。

2.6網絡&主機名

選擇On按鈕後，然後點選Done按鈕。如果需要進行其他配置可點選Configure按鈕。或者安裝系統後再進行其他配置也可以。

點選Begin Installation按鈕進行安裝。

2.7配置安裝

建立配置和安裝界面。

建立配置和安裝界面。

點選Root PASSWORD後進行設定登入密碼，預設賬戶是root

安裝過程。

安裝完成後，點選Reboot按鈕，重新開機。

輸入使用者密碼和密碼後可進行登入進入系統root,SA123456

登入成功。

輸入cat /etc/redhat-release，檢視centos 版本。

輸入 cat /proc/version檢視linux核心版本和基于redhat的發行版。

輸入hostnamectl可以檢視機器資訊。

3.安裝Linux Integration Services

參考位址：https://www.kafan.cn/edu/44602922.html

安裝虛拟機後，虛拟機可能沒有網卡驅動，由于Hyper-v是不是支援linux網絡服務的。

解決辦法是安裝微軟提供的：Linux Integration Services Version v3.2 for Hyper-V工具(下載下傳位址)：下載下傳下來之後是一個iso文檔，挂着在linux的虛拟光驅下執行安裝指令。

建議到微軟的官方輸入Linux Integration Service進行搜尋最近版本的安裝下載下傳。

3.1下載下傳Linux Integration Services

1. 下載下傳微軟虛拟機Linux內建服務包 LinuxIntegration Services v3.2

http://www.microsoft.com/zh-cn/download/details.aspx?id=28188

3.2加載CD光牒鏡像

【媒體】-【DVD驅動器】-【插入磁盤】選擇剛下載下傳的iso檔案，加載CD光牒鏡像

3.3挂載CD光牒鏡像并安裝

輸入指令：

#mkdir -p /mnt/cdrom

#mount /dev/cdrom /mnt/cdrom

#cd /mnt/cdrom

#./install.sh

4.配置IP

登入系統成功後，輸入cd /etc/sysconfig/network-scripts然後可看到ifcfg-eth0配置檔案。

輸入vi ifcfg-eth0後進行編輯檔案，配置IP位址。

Ifcfg-eth0檔案内容。

根據需求修改配置後後，按Esc鍵，輸入:wq儲存檔案(注意單詞的拼寫)。

輸入systemctl restart network重新開機網絡服務，然後輸入ip addr檢視IP位址，顯示所配置的IP。

輸入ping www.baidu.com，可以ping，說明可以上網了。

5.安裝常用軟體

使用yum的方式進行線上安裝常用軟體。

輸入y後就可以進行下載下傳。

下載下傳完成後進行安裝。

Yun install top

Yum install ssh

Yum install vsftpd

Yum install ftp

Yum install iptables-services

Yum install firewalld

Yum install net-tools

6.配置防火牆

Net-filter是Linux的一種防火牆機制。而Firewalld是一個在網絡區域（networkszones）的支援下動态管理防火牆的守護程序。早期的RHEL版本和CentOS 6使用iptables這個守護程序進行資料包過濾。而在RHEL/CentOS 7和Fedora 21中，iptables接口将被firewalld取代。

由于iptables可能會在未來的版本中消失，是以建議從現在起就使用Firewalld來代替iptables。雖然現行版本仍然支援iptables，而且還可以用YUM指令來安裝。不過可以肯定的是，在同一個系統中不能同時運作Firewalld和iptables，否則可能引發沖突。

6.1.iptables配置

輸入cd /etc/sysconfig後，在輸入ls –l顯示目錄下的清單可看到iptables。

輸入more iptables顯示防火牆的配置資訊。

如果需要配置将某個程式的端口添加到iptables中，但又不知道程式的通信端口号，可需要輸入netstat –ntlp檢視所有程式的端口，如果想檢視ftp的端口可輸入netstat –ntlp | grep ftp顯示ftp的端口。

輸入vi iptables對配置檔案進行編輯。

設定現有規則

#檢視iptables現有規則

iptables -L -n

#先允許所有,不然有可能會杯具

iptables -P INPUT ACCEPT

#清空所有預設規則

iptables -F

#清空所有自定義規則

iptables -X

#所有計數器歸0

iptables -Z

#允許來自于lo接口的資料包(本地通路)

iptables -A INPUT -i lo-j ACCEPT

#開放22端口

iptables -A INPUT -p tcp--dport 22 -j ACCEPT

#開放21端口(FTP)

iptables -A INPUT -p tcp--dport 21 -j ACCEPT

#開放80端口(HTTP)

iptables -A INPUT -p tcp--dport 80 -j ACCEPT

#開放443端口(HTTPS)

iptables -A INPUT -p tcp--dport 443 -j ACCEPT

#允許ping

iptables -A INPUT -p icmp--icmp-type 8 -j ACCEPT

#允許接受本機請求之後的傳回資料RELATED,是為FTP設定的

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#其他入站一律丢棄

iptables -P INPUT DROP

#所有出站一律綠燈

iptables -P OUTPUT ACCEPT

#所有轉發一律丢棄

iptables -P FORWARD DROP

其他規則設定

#如果要添加内網ip信任（接受其所有TCP請求）

iptables -A INPUT -p tcp -s 45.96.174.68 -jACCEPT

#過濾所有非以上規則的請求

iptables -P INPUT DROP

#要封停一個IP，使用下面這條指令：

iptables -I INPUT -s ***.***.***.*** -jDROP

#要解封一個IP，使用下面這條指令:

iptables -D INPUT -s ***.***.***.*** -jDROP

儲存規則設定

編輯vi iptables，添加FTP的21端口到配置中，-A INPUT –p tcp –dport 21 –j ACCEPT，儲存成後，然後輸入systemctlrestart iptables重新開機防火牆。在其他的客戶中就可以通路FTP，否則提示No route to host。

輸入systemctl start iptables啟動防火牆，systemctlstatus iptables檢視防火牆狀态，systemctl stop iptables停止防火牆。

6.2.firewalld配置

該章節類容參考linux公社: http://www.linuxidc.com/Linux/2015-02/113206p3.htm

6.2.1.區域概念

在進行firewalld配置之前，了解一下區域（zones）這個概念。預設情況就有一些有效的區域。我們需要網絡接口配置設定區域。區域規定了區域是網絡接口信任或者不信任網絡連接配接的标準。區域（zone）包含服務和端口。接下來讓我們讨論Firewalld中那些有用的區域（zones）。

丢棄區域（DropZone）：如果使用丢棄區域，任何進入的資料包将被丢棄。這個類似與我們之前使用iptables -j drop。使用丢棄規則意味着将不存在響應，隻有流出的網絡連接配接有效。

阻塞區域（BlockZone）：阻塞區域會拒絕進入的網絡連接配接，傳回icmp-host-prohibited，隻有伺服器已經建立的連接配接會被通過。

公共區域（PublicZone）：隻接受那些被選中的連接配接，而這些通過在公共區域中定義相關規則實作。伺服器可以通過特定的端口資料，而其它的連接配接将被丢棄。

外部區域（ExternalZone）：這個區域相當于路由器的啟用僞裝（masquerading）選項。隻有指定的連接配接會被接受，而其它的連接配接将被丢棄或者不被接受。

隔離區域（DMZ Zone）：如果想要隻允許給部分服務能被外部通路，可以在DMZ區域中定義。它也擁有隻通過被選中連接配接的特性。

工作區域（WorkZone）：在這個區域，我們隻能定義内部網絡。比如私有網絡通信才被允許。

家庭區域（HomeZone）：這個區域專門用于家庭環境。我們可以利用這個區域來信任網絡上其它主機不會侵害你的主機。它同樣隻允許被選中的連接配接。

内部區域（InternalZone）：這個區域和工作區域（Work Zone）類似，隻有通過被選中的連接配接。

信任區域（TrustedZone）：信任區域允許所有網絡通信通過。

輸入firewall-cmd –get-zones列出有用區域。

輸入firewall-cmd –get-default-zone列出預設區域。

輸入Firewall-cmd –list-all-zones列出所有區域。

6.2.2設定預設區域

如果你想設定預設區域像internal、external、drop、work或者其它區域，可以使用下面的指令來設定。這裡以設定internal做預設區域為例。

# firewall-cmd --set-default-zone=internal

設定完畢，使用下面指令核實預設區域。

# firewall-cmd --get-default-zone

這裡使用的接口是enp0s3，如果需要檢視哪個區域和這個接口綁定可以使用下面的指令。

# firewall-cmd--get-zone-of-interface=enp0s3

firewalld另外一個有趣的特性是“icmptype”是一個firewalld支援的icmp類型。可以使用下面的指令來列出firewalld所支援的icmp類型。

# firewall-cmd --get-icmptypes

6.2.3.在firewalld中建立自己的服務

服務是firewalld所使用的有關端口和選項的規則集合。被啟動的服務會在firewalld服務開啟或者運作時自動加載。預設情況下，很多服務是有效的。使用下面指令可列出有效的服務

輸入firewall-cmd --get-services列出所有服務

輸入cd /usr/lib/firewalld/services/進入目錄列出預設有效的服務。

想要建立自己的服務，需要在下面的目錄下定義它。比如，現在我想添加一個FTP  服務，端口号21。首先，任選一個服務複制過來。

輸入cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/然後進入

cd /etc/firewalld/services/下檢視檔案。

輸入mv ssh.xml ftp.xml修改檔案名稱。

接下來輸入vi ftp.xml打開并編輯檔案的頭部、描述、協定和端口号，以供FTP服務使用

修改完成後，進行儲存。

重新開機firewalld服務或者重新加載設定，以激活這些設定。輸firewall-cmd --reload為确認服務是否已經啟動，運作下面的指令擷取有效的服務清單。輸入firewall-cmd --get-services。

6.2.4.為區域配置設定服務

通過“firewall-cmd”指令來管理firewalld。輸入firewall-cmd --state指令了解目前的狀态和輸入firewall-cmd –get-active-zones了解所有激活的區。

在檔案/etc/firewalld/firewalld.conf中定義成DefaultZone=public。以下指令列出這個預設接口區域中有效服務

輸入firewall-cmd –add-service=ftp将ftp服務添加到區域中，輸入firewall-cmd–zone=public—remove-serivce=ftp删除已經加入的區域和類型。

上面的設定隻是暫時性的。想要永久有效需要執行下面的指令，加帶選項—permanent.。添加或這删除任何服務或者端口，必須要輸入firewall-cmd –reload指令確定重載firewalld服務。firewall-cmd –add-service=ftp --permanent

輸入firewall-cmd –list-all顯示所有的服務，在其用戶端下可以使用ftp10.190.130.78來通路ftp。

如果沒有在firewalld中添加服務和端口的話，用戶端會顯示No route to host.

6.2.5在Firewall啟動狀态下運作Nginx

在Firewall啟動的情況下，其他用戶端無法通路到htt:\\10.190.130.78:8007。

在Firewall中添加8007端口，firewall-cmd –permanent –add-port=8007/tcp，然後在輸入firewall-cmd–reload，重載成功過後，在輸入firewall-cmd –list-all，可顯示添加的8007端口。

輸入netstat -ntlp | grep nginx檢視nginx的占用端口

在其他用戶端中輸入wget http://10.190.130.78:8007就可以通路成功。

7.配置FTP

輸入whereis vsftpd後檢視檔案位置，然後輸入cd /etc/vsftpd檢視vsftpd.conf配置檔案。

修改檔案之前先備份輸入cp vsftpd.conf vsftpd.conf.bak進行備份檔案。

anonymous_enable=YES  //是否允許anonymous登入FTP伺服器,預設是允許的.

local_enable=YES  //是否允許本地使用者登入FTP伺服器,預設是允許

write_enable=YES  //是否允許使用者具有在FTP伺服器檔案中執行寫的權限,預設是允許

listen=YES  //使vsftpd 處于獨立啟動模式

userlist_enable=YES //使用者清單中的使用者是否允許登入FTP伺服器

輸入vi ftpusers後，進入到檔案中将root使用者注釋#root後，進行儲存。

輸入vi user_list後，進入到檔案中将root使用者注釋#root後，進行儲存。

輸入systemctl start vsftpd後啟動服務，然後輸入systemctl status vsftpd檢視狀态，該狀态顯示已經啟動成功。

輸入ftp localhost進行本地登入ftp，然後輸入賬戶和密碼後，登入成功。如果輸入ftp localhost提示找不到指令時，需要輸入yum install ftp安裝用戶端。

在其他伺服器下，可輸入ftp10.190.130.78後可進行登入成功。

當使用FileZilla工具進行上傳檔案時，提示錯誤：553Could not create file.

原因是他的CentOS系統安裝了SELinux，因為預設下是沒有開啟FTP的支援，是以通路時都被阻止了。

//檢視SELinux設定

# getsebool -a|grep ftp

分别輸入Setsebool ftp_home_dir on和setseboolftpd_full_access on使用者可以通過ftp工具上傳檔案到指定目錄。

被修改的設定狀态為on

通過ftp工具上傳檔案成功

在ftp目錄下可看到上傳的檔案。

7.1.主被動模式

因為FTP有兩種工作模式，PORT方式和PASV方式，中文意思為主動式和被動式，詳細介紹如下：

　　主動 FTP ：

　　　　指令連接配接：用戶端 >1024 端口→ 伺服器 21 端口

　　　　資料連接配接：用戶端 >1024 端口← 伺服器 20 端口

　　被動 FTP ：

　　　　指令連接配接：用戶端 >1024 端口→ 伺服器 21 端口

　　　　資料連接配接：用戶端 >1024 端口← 伺服器 >1024 端口

　　PORT（主動）方式的連接配接過程是：用戶端向伺服器的FTP端口（預設是21）發送連接配接請求，伺服器接受連接配接，建立一條指令鍊路。當需要傳送資料時，用戶端在指令鍊路上用PORT指令告訴伺服器：“我打開了***X端口，你過來連接配接我”。于是伺服器從20端口向用戶端的***X端口發送連接配接請求，建立一條資料鍊路來傳送資料。 

PASV（被動）方式的連接配接過程是：用戶端向伺服器的FTP端口（預設是21）發送連接配接請求，伺服器接受連接配接，建立一條指令鍊路。當需要傳送資料時，伺服器在指令鍊路上用PASV指令告訴用戶端：“我打開了***X端口，你過來連接配接我”。于是用戶端向伺服器的***X端口發送連接配接請求，建立一條資料鍊路來傳送資料。

簡而言之：

主動模式（PORT）和被動模式（PASV）。主動模式是從伺服器端向用戶端發起連接配接；被動模式是用戶端向伺服器端發起連接配接。兩者的共同點是都使用 21端口進行使用者驗證及管理，差别在于傳送資料的方式不同，PORT模式的FTP伺服器資料端口固定在20，而PASV模式則在1025-65535之間随機

7.2.主動模式

PORT（主動）方式的連接配接過程是：用戶端向伺服器的FTP端口（預設是21）發送連接配接請求，伺服器接受連接配接，建立一條指令鍊路。當需要傳送資料時，用戶端在指令鍊路上用PORT指令告訴伺服器：“我打開了***X端口，你過來連接配接我”。于是伺服器從20端口向用戶端的***X端口發送連接配接請求，建立一條資料鍊路來傳送資料。

在用戶端當連接配接FTP時，出現227 Entering Passive Mode的問題時，必須輸入systemctlstop

Firewalld 将防火牆停止後，需要再次輸入passive指令後就可以進行資料傳送了。

登入ftp時顯示227 Entering Passive Mode (xxx,xxx,,xxx,xxx,x)

解決此問題的辦法也很簡單，在用戶端先關閉防火牆systemctl stop firewalld，然後關閉用戶端的PASV方式，強制其用PORT方式通路伺服器，登入FTP伺服器後用passive指令關閉用戶端的PASV方式，如下：

　　ftp> passive

Passive modeoff.

如果需要開啟：

　　ftp> passive (再次運作指令可打開）

Passive mode on.

注意：由于FTP伺服器企圖與用戶端的高位随機端口建立連接配接（當需要傳送資料時，用戶端在指令鍊路上用PORT指令告訴伺服器：“我打開了***X端口，你過來連接配接我”。），而這個端口很有可能被用戶端的防火牆阻塞掉，是以隻能關閉用戶端的防火牆并關閉passive方式。

如果使用的ftp工具來連接配接ftp伺服器那麼需要在工具進行設定。在單點管理器中，需要設定協定為SFTP-SSH File Transfer Protocol協定進行連接配接。

連接配接是會彈出提示框

選擇确認按鈕

連接配接伺服器成功，并且上傳檔案。

7.3.被動模式

PASV（被動）方式的連接配接過程是：用戶端向伺服器的FTP端口（預設是21）發送連接配接請求，伺服器接受連接配接，建立一條指令鍊路。當需要傳送資料時，伺服器在指令鍊路上用PASV指令告訴用戶端：“我打開了***X端口，你過來連接配接我”。于是用戶端向伺服器的***X端口發送連接配接請求，建立一條資料鍊路來傳送資料。

進入到cd /etc/vsftpd後編輯vi vsftpd.conf檔案，在檔案末尾添加：

Pasv_min_port=6000

Pasv_max_port=7000

Pasv_enable=YES

然後進行儲存後，輸入systemctl restart vsftpd重新開機vsftpd服務。

注意：由于伺服器在指令鍊路上用PASV指令告訴用戶端：“我打開了***X端口，你過來連接配接我”。于是用戶端向伺服器的***X端口發送連接配接請求，建立一條資料鍊 路來傳送資料。

，是以在服務端需要添加在firewall中添加開放端口。

在FTP伺服器斷輸入firewall-cmd –permanent–add-port=6000-7000/tcp後，将端口永久添加到防火牆中.

再次輸入firewall-cmd –list-all檢視添加的端口。

在用戶端的防火牆啟動的狀态下，輸入ftp10.190.130.78後，輸入使用者名和密碼登入成功，組後可輸入ls指令檢視檔案目錄，并且可進行做其他的操作。

8.配置SSH

安裝完成ssh後，如果不知道在那個目錄下找到可以輸入whereis ssh可查詢檔案目錄。

輸入cd /etc/ssh，然後輸入ls –l顯示檔案清單。

在指令行中輸入vi sshd_config後進入檔案編輯。

取消PermitRootLogin前面的#号，修改進行儲存。

輸入systemctl start sshd啟動sshd服務，

然後輸入sytemctl status sshd檢視sshd的狀态。

輸入ssh localhost，然後提示輸入登入密碼，登入成功。使用xshell或者Putty可以進行遠端通路伺服器。

使用xshell可以遠端通路，配置成功。