[~] # setcfg -e Samba 'Min Protocol'
[~] # setcfg -e global 'min protocol' -f /etc/config/smb.conf
[~] # /etc/init.d/smb.sh restart 3、如果要恢復(fù)禁用v1.0協(xié)議,依次運行以下命令:
[~] # setcfg SAMBA 'min protocol' SMB2_02
[~] # setcfg global 'min protocol' SMB2_02 -f /etc/config/smb.conf
[~] # /etc/init.d/smb.sh restartAList的安裝非常簡單官方網(wǎng)站有詳細的使用說明參考這里https://alist.nn.ci/zh/guide/install/script.html
這里使用的是一鍵腳本安裝
只需一條命令curl -fsSL "https://alist.nn.ci/v3.sh" | bash -s install
wget -N git.io/aria2.sh && chmod +x aria2.sh
./aria2.sh
成功后大概是這個樣子
IPv4 地址 : 10.xxx
IPv6 地址 : 2602:xx
RPC 端口 : 6800
RPC 密鑰 : 255215485fds5efb8c
下載目錄 : /root/downloads
AriaNg 鏈接 : http://ariang.js.org/#!/settings/rpc/set/ws/xxx/6800/jsonrpc/xxxYzODM3ZmFmY2NjMGY=
[信息] Aria2 啟動成功 !
此時繼續(xù)運行./aria2.sh,然后選擇12,以開啟自動更新tracker。
與AList結(jié)合
打開AList后臺,選擇設(shè)置,其他:
這樣如果想下載的話,就先導(dǎo)航到某個目錄,然后右下角選擇離線下載,粘貼鏈接之后,就會自動下載到當(dāng)前目錄。
如果想直面下載信息可以在AList后臺選擇任務(wù)Aria2下載完成后可以點擊刪除已成功可是這個消息在aria2沒有被完全清理的.
可以打開AriaNg 鏈接來看就是上邊http://ariang.js.org/#!/settings/rpc/set/ws/xxx/6800/jsonrpc/xxxYzODM3ZmFmY2NjMGY=這個鏈接
啟動至 BIOS(“Setup”菜單)并確認系統(tǒng)處于 UEFI 模式 – TPM 已激活。
在“Post Behavior”下,確認“FastBoot”模式已設(shè)置為“Thorough”。
啟動進入操作系統(tǒng)。針對所需的驅(qū)動器設(shè)置 BitLocker,然后重新啟動以開始加密。
這將不允許使用 PIN - 您需要在更改組策略以創(chuàng)建 PIN 之前先在此系統(tǒng)上設(shè)置 BitLocker。
重新啟動后,打開 gpedit.msc。這將顯示您的組策略選項。
瀏覽到“計算機配置”;“管理模板”;“Windows 組件”;“BitLocker 驅(qū)動器加密”;“操作系統(tǒng)驅(qū)動器”。
在右窗格中 – 雙擊“啟動時需要附加身份驗證”,將會打開一個彈出框。
請確保選擇“已啟用”選項,以便所有其他選項都處于活動狀態(tài)。
取消選中“沒有兼容的 TPM 時允許 BitLocker”復(fù)選框。
對于“配置 TPM 啟動”的選項,請選擇“允許 TPM”。
對于“配置 TPM 啟動 PIN:”的選項,請選擇“有 TPM 時需要啟動 PIN”。
對于“配置 TPM 啟動密鑰:”的選項,請選擇“有 TPM 時允許啟動密鑰”。
對于“配置 TPM 啟動密鑰和 PIN:”的選項,請選擇“有 TPM 時允許啟動密鑰和 PIN”。
依次單擊“應(yīng)用”按鈕和“確定”按鈕,以保存本地組策略編輯器中的更改。
留在“BitLocker 驅(qū)動器加密”>“操作系統(tǒng)驅(qū)動器”下。
在右窗格中 – 雙擊“啟用 BitLocker 身份驗證需要在平板電腦上預(yù)啟動鍵盤輸入”。
請確保選中“已啟用”選項以進行激活。
依次單擊“應(yīng)用”按鈕和“確定”按鈕,以保存本地組策略編輯器中的更改。
再次重新啟動系統(tǒng)。
啟動管理員命令提示符(提升的命令提示符)。
輸入命令“manage-bde -protectors -add c: -TPMAndPIN”(不包括引號)。
系統(tǒng)將提示您輸入 PIN。輸入介于四到七位數(shù)之間的數(shù)字。當(dāng)您輸入數(shù)字時,光標(biāo)不會記錄擊鍵操作。
按 Enter 鍵保存 PIN,系統(tǒng)將提示您再次輸入該 PIN 進行確認。再次按 Enter 鍵以保存 PIN 確認 – 系統(tǒng)將運行命令并顯示 PIN 已保存。
再次重新啟動系統(tǒng),系統(tǒng)將提示使用平板電腦鍵盤輸入 PIN。
此過程完成后,BitLocker 將在系統(tǒng)每次重新啟動時提示輸入 PIN。
]]>建議由專業(yè)技術(shù)工程師完成本文的操作。
我們建議不要禁用SMBv2或SMBv3。禁用SMBv2或SMBv3只能作為臨時故障排除措施。請勿使 SMBv2或SMBv3保持禁用狀態(tài)。
禁用SMBv2的影響
在Windows 7和Windows Server 2008 R2中,禁用SMBv2會停用以下功能:
請求復(fù)合:允許發(fā)送多個SMB 2請求作為單個網(wǎng)絡(luò)請求
大型讀寫:更好地利用更快速的網(wǎng)絡(luò)
文件夾和文件屬性緩存:客戶端保留文件夾和文件的本地副本
持久句柄:如果臨時斷開連接,則允許連接以透明方式重新連接到服務(wù)器
改進的消息簽名:HMAC SHA-256代替MD5作為哈希算法
改進的文件共享擴展性:每個服務(wù)器的用戶數(shù)量、共享數(shù)量和打開文件數(shù)量大大增加
支持符號鏈接
客戶端oplock租賃模式:限制在客戶端和服務(wù)器之間傳輸?shù)臄?shù)據(jù),從而提高高延遲網(wǎng)絡(luò)性能并增強SMB 服務(wù)器的擴展性
大型MTU支持:可充分利用10千兆字節(jié) (GB) 以太網(wǎng)
改進的能效:向服務(wù)器打開文件的客戶端可以睡眠
禁用SMBv3的影響
在Windows 8、Windows 8.1、Windows 10、Windows Server 2012和Windows Server 2016中,禁用 SMBv3會停用以下功能(以及以上列表中所述的SMBv2功能):
透明故障轉(zhuǎn)移 :在維護或故障轉(zhuǎn)移期間,客戶端會重新連接,不會干擾集群節(jié)點
擴展:并發(fā)訪問所有文件集群節(jié)點上的共享數(shù)據(jù)
多通道:如果客戶端和服務(wù)器之間有多個路徑可用時,則聚合網(wǎng)絡(luò)帶寬和容錯
SMB直通:增加RDMA網(wǎng)絡(luò)支持,實現(xiàn)極高的性能、低延遲和低CPU利用率
加密:提供端到端加密,并防止不可靠網(wǎng)絡(luò)上的竊聽
目錄租賃:通過緩存改進分支機構(gòu)中應(yīng)用程序的響應(yīng)時間
性能優(yōu)化:對小型I/O隨機讀/寫的優(yōu)化
在SMB服務(wù)器上啟用/禁用SMB協(xié)議
Windows 8和 Windows Server 2012
Windows 8和Windows Server 2012引入了新的Set-SMBServerConfiguration Windows PowerShell cmdlet。 通過此cmdlet,你可以在服務(wù)器組件上啟用或禁用SMBv1、SMBv2 和 SMBv3協(xié)議。
說明
因為SMBv2和SMBv3共用一個堆疊,所以在Windows 8或Windows Server 2012中啟用或禁用 SMBv2時,也會啟用或禁用SMBv3。
使用PowerShell cmdlet
運行Set-SMBServerConfigurationcmdlet后,無須重啟計算機。
若要獲取SMB服務(wù)器協(xié)議配置的當(dāng)前狀態(tài),請運行以下cmdlet:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
若要在SMB服務(wù)器上禁用SMBv1,請運行以下cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
若要在SMB服務(wù)器上禁用SMBv2和SMBv3,請運行以下cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $false
若要在SMB服務(wù)器上啟用SMBv1,請運行以下cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $true
若要在SMB服務(wù)器上啟用SMBv2和SMBv3,請運行以下cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $true
Windows 7、Windows Server 2008 R2、Windows Vista和 Windows Server 2008
若要在運行Windows 7、Windows Server 2008 R2、Windows Vista或Windows Server 2008的SMB服務(wù)器上啟用或禁用SMB協(xié)議,請使用Windows PowerShell或注冊表編輯器。
使用Windows PowerShell 2.0或更高版本的PowerShell
若要在SMB服務(wù)器上禁用SMBv1,請運行以下cmdlet:
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB1 -Type DWORD -Value 0 -Force
若要在SMB服務(wù)器上禁用SMBv2和SMBv3,請運行以下cmdlet:
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB2 -Type DWORD -Value 0 -Force
若要在SMB服務(wù)器上啟用SMBv1,請運行以下cmdlet:
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB1 -Type DWORD -Value 1 -Force
若要在SMB服務(wù)器上啟用SMBv2和SMBv3,請運行以下cmdlet:
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB2 -Type DWORD -Value 1 -Force
注意
進行這些更改后,必須重啟計算機。
使用注冊表編輯器
以下內(nèi)容包含有關(guān)如何修改注冊表的信息。
注意
修改注冊表之前,一定要先對其進行備份。并且一定要知道在發(fā)生問題時如何還原注冊表。有關(guān)如何備份、還原和修改注冊表的更多信息,請查看 如何在 Windows 中備份和還原注冊表。
若要在SMB服務(wù)器上啟用或禁用SMBv1,請配置以下注冊表項:
注冊表子項:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 注冊表項: SMB1
REG_DWORD: 0 = 已禁用
REG_DWORD: 1 = 已啟用
默認值: 1 = 已啟用
若要在 SMB 服務(wù)器上啟用或禁用SMBv2,請配置以下注冊表項:
注冊表子項:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 注冊表項: SMB2
REG_DWORD: 0 = 已禁用
REG_DWORD: 1 = 已啟用
默認值: 1 = 已啟用
在SMB客戶端上啟用/禁用SMB協(xié)議
Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8和Windows Server 2012
注意
因為SMBv2和SMBv3共用一個堆疊,所以在Windows 8或Windows Server 2012中啟用或禁用SMBv2 時,也會啟用或禁用SMBv3。
若要在SMB客戶端上禁用SMBv1,請運行以下命令:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
若要在SMB客戶端上啟用SMBv1,請運行以下命令:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto
若要在SMB客戶端上禁用SMBv2和SMBv3,請運行以下命令:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
若要在SMB客戶端上啟用SMBv2和SMBv3,請運行以下命令:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto
注意
必須在提升的命令提示符中運行這些命令。
進行這些更改后,必須重啟計算機。
使用組策略禁用SMBv1服務(wù)器
這將在注冊表中配置以下新項:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 注冊表項: SMB1 REG_DWORD: 0 = Disabled
使用組策略配置流程
打開組策略管理控制臺。右鍵單擊應(yīng)包含新首選項的組策略對象 (GPO),然后單擊編輯。
在計算機配置下的控制臺樹中,展開首選項文件夾,然后展開Windows 設(shè)置文件夾。
右鍵單擊注冊表節(jié)點,指向新建,然后選擇注冊表項。
sg1
在新建注冊表屬性對話框中,選擇以下內(nèi)容:
操作: 創(chuàng)建
Hive: HKEY_LOCAL_MACHINE
注冊表項路徑: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
值名稱: SMB1
值類型: REG_DWORD
值數(shù)據(jù): 0
sg2
將此組策略應(yīng)用到域中所有必需的工作站、服務(wù)器和域控制器,以禁用 SMBv1 服務(wù)器組件。也可以將 WMI 篩選器設(shè)置為不包含不受支持的操作系統(tǒng)或選中的排除項(如 Windows XP)。
注意
在舊版Windows XP或Linux早期版本以及第三方系統(tǒng)(不支持SMBv2或SMBv3)需要訪問 SYSVOL或其他文件共享(已啟用SMB v1)的域控制器上進行這些更改時要謹慎小心。
使用組策略禁用SMBv1客戶端
若要禁用SMBv1客戶端,需要將服務(wù)注冊表項更新為禁止MRxSMB10啟動,然后還需要將MRxSMB10的依賴項從LanmanWorkstation項中刪除,以便它可以正常啟動(無需首先啟動MRxSMB10)。
這將更新和替換注冊表以下2個項中的默認值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10 注冊表項: Start REG_DWORD: 4 = Disabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation 注冊表項: DependOnService REG_MULTI_SZ: “Bowser”,”MR
默認包含的 MRxSMB10 現(xiàn)已作為依賴項刪除。
使用組策略配置流程
打開組策略管理控制臺。右鍵單擊應(yīng)包含新首選項的組策略對象 (GPO),然后單擊編輯。
在計算機配置下的控制臺樹中,展開首選項文件夾,然后展開Windows 設(shè)置文件夾。
右鍵單擊注冊表節(jié)點,指向新建,然后選擇注冊表項。
sg3
在新建注冊表屬性對話框中,選擇以下內(nèi)容:
操作: 更新
Hive: HKEY_LOCAL_MACHINE
注冊表項路徑: SYSTEM\CurrentControlSet\services\mrxsmb10
值名稱: Start
值類型: REG_DWORD
值數(shù)據(jù): 4
sg4
然后刪除剛剛禁用的 MRxSMB10 的依賴項
在新建注冊表屬性對話框中,選擇以下內(nèi)容:
操作: 替換
Hive: HKEY_LOCAL_MACHINE
注冊表項路徑: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
值名稱: DependOnService
值類型 REG_MULTI_SZ
值數(shù)據(jù):
Bowser
MRxSmb20
NSI
這 3 個字符串不帶項目符號(具體如下):
在Windows的多個版本中,默認值包括MRxSMB10,通過將其替換為此多值字符串,實際上就刪除了作為 LanmanServer依賴項的MRxSMB10,結(jié)果是從四個默認值減少為上述這三個值。
使用組策略管理控制臺時,無需使用引號或逗號。只需在各行鍵入每個項,如上面所示。
需要重新啟動
應(yīng)用策略且正確設(shè)置注冊表后,必須重新啟動目標(biāo)系統(tǒng),然后才能禁用SMB v1。
摘要
如果所有設(shè)置均在同一組策略對象 (GPO) 中,組策略管理將顯示以下設(shè)置。
sg6
測試和驗證
配置完成后即允許策略進行復(fù)制和更新。作為測試的必要步驟,請從 CMD.EXE 提示符處運行 gpupdate/force,然后查看目標(biāo)計算機,以確保注冊表設(shè)置得以正確應(yīng)用。確保 SMBv2 和 SMBv3 在環(huán)境中的所有其他系統(tǒng)中正常運行。
注意
請務(wù)必重新啟動目標(biāo)系統(tǒng)。
如何在 Windows 8.1、Windows 10、Windows 2012 R2和 Windows Server 2016中刪除SMBv1
Windows Server:使用PowerShell (Remove-WindowsFeature FS-SMB1)
sg8
Windows客戶端:使用 “添加或刪除程序”
sg9
Windows客戶端:使用PowerShell (Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol)
sg10
參考與適用性
本文來源自微軟官方技術(shù)文檔:如何在 Windows 和 Windows Server 中啟用和禁用 SMBv1、SMBv2 和 SMBv3。
如有變化,以微軟官方為準(zhǔn)。
這篇文章中的信息適用于:
Windows 10 Pro released in July 2015,
Windows 10 Enterprise released in July 2015
Windows Vista Enterprise
Windows Vista Business
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Ultimate
Windows 7 Enterprise
Windows 7 Home Basic
Windows 7 Home Premium
Windows 7 Professional
Windows 7 Ultimate
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Server 2008 R2 Datacenter
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Standard
Windows 8
Windows 8 Enterprise
Windows 8 Pro
Windows Server 2012 Datacenter
Windows Server 2012 Essentials
Windows Server 2012 Foundation
Windows Server 2012 Standard
Windows Server 2016
找到
function fsocketopen($hostname, $port = 80, &$errno = null, &$errstr = null, $timeout = 30) {
$fp = '';
if(function_exists('fsockopen')) {
$fp = @fsockopen($hostname, $port, $errno, $errstr, $timeout);
} elseif(function_exists('pfsockopen')) {
$fp = @pfsockopen($hostname, $port, $errno, $errstr, $timeout);
} elseif(function_exists('stream_socket_client')) {
$fp = @stream_socket_client($hostname.':'.$port, $errno, $errstr, $timeout);
}
return $fp;
}這段屏蔽掉,然后改成
function fsocketopen($hostname, $port = 80, &$errno = null, &$errstr = null, $timeout = 30) {
$fp = '';
if(function_exists('stream_socket_client')) {
$contextOptions = array(
'ssl' => array(
'verify_peer' => false,
'verify_peer_name' => false,
'allow_self_signed' => true
)
);
$context = stream_context_create($contextOptions);
$fp = @stream_socket_client($hostname.':'.$port, $errno, $errstr, $timeout,STREAM_CLIENT_CONNECT, $context);
}
return $fp;
}即可。
]]>-bash: warning: setlocale: LC_TIME: cannot change locale (en_US.UTF-8)
原因分析:
編譯升級了某個軟件如 glibc
解決方法:
在build目錄(build目錄在如下操作后)
wget http://ftp.gnu.org/gnu/glibc/glibc-2.28.tar.gz
tar xf glibc-2.28.tar.gz
cd glibc-2.28
mkdir build
cd build
當(dāng)執(zhí)行完make && make install 之后。
需要執(zhí)行 make localedata/install-locales 。如果不執(zhí)行,系統(tǒng)不會安裝 設(shè)置的 字符編碼:比如我系統(tǒng)上設(shè)置的是字符編碼是en_US.UTF-8,而系統(tǒng)并沒有安裝en_US.UTF-8字符編碼
————————————————
mount 會報錯 can't read superblock xfs
這時只能格式化了 mkfs.xfs -f /dev/mapper/centos-home
1、提前備份重要數(shù)據(jù),xfs減小會導(dǎo)致數(shù)據(jù)丟失
備份可以用xfsdump,數(shù)據(jù)不大也可以備份到機器之外(此處略)
2、卸載卷/dev/mapper/cl-home
umount /home
3、減少卷/dev/mapper/cl-home大小(該步驟會導(dǎo)致數(shù)據(jù)丟失,請看第1點)
[root@localhost ~]# lvreduce -L 10G /dev/mapper/cl-home
WARNING: Reducing active logical volume to 10.00 GiB.
THIS MAY DESTROY YOUR DATA (filesystem etc.)
Do you really want to reduce cl/home? [y/n]:y
Size of logical volume cl/home changed from 178.25 GiB (45633 extents) to 10.00 GiB (2560 extents).
Logical volume cl/home successfully resized.
4、增加卷/dev/mapper/cl-root大小
[root@localhost ~]# lvextend -l +100%FREE /dev/mapper/cl-root
Size of logical volume cl/root changed from 50.00 GiB (12800 extents) to 218.26 GiB (55874 extents).
Logical volume cl/root successfully resized.
5、調(diào)整xfs文件系統(tǒng)大小
[root@localhost ~]# xfs_growfs /dev/mapper/cl-root
6、重新掛載、恢復(fù)數(shù)據(jù)
如果直接掛載會報錯:
[root@localhost ~]# mount /dev/mapper/cl-home /home/
mount: /dev/mapper/cl-home: can't read superblock
需要先格式化
[root@localhost ~]# mkfs.xfs -f /dev/mapper/cl-home
格式化后掛載:
mount /dev/mapper/cl-home /home/
掛載后恢復(fù)數(shù)據(jù)
此步驟可以用xfsrestore,或者手動拷貝(參照第1點)
7、查看結(jié)果
[root@localhost ~]# df -h
參考
centos7下xfs格式的LVM卷空間伸縮實戰(zhàn)
http://www.viper.im/archives/centos7-xfs-lvm-resize.html
CentOS 7擴展根分區(qū)
https://segmentfault.com/a/1190000007645451
如果某個fstab 中的文件系統(tǒng)故障,mount不上,啟動會報錯,進入維護模式
Error getting authority: Error initializing authority: Could not connect: No such file or directory (g-io-error-quark, 1)
可以 查看報錯內(nèi)容 journalctl -x | grep mount
手動mount 看報啥錯
然后修復(fù)
或者改fstab注釋掉錯誤的文件系統(tǒng)
還有一種可能是新增了硬盤或者u盤,導(dǎo)致硬盤序號發(fā)生變化
可以把磁盤名稱更改為UUID。
/dev/sdc1: UUID="ab4c28b5-1708-483c-973a-40f91d320a9d" TYPE="ext4"
...
/dev/mapper/cl-root / xfs defaults 0 0
UUID=a51fd6f8-a756-4e8f-ba44-5589fb99861e /boot xfs defaults 0 0
UUID=7D74-6C54 /boot/efi vfat umask=0077,shortname=winnt 0 0
/dev/mapper/cl-swap swap swap defaults 0 0
UUID=ab4c28b5-1708-483c-973a-40f91d320a9d /data ext4 defaults 0 0
參考
系統(tǒng)啟動報錯:Error getting authority: Error initializing authority: Could not connect: No such file or directory (g-io-error-quark, 1)
https://www.jianshu.com/p/ea57fb7834f2
CentOS 7磁盤尋找不到,卡在sulogin,造成的開機失敗問題--Error getting authority...
https://www.cnblogs.com/redheat/p/7477380.html
? 2018, 新之助meow. 原創(chuàng)文章轉(zhuǎn)載請注明: 轉(zhuǎn)載自http://www.xinmeow.com
]]>1、更改設(shè)置
2、后臺更新緩存
3、后臺生成首頁
4、瀏覽器更新緩存。
$options = array();
$options['ssl'] = array('verify_peer' => false,
'verify_peer_name' => false,
'allow_self_signed' => true); $mail->SMTPOptions = array (
'ssl' => array(
'verify_peer' => true,
'verify_depth' => 3,
'allow_self_signed' => true,
'peer_name' => 'smtp.example.com',
'cafile' => '/etc/ssl/ca_cert.pem',
)
);
錯過了Partner的時代,官方的CloudFlare for SaaS也提供了一種更靈活的CNAME接入方式,一起來看看吧。
一、功能簡介
CloudFlare for SaaS不是個新功能,這里單獨拿出來講,主要是幾天前CF調(diào)整了一波免費額度。過去是每個域名收取2USD/月的費用,現(xiàn)在不僅提供100個域名免費額度,而且超額后每個域名按0.1USD/月收取費用,非常良心。
官方公告:https://blog.cloudflare.com/waf-for-saas/
CloudFlare中一個完全接入的域名即為一個zone,點進去包括套餐、安全等等都是針對這一主域名配置的。官方SaaS功能針對的是你服務(wù)的客戶,開放這項功能允許使用他們自己的域名直接附加在你的zone里,享受你zone包含的安全、加速等功能。
說起來可能不是很直白,這里舉幾個應(yīng)用場景的例子:
★應(yīng)用場景1:a.com通過NS接入了CF,b.com未接入CF;可以通過SaaS功能實現(xiàn)1.b.com/2.b.com等直接附加在a.com上,通過CNAME指向CF的節(jié)點。
★應(yīng)用場景2:a.com通過Plesk接入了CF,具有免費的Plesk Plus版本,b.com未接入CF或使用的免費版;可以通過SaaS功能實現(xiàn)1.b.com/2.b.com等直接附加在a.com上,享受a.com域名下的ECC+RSA雙證書、頁面規(guī)則、高級防火墻權(quán)益。
簡而言之,可以通過這項功能,實現(xiàn)其他域名的CNAME接入以及對zone權(quán)益的共享,有興趣的話,接著往下看吧~
二、配置接入
訂閱CloudFlare for SaaS
打開一個域名,選擇【SSL/TLS】下的【自定義主機名】,點擊【啟用CloudFlare for SaaS】后根據(jù)指示綁定外幣卡或者PayPal,訂閱CloudFlare for SaaS功能。
CloudFlare for SaaS訂閱本身是針對整個計費賬戶的,所以通過Partner接入的域名出現(xiàn)【請聯(lián)系客戶成功經(jīng)理以啟用適用于SaaS的SSL】時,只需要選擇個通過官方NS激活的域名啟用訂閱后即可使用。這里猜測可能是Partner接入的商務(wù)權(quán)限交給了合作伙伴,方便下放優(yōu)惠和服務(wù)那些,我們繞過去就行了。
激活頁面中文翻譯比較滯后,從英文的可以看到免費額度已經(jīng)進行更新,可以放心使用。
設(shè)置源站
選擇一個承載的域名zone點進去,依然是【SSL/TLS】下的【自定義主機名】,首先要設(shè)置附加上域名的源站。在這之前要在承載的域名zone中設(shè)置一個子域名作為源站的來源,比如origin.a.com,在Partner或者官方DNS設(shè)置好它的源站(注意是是在CF里添加,和正常添加網(wǎng)站的流程一樣)。
SaaS這里的源站叫回退源(Fallback Origin),輸入剛才設(shè)置的子域名并點擊【Add Fallback Origin】,它會同步這個子域名設(shè)置的源站作為后續(xù)在此接入域名的源站。有些人就會問了,這樣設(shè)置那不是后續(xù)SaaS添加的所有其他域名就只能用同一個源站了?答案確實是這樣,為每個SaaS域名自定義源站需要Enterprise以上套餐,有多域名需求多開幾個zone吧(苦笑)。
添加自定義主機名
后續(xù)的工作就很簡單了,點擊【添加自定義主機名】,輸入你要添加的未在CF接入的子域名。建議直接選擇TXT驗證,因為除了證書還有另一條TXT記錄要添加,一起加上去比較方便。
驗證域名所有權(quán)
添加完成后,按要求解析證書和主機名兩個TXT記錄,解析生效后10分鐘左右即可驗證通過,到此這個SaaS域名就正確的添加到了你的zone中并接入了CF。
特別提醒,如圖這里CF給出的驗證TXT名稱是應(yīng)完整域名的解析記錄,所以在自己的第三方DNS配置的時候,填入的主機名應(yīng)當(dāng)是example和_cf-custom-hostname.example,如果直接復(fù)制框內(nèi)的內(nèi)容把根域名b.com填進了主機名全域就變成了example.b.com.b.com了,是錯誤的。配置完成之后你可以通過直接復(fù)制的域名來檢查TXT記錄是否匹配,推薦MySSL的工具(點擊前往)。
SaaS域名解析
添加進去的SaaS域名,CF并不會給你提供明確的CNAME供指向。如果是官方接入的可以直接CNAME到你剛剛設(shè)置的源站域名比如origin.a.com,通過Partner接入的直接解析到源域名對應(yīng)的CNAME比如origin.a.com.cdn.cloudflare.net即可。其他的配置比如分線路解析、自選IP就可以按照自己的喜好去設(shè)置了,在此不過多贅述。
此外,對于防火墻規(guī)則、頁面規(guī)則,直接將添加進的域名輸入其中即可圈定范圍,完成對于其細則的設(shè)置。
三、結(jié)語
CloudFlare for SaaS是官方提供的一項非常方便的免費功能,彌補了早期未通過Partner接入只能強制NS接入的缺憾。有官方保障、靈活CNAME、免費的優(yōu)點,也有源站不靈活等缺點,肯定還是不如已經(jīng)通過Partner/Plesk接入的域名靈活。
最后要感謝CF提供這樣的免費功能,希望未來能夠下放自定義源站的功能(想桃子),也歡迎大家在評論區(qū)分享你們對這項功能的其他應(yīng)用方式,一起學(xué)習(xí)交流吧~
轉(zhuǎn)自:https://luotianyi.vc/6185.html
作者:Luminous