RHCE7 认证之学习笔记

-------------------------------------------------------------------------------------------
初始化：两台服务器设置yum源
-------------------------------------------------------------------------------------------
[root@system1 ~]# vim /etc/yum.repos.d/yum.repo
[root@system1 ~]# cat /etc/yum.repos.d/yum.repo
[yum]
name=yum
baseurl=ftp://server.rhce.cc/dvd
enabled=1
gpgcheck=0

[root@system1 ~]# yum makecache
[root@system1 ~]# cd /etc/yum.repos.d/
[root@system1 yum.repos.d]# scp yum.repo system2:/etc/yum.repos.d/

-------------------------------------------------------------------------------------------
1.配置SELinux
-------------------------------------------------------------------------------------------
SELinux必须在两个系统system1和system2中运行于Enforcing模式
-------------------------------------------------------------------------------------------
[root@system1 ~]# vim /etc/selinux/config
[root@system1 ~]# cat /etc/selinux/config
SELINUX=enforcing
SELINUXTYPE=targeted
[root@system1 ~]# scp /etc/selinux/config system2:/etc/selinux/
[root@system1 ~]# setenforce 1

-------------------------------------------------------------------------------------------
2.配置SSH访问
-------------------------------------------------------------------------------------------
按以下要求配置SSH访问:
用户能够从域rhce.cc内的客户端通过SSH远程访问您的两个虚拟机系统
在域my133t.org内的客户端不能访问您的两个虚拟机系统
-------------------------------------------------------------------------------------------
[root@system1 ~]# host rhce.cc // 先查看本机网段
rhce.cc has address 192.168.122.0

[root@system1 ~]# vim /etc/hosts.allow
[root@system1 ~]# cat /etc/hosts.allow
sshd:192.168.122.0/255.255.255.0
[root@system1 ~]# vim /etc/hosts.deny
[root@system1 ~]# cat /etc/hosts.deny
sshd:.my133t.org

[root@system1 ~]# scp /etc/hosts.allow system2:/etc/
[root@system1 ~]# scp /etc/hosts.deny system2:/etc/

-------------------------------------------------------------------------------------------
3.自定义用户环境
-------------------------------------------------------------------------------------------
在系统system1和system2上创建自定义命令名为qstat此自定义命令将执行以下命令:
/bin/ps-Aopid,tt,user,fname,rsz 此命令对系统中所有用户有效。
-------------------------------------------------------------------------------------------
[root@system1 ~]# alias qstat='/bin/ps -ao pid,tt,user,fname,rsz'
[root@system1 ~]# qstat
PID TT USER COMMAND RSZ
2425 pts/0 root ps 1168

-------------------------------------------------------------------------------------------
4.配置端口转发
-------------------------------------------------------------------------------------------
在系统system1配置端口转发，要求如下：
在192.168.122.0/24网络中的系统，访问system1的本地端口5423将被转发到80此设置必须永久有效
-------------------------------------------------------------------------------------------
[root@system1 ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=192.168.122.0/24 forward-port port=5423 protocol=tcp to-port=80'
success
[root@system1 ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=192.168.122.0/24 forward-port port=5423 protocol=tcp to-port=80' --permanent
success

-------------------------------------------------------------------------------------------
5.配置聚合链路
-------------------------------------------------------------------------------------------
在system1.rhce.cc和system2.rhce.cc之间按以下要求配置一个链路：
此链路使用接口eth1和eth2，此链路在一个接口失效时仍然能工作
此链路在system1使用下面的地址172.16.11.25/255.255.255.0
此链路在system2使用下面的地址172.16.11.35/255.255.255.0
此链路在系统重启之后依然保持正常状态
-------------------------------------------------------------------------------------------
[root@system1 ~]# cd /usr/share/doc/teamd-1.9/example_ifcfgs/1/
[root@system1 1]# cp * /etc/sysconfig/network-scripts/
[root@system1 1]# cd /etc/sysconfig/network-scripts/

[root@system1 network-scripts]# cat ifcfg-team_test0
DEVICE="team_test0"
NAME="team_test0"
DEVICETYPE="Team"
ONBOOT="yes"
BOOTPROTO=none
NETMASK=255.255.255.0
IPADDR=172.16.11.25
TEAM_CONFIG='{"runner": {"name": "activebackup"}}'

[root@system1 network-scripts]# cat ifcfg-eth1
DEVICE="eth1"
NAME="eth1"
DEVICETYPE="TeamPort"
ONBOOT="yes"
TEAM_MASTER="team_test0"

[root@system1 network-scripts]# cat ifcfg-eth2
DEVICE="eth2"
NAME="eth2"
DEVICETYPE="TeamPort"
ONBOOT="yes"
TEAM_MASTER="team_test0"

[root@system1 ~]# systemctl restart network

[root@system1 ~]# scp /etc/sysconfig/network-scripts/ifcfg-team_test0 system2:/etc/sysconfig/network-scripts/
[root@system1 ~]# scp /etc/sysconfig/network-scripts/ifcfg-eth1 system2:/etc/sysconfig/network-scripts/
[root@system1 ~]# scp /etc/sysconfig/network-scripts/ifcfg-eth2 system2:/etc/sysconfig/network-scripts/
最后修改system2:team_test文本ip，重启服务，在用ping和ifconfig检测结果

-------------------------------------------------------------------------------------------
6.配置IPv6地址
-------------------------------------------------------------------------------------------
在您的考试系统上配置接口eth0使用下列IPv6地址：
system1上的地址应该是200e:ac18::e0a/64 ；system2上的地址应该是200e:ac18::e14/64
两个系统必须能与网络200e:ac18/64内的系统通信，地址必须在重启后依旧生效。
两个系统必须保持当前的IPv4地址并能通信。
-------------------------------------------------------------------------------------------
system1:先查看eth0设备对应连接名：nmcli connection
[root@system1 ~]# nmcli connection modify eth0 ipv6.method auto
[root@system1 ~]# nmcli connection modify eth0 ipv6.address 200e:ac18::e0a/64
[root@system1 ~]# nmcli connection modify eth0 ipv6.method manual
[root@system1 ~]# systemctl restart network

system2:先查看eth0设备对应连接名：nmcli connection
[root@system2 ~]# nmcli connection modify eth0 ipv6.method auto
[root@system2 ~]# nmcli connection modify eth0 ipv6.address 200e:ac18::e14/64
[root@system2 ~]# nmcli connection modify eth0 ipv6.method manual
[root@system2 ~]# systemctl restart network

-------------------------------------------------------------------------------------------
7.配置本地邮件服务
-------------------------------------------------------------------------------------------
在系统system1和system2上配置邮件服务，满足以下要求：
这些系统不接收外部发送来的邮件，在这些系统上本地发送的任何邮件都会自动路由到rhgls.rhce.cc
从这些系统上发送的邮件显示来自于rhce.cc，您可以通过发送邮件到本地用户'dave'来测试您的配置
系统rhgls.rhce.cc已经配置把此用户的邮件转到下列URL http://rhgls.rhce.cc/received_mail/11
-------------------------------------------------------------------------------------------
system1执行:
[root@system1 ~]# firewall-cmd --add-service=smtp
[root@system1 ~]# firewall-cmd --add-service=smtp --permanent

[root@system1 postfix]# vim /etc/postfix/main.cf
vim main.cf 中复制一行mydestination，编辑mydestination=""
vim main.cf 中复制一行relayhost，编辑relayhost=[rhgls.rhce.cc]
vim main.cf 中复制一行myorigin，编辑myorigin=rhce.cc

[root@system1 postfix]# systemctl restart postfix
[root@system1 postfix]# yum install -y mailx
[root@system1 postfix]# echo hello | mail -s "lyshark" dave
浏览器中打开http://rhgls.rhce.cc/received_mail/11打开邮件
发现成功以后直接拷贝到目标主机
[root@system1 postfix]# scp main.cf system2:/etc/postfix/

system2执行:
[root@system2 postfix]# yum install -y mailx
[root@system2 ~]# firewall-cmd --add-service=smtp
[root@system2 ~]# firewall-cmd --add-service=smtp --permanent
[root@system2 ~]# systemctl restart postfix
[root@system2 ~]# echo "hello" | mail -s "lyshark" dave

-------------------------------------------------------------------------------------------
8.通过SMB共享目录
-------------------------------------------------------------------------------------------
在system1上配置SMB服务，您的SMB服务器必须是STAFF工作组的一个成员
共享/common目录共享名必须为common，只有rhce.cc域内的客户端可以访问common共享
common必须是可以浏览的，用户andy必须能够读取共享中的内容，验证的密码是redhat
-------------------------------------------------------------------------------------------
system1执行：
[root@system1 ~]# yum install -y samba
[root@system1 ~]# vim /etc/samba//smb.conf
workgroup = STAFF
[common]
path = /common
hosts allow = 192.168.122.0/24

[root@system1 ~]# firewall-cmd --add-service=samba
[root@system1 ~]# firewall-cmd --add-service=samba --permanent
[root@system1 ~]# mkdir /common
[root@system1 ~]# chcon -R -t samba_share_t /common/

[root@system1 ~]# id andy // 查询是否存在
[root@system1 ~]# useradd andy
[root@system1 ~]# yum whatprovides */smbpasswd
[root@system1 ~]# yum install -y samba-client

[root@system1 ~]# pdbedit -L // 创建用户密码
[root@system1 ~]# smbpasswd -a andy
New SMB password: redhat
[root@system1 ~]# systemctl enable smb
[root@system1 ~]# systemctl restart smb

system2测试连通性：
[root@system2 ~]# yum install -y samba-client
[root@system2 ~]# smbclient //system1/common -U andy%redhat
[root@system2 ~]# smbclient -L //system1/common -U andy%redhat

-------------------------------------------------------------------------------------------
9.配置多用户SMB挂载
-------------------------------------------------------------------------------------------
在system1共享通过SMB目录/miscellaneous满足以下要求：
共享名为miscellaneous，共享目录miscellaneous，只能被rhce.cc域中的客户端使用
共享目录miscellaneous必须可以被浏览，用户silene必须能以读的方式访问此共享，访问密码是redhat
用户akira必须能以读写的方式访问此共享，访问密码是redhat，此共享永久挂载在system2.rhce.cc上的/mnt/multi目录
并使用用户silene作为认，证任何用户可以通过用户akira来临时获取写的权限
-------------------------------------------------------------------------------------------
system1上执行：
[root@system1 ~]# mkdir /miscellaneous
[root@system1 ~]# chcon -R -t samba_share_t /miscellaneous/

[root@system1 ~]# vim /etc/samba/smb.conf
[miscellaneous] // 追加写入
path = /miscellaneous
hosts allow=192.168.122.0/24
writable = no
write list = akira

[root@system1 ~]# chmod o+rwx /miscellaneous/
[root@system1 ~]# useradd silene
[root@system1 ~]# useradd akira
[root@system1 ~]# smbpasswd -a silene
New SMB password: redhat
[root@system1 ~]# smbpasswd -a akira
New SMB password: redhat
[root@system1 ~]# systemctl restart smb

system2上验证结果：
[root@system2 ~]# smbclient //system1/miscellaneous -U silene%redhat 测试读权限
[root@system2 ~]# smbclient //system1/miscellaneous -U akira%redhat 测试写权限

[root@system2 ~]# mkdir /mnt/multi
[root@system2 ~]# smbclient //system1/miscellaneous -U silene%redhat

[root@system2 ~]# vim /etc/fstab // 写入开机自动挂载
//system1/miscellaneous /mnt/multi cifs defaults,username=silene,password=redhat,multiuser,sec=ntlmssp 0 0

[root@system2 ~]# yum install -y cifs-utils
[root@system2 ~]# mount -a
[root@system2 ~]# df -h
文件系统 容量 已用 可用 已用% 挂载点
//system1/miscellaneous 3.9G 1.3G 2.7G 32% /mnt/multi

创建用户tom1 tom2 用于测试属性分配是否正常
[root@system2 ~]# useradd tom1
[root@system2 ~]# useradd tom2

[root@system2 ~]# su - tom1
[tom1@system2 ~]$ cd /mnt/multi
[tom1@system2 multi]$ cifscreds add system1 -u silene
Password: redhat // 测试有无读取权限
[tom1@system2 multi]$ exit

[root@system2 ~]# su - tom2
[tom2@system2 ~]$ cd /mnt/multi
[tom2@system2 multi]$ cifscreds add system1 -u akira
Password: redhat // 测试有无写权限
[tom2@system2 multi]$ exit

-------------------------------------------------------------------------------------------
10.配置NFS服务
-------------------------------------------------------------------------------------------
在system1配置NFS服务，要求如下:
以只读的方式共享目录/public同时只能被rhce.cc域中的系统访问，以读写的方式共享目录/protected能被rhce.cc域中的系统访问
访问/protected需要通过Kerberos安全加密，您可以使用下面URL提供的密钥 http://host.rhce.cc/materials/nfs_server.keytab
目录/protected应该包含名为confidential拥有人为ldapuser11的子目录，用户ldapuser11以读写方式访问/protected/confidential
-------------------------------------------------------------------------------------------
system1上执行：
[root@system1 ~]# systemctl restart nfs-server
[root@system1 ~]# systemctl enable nfs-server

[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=nfs accept"
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=nfs accept" --permanent
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=rpc-bind accept"
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=rpc-bind accept" --permanent
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=mountd accept"
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=mountd accept" --permanent

[root@system1 ~]# mkdir /public
[root@system1 ~]# cat /etc/exports
/public *(ro,sync) // 写入属性
[root@system1 ~]# exportfs -arv
exporting *:/public

在system2上测试：
[root@system2 ~]# showmount -e system1
Export list for system1:
/public *
[root@system2 ~]# mount system1:/public /mnt
确认没问题后再卸载掉 umount /mnt

--------------------------------------------------------------------------
继续共享第二个目录 system1:
[root@system1 ~]# mkdir /protected
[root@system1 ~]# cat /etc/exports
/public *(ro,sync)
/protected *(rw,sync,sec=krb5p)
[root@system1 ~]# exportfs -arv
exporting *:/protected
exporting *:/public

下载证书并配置：
[root@system1 ~]# wget -O /etc/krb5.keytab http://host.rhce.cc/materials/nfs_server.keytab
[root@system1 ~]# cat /etc/sysconfig/nfs 找到rpcnfsdargs=”-V 4.2”

[root@system1 ~]# mkdir /protected/confidential
[root@system1 ~]# chcon -R -t public_content_t /protected/
[root@system1 ~]# chown ldapuser11 /protected/confidential
[root@system1 ~]# systemctl restart nfs-server
[root@system1 ~]# systemctl restart nfs-secure-server

-------------------------------------------------------------------------------------------
11.挂载一个NFS共享
-------------------------------------------------------------------------------------------
在system2上挂载一个来自system1.rhce.cc的NFS共享，并符合下列要求：
/public挂载在下面的目录上/mnt/nfsmount ， /protected挂载在下面的目录上/mnt/nfssecure并使用安全的方式
密钥下载URL如下：http://host.rhce.cc/materials/nfs_client.keytab.
用户ldapusre11能够在/mnt/nfssecure/confidential上创建文件，这些文件系统在系统启动时自动挂载
-------------------------------------------------------------------------------------------
[root@system2 ~]# showmount -e system1
[root@system2 ~]# mkdir /mnt/nfsmount
vim /etc/fstab 中添加system1.rhce.cc:/public /mnt/nfsmount nfs defaults 0 0
[root@system2 ~]# mount -a // 检查是否挂载成功
[root@system2 ~]# df -h

[root@system2 ~]# mkdir /mnt/nfssecure
[root@system2 ~]# wget -O /etc/krb5.keytab http://host.rhce.cc/materials/nfs_client.keytab
[root@system2 ~]# systemctl restart nfs-secure
vim /etc/fstab 中添加 system1.rhce.cc:/protected /mnt/nfssecure nfs defaults,v4.2,sec=krb5p 0 0
[root@system2 ~]# mount -a
[root@system2 ~]# ssh ldapuser11@system1.rhce.cc 验证

-------------------------------------------------------------------------------------------
12.配置web站点
-------------------------------------------------------------------------------------------
system1上配置一个站点http://system1.rhce.cc然后执行下述步骤：
从http://rhgls.rhce.cc/materials/station.html下载文件
并且将文件重命名为index.html不要修改此文件的内容
将文件index.html拷贝到您的web服务器的DocumentRoot目录下
来自于rhce.cc域的客户端可以访问此Web服务，来自于my133t.org域的客户端拒绝访问此Web服务
-------------------------------------------------------------------------------------------
[root@system1 ~]# yum groupinstall web* -y
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=http accept"
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=http accept" --permanent
[root@system1 ~]# vim /etc/httpd/conf/httpd.conf
ServerName system1.rhce.cc:80 取消注释
[root@system1 ~]# vim /etc/hosts
192.168.122.100 system1.rhce.cc 写入以下条目
[root@system1 ~]# wget -O /var/www/html/index.html http://rhgls.rhce.cc/materials/station.html
[root@system1 ~]# systemctl restart httpd
[root@system1 ~]# systemctl enable httpd

-------------------------------------------------------------------------------------------
13.配置安全web服务
-------------------------------------------------------------------------------------------
为站点http://system1.rhce.cc配置TLS加密一个已签名证书从
http://host.rhce.cc/materials/system1.crt获取此证书的密钥从
http://host.rhce.cc/materials/system1.key获取此证书的签名授权信息从
http://host.rhce.cc/materials/domain11.crt获取
-------------------------------------------------------------------------------------------

[root@system1 ~]# cd /etc/httpd/conf
[root@system1 conf]# wget http://host.rhce.cc/materials/system1.crt
[root@system1 conf]# wget http://host.rhce.cc/materials/system1.key
[root@system1 conf]# wget http://host.rhce.cc/materials/domain11.crt

[root@system1 conf]# vim /etc/httpd/conf.d/ssl.conf
依次修改配置项
SSLCertificateFile /etc/httpd/conf/system1.crt
SSLCertificateKeyFile /etc/httpd/conf/system1.key
SSLCertificateChainFile /etc/httpd/conf/domain11.crt
[root@system1 ~]# systemctl restart httpd
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=https accept"ss
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=https accept" --permanent

-------------------------------------------------------------------------------------------
14.配置虚拟主机
-------------------------------------------------------------------------------------------
在system1上扩展您的web服务器，为站点http://www..rhce.cc创建一个虚拟主机，执行步骤：设置DocumentRoot为/var/www/virtual
从http://rhgls.rhce.cc/materials/www.html下载文件并重命名为index.html不要对文件index.html的内容做任何修改
将文件index.html放到虚拟主机的DocumentRoot目录下确保andy用户能够在/var/www/virtual目录下创建文件
注意：原始站点http://system1.rhce.cc必须仍然能够访问，名称服务器rhce.cc提供对主机名www.rhce.cc的域名解析
-------------------------------------------------------------------------------------------
[root@system1 ~]# mkdir /var/www/virtual
[root@system1 ~]# wget -O /var/www/virtual/index.html http://rhgls.rhce.cc/materials/www.html
[root@system1 ~]# setfacl -m u:andy:rwx /var/www/virtual

[root@system1 ~]# cd /etc/httpd/conf.d/ 拷贝模板文件
root@system1 conf.d]# cp -a /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf vhost.conf
[root@system1 conf.d]# vim vhost.conf
<VirtualHost www.rhce.cc:80>
DocumentRoot "/var/www/virtual"
ServerName www.rhce.cc
</VirtualHost>
<VirtualHost system1.rhce.cc:80>
DocumentRoot "/var/www/html"
ServerName system1.rhce.cc
</VirtualHost>
[root@system1 conf.d]# systemctl restart httpd
# 验证是否合格
[root@system1 conf.d]# curl system1.rhce.cc
station
[root@system1 conf.d]# curl www.rhce.cc
www

-------------------------------------------------------------------------------------------
15.配置web内容的访问
-------------------------------------------------------------------------------------------
在您的system1上的web服务器的DocumentRoot目录下创建一个名为secret的目录。
要求如下：从http://rhgls.rhce.cc/materials/private.html下载一个文件副本到这个目录并且重命名为index.html
不要对这个文件的内容做任何修改，从system1上任何人都可以浏览secret的内容，但是从其它系统不能访问这个目录的内容
-------------------------------------------------------------------------------------------
[root@system1 ~]# mkdir /var/www/html/secret
[root@system1 ~]# mkdir /var/www/virtual/secret
[root@system1 ~]# wget –O /var/www/html/secret http://rhgls.rhce.cc/materials/private.html
[root@system1 ~]# wget –O /var/www/html/virtual/secret/ http://rhgls.rhce.cc/materials/private.html

[root@system1 ~]# vim /etc/httpd/conf.d/vhost.conf
<Directory "/var/www/html/secret">
allowoverride none
require local
</Directory>
<Directory "/var/www/virtual/secret">
allowoverride none
require local
</Directory>

[root@system1 ~]# systemctl restart httpd
[root@system1 secret]# curl -s www.rhce.cc/secret/private.html
private
[root@system1 secret]# curl -s system1.rhce.cc/secret/private.html
private

-------------------------------------------------------------------------------------------
16.实现动态Web内容
-------------------------------------------------------------------------------------------
在system1上配置提供动态Web内容，要求如下：
动态内容由名为dynamic.rhce.cc的虚拟主机提供，虚拟主机侦听在端口8998
从http://rhgls.rhce.cc/materials/webapp.wsgi下载一个脚本，然后放在适当的位置。
客户端访问http://dynamic.rhce.cc:8998/时应该接收到动态生成的web页面
此http://dynamic.rhce.cc:8998/必须能被rhce.cc域内的所有系统访问
-------------------------------------------------------------------------------------------
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 port port=8998 protocol=tcp accept"
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 port port=8998 protocol=tcp accept" --permanent

[root@system1 ~]# vim /etc/httpd/conf/httpd.conf 增加一个8998端口
Listen 80
Listen 8998

[root@system1 ~]# yum provides semanage
[root@system1 ~]# yum install -y policycoreutils-python
[root@system1 ~]# semanage port -a -t http_port_t -p tcp 8998 # 修改端口上下文

[root@system1 ~]# yum install mod_wsgi -y
[root@system1 ~]# mkdir /var/www/html/test
[root@system1 ~]# wget -P /var/www/html/test/ http://rhgls.rhce.cc/materials/webapp.wsgi
[root@system1 ~]# vim /etc/httpd/conf.d/vhost.conf
<VirtualHost dynamic.rhce.cc:8998>
DocumentRoot "/var/www/html/test"
ServerName dynamic.rhce.cc
WSGIScriptAlias / /var/www/html/test/webapp.wsgi
</VirtualHost>
[root@system1 ~]# systemctl restart httpd
[root@system1 ~]# curl dynamic.rhce.cc -P 8998
[root@system1 ~]# curl http://dynamic.rhce.cc:8998/test/webapp.wsgi

-------------------------------------------------------------------------------------------
17.配置iSCSI服务端
-------------------------------------------------------------------------------------------
配置system1提供一个iSCSI服务磁盘名为iqn.2014-09.com.example.domain11:system1，
并符合要求：服务端口为3260，使用iscsi_vol作其后端卷其大小为3G，此服务只能被system2.rhce.cc访问
-------------------------------------------------------------------------------------------
[root@system1 ~]# yum install -y target*
[root@system1 ~]# systemctl restart target

fdisk /dev/vda创建3G分区
partprobe /dev/vda
targetcli后 ls/
/backstores/block create iscsi_vol /dev/vda4
/iscsi create iqn.2014-09.com.example.domain11:system1
cd /iscsi/iqn.2014-09.com.example.domain11:system1/tpg1/
acls/ create iqn.2014-09.com.example.domain11:xx
luns/ create /backstores/block/iscsi_vol ls /
portals/ create 0.0.0.0 3260 exit
设置防火墙（如下图），设置好后重启服务（systemctl restart firewalld）

-----------------------------------------------------------------------------------------------------------------
18.配置iSCSI的客户端
配置system2使其能连接在system1的上提供的iqn.2014-09.com.example.domain11:system1
并符合以下要求：
iSCSI设备在系统启动的期间自动加载
块设备iSCSI上包含一个大小为1700MiB的分区，并格式化为xfs
此分区挂载在/mnt/data上同时在系统启动的期间自动挂载

yum install iscsi* -y
vim /etc/iscsi/initiatorname.iscsi中将 = 后面值修改成iqn.2014-09.com.example.domain11:xx
systemctl start iscsid
systemctl enable iscsid
iscsiadm –m discovery –t st –p system1.rhce.cc - l
创建一个1700m的分区，格式化mkfs.xfs /dev/vda?
自动挂载 vim /etc/fstab 中添加一行
/dev/sda? /mnt/data xfs defaults,_netdev 0 0
mkdir /mnt/data
mount –a检查结果