运行yum makecache生成缓存

eple源：

rpm -Uvh http://ftp.sjtu.edu.cn/fedora/epel/6/i386/epel-release-6-8.noarch.rpm

docker 安装：

You will need RHEL 6.5 or higher, with a RHEL 6 kernel version 2.6.32-431 or higher as this has specific kernel fixes to allow Docker to work.

CentOS 6.5已经是2.6.32-431内核了，所以最好安装这个版本。

yum -y install docker-io

yum -y update docker-io

手动升级：

wget https://get.docker.io/builds/Linux/x86_64/docker-latest -O docker mv -f docker /usr/bin/docker 

升级完成

启动：

service docker start

开机启动：

chkconfig docker on

对于防火墙的选择:
  http://blog.sina.com.cn/s/blog_92dc41ea0101j5l1.html

  http://www.lupaworld.com/article-218506-1.html

• 一、循环插入数据时出现
    table is full

  二、在mgm>all report memoryusage 查看

  Node 2: Data usage is 22%(2305 32K pages of total 10240)

  使用率到最后98%以上这时出现啦table is full

  基于以上两种情况，其实是一种情况的我的解决方法是:

  根据硬件配置必须根据硬件配置修改my.cnf文件和config.ini文件

  1.config.ini
  [ndbd default]
  NoOfReplicas=2 
  MaxNoOfConcurrentOperations=10000
  DataMemory=320M
  IndexMemory=96M
  TimeBetweenWatchDogCheck=30000
  MaxNoOfOrderedIndexes=512

  2.my.cnf
  [mysqld]
  ndbcluster
  ndb-connectstring=124.95.137.12
  optimizer_switch=engine_condition_pushdown=off

  问题得以解决
  来源：http://www.greensoftcode.net/
  

docker-registry:

添加网桥

使用openvswitch建立网桥，kvm使用，命令如下：

建立网桥br

#ovs-vsctl add-br br0

把eth0(物理机上网的网卡)添加到br0

#ovs-vsctl add-port br0 eth0

如果不出意外的话现在机器就不能上网了，可以按照以下方法解决

删除eth0的配置

#ifconfig eth0 0

为br0分配ip

#dhclient br0

因为我使用的是dhcp获取ip的，所以执行了此命令，如果你的ip是自己手动配置的，请把eth0的配置写到br0上。

[plain] view plaincopy

1. chmod +x *.bin  

[plain] view plaincopy

1. /etc/init.d/apacheds-2.0.0-M15-default start  

[plain] view plaincopy

1. dn: ou=groups,dc=taotaosou.com  
2. objectClass: organizationalUnit  
3. objectClass: top  
4. ou: groups  

[plain] view plaincopy

1. dn: ou=users,dc=taotaosou.com  
2. objectClass: organizationalUnit  
3. objectClass: top  
4. ou: users  

[plain] view plaincopy

1. dn: dc=taotaosou.com  
2. objectclass: domain  
3. objectclass: top  
4. dc: taotaosou.com  
5. administrativeRole: accessControlSpecificArea  

[plain] view plaincopy

1. dn: cn=enableAllUsersRead,dc=taotaosou.com  
2. objectClass: subentry  
3. objectClass: accessControlSubentry  
4. objectClass: top  
5. cn: enableAllUsersRead  
6. prescriptiveACI: { identificationTag "enableAllUsersRead", precedence 0, aut  
7.  henticationLevel none, itemOrUserFirst userFirst: { userClasses { allUsers   
8.  }, userPermissions { { protectedItems { entry, allUserAttributeTypesAndValu  
9.  es }, grantsAndDenials { grantCompare, grantFilterMatch, grantRead, grantRe  
10.  turnDN, grantBrowse } } } } }  
11. subtreeSpecification: { }  

[plain] view plaincopy

1. dn: cn=allowSelfAccessAndModification,dc=taotaosou.com  
2. objectClass: subentry  
3. objectClass: accessControlSubentry  
4. objectClass: top  
5. cn: allowSelfAccessAndModification  
6. prescriptiveACI: { identificationTag "allowSelfAccessAndModification", prece  
7.  dence 10, authenticationLevel simple, itemOrUserFirst userFirst: { userClas  
8.  ses { thisEntry }, userPermissions { { protectedItems { entry, allUserAttri  
9.  buteTypesAndValues }, grantsAndDenials { grantRemove, grantExport, grantCom  
10.  pare, grantImport, grantRead, grantFilterMatch, grantModify, grantInvoke, g  
11.  rantDiscloseOnError, grantRename, grantReturnDN, grantBrowse, grantAdd } }   
12.  } } }  
13. subtreeSpecification: { }  

[plain] view plaincopy

1. dn: cn=enableAdminSuper,dc=taotaosou.com  
2. objectClass: subentry  
3. objectClass: accessControlSubentry  
4. objectClass: top  
5. cn: enableAdminSuper  
6. prescriptiveACI: { identificationTag "enableAdminSuper", precedence 0, authe  
7.  nticationLevel strong, itemOrUserFirst userFirst: { userClasses { userGroup  
8.   { "cn=administrator,ou=gourp,dc=taotaosou.com" } }, userPermissions { { pr  
9.  otectedItems { entry, allUserAttributeTypesAndValues }, grantsAndDenials {   
10.  grantRemove, grantExport, grantCompare, grantImport, grantRead, grantFilter  
11.  Match, grantModify, grantInvoke, grantDiscloseOnError, grantRename, grantRe  
12.  turnDN, grantBrowse, grantAdd } } } } }  
13. subtreeSpecification: { }  
    
    
    
    http://blog.csdn.net/lansine2005/article/details/19978411

tomcat的catalina.sh:
JAVA_OPTS="$JAVA_OPTS -Duser.timezone=Asia/Shanghai"

　　图1. 通常以太网卡是不会丢包的

　　当虚拟机的网络在突发大量访问的情况下，可能会发生多个包丢失，这样就需要调整虚拟机的网络设置。首先，确认虚拟机使用了VMXNET3虚拟网 卡驱动。这样，在Linux宿主机的特定情况下，当大数据文件在高带宽的网络上传输时会发生多数据包丢失。关闭接收和转发校验总和可以解决这种情况。因为 校验总和的作用是停止错误包的发送，这样做会增加风险。考虑到以太网卡的错误率通常低于百万分之一，风险的级别并不高。

　　使用Linux ethtool工具来关闭VMware网络设置中的接收和转发校验总和，在命令行窗口中以root账户登录ethtool。例如关闭网卡eth0的校验总 和命令如下：readethtool --offload eth0 rx off tx off;

　　命令生效后，打开相应网卡的配置文件：

　　/etc/sysconfig/network/ifcfg-eth0 ( SUSE) 或 /etc/sysconfig/network-scripts/ifcfg-eth0 (Red Hat )

　　同时把ETHTOOL_OPTIONS参数变为ETHTOOL_OPTIONS='--offload eth0 rx off tx off'

　　如果依然存在丢包问题，尝试用ethtool工具增加接收队列的缓冲区大小。默认情况下，缓存设为256，可以设置的最大值为4096。重新设置缓存大小为512，使用命令ethtool -G eth0 512。如果结果不理想，尝试更大的值。

　　遇到Windows虚拟机的高丢包率就需要调整VMXNET3驱动的网络设置。在Device Manager中右键单击VMXNET3驱动并选择Properties。在Advanced页中有两个参数：Small RX Buffers和RX Ring #1 Size。适当增加这些参数的值然后测试能否有改善。逐步加大该值直到问题解决。

　　多数情况下，这些设置可以降低虚拟机的丢包率。如果调整网络参数失败，或许就需要解决虚拟机其它的一些性能相关问题，而不是虚拟机和ESXi平 台之间的VMware网络设置。咨询宿主机OS 的相关专家，应该有很多可以调整性能的相关参数。当心更改了错误的参数可能会对虚拟机带来明显的负面影响。

什么东西可以监控OpenStack呢？OpenStack对监控的需求起码有以下这些：

• 不仅要能监控物理机，也能监控虚机
• 监控信息也必须是tenant隔离的
• 监控项的收集应该是自动地
• 监控工具应该一般化以监控任何设备
• 监控工具必须提供API

下面是监控工具的一般架构：

网上搜索了一下，现在主流的监控工具有：Nagios, cacti, Zabbix, Muni, Zenoss。我不是做运维的对这些工具都不熟，以前不熟，现在也不熟。下面是一些理解，不一定准。

Nagios，最老牌了，比较通用的监控工具。特大的特点是报警。图形化功能一般般。一般要安装Agent，配置起来看网上的说法是比较复杂的，没用过，没实际发言权。

cacti，图形化功能不错，所以Nagios一般结合它来使用。

Zabbix，监控和图形化功能都还可以了，尤其有一本电子书 zabbix 1.8 network monitoring

Zenoss, 监控新贵，它使用无Agent的通用技术如SNMP和SSL来监控，部署起来会比较方便。尤其是Zenoss公司有人现在也加入OpenStack社区了，专门开发了一个OpenStack特有的扩展（

https://github.com/zenoss/ZenPacks.zenoss.OpenStack）不幸的是，目前只支持Nova API 1.1，且它只能收集单个tenant的数据，不利于rating和billing。

OpenStack Ceilometer工程主要监控的是tenant下虚机的数据，用来做billing的，物理机的监控支持不大好。

比较来比较去，如果是我，可能会做如下选型决定，不一定正确 ：

Nagios 或者 Zenoss (视情况）

下面内容来自：http://docs.openstack.org/developer/ceilometer/， 我们看一下Ceilometer工程的现状, 架构如下：

运行OpenStack各组件的节点上一般有Agent来收集信息，收集后发给MQ，Ceilometer的Collector进程监控到数据之后存储到DB之中。从http://docs.openstack.org/developer/ceilometer/measurements.html 这页显示的监控项来看，目前Ceilometer监控来的数据主要来只是用来做billing的。

文章来源：http://blog.csdn.net/quqi99/article/details/9400747
文章作者：张华 http://blog.csdn.net/quqi99

Using HAProxy to make SSH and SSL available on the same port

Certain places firewall TCP ports other than the most common ports. There are many techniques for bypassing such restrictions. One simple approach is to run a SSH daemon on port 443, however a downside of this is you need to dedicate an IP address to this SSH service.

There is quite a neat technique for making SSH and SSL share a port; in the SSL protocol clients should write first, whereas in SSH the server should write first; therefore by waiting to see if the client writes data it is possible to make a guess as to if the client is an SSL client or a SSH client.

I'm not the first person to think this up, Net::Proxy has a script called sslh and confusingly there is also a C implementation also called sslh.

I recently switched my web server to use HAProxy to allow me some more flexiblity in how I configure things (especially now the development version has keepalive support). While reading the (incredibly detailed) documentation I noticed it should be able to do the sslh technique.

Doing this needs the (currently) in development HAProxy 1.4 (support was added for content switching TCP as well as HTTP in this commit -- thanks to Cyril Bonté on the mailing list for confirming that).

The configuration looks something like the following (global section omitted, you'll want to run it as a user other than root and chroot it if you actually use this).

defaults

  timeout connect 5s

  timeout client 50s

  timeout server 20s

listen ssl :443

  tcp-request inspect-delay 2s

  acl is_ssl req_ssl_ver 2:3.1

  tcp-request content accept if is_ssl

  use_backend ssh if !is_ssl

  server www-ssl :444

  timeout client 2h

backend ssh

  mode tcp

  server ssh :22

  timeout server 2h

This listens on port 443, forwards it to port 444 (where the actual SSL web server is listening) unless it is not SSLv2, SSLv3 or TLSv1 traffic, in which case it forwards it to the ssh backend listening on port 22.

Obviously as I said earlier this is only a guess that is subject to network conditions such as packet loss. I'm not recommending you use this technique on a production site, but for a low traffic machine where you want to run both protocols it is very useful. (By increasing the timeout for SSH you increase the chances of a correct result, but also add a potentially annoying delay).

Sometimes layer 7 filtering techniques are in use and just listening on port 443 is not enough. In this case you can use SSH inside SSL.

ps -e -o ppid,stat | grep Z | cut -d” ” -f2 | xargs kill -9

或

kill -HUP `ps -A -ostat,ppid | grep -e ’^[Zz]‘ | awk ’{print $2}’`

当然您可以自己编写更好的shell脚本，欢迎与大家分享。

现在网站发展的趋势对网络负载均衡的使用是随着网站规模的提升根据不同的阶段来使用不同的技术：

一种是通过硬件来进行进行，常见的硬件有比较昂贵的NetScaler、F5、Radware和Array等商用的负载均衡器，它的优点就是有专业的维护团队来对这些服务进行维护、缺点就是花销太大，所以对于规模较小的网络服务来说暂时还没有需要使用；另外一种就是类似于LVS/HAProxy、Nginx的基于Linux的开源免费的负载均衡软件策略,这些都是通过软件级别来实现，所以费用非常低廉，所以我个也比较推荐大家采用第二种方案来实施自己网站的负载均衡需求。

近期朋友刘鑫(紫雨荷雪)的项目成功上线了，PV达到了亿级/日的访问量，最前端用的是HAProxy+Keepalived双机作的负载均衡器 /反向代理，整个网站非常稳定；这让我更坚定了以前跟老男孩前辈聊的关于网站架构比较合理设计的架构方案：即Nginx /HAProxy+Keepalived作Web最前端的负载均衡器，后端的MySQL数据库架构采用一主多从，读写分离的方式，采用LVS+Keepalived的方式。

在这里我也有一点要跟大家申明下：很多朋友担心软件级别的负载均衡在高并发流量冲击下的稳定情况，事实是我们通过成功上线的许多网站发现，它们的稳 定性也是非常好的，宕机的可能性微乎其微，所以我现在做的项目，基本上没考虑服务级别的高可用了。相信大家对这些软件级别的负载均衡软件都已经有了很深的 的认识，下面我就它们的特点和适用场合分别说明下。

LVS：使用集群技术和Linux操作系统实现一个高性能、高可用的服务器，它具有很好的可伸缩性（Scalability)、可靠性（Reliability)和可管理性（Manageability)，感谢章文嵩博士为我们提供如此强大实用的开源软件。

LVS的特点是：

1. 抗负载能力强、是工作在网络4层之上仅作分发之用，没有流量的产生，这个特点也决定了它在负载均衡软件里的性能最强的；
2. 配置性比较低，这是一个缺点也是一个优点，因为没有可太多配置的东西，所以并不需要太多接触，大大减少了人为出错的几率；
3. 工作稳定，自身有完整的双机热备方案，如LVS+Keepalived和LVS+Heartbeat，不过我们在项目实施中用得最多的还是LVS/DR+Keepalived；
4. 无流量，保证了均衡器IO的性能不会收到大流量的影响；
5. 应用范围比较广，可以对所有应用做负载均衡；
6. 软件本身不支持正则处理，不能做动静分离，这个就比较遗憾了；其实现在许多网站在这方面都有较强的需求，这个是Nginx/HAProxy+Keepalived的优势所在。
7. 如果是网站应用比较庞大的话，实施LVS/DR+Keepalived起来就比较复杂了，特别后面有Windows Server应用的机器的话，如果实施及配置还有维护过程就比较复杂了，相对而言，Nginx/HAProxy+Keepalived就简单多了。站长教学网 eduyo.com

Nginx的特点是：

1. 工作在网络的7层之上，可以针对http应用做一些分流的策略，比如针对域名、目录结构，它的正则规则比HAProxy更为强大和灵活，这也是许多朋友喜欢它的原因之一；
2. Nginx对网络的依赖非常小，理论上能ping通就就能进行负载功能，这个也是它的优势所在；
3. Nginx安装和配置比较简单，测试起来比较方便；
4. 也可以承担高的负载压力且稳定，一般能支撑超过几万次的并发量；
5. Nginx可以通过端口检测到服务器内部的故障，比如根据服务器处理网页返回的状态码、超时等等，并且会把返回错误的请求重新提交到另一个节点，不过其中缺点就是不支持url来检测；
6. Nginx仅能支持http和Email，这样就在适用范围上面小很多，这个它的弱势；
7. Nginx不仅仅是一款优秀的负载均衡器/反向代理软件，它同时也是功能强大的Web应用服务器。LNMP现在也是非常流行的web架构，大有和以前最流行的LAMP架构分庭抗争之势，在高流量的环境中也有很好的效果。
8. Nginx现在作为Web反向加速缓存越来越成熟了，很多朋友都已在生产环境下投入生产了，而且反映效果不错，速度比传统的Squid服务器更快，有兴趣的朋友可以考虑用其作为反向代理加速器。

HAProxy的特点是：

1. HAProxy是支持虚拟主机的，以前有朋友说这个不支持虚拟主机，我这里特此更正一下。
2. 能够补充Nginx的一些缺点比如Session的保持，Cookie的引导等工作
3. 支持url检测后端的服务器出问题的检测会有很好的帮助。
4. 它跟LVS一样，本身仅仅就只是一款负载均衡软件；单纯从效率上来讲HAProxy更会比Nginx有更出色的负载均衡速度，在并发处理上也是优于Nginx的。
5. HAProxy可以对Mysql读进行负载均衡，对后端的MySQL节点进行检测和负载均衡，不过在后端的MySQL slaves数量超过10台时性能不如LVS，所以我向大家推荐LVS+Keepalived。
6. HAProxy的算法现在也越来越多了，具体有如下8种：
   ① roundrobin，表示简单的轮询，这个不多说，这个是负载均衡基本都具备的；
   ② static-rr，表示根据权重，建议关注；
   ③ leastconn，表示最少连接者先处理，建议关注；
   ④ source，表示根据请求源IP，这个跟Nginx的IP_hash机制类似，我们用其作为解决session问题的一种方法，建议关注；
   ⑤ ri，表示根据请求的URI；
   ⑥ rl_param，表示根据请求的URl参数'balance url_param' requires an URL parameter name；
   ⑦ hdr(name)，表示根据HTTP请求头来锁定每一次HTTP请求；
   ⑧ rdp-cookie(name)，表示根据据cookie(name)来锁定并哈希每一次TCP请求。

Nginx和LVS作对比的结果

1、Nginx工作在网络的7层，所以它可以针对http应用本身来做分流策略，比如针对域名、目录结构等，相比之下LVS并不具备这样的功能，所 以 Nginx单凭这点可利用的场合就远多于LVS了；但Nginx有用的这些功能使其可调整度要高于LVS，所以经常要去触碰触碰，由LVS的第2条优点 看，触碰多了，人为出问题的几率也就会大。
2、Nginx对网络的依赖较小，理论上只要ping得通，网页访问正常，Nginx就能连得通，Nginx同时还能区分内外网，如果是同时拥有内外网的 节点，就相当于单机拥有了备份线路；LVS就比较依赖于网络环境，目前来看服务器在同一网段内并且LVS使用direct方式分流，效果较能得到保证。另 外注意，LVS需要向托管商至少申请多一个ip来做Visual IP，貌似是不能用本身的IP来做VIP的。要做好LVS管理员，确实得跟进学习很多有关网络通信方面的知识，就不再是一个HTTP那么简单了。站长教学网 eduyo.com
3、Nginx安装和配置比较简单，测试起来也很方便，因为它基本能把错误用日志打印出来。LVS的安装和配置、测试就要花比较长的时间了，因为同上所述，LVS对网络依赖比较大，很多时候不能配置成功都是因为网络问题而不是配置问题，出了问题要解决也相应的会麻烦得多。
4、Nginx也同样能承受很高负载且稳定，但负载度和稳定度差LVS还有几个等级：Nginx处理所有流量所以受限于机器IO和配置；本身的bug也还是难以避免的；Nginx没有现成的双机热备方案，所以跑在单机上还是风险较大，单机上的事情全都很难说。
5、Nginx可以检测到服务器内部的故障，比如根据服务器处理网页返回的状态码、超时等等，并且会把返回错误的请求重新提交到另一个节点。目前LVS中 ldirectd也能支持针对服务器内部的情况来监控，但LVS的原理使其不能重发请求。重发请求这点，譬如用户正在上传一个文件，而处理该上传的节点刚 好在上传过程中出现故障，Nginx会把上传切到另一台服务器重新处理，而LVS就直接断掉了，如果是上传一个很大的文件或者很重要的文件的话，用户可能 会因此而恼火。
6、Nginx对请求的异步处理可以帮助节点服务器减轻负载，假如使用apache直接对外服务，那么出现很多的窄带链接时apache服务器将会占用大 量内存而不能释放，使用多一个Nginx做apache代理的话，这些窄带链接会被Nginx挡住，apache上就不会堆积过多的请求，这样就减少了相 当多的内存占用。这点使用squid也有相同的作用，即使squid本身配置为不缓存，对apache还是有很大帮助的。LVS没有这些功能，也就无法能 比较。
7、Nginx能支持http和email（email的功能估计比较少人用），LVS所支持的应用在这点上会比Nginx更多。在使用上，一般最前端所 采取的策略应是LVS，也就是DNS的指向应为LVS均衡器，LVS的优点令它非常适合做这个任务。重要的ip地址，最好交由LVS托管，比如数据库的 ip、webservice服务器的ip等等，这些ip地址随着时间推移，使用面会越来越大，如果更换ip则故障会接踵而至。所以将这些重要ip交给 LVS托管是最为稳妥的，这样做的唯一缺点是需要的VIP数量会比较多。Nginx可作为LVS节点机器使用，一是可以利用Nginx的功能，二是可以利 用Nginx的性能。当然这一层面也可以直接使用squid，squid的功能方面就比Nginx弱不少了，性能上也有所逊色于Nginx。Nginx也 可作为中层代理使用，这一层面Nginx基本上无对手，唯一可以撼动Nginx的就只有lighttpd了，不过lighttpd目前还没有能做到 Nginx完全的功能，配置也不那么清晰易读。另外，中层代理的IP也是重要的，所以中层代理也拥有一个VIP和LVS是最完美的方案了。具体的应用还得 具体分析，如果是比较小的网站（日PV<1000万），用Nginx就完全可以了，如果机器也不少，可以用DNS轮询，LVS所耗费的机器还是比较 多的；大型网站或者重要的服务，机器不发愁的时候，要多多考虑利用LVS

option mysql-check [ user <username> ]   
 USE mysql;       INSERT INTO user (Host,User) values ('<ip_of_haproxy>','<username>');       FLUSH PRIVILEGESheck 

only consists in parsing the Mysql Handshake Initialisation packet or   Error packet, we don't send anything in this mode. It was reported that it   can generate lockout if check is too frequent and/or if there is not enough   traffic. In fact, you need in this case to check MySQL "max_connect_errors"   value as if a connection is established successfully within fewer than MySQL   "max_connect_errors" attempts after a previous connection was interrupted,   the error count for the host is cleared to zero. If HAProxy's server get   blocked, the "FLUSH HOSTS" statement is the only way to unblock it.

配置：
# this config needs haproxy-1.1.28 or haproxy-1.2.1  global         
log 127.0.0.1   
local0 info    
#日志相关         
log 127.0.0.1   
local1 notice         
maxconn 4096         
daemon         
#debug         
#quiet  defaults        
 log     global         mode    http         #option httplog         option  dontlognull         retries 3         option redispatch         maxconn         2000         contimeout      5000         clitimeout      50000         srvtimeout      50000  listen  mysql         bind 0.0.0.0:3333   #代理端口         mode tcp              #模式 TCP         option mysql-check user haproxy #mysql健康检查  root为mysql登录用户名         balance roundrobin            #调度算法         server mysql1 172.20.21.1:3306 weight 1 check  inter 1s rise 2 fall 2         server mysql2 172.20.21.2:3306 weight 1 check  inter 1s rise 2 fall 2         server mysql3 172.20.21.3:3306 weight 1 check  inter 1s rise 2 fall 2  listen stats :1936     mode http     stats enable     stats hide-version     stats realm Haproxy\ Statistics     stats uri /     stats auth admin:admin

如何安裝RabbitMQ Cluster

安裝RabbitMQ

設定Cluster

設定Web Management Plugin

設定帳號

From a convenience perspective, I want to authenticate as infrequently as possible. However, security requirements suggest that I should be authenticated for all sorts of services. This means that Single Sign On and forwardable authentication credentials would be useful.

Within an individual organisation at least, it is useful and fairly straightforward to have centralised control for authentication services. More and more authorisation and applications services are able to use centralised authentication services such as Kerberos.

This document will demonstrate how to configure a machine running OpenSSH server to use GSSAPI so that users can log in if they have authorised kerberos tickets. This is not the place for extensive explanations about tickets or how to set up the Key Distribution Center(KDC) in the first place or how to build or install the necessary software on various different unixlike systems. Likely, your distribution's package management system can provide you with what you need.

[libdefaults]     default_realm = ALLGOODBITS.ORG     forwardable = TRUE [realms]     ALLGOODBITS.ORG = {                     kdc = kerberos.allgoodbits.org                     } 

kadmin> ank <username>@<REALM> 

kadmin> ank -randkey host/<FQDN>@<REALM> 

kadmin> ktadd -k /tmp/<FQDN>.keytab host/<FQDN> 

kadmin> ank -r host/<FQDN>@<REALM> 

kadmin> ext -k /tmp/<FQDN>.keytab host/<FQDN>@<REALM> 

GSSAPIAuthentication yes GSSAPICleanupCredentials yes PermitRootLogin without-password 

GSSAPIAuthentication yes GSSAPIDelegateCredentials yes 

account sufficient      pam_krb5.so     use_first_pass 

auth    sufficient      pam_krb5.so     use_first_pass 

password        sufficient      pam_krb5.so 

session optional      pam_krb5.so 

　　我们建立一个网站或应用程序，并要添加搜索功能，令我们受打击的是：搜索工作是很难的。我们希望我们的搜索解决方案要快，我们希望 有一个零配置和一个完全免费的搜索模式，我们希望能够简单地使用JSON通过HTTP的索引数据，我们希望我们的搜索服务器始终可用，我们希望能够一台开 始并扩展到数百，我们要实时搜索，我们要简单的多租户，我们希望建立一个云的解决方案。Elasticsearch旨在解决所有这些问题和更多的。

安装

　　以windows操作系统和ES0.19.7版本为例：

　　①下载elasticsearch-0.19.7.zip

　　②直接解压至某目录，设置该目录为ES_HOME环境变量

　　③安装JDK，并设置JAVA_HOME环境变量

　　④在windows下，运行 %ES_HOME%\bin\elasticsearch.bat即可运行

分布式搜索elasticsearch单机与服务器环境搭建

安装插件

　　以head插件为例：

　　联网时，直接运行%ES_HOME%\bin\plugin -install mobz/elasticsearch-head

　　不联网时，下载elasticsearch-head的zipball的master包，把内容解压到%ES_HOME%\plugin\head\_site目录下，[该插件为site类型插件]

　　安装完成，重启服务，在浏览器打开 http://localhost:9200/_plugin/head/ 即可

ES概念

　　cluster

　　代表一个集群，集群中有多个节点，其中有一个为主节点，这个主节点是可以通过选举产生的，主从节点是对于集群内部来说 的。es的一个概念就是去中心化，字面上理解就是无中心节点，这是对于集群外部来说的，因为从外部来看es集群，在逻辑上是个整体，你与任何一个节点的通 信和与整个es集群通信是等价的。

　　shards

　　代表索引分片，es可以把一个完整的索引分成多个分片，这样的好处是可以把一个大的索引拆分成多个，分布到不同的节点上。构成分布式搜索。分片的数量只能在索引创建前指定，并且索引创建后不能更改。

　　replicas

　　代表索引副本，es可以设置多个索引的副本，副本的作用一是提高系统的容错性，当个某个节点某个分片损坏或丢失时可以从副本中恢复。二是提高es的查询效率，es会自动对搜索请求进行负载均衡。

　　recovery

　　代表数据恢复或叫数据重新分布，es在有节点加入或退出时会根据机器的负载对索引分片进行重新分配，挂掉的节点重新启动时也会进行数据恢复。

　　river

　　代表es的一个数据源，也是其它存储方式（如：数据库）同步数据到es的一个方法。它是以插件方式存在的一个es服 务，通过读取river中的数据并把它索引到es中，官方的river有couchDB的，RabbitMQ的，Twitter的，Wikipedia 的。

　　gateway

　　代表es索引的持久化存储方式，es默认是先把索引存放到内存中，当内存满了时再持久化到硬盘。当这个es集群关闭再 重新启动时就会从gateway中读取索引数据。es支持多种类型的gateway，有本地文件系统（默认），分布式文件系统，Hadoop的HDFS和 amazon的s3云存储服务。

　　discovery.zen

　　代表es的自动发现节点机制，es是一个基于p2p的系统，它先通过广播寻找存在的节点，再通过多播协议来进行节点之间的通信，同时也支持点对点的交互。

　　Transport

　　代表es内部节点或集群与客户端的交互方式，默认内部是使用tcp协议进行交互，同时它支持http协议（json格式）、thrift、servlet、memcached、zeroMQ等的传输协议（通过插件方式集成）。

分布式搜索elasticsearch中文分词集成

在debian6中，加入开机启动脚本的方法与debian5不同了，直接做符号链接到runlevel已经不起作用了，提示缺少LSB信息，并且用insserv来替代update-rc.d：

root@14:/etc/rc2.d# update-rc.d -n  php_fastcgi.sh  defaults           
update-rc.d: using dependency based boot sequencing
insserv: warning: script 'K02php_fastcgi' missing LSB tags and overrides
insserv: warning: script 'K01php_fastcgi.sh' missing LSB tags and overrides
insserv: warning: script 'php_fastcgi.sh' missing LSB tags and overrides
insserv: warning: current start runlevel(s) (empty) of script `php_fastcgi.sh' overwrites defaults (2 3 4 5).
insserv: warning: current stop runlevel(s) (0) of script `php_fastcgi.sh' overwrites defaults (0 1 6).
insserv: dryrun, not creating .depend.boot, .depend.start, and .depend.stop

# insserv /etc/init.d/php_fastcgi.sh
insserv: warning: script 'K02php_fastcgi' missing LSB tags and overrides
insserv: warning: script 'php_fastcgi.sh' missing LSB tags and overrides

debian6中将脚本加入到开机启动的方法：

在脚本中加入LSB描述信息。
root@14:~# more  /etc/init.d/php_fastcgi.sh   
#!/bin/sh
### BEGIN INIT INFO
# Provides:          php_fastcgi.sh
# Required-Start:    $local_fs $remote_fs $network $syslog
# Required-Stop:     $local_fs $remote_fs $network $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: starts the php_fastcgi daemon
# Description:       starts php_fastcgi using start-stop-daemon
### END INIT INFO

安装启动脚本到system init script。
root@14:~# insserv -v -d /etc/init.d/php_fastcgi.sh

重启机器试试吧。

               sendto error: Network is unreachable

              全网广播

场景：

    今天调试linux 网络编程的广播，当向255.255.255.255 的某个端口发送广播包的时候，sendto 返回 -1，错误原因是：

2. 指令的解决方法：

oute add -net 255.255.255.255 netmask 255.255.255.255 dev eth0 metric 1

或者

route add -host 255.255.255.255 dev eth0

Impala是由Cloudera开发的高性能实时计算工具，相比Hive性能提升了几十、甚至近百倍，基本思想是将计算分发到每个 Datanode所在的节点，依靠内存实现数据的缓存进行快速计算，类似的系统还有Berkeley的Shark。从实际测试来看，Impala效率确实 不错，由于Impala大量使用C++实现，不使用CDH的Image而自己编译安装要费不少功夫，这里记录一下安装配置过程和碰到的一些问题。我在测试 时候使用的是CentOS6.2。
一些基本的安装步骤在这里，但我在安装的时候碰到一些问题，这里再详细说明一下过程。

1.安装所需的依赖lib，这一步没有什么不同

2.安装LLVM，按照流程做即可，注意要在多台机器上编译安装Impala的话，只用在一台机器上执行下面蓝色的部分，再把llvm分发到多台机器上执行后面红色部分的指令就可以了，没必要每个机器都通过svn下载一遍源代码，很费时。

3.安装Maven，这个没什么好说的，按照步骤，设置一下环境变量即可，Maven是为了后面build impala源代码用的。

修改~/.bashrc，增加maven环境变量

更新环境变量，查看mvn版本是否正确

4.下载Impala源代码

5.设置Impala环境变量，编译时需要

6.下载impala依赖的第三方package

注意这里其中一个包cyrus-sasl-2.1.23可能下载失败，可以自行搜索(CSDN里面就有)下载下来然后解压缩到thirdparty 文件夹，最好是在执行完download_thirdparty.sh之后做这一步，因为download_thirdparty.sh会把所有目录下下 载下来的tar.gz给删除掉。

7.理论上现在可以开始build impala了，但是实际build过程中可能会出现问题，我碰到的问题和 Boost相关的(具体错误不记得了)，最后发现是由于boost版本太低导致的，CentOS 6.2系统默认yum源中的boost和boost-devel版本是1.41，但是impala编译需要1.44以上的版本，因此需要做的是自己重新编 译boost，我用的是boost 1.46版本。

8.现在终于可以编译impala了

9.启动impala_shell需要用到的python包

10.如果你以为到这里就万事大吉就太天真了，在配置、启动、使用Impala的时候还会有很多奇葩的问题；

问题1：Hive和Hadoop使用的版本
CDH对版本的依赖要求比较高，为了保证Impala正常运行，强烈建议使用Impala里面thirdparty目录中自带的Hadoop(native lib已经编译好的)和Hive版本。
Hadoop的配置文件在$HADOOP_HOME/etc/hadoop中，要注意的是需要启用native lib

问题2：Impala的配置文件位置
Impala默认使用的配置文件路径是在bin/set-classpath.sh中配置的，建议把CLASSPATH部分改成

即要求Impala使用其目录下的Conf文件夹作为配置文件，然后创建一下Conf目录，把3样东西拷贝进来：core-site.xml、hdfs-site.xml、hive-site.xml。
core-site.xml的配置，下面几个选项是必须要配置的，

hdfs-site.xml的配置

最后是hive-site.xml，这个比较简单，指定使用DBMS为元数据存储即可(impala必须和hive共享元数据，因为impala无 法create table)；Hive-site.xml使用mysql作为metastore的说明在很多地方都可以查到，配置如下：

记得把mysql-connector的jar包给拷贝到hive的lib里面去，同样也要拷贝给impala ( 拷贝至$IMPALA_HOME/fe/target/dependency)

11.启动Impala。到此，Impala是可以正常启动的。这里说明一下，官方文档没有说很清楚Impala的Service之间是如何互相协调的，按照官方的步骤，最后通过如下方法来在一台机器上启动Impala Service：

然后impala-shell就可以连接到localhost进行查询了；注意，这里只是单机查询，可以用来验证你的Impala是否正常work 了；如何启动一个Impala集群，跳到第12步。这里继续说一下可能遇到的问题，我遇到的一个比较奇葩的问题是show tables和count(1)没有问题，但是select * from table的时候impala在读取数据的时候就崩溃了(有时报错could not find method close from class org/apache/hadoop/fs/FSDataInputStream with signature ()V )，这里修改了两个地方解决这个问题:

a.修改impala的set-classpath.sh并移除$IMPALA_HOME/fe/target/dependency目录中除了hadoop-auth-2.0.0-*.jar之外所有hadoop-*开头的jar包。

b.注意到Impala对待table的时候只能够使用hive的默认列分隔符，如果在hive里面create table的时候使用了自定义的分隔符，Impala servive就会在读数据的时候莫名其妙的崩溃。

12.启动Impala 集群
Impala实际上由两部分组成，一个是StateStore，用来协调各个机器计算，相当于Master，然后就是Impalad，相当于Slave，启动方法如下：

正常启动之后，访问http://${stateStore_Server}:25010/ 可以看到StateStore的状态，其中的subscribers页面可以看到已经连接上的impala service node；

13.使用Impala客户端
这一步最简单，随便找一个机器启动

一、什么是 SSL 证书，什么是 HTTPS

SSL 证书是一种数字证书，它使用 Secure Socket Layer 协议在浏览器和 Web 服务器之间建立一条安全通道，从而实现：
1、数据信息在客户端和服务器之间的加密传输，保证双方传递信息的安全性，不可被第三方窃听；
2、用户可以通过服务器证书验证他所访问的网站是否真实可靠。
（via百度百科）

HTTPS 是以安全为目标的 HTTP 通道，即 HTTP 下加入 SSL 加密层。HTTPS 不同于 HTTP 的端口，HTTP默认端口为80，HTTPS默认端口为443.

二、什么网站需要使用SSL证书

1、购物交易类网站
不用多说，网上银行、支付宝、Paypal等肯定会全程加密以保护你的信息安全。

2、注册与登陆
一些大的网站，比如电子邮箱，注册会员或者登陆的时候，会专门通过SSL通道，保证密码安全不被窃取。

3、某些在线代理
这个。。。嗯哼，就不说了。

4、装B
比如我……

三、自行颁发不受浏览器信任的SSL证书

为晒晒IQ网颁发证书。ssh登陆到服务器上，终端输入以下命令，使用openssl生成RSA密钥及证书。

# 生成一个RSA密钥  $ openssl genrsa -des3 -out 33iq.key 1024   # 拷贝一个不需要输入密码的密钥文件 $ openssl rsa -in 33iq.key -out 33iq_nopass.key   # 生成一个证书请求 $ openssl req -new -key 33iq.key -out 33iq.csr   # 自己签发证书 $ openssl x509 -req -days 365 -in 33iq.csr -signkey 33iq.key -out 33iq.crt

第3个命令是生成证书请求，会提示输入省份、城市、域名信息等，重要的是，email一定要是你的域名后缀的。这样就有一个 csr 文件了，提交给 ssl 提供商的时候就是这个 csr 文件。当然我这里并没有向证书提供商申请，而是在第4步自己签发了证书。

编辑配置文件nginx.conf，给站点加上HTTPS协议

server {     server_name YOUR_DOMAINNAME_HERE;     listen 443;     ssl on;     ssl_certificate /usr/local/nginx/conf/33iq.crt;     ssl_certificate_key /usr/local/nginx/conf/33iq_nopass.key;     # 若ssl_certificate_key使用33iq.key，则每次启动Nginx服务器都要求输入key的密码。 }

重启Nginx后即可通过https访问网站了。

自行颁发的SSL证书能够实现加密传输功能，但浏览器并不信任，会出现以下提示：

四、受浏览器信任的证书

要获取受浏览器信任的证书，则需要到证书提供商处申请。证书授证中心，又叫做CA机构，为每个使用公开密钥的用户发放一个数字证书。浏览器在默认情况下内置了一些CA机构的证书，使得这些机构颁发的证书受到信任。VeriSign即 是一个著名的国外CA机构，工行、建行、招行、支付宝、财付通等网站均使用VeriSign的证书，而网易邮箱等非金融网站采用的是中国互联网信息中心 CNNIC颁发的SSL证书。一般来说，一个证书的价格不菲，以VeriSign的证书为例，价格在每年8000元人民币左右。

据说也有免费的证书可以申请。和VeriSign一样，StartSSL也 是一家CA机构，它的根证书很久之前就被一些具有开源背景的浏览器支持（Firefox浏览器、谷歌Chrome浏览器、苹果Safari浏览器等）。后 来StartSSL竟然搞定了微软：在升级补丁中，微软更新了通过Windows根证书认证（Windows Root Certificate Program）的厂商清单，并首次将StartCom公司列入了该认证清单。现在，在Windows 7或安装了升级补丁的Windows Vista或Windows XP操作系统中，系统会完全信任由StartCom这类免费数字认证机构认证的数字证书，从而使StartSSL也得到了IE浏览器的支持。（来源及申请步骤）

五、只针对注册、登陆进行https加密处理

既然HTTPS能保证安全，为什么全世界大部分网站都仍旧在使用HTTP呢？使用HTTPS协议，对服务器来说是很大的负载开销。从性能上考虑，我 们无法做到对于每个用户的每个访问请求都进行安全加密（当然，Google这种大神除外）。作为一个普通网站，我们所追求的只是在进行交易、密码登陆等操 作时的安全。通过配置Nginx服务器，可以使用rewrite来做到这一点。

在https server下加入如下配置：

if ($uri !~* "/logging.php$") {     rewrite ^/(.*)$ http://$host/$1 redirect; }

在http server下加入如下配置：

if ($uri ~* "/logging.php$") {     rewrite ^/(.*)$ https://$host/$1 redirect; }

这样一来，用户会且只会在访问logging.php的情况下，才会通过https访问。

更新：有一些开发框架会根据 $_SERVER['HTTPS'] 这个 PHP 变量是否为 on 来判断当前的访问请求是否是使用 https。为此我们需要在 Nginx 配置文件中添加一句来设置这个变量。遇到 https 链接重定向后会自动跳到 http 问题的同学可以参考一下。

server {     ...     listen 443;     location \.php$ {         ...         include fastcgi_params;         fastcgi_param HTTPS on; # 多加这一句     } }   server {     ...     listen 80;     location \.php$ {         ...         include fastcgi_params;     } }

参考链接：
http://zou.lu/nginx-https-ssl-module
http://blog.s135.com/startssl/
http://www.baalchina.net/2008/08/nginx-https-rewrite/

        (4) 如果正则查找匹配成功，则使用此正则匹配的 location，否则，使用第二步查找的结果。如果『否则』发生了，同时，第二步中的粗体字部分的假设的情况也发生了，怎么办？404 会等着你的。

参考：nginx location的管理以及查找

例子：

location = / {
# 只匹配 / 查询。
[ configuration A ]
}

location / {
# 匹配任何查询，因为所有请求都已 / 开头。但是正则表达式规则和长的块规则将被优先和查询匹配。
[ configuration B ]
}

location ^~ /images/ {
# 匹配任何已 /images/ 开头的任何查询并且停止搜索。任何正则表达式将不会被测试。
[ configuration C ]
}

location ~* \.(gif|jpg|jpeg)$ {
# 匹配任何已 gif、jpg 或 jpeg 结尾的请求。然而所有 /images/ 目录的请求将使用 Configuration C。
[ configuration D ]
}

例子请求:

1， /   ->   精确匹配到第1个location，匹配停止，使用configuration A
2，/some/other/url    ->  首先前缀部分字符串匹配到了第2个location，然后进行正则匹配，显然没有匹配上，则使用第2个location的配置configurationB
3，/images /1.jpg  ->  首先前缀部分字符串匹配到了第2个location，但是接着对第3个location也前缀匹配上了，而且这时已经是配置文件里面对这个url的最大字 符串匹配了，并且location带有 "^~" 前缀，则不再进行正则匹配，最终使用configuration C
4，/some/other/path/to/1.jpg  -> 首先前缀部分同样字符串匹配到了第2个location，然后进行正则匹配，这时正则匹配成功，则使用congifuration D

注意：按任意顺序定义这4个配置结果将仍然一样。

浏览-选择文件-点击 “上传 ”后，效果如下：

弹出透明UI遮罩层 并显示上传这个过程 我这里设置太透明了 效果不是很立体

文件结构如图：

说明：用到“高山来客”的大文件上传组件 http://www.cnblogs.com/bashan/archive/2008/05/23/1206095.html

以及Newtonsoft.Json.dll Json字符串反序列化为对象 http://james.newtonking.com/projects/json-net.aspx

jquery.blockUI.js 弹出透明遮罩层 http://malsup.com/jquery/block/

jquery.form.js   表单验证Ajax提交 

参照了“蚂蚁飞了”的文章 多谢多谢 http://blog.csdn.net/jetsteven

HTML：

<form id="uploadForm" runat="server" enctype="multipart/form-data">   <div id="uploadfield"  style="width:600px; height:500px">    <input id="File1" type="file" runat="server" />    <asp:Button ID="Button1" runat="server"  Text="上传" onclick="Button1_Click" />     <p>文件上传进度条</p>     <p>文件上传进度条</p>     <p>文件上传进度条</p>     <p>文件上传进度条</p>     <p>文件上传进度条</p>     <p>文件上传进度条</p>      <p>文件上传进度条</p>    </div>                    <div id="ui"  style="display:none"  >      <div id="output" > </div>        <div id="progressbar"class="ui-progressbar ui-widget ui-widget-content ui-corner-all" style="width:296px; height:20px;"></div>    <input id="btn_cancel" type="button" value="取消上传" />   </div> </form>

js:

var inte; $(function() { $('#uploadForm').submit(function() {     return false; });  $('#uploadForm').ajaxForm({ //这里调用jquery.form.js表单注册方法     beforeSubmit: function(a, f, o) {//提交前的处理         o.dataType = "json";         $('#uploadfield').block({ message: $('#ui'), css: { width: '300px', border: '#b9dcfe 1px solid',padding: '0.5em 0.2em'  }         });         inte = self.setInterval("getprogress()", 500);     } });  $('#btn_cancel').click(function() {     var uploadid = $("#UploadID").val();     $.ajax({         type: "POST",         dataType: "json",         async: false, //ajax的请求时同步 只有一个线程         url: "upload_ajax.ashx",         data: "UploadID=" + uploadid + "&cancel=true",         success: function(obj) {             $("#output").html(obj.msg);             inte = self.clearInterval(inte);             $('#uploadfield').unblock();                            }     }); }); });  function getprogress() { var uploadid = $("#UploadID").val() $.ajax({     type: "POST",     dataType: "json",     async: false,     url: "upload_ajax.ashx",     data: "UploadID=" + uploadid,     success: function(obj) {     var p = obj.msg.Readedlength / obj.msg.TotalLength * 100;     var info = "<FONT color=Green> 当前上传文件:</FONT>" + obj.msg.CurrentFile;     info += "<br><FONT color=Green>" + obj.msg.FormatStatus + ":</FONT>" + obj.msg.Status;     info += "<br><FONT color=Green>文件大小:</FONT>" + obj.msg.TotalLength;     info += "<br><FONT color=Green>速度:</FONT>" + obj.msg.FormatRatio;     info += "<br><FONT color=Green>剩余时间:</FONT>" + obj.msg.LeftTime;       $("#output").html(info);     $("#progressbar").progressbar({ value: 0 }); //初始化     $("#progressbar").progressbar("option", "value", p);     $("#progressbar div").html(p.toFixed(2) + "%");     $("#progressbar div").addClass("percentText");     if (obj.msg.Status == 4) {         inte = self.clearInterval(inte);         $('#uploadfield').unblock();      }            } }); }

交互过程代码：

<%@ WebHandler Language="C#" Class="progressbar" %>  using System; using System.Web;  using BigFileUpload;//大文件引用命名空间 using Newtonsoft.Json;//对象到JSON的相互转换 using System.Text.RegularExpressions;//正则  public class progressbar : IHttpHandler {      private string template = "{{statue:'{0}',msg:{1}}}";    public void ProcessRequest(HttpContext context)    {        context.Response.ContentType = "text/plain";        try       {        string guid = context.Request["UploadID"];        string cancel =context.Request["cancel"];     UploadContext c = UploadContextFactory.GetUploadContext(guid);       if (!string.IsNullOrEmpty(cancel))     {                    c.Abort=true;                    throw new Exception("用户取消");        }        string json = Newtonsoft.Json.JsonConvert.SerializeObject(c);                    WriteResultJson(1, json, context,template);                 }catch (Exception err)        {            WriteResultJson(0, err.Message, context);        }    }      public static void WriteResultJson(int resultno, string description, HttpContext context) {     WriteResultJson(resultno, description, context, "{{statue:'{0}',msg:'{1}'}}"); }  public static void WriteResultJson(int resultno, string description, HttpContext context, string template) {     description = ClearBR(ReplaceString(description, "'", "|", false));     context.Response.Write(string.Format(template, resultno, description)); }  public static string ClearBR(string str) {     Regex r = null;     Match m = null;     r = new Regex(@"(\r|\n)", RegexOptions.IgnoreCase);     for (m = r.Match(str); m.Success; m = m.NextMatch())     {         str = str.Replace(m.Groups[0].ToString(), @"\n");     }     return str; }  public static string ReplaceString(string SourceString, string SearchString, string ReplaceString, bool IsCaseInsensetive) {     return Regex.Replace(SourceString, Regex.Escape(SearchString), ReplaceString, IsCaseInsensetive ? RegexOptions.IgnoreCase : RegexOptions.None); }    public bool IsReusable    {        get       {         return false;        }    }  }         

原理简单的不能再简单，就是替换变量，用转义字符替换你的字符串，把整个js变成一个字符串，然后随便加密替换，最后用eval来解释他。最后把整个js文件压缩下，没有注释，没有换行，没有空格，一般人都会看到吐血。

说了半天不够爽，总不能让大家手动加密和替换吧，以下是我的御用在线加密工具，jQuery就是用其中一个加密和压缩的：

http://www.javascriptobfuscator.com/Default.aspx

http://dean.edwards.name/packer/

这2网站只提供加密，不提供解密，其实你解密了看得人也很痛苦，没有注释，没有格式，全是abcd这样无意义的变量，真有心想学你js的人，那就让他学吧。你如果真的变态，那你不妨两边混合加密几次，保准没人看得懂，不过估计浏览器解释起来也挺费劲的。

特别友情提醒：meebe.net

1.加密后记着留住你原本的js文件，不要到时候改bug都改不了了。

2.加密后如果出现运行不了，请把你加密前的文件每次函数结束都加上";",因为去除换行后，浏览器解释器没碰到";"有时候会报错。如果加密后有错，请务必多加几个";"在每个语句结束或者定义结束的时候。

转自 meebe.net

Step 1 – Install Visual Studio 2008

1. If you don’t have it, get the express edition here: http://www.microsoft.com/Express/VC/
2. Run through the installer, not much else to do.

Step 2 – Install wxWidgets

1. Download wxWidgets (select the wxMSW installer file) from here:
   http://www.wxwidgets.org/downloads/
2. I choose to install to c:\dev\wxwidgets\wxWidgets-2.8.10 but you can choose a different path if you want.

Step 3 – Create an environment variable for the wxWidgets path.

1. Click the Start icon.
2. Right click on Computer and choose Properties.
3. Click Advanced system settings.
4. Click the Environment variables button.
5. Under System Variables, click New.
6. Enter the Variable name: WXWIN
7. Enter the Variable Value: C:\Dev\wxWidgets-2.8.10
8. Click OK, click OK, click OK (yes three times).

Step 4 – Compile the wxWidgets Libraries.

1. Browse to the following folder: C:\Dev\wxWidgets-2.8.10\build\msw
2. Located the file called wx.dsw and open it with Visual Studio. (I just double-clicked on it.)
3. Choose “Yes to all” when Visual Studio prompts you to convert the project.
4. Build the project.
5. Wait for the build to complete. It took approximately two minutes on my Lenovo T61p (dual core, 4 GB, Windows 7 64 bit). You should a line like this when it finishes successfully.
   ========== Build: 20 succeeded, 0 failed, 0 up-to-date, 0 skipped ==========
6. Close Visual Studio.

Step 5 – Create a new project

1. In Visual Studio 2008, go to File | New Project.
2. Select Visual C++ | Empty Project.
3. Give the project a name and click OK. I named this wxTest.

Step 6 – Create/Copy your source to this project.

1. Right-click on the Project name and choose Open Folder in Windows Explorer. This will open to the home folder of your project. (Don’t right click the Solution name, make sure to right click the project under the solution name.)
2. Open a second Windows Explore window.
3. In the second window, browse to the wxWidgets sample directory and open the Minimal folder: C:\Dev\wxWidgets-2.8.10\samples\Minimal
   Note: You can choose other projects but you may want to start with Minimal and move on from there.
4. Copy only the minimal.cpp and minimal.rc files to your project directory (the rest are not needed).
5. Close the second window pointing to the C:\Dev\wxWidgets-2.8.10\samples\Minimal directory, it is not needed anymore.
6. From the explorer window open to your project directory, use ctrl+click to highlight both the minimal.cpp and minimal.rc files.
7. Drag both highlighted files into the Visual Studio Window and drop them over the project name.
   The minimal.cpp file should automatically be placed under the Source files section of your project.
   The minimal.rc file should automatically be placed under the Resource files section of your project.

Step 7 – Customize the project properties

1. Right-click on the wxTest project and select Properties. (Don’t right click the Solution name, make sure to right click the project under the solution name.)
2. In the top left of the properties window there is a Configuration drop down menu. Select All Configurations.
3. Click to expand Configuration Properties.
4. Click to expand C/C++.

   Note: If you don’t see a C/C++ section, then you don’t have any source files.  You need at least one C++ source file for this section to show up.

5. Click to highlight General.
6. Enter the following in Additional Include Directories.
   $(WXWIN)\include;$(WXWIN)\lib\vc_lib\mswd
7. Click to highlight Preprocessor.
8. Enter the following in Preprocessor Definitions.
   WIN32;__WXMSW__;_WINDOWS;_DEBUG;__WXDEBUG__
9. Click to expand Linker.
10. Click to highlight General.
11. Enter the following in Additional Library Directories.
    $(WXWIN)\lib\vc_lib
12. Click to highlight Input.
13. Enter the following in Additional Dependencies.
    wxmsw28d_core.lib wxbase28d.lib wxtiffd.lib wxjpegd.lib wxpngd.lib wxzlibd.lib wxregexd.lib wxexpatd.lib winmm.lib comctl32.lib rpcrt4.lib wsock32.lib odbc32.lib

    Note: Not all of these libraries are required for this project, however, I list all of these because you may use some of them at some point. If you don’t think one is needed, remove it and recompile and if you don’t get errors, you were right, you probably didn’t need it.

14. Click to expand Resources. (If you don’t see a Resources option, then you don’t have any files under resources so that is normal. Did you skip Step 5 because you probably should have added a resource in Step 5.)
15. Click to highlight General.
16. Enter the following in Preprocessor Definitions.
    _DEBUG;__WXMSW__;__WXDEBUG__;_WINDOWS;NOPCH
17. Enter the following in Additional Include Directories.
    $(WXWIN)\include;$(WXWIN)\lib\vc_lib\mswd

You are now ready to build your wxWidgets application using Visual Studio 2008 on Windows 7.

Build your project and if you get any errors, go through it again, you probably missed a step (or I did, since I have already been caught with one step left out).

背景

        luacom是一个非常强大的模块，它使我们可以应用各种com组件，比如Word，但是，有一个问题，中文文件名它不识别。为什么呢？因为com内部是 unicode的，于是luacom要求所有输入都是utf-8的，而且luacom的输出也是utf-8的。这可肿么办啊？

iconv

        GNU有个libiconv库，要是有这个我们就不怕了！ luaforge上搜索下，果然有lua-iconv，安装！

        luarocks install lua-iconv  不好意思，出错啦！出错的原因有两个：

• 我们没有安装libiconv库
• lua-iconv没有提供用cl编译的方法

自己编译lua-iconv

1. 下载编译好的Windows版的 libiconv
2. 下载 lua-iconv 源代码
3. 解压 libiconv-1.9.1.bin.woe32.zip 文件，并将include目录添加为vs2008的包含文件目录，将lib目录添加为vs2008的库文件目录中（参见上一篇文章）
4. 解压lua-iconv的源代码
   
5. vs2008新建一个空的Win32 DLL工程（参见上一篇文章），命名为luaiconv，将 luaiconv.c 文件添加到工程中
6. 修改源代码：int luaopen_iconv(lua_State *L)  -> __declspec(dllexport) int luaopen_luaiconv(lua_State *L)
   • 注意：最后生成的dll文件名，必须和 luaopen_luaiconv 中的 luaiconv 一样（参见上一篇文章）
     
7. 项目属性 -> 链接器 -> 输入 -> 附加库文件 ： lua51.lib iconv.lib charset.lib
8. 编译生成release版的 luaiconv.dll 文件
9. 将luaiconv.dll文件，以及libiconv-1.9.1.bin.woe32.zip解压出来的 iconv.dll（知道我为什么要改luaopen_iconv函数名了吧）和charset.dll文件一起拷贝到 luaforwindows的clibs目录中

测试

以上测试代码，第一次运行时会创建 C:\你好word.docx 文件，以后再运行时会打开这个文件，每次运行都会输入 “你好word” 文字。如果你是Word 2003，那么，请将docx改为doc即可。

参考文献

http://hi.baidu.com/nivrrex/blog/item/17c231adad9e8a0f4b36d6ca.html

这位大哥自己用VC的函数写了转换函数，不过没有封装成库，而且我觉得写得不够简洁，用iconv库比较好，还不容易出错

http://www.cppblog.com/darkdestiny/archive/2009/04/25/81055.html

这位大哥，自己用iconv实现了转换，也没有封装成库。我的“L”函数也是从他这借来的，非常感谢！不过，我认为它这个相比我这个有两个弱点：

1、每次调用L函数，都要经过 iconv 打开、转换、关闭的过程，而我对一种形式的转换只需要打开一次（lua-iconv实现的^_^）

2、如果要实现反向转换，即utf-8到gbk，那么还得修改模块，而我这里就不用了（当然也是lua-iconv实现的^_^）

Cocos2d-x 已经提供了对 Lua 的基本支持，但除了 Lua 的基本库外，并没有捆绑一些常用库，例如 LuaSocket。

经过一番尝试，终于搞定了此问题 :)

获得 LuaSocket 源代码后，在 cocos2d-x 项目的 libs/lua 目录中建立子目录 exts/luasocket，并将 luasocket-2.0.2/src 目录中所有的 *.c/*.h 文件拷贝到 libs/lua/exts/luasocket 目录中。

在 libs/lua/exts 目录中建立文件：

lualoadexts.h

#ifndef __LUALOADEXTS_H_ #define __LUALOADEXTS_H_  #include "lauxlib.h"  void luax_initpreload(lua_State *L);  #endif // __LUALOADEXTS_H_ 

lualoadexts.c

#include "lualoadexts.h"  // luasocket #include "luasocket.h" #include "mime.h"  static luaL_Reg luax_preload_list[] = {     {"socket.core", luaopen_socket_core},     {"mime.core", luaopen_mime_core},     {NULL, NULL} };  void luax_initpreload(lua_State *L) {     luaL_Reg* lib = luax_preload_list;     luaL_findtable(L, LUA_GLOBALSINDEX, "package.preload",                    sizeof(luax_preload_list)/sizeof(luax_preload_list[0])-1);     for (; lib->func; lib++) {         lua_pushstring(L, lib->name);         lua_pushcfunction(L, lib->func);         lua_rawset(L, -3);     }     lua_pop(L, 1); } 

最后，打开 libs/lua/cocos2dx_support/LuaEngineImpl.cpp 文件，在 CCLuaScriptModule::CCLuaScriptModule() 构造函数最后载入 Lua 标准库和扩展库的代码：

CCLuaScriptModule::CCLuaScriptModule() {     d_ownsState = true;     d_state = lua_open();     luaL_openlibs(d_state);     int nOpen = tolua_Cocos2d_open(d_state);     CC_UNUSED_PARAM(nOpen);     nOpen = tolua_SimpleAudioEngine_open(d_state);     CC_UNUSED_PARAM(nOpen);      // init standard libraries     luaL_openlibs(d_state);     // init more libraries     luax_initpreload(d_state); } 

LuaScoket 除了 C 代码，还有一部分是 Lua 代码，所以需要将 luasocket-2.0.2/src/*.lua 复制到项目中，然后用下列 Lua 代码进行测试：

local socket = require("socket") print("socket module:", socket) print("socket.connect function:", socket.connect) print("socket.bind function:", socket.bind)  print("\n") print("io module:", io) 

将 Lua 源代码直接放入最终产品，显然不是个理想选择。利用 LOOP 提供的 Precompiler 工具，可以将 Lua 模块编译为 C 代码。

准备工作

LOOP 是一个 Lua 的 OOP 框架，Precompiler 则是 LOOP 中包含的一个工具。要安装 LOOP，得先安装 LuaRocks。

$ wget http://luarocks.org/releases/luarocks-2.0.5.tar.gz $ tar zxf luarocks-2.0.5.tar.gz $ cd luarocks-2.0.5 $ ./configure $ make $ sudo make install 

然后安装 LOOP:

$ sudo luarocks install loop 

OK，现在准备工作完成了，接下来就是编译 Lua 模块为 C 代码。

编译

我们的框架中有一个 display.lua 模块，下面的代码可以将这个模块编译出来：

$ precompiler.lua -o luaqeeplayscripts -l "?.lua" -b -p qeeplay qeeplay/display.lua 

最后会得到 luaqeeplayscripts.c/.h 文件。其中定义了函数：

qeeplay int luaopen_qeeplay_display(lua_State *L); 

在上述命令行中，各个参数的意义如下：

-o: 指定输出文件名，例如 -o luaqeeplayscripts 会输出 luaqeeplayscripts.c/.h  -l: 指定推断 lua 模块名的模式，设定为 -l "?.lua" 就会以 lua 源文件名称作为模块名。     例如 display.lua 就是 display 模块。如果 display.lua 文件在 qeeplay 子目录中，     那么 qeeplay/display.lua 的模块名就是 qeeplay.display。  -b: 编译为字节码  -p: 函数定义的前缀，一般指定一个可以方便以后对生成的 .c/.h 文件进行再处理 

如果要将多个 lua 文件编译为一个 C 代码，可以添加更多的文件名到命令行中，例如：

$ precompiler.lua -o luasocketscripts -l "?.lua" -b -p socket \     socket.lua \     socket/url.lua \     socket/tp.lua \     socket/smtp.lua \     socket/mime.lua \     socket/ltn12.lua \     socket/http.lua \     socket/ftp.lua 

会创建 luasocketscripts.c/.h 文件，其中定义下列函数：

socket int luaopen_socket(lua_State *L); socket int luaopen_socket_url(lua_State *L); socket int luaopen_socket_tp(lua_State *L); socket int luaopen_socket_smtp(lua_State *L); socket int luaopen_socket_mime(lua_State *L); socket int luaopen_socket_ltn12(lua_State *L); socket int luaopen_socket_http(lua_State *L); socket int luaopen_socket_ftp(lua_State *L); 

载入编译好的 C 代码

利用前一篇文章中的 lualoadexts.c/lualoadexts.h，做一些修改即可：

luaqeeplayscripts.c

#include "lualoadexts.h"  // qeeplay #include "luaqeeplayscripts.h"  static luaL_Reg luax_preload_list[] = {     {"qeeplay.display", luaopen_qeeplay_display},     {NULL, NULL} };  void luax_initpreload(lua_State *L) {     .... } 

如果有更多模块需要载入，只需要 include 相应的头文件，并修改 luax_preload_list 定义即可。

configure 脚本确定系统所具有一些特性，特别是 nginx 用来处理连接的方法。然后，它创建 Makefile 文件。

configure 支持下面的选项：

--prefix=<path> - Nginx安装路径。如果没有指定，默认为 /usr/local/nginx。

--sbin-path=<path> - Nginx可执行文件安装路径。只能安装时指定，如果没有指定，默认为<prefix>/sbin/nginx。

--conf-path=<path> - 在没有给定-c选项下默认的nginx.conf的路径。如果没有指定，默认为<prefix>/conf/nginx.conf。

--pid-path=<path> - 在nginx.conf中没有指定pid指令的情况下，默认的nginx.pid的路径。如果没有指定，默认为 <prefix>/logs/nginx.pid。

--lock-path=<path> - nginx.lock文件的路径。

--error-log-path=<path> - 在nginx.conf中没有指定error_log指令的情况下，默认的错误日志的路径。如果没有指定，默认为 <prefix>/logs/error.log。

--http-log-path=<path> - 在nginx.conf中没有指定access_log指令的情况下，默认的访问日志的路径。如果没有指定，默认为 <prefix>/logs/access.log。

--user=<user> - 在nginx.conf中没有指定user指令的情况下，默认的nginx使用的用户。如果没有指定，默认为 nobody。

--group=<group> - 在nginx.conf中没有指定user指令的情况下，默认的nginx使用的组。如果没有指定，默认为 nobody。

--builddir=DIR - 指定编译的目录

--with-rtsig_module - 启用 rtsig 模块

--with-select_module --without-select_module - Whether or not to enable the select module. This module is enabled by default if a more suitable method such as kqueue, epoll, rtsig or /dev/poll is not discovered by configure.

//允许或不允许开启SELECT模式，如果 configure 没有找到更合适的模式，比如：kqueue(sun os),epoll (linux kenel 2.6+), rtsig(实时信号)或者/dev/poll(一种类似select的模式，底层实现与SELECT基本相 同，都是采用轮训方法) SELECT模式将是默认安装模式

--with-poll_module --without-poll_module - Whether or not to enable the poll module. This module is enabled by default if a more suitable method such as kqueue, epoll, rtsig or /dev/poll is not discovered by configure.

--with-http_ssl_module - Enable ngx_http_ssl_module. Enables SSL support and the ability to handle HTTPS requests. Requires OpenSSL. On Debian, this is libssl-dev.

//开启HTTP SSL模块，使NGINX可以支持HTTPS请求。这个模块需要已经安装了OPENSSL，在DEBIAN上是libssl-dev

--with-http_realip_module - 启用 ngx_http_realip_module

--with-http_addition_module - 启用 ngx_http_addition_module

--with-http_sub_module - 启用 ngx_http_sub_module

--with-http_dav_module - 启用 ngx_http_dav_module

--with-http_flv_module - 启用 ngx_http_flv_module

--with-http_stub_status_module - 启用 "server status" 页

--without-http_charset_module - 禁用 ngx_http_charset_module

--without-http_gzip_module - 禁用 ngx_http_gzip_module. 如果启用，需要 zlib 。

--without-http_ssi_module - 禁用 ngx_http_ssi_module

--without-http_userid_module - 禁用 ngx_http_userid_module

--without-http_access_module - 禁用 ngx_http_access_module

--without-http_auth_basic_module - 禁用 ngx_http_auth_basic_module

--without-http_autoindex_module - 禁用 ngx_http_autoindex_module

--without-http_geo_module - 禁用 ngx_http_geo_module

--without-http_map_module - 禁用 ngx_http_map_module

--without-http_referer_module - 禁用 ngx_http_referer_module

--without-http_rewrite_module - 禁用 ngx_http_rewrite_module. 如果启用需要 PCRE 。

--without-http_proxy_module - 禁用 ngx_http_proxy_module

--without-http_fastcgi_module - 禁用 ngx_http_fastcgi_module

--without-http_memcached_module - 禁用 ngx_http_memcached_module

--without-http_limit_zone_module - 禁用 ngx_http_limit_zone_module

--without-http_empty_gif_module - 禁用 ngx_http_empty_gif_module

--without-http_browser_module - 禁用 ngx_http_browser_module

--without-http_upstream_ip_hash_module - 禁用 ngx_http_upstream_ip_hash_module

--with-http_perl_module - 启用 ngx_http_perl_module

--with-perl_modules_path=PATH - 指定 perl 模块的路径

--with-perl=PATH - 指定 perl 执行文件的路径

--http-log-path=PATH - Set path to the http access log

--http-client-body-temp-path=PATH - Set path to the http client request body temporary files

--http-proxy-temp-path=PATH - Set path to the http proxy temporary files

--http-fastcgi-temp-path=PATH - Set path to the http fastcgi temporary files

--without-http - 禁用 HTTP server

--with-mail - 启用 IMAP4/POP3/SMTP 代理模块

--with-mail_ssl_module - 启用 ngx_mail_ssl_module

--with-cc=PATH - 指定 C 编译器的路径

--with-cpp=PATH - 指定 C 预处理器的路径

--with-cc-opt=OPTIONS - Additional parameters which will be added to the variable CFLAGS. With the use of the system library PCRE in FreeBSD, it is necessary to indicate --with-cc-opt="-I /usr/local/include". If we are using select() and it is necessary to increase the number of file descriptors, then this also can be assigned here: --with-cc-opt="-D FD_SETSIZE=2048".

--with-ld-opt=OPTIONS - Additional parameters passed to the linker. With the use of the system library PCRE in FreeBSD, it is necessary to indicate --with-ld-opt="-L /usr/local/lib".

--with-cpu-opt=CPU - 为特定的 CPU 编译，有效的值包括：pentium, pentiumpro, pentium3, pentium4, athlon, opteron, amd64, sparc32, sparc64, ppc64

--without-pcre - 禁止 PCRE 库的使用。同时也会禁止 HTTP rewrite 模块。在 "location" 配置指令中的正则表达式也需要 PCRE 。

--with-pcre=DIR - 指定 PCRE 库的源代码的路径。

--with-pcre-opt=OPTIONS - Set additional options for PCRE building.

--with-md5=DIR - Set path to md5 library sources.

--with-md5-opt=OPTIONS - Set additional options for md5 building.

--with-md5-asm - Use md5 assembler sources.

--with-sha1=DIR - Set path to sha1 library sources.

--with-sha1-opt=OPTIONS - Set additional options for sha1 building.

--with-sha1-asm - Use sha1 assembler sources.

--with-zlib=DIR - Set path to zlib library sources.

--with-zlib-opt=OPTIONS - Set additional options for zlib building.

--with-zlib-asm=CPU - Use zlib assembler sources optimized for specified CPU, valid values are: pentium, pentiumpro

--with-openssl=DIR - Set path to OpenSSL library sources

--with-openssl-opt=OPTIONS - Set additional options for OpenSSL building

--with-debug - 启用调试日志

--add-module=PATH - Add in a third-party module found in directory PATH

在不同版本间，选项可能会有些许变化，请总是使用 ./configure --help 命令来检查一下当前的选项列表。