利用 rsync 同步项目代码、数据文件

背景：当前IT环境下，网络安全越来越重要，其中在等级保护条例中，要求提交系统或项目代码、数据的同步和备份的相关配置说明，要求定时备份且定时加密，作为开发人员，个人项目代码和数据文件的安全也需要提高重视。

1、安装rsync

两台服务器安装 yum install -y rsync 或者在官网https://rsync.samba.org/ 下载离线包编译安装

https://download.samba.org/pub/rsync/src/rsync-3.1.3.tar.gz

2、添加配置文件：

rsync默认没有配置文件，需自行新建

mkdir -p /etc/rsync touch rsyncd.conf rsyncd.motd chmod 600

主服务器配置

pid file = /var/run/rsyncd.pid motd file = /etc/rsyncd/rsyncd.motd log file = /var/log/rsync.log log format = %t %a %m %f %b syslog facility = local3 timeout = 60 port = 31873 address = 192.168.100.4 uid = root gid = root use chroot = yes read only = yes hosts allow=192.168.100.5 hosts deny=* max connections = 4 [django_apps] path = /root/mydjango list=yes ignore errors auth users = root secrets file = /etc/rsyncd/ comment = webapps data sync exclude = logs/

参数说明：

这里的端口已经被重新设定为5位数，安全考虑，并且防火墙iptables要放通该端口

read only：只容许客户端对服务器的同步目录读，保证安全

[django_apps] ：模块名，自己定义，可以在下方添加多个模块，每个模块对应一个目录。须与客户端执行命令中的模块名一致。

因为客户端命令：rsync://192.168.100.4/django_apps 这里django_apps就是模块名

path：要备份的服务端文件夹路径。
hosts allow：允许的客户端连接IP，多个IP用逗号隔开，也可以写一段IP。
secrets file：服务端密码文件，内容格式为，用户名:密码，uid=root，所以这里用户名设为root，密码不需要设置为服务器登录密码，可以是其他密码。
auth users：有权限的用户名，与密码文件中用户名一致。

exclude:排除不需要同步目录，例如这里 logs/

注意：https://download.samba.org/pub/rsync/rsync.html以及

https://download.samba.org/pub/rsync/rsyncd.conf.html

官方使用指引，非常详细，推荐参考

3、配置账户密码，这里使用root账户，但密码是随机设置，请勿设置服务器登录密码！

vim

root:Jp219881_$Ah

4、修改 rsyncd.motd

它是定义 rysnc 服务器在客户端同步登陆显示的欢迎条，可自行定义，最好说明来自哪里的同步server

files syncon blog server which server IP is

5、在主服务器上启动

后台进程启动：

rsync --daemon --config=/etc/rsync/rsyncd.conf

6、在备服务器上，配置简单很多：

创建 /etc/rsyncd文件，里面只需要

新建sh文件etc/rsyncd/run_rsync.sh

rsync -ztruvoglp --password-file=/etc/rsync/rsyncd.secrets --delete rsync://192.168.100.4:31873/django_apps /root/mydjango/ # 如有多个目录，可以继续添加 rsync -ztruvoglp --password-file=/etc/rsync/rsyncd.secrets --delete rsync://192.168.100.4:31873/django_blog /root/myblog/

这里rsync://IP/对应服务器rsyncd.conf配置需要同步的“module”，也就是django_apps，注意不是目录路径

/root/mydjango/ 对应在备服务器上创建与主服务器一致的文件目录路径，如果备服务器已经创建了该目录，那么rsync不在创建，而是同步文件和目录

rsync -ztruvoglp 参数说明

-a 以archive模式操作、复制目录、符号连接 -r 递归,同步目录及其子目录所有文件 -l 是链接文件，意思是拷贝链接文件； -p 表示保持文件原有权限； -t 保持文件原有时间； -g 保持文件原有用户组； -o 保持文件原有属主； -D 相当于块设备文件； -z 传输时压缩； -P 传输进度； -v 传输时的进度等信息，和-P有点关系，自己试试。可以看文档； -e ssh的参数建立起加密的连接。 -u 只进行更新，防止本地新文件被重写，注意两者机器的时钟的同时 --progress是指显示出详细的进度情况 --delete是指如果服务器端删除了这一文件，那么客户端也相应把文件删除，保持真正的一致 --password-file=/password/path/file来指定密码文件，这样就可以在脚本中使用而无需交互式地输入验证密码了

这里为何创建run_rsync.sh，因为rsync客户端侧，没有定时运行功能，因此需要自行写个sh，然后在crontab里设定定时任务，定时向rsync服务器端更新文件

*/1 * * * * /etc/rsyncd/run_rsync.sh 每1分钟从主服务器增量同步一次

也可以为不同同步目录创建不同的sh来控制其同步间隔

例如大文件 */30 * * * * /etc/rsyncd/large_file_rsync.sh 每30分钟从主服务器增量同步一次

注：若所同步的文件夹为小文件且数量多、更改频繁的，同步时间间隔可以设为较大值

若所同步的文件为大文件，其删改频率低，同步时间间隔可以设为较大值

7、主服务器防火墙放通rsync端口

防火墙配置是一个非常重要环节，在很多技术产品部署过程中，很多教程都让你先关闭防火墙以便排除网络、端口连通性故障，但实际生产或者项目正式使用时，防火墙必须打开，而且需要写入精细的acl策略，保证系统安全。

centos7.5

firewall-cmd --zone=public --add-port=31873/tcp --permanent firewall-cmd --reload

redhat6.5 使用iptables配置防火墙

直接在shell命令行加入，通过save操作，将其写入到/etc/sysconfig/iptables，保证永久生效

iptables -A INPUT -p tcp --dport 31873 -s 192.168.100.0/24 -j ACCEPT /etc/rc.d/init.d/iptables save service iptables restart

或者在iptables文件中详细写入相关规则

iptables 的策略配置：

• 首先拒绝所有包访问主服务器
• 逐条放通某个端口或者某个IP访问该主服务器

*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # 以三条 :blog-server - [0:0] -A INPUT -j blog-server -A FORWARD -j blog-server -A OUTPUT -j blog-server -A blog-server -i lo -j ACCEPT -A blog-server -p icmp --icmp-type any -j ACCEPT -A blog-server -m state --state ESTABLISHED,RELATED -j ACCEPT # 放通rsyncd端口31873，仅192.168.100.0/24可访问 -A blog-server -p tcp --dport 31873 -s 192.168.100.0/24 -j ACCEPT # 放通ssh端口31873，仅192.168.100.0/24可访问 -A blog-server -p tcp --dport 31022 -s 192.168.100.0/24 -j ACCEPT # 服务器禁ping -A blog-server -j REJECT --reject-with icmp-host-prohibited COMMIT