基础环境规范备注:M6为本次使用的世纪互联M6机房的缩写,其他机房请更改此缩写。
一、系统基础环境1.主机名设置:物理服务器主机名与标签一致【虚拟机主机名与虚拟机标识(虚拟机管理平台上的标识)一致】主机名称所有IDC范围内统一命名主机名作为运维管理对象标识,在其生命周期内不变命名规则为:M6为idc名称;233-33为主机IP后两位;为本地zone。
2.路由设置(vpn设置情况再讨论)默认路由由各机房的网络情况决定;内网路由添加至:/etc/sysconfig/network-scripts/route-em1 (route-eth0)3.NTP设置设置两个NTP同步源主:本IDC NTP服务器备:中心节点NTP服务器同步到 4.DNS设置(每个机房2个local dns;域名: dnspod )设置两个DNS服务器主:本地IDC DNS服务器;备:DNS服务器根据主机所提供的服务来定义域名:例:cobbler服务器cob-idcM6 IN A 10.10.233.33ntp-idcM6 IN cname .cboss-manage IN cname .反解暂时不做(邮件系统要做反解)5.YUM设置Yum源为本地IDC内源yum源:,6.Bash-hacker安装一个带命令记录的bashBash-4.1(源码)7.安装主机硬件检查(厂家工具): 自动采集硬件信息8.进行文件完整性检查(tripwire )工具安装9.Profile环境变量统一(/etc/profile; .bash_profile; 定义哪些东西?)#禁止提示接收邮件echo “unset MAILCHECK” >> /etc/profilesource /etc/profile#连接超时10分钟echo “TMOUT=600″ >>/etc/profilesource /etc/profile#默认VI为VIMsed -i "8 s/^/alias vi='vim'/" /root/.bashrc 2>/dev/nullecho 'syntax on' > /root/.vimrc 2>/dev/null#解决SSH登录慢的问题sed -i "s/#UseDNS yes/UseDNS no/" /etc/ssh/sshd_config/etc/init.d/sshd restart#禁止按CTRL+ALT+DEL重启sed -i s/^ca/\#ca/g /etc/inittab# file descriptorsulimit -HSn 65535echo -ne "* soft nofile 65536* hard nofile 65536" >>/etc/security/limits.conf(/etc/security/limits.d/90-nproc.conf)(centos 6.5)sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config10.Crontab(注释怎么写,定义哪些东西;编辑方式crontab –e;)例:Crontab –e# 定时任务编写人的名字- 用途- 2014/01/27#wangyuelong –同步时间– 2014/01/270 0 * * * /usr/sbin/ntpdate 11.Ssh服务端口44322Root用户登录用key方式密码固定时间进行重制每台服务器建立普通帐号,用于启动业务12.关闭的服务(策略)关闭Iptables服务,(通过snort进行安全防护)关闭selinux关闭networkmanager关闭ip6tables关闭sendmail(数据库服务器)13.Lvm,不开启14.Agent安装1)、需要安装的Cacti客户端nagios客户端NtpRsyslog2)、暂时不安装的(Zabbix客户端)(企业MIB客户端)(Puppet客户端)(Openvas客户端)二、 IDC基础服务15.NTP时间服务:为内网主机提供时间同步服务每个IDC两台,1台主一台备,可与其他不常用的服务共用。
内部域名每台服务器定时同步时间:Crontab –e#同步时间0 0 * * * /usr/sbin/ntpdate 16.DNS服务:为内网主机提供互联网DNS转发及内部域名解释服务每IDC两台,一台master,一台为backup每台服务器将DNS IP >> /etc/resolv.conf17.YUM源:为内网主机提供yum服务每机房一台,使用文件服务(http)域名:加源Centos/Dag /163/sohu/epel-x86_6418.文件服务器(FTP,windows共享,HTTP):为内网所有用户提供文件存储和共享服务每机房一台域名:使用ftp19.Cobbler服务器:提供物理机及虚拟机系统安装及初始化服务每机房一台域名:Pxe,脚本分区:/boot 500MSwap 8G/ 20G (系统)/var 20G (系统级日志)/data 50G (tomcat等安装的应用)/deploy 20G (程序代码)/log 30G (业务日志)20.Syslog-ng:为内网主机提供日志收集服务(rsyslog,功能、扩展产品)每机房一台,将所有应用日志及系统日志进行汇总创建普通用户,用于开发等进行查看日志文件21.VPN服务器:提供各IDC的互联服务每机房一台域名:22.Snort IDS入侵检测系统:安全防护服务每机房一台域名:23.OpenVAS/appscan/wvas/sqlmap :安全扫描和评估内网中心节点一台域名:24.文件系统完整性检测tripwire,aide三、应用服务25.日志规划所有程序的服务上生产时,保证日志存放位置为/logs下(老系统在/data/logs 下)例如:dianpu对应日志存放在例子:/logs/dianpu/log.20140128Log:日志目录dianpu:项目名Log.20140128:日志名26.tomcat规划1)存放位置为/app下(老系统/data)2)命名规范为服务名_tom例如:dianpu对应的名称命名为dianpu_tom3)tomcat自身的日志存放在/app/服务名_tom/logs/tomcat自身的日志保存周期为当天4)tomcat引用程序路径统一在server.XML中定义例如:dianpu/app/dianpu_tom/conf/server.xml(老系统用/data/dianpu_tom/conf/server.xml)5)启动端口及其关闭端口定义。
启动端口使用1024以上未占用端口。
关闭端口在选定的启动端口前加1例如:选定的启动端口为7336关闭端口则为173366)tomcat启动时用普通用户tom启动四、虚拟机划分:1、宿主机是否支持虚拟化:grep -E -o 'vmx|svm' /proc/cpuinfo统一安装kvm和kvm依赖的包(yum -y install qemu-kvm libvirt python-virtinst bridge-utils or yum -y groupinstall 'Virtualization' 'Virtualization Client''Virtualization Platform' 'Virtualization Tools' )查看模块: lsmod | grep kvm与虚拟机网络连接都是用桥接使用:BRIDGE=br0Ifcfg-br02、宿主机主机名宿主机在兆维机房的第n台例:在兆维机房内的宿主机1的名称M6vm-6-333、宿主机分区Boot 500MSwap 8/16G/ 100G/var 100G/opt 50G/kvm 剩余所有空间4、宿主机存放虚拟机磁盘镜像路径/kvm/virtualdisk//kvm/iso5、虚拟机主机名:虚拟机在宿主机节点1中,节点1+虚拟机ip后两位例:node1-233-006、虚拟机资源分配Cpu 根据需求分配Mem 根据需求分配Disk 根据需求分配7、宿主使用规范五、网络所有vlan网关都配置在核心上,各网的vlan号顺延使用,除外网vlan 其它不同vlan间可互相通讯。
、Ip地址规划2单个vlan中设备数不超过240台,并使用1个C的IP网段。
所有物理机和虚拟机都具有一个外网IP和一个私网IP。
服务器IP由第一个IP开始顺延使用,网关等网络所需IP从最后一个IP开始往前使用。
外网IP根据IDC机房分配使用。
私网IP使用10.0.0.0/8这个网段,第二位为IDC所在城市的区号,如果同一城市有两个及两个以上IDC机房,根据区号向前或者向后顺延使用,私网的后两位与外网的后两位保持一致。
管理网IP的第二位使用物理机的私网IP第二位的数字加上一百,其余三位与私网IP保持一致。
例如,北京的一台服务器:外网为58.68.233.4,私网为10.10.233.4,管理网为10.110.233.4。
第二位10为北京区号,私网和管理网的后两位的233.4与外网保持一致。
3、新网段加入遇到原IP用尽IDC新分配网段时,外网、私网和管理网都重新使用新vlan,按照IP地址规划分配使用新IP段。
4、布线+机柜布线交换机摆放在机柜最上方,交换机前面板(端口)对着服务器后面板的网口,方便走线。
网络设备互联线使用,使用光纤连接。
服务器与交换机连接的网线必须使用6类以上的成品线,禁止跨机柜连接服务器。
单一机房使用不同颜色的网线区分使用类别,例如:红色为私网;蓝色为外网;绿色为管理口;灰色为设备互联线。
连接服务器的网线根据机房环境从机柜左侧和右侧分别走线,并按照相同颜色扎带捆绑。
根据IDC机房要求,一个机柜部署小于等于14台服务器。
服务器与服务器中间空1U空间。
服务器的第一个网卡为私网,第二个网卡为外网,ilo网卡为管理网。
5、标签所有网线两端都贴有内容相同的标签,包含交换机端口号以及设备物理位置信息。
例如:SW1-P1---S-1-1,SW1为交换机1、P1为交换机第一个端口,S-1-1为机柜从上往下第一台服务器第一个网卡。
6、交换机以太网口使用使用48口接入交换机,交换机后边的端口作为网络设备互联端口,连接服务器的端口按照服务器自上到下的顺序从第一个端口开始使用。