《生产服务器部署规范》由会员分享,可在线阅读,更多相关《生产服务器部署规范(7页珍藏版)》请在金锄头文库上搜索。
1、生产服务器部署规范一、服务器选型CPU、硬盘、内存等硬件必须是当前主流产品,必须配备冗余电源、远程管理卡,硬盘至少为两块,应用服务器RADI1,数据库服务器RADI5。参考现在的服务器选型标准文档二、操作系统标准 .初始化系统安装包系统包名用途Suse服务器基本系统包系统日常工具包c/c+编译器和工具用于程序的开发编辑redhatVim-enhancedVim编辑器开发工具(Automaker、gcc、perl、python.)用于程序的开发编辑networkmanager网络管理组件AcpldAcpi事件守护进程Autofs自动挂载和卸载文件系统的工具conman控制台管理器coolkeyc
2、oolkey PKCS模块CpuspeedCPU频率调节守护进程crash系统的崩溃实用程序,用于转存,磁盘,kdump的,LKCD边际资本产出率转储文件Crytsetup-luks设置加密文件系统的工具Dos2unix文本文件格式转换器dump用于备份和恢复文件系统的程序Ipstate性能检查工具IrqbalanceIRQ平衡守护进程LibaloLinux自然不对称I/O存取库Mlcrocode_ctl更新x86/x86-64CPU代码的工具Mkbootdisk创建一个用于引导系统的引导软盘Mlocate按名称查找文件的一个实用工具Mtr网络诊断工具Nc使用TCP/UDP在网络连接中读取并写
3、入数据Nfs-utllsNFS公用设施及支援的内核NFS客户端Numactl用于统一内存存取机Pam_ccreds用来存储登陆证书的pam模块Pam_krb一个kerberos5的可插入验证模块(pam)Pam_passwdqc可插入的口令强健性控制模块Readahead将文件预置列表写入内存Redhat-lsbLSB支持 red hed linuxRng-utlls随机数字生产程序相关的工具Rsh客户机远程访问命令Rsync一个在网络中同步文件的程序Stunnel一个SSL加密套接字会绕程序Sudo允许给指定的用户以严格限制的根访问权Symllnks维护一个系统的符号链接的工具System-
4、config-network-tul网络管理工具Tcp_wrappers如同TCP守护进程的安全工具Tcpdump网络交通监视工具Tesh一个csh(C shell)的增进版telnet远程登陆协议的客户程序Tlme一个用来监视程序对系统资源的GNU工具Tree一个现实目录内容的树形试图的工具Unix2dosUnix到dos文本文件格式转换器UnzipZip解压工具Wget一个http或ftp协议检索文件的工具Which现实文件路径Yum-updatesdYum工具守护进程Zip与pkzip兼容的文件压缩打包工具ccld通用的USB CCID智能卡读写器驱动器产品 初始化系统需要开启的服务:系
5、统服务名字用途redhatacpid电源管理auditd审计守护进程AtdAt命令守护进程,用户用at命令调度的任务。anacron一个自动化运行任务守护进程crond计划任务守护进程hald设备的属性管理dbus-daemon是一个应用程序,它使用这个库来实现messagebus守护进程Pcscd用于监视进程活动的工具portmap主要功能是把RPC程序号转化为Internet的端口号,nfs依赖它network网络进程ZENworks Management管理网络Name Service Cache名字服务缓存守护进程smart card terminals智能卡服务RPC portmap
6、主要功能是把RPC程序号转化为Internet的端口号,nfs依赖它syslog日志信息守护进程klogd系统日志守候进程的脚本yum-updatesdYum源更新守候进程Suseacpid电源管理auditd审计守护进程udevdudevd是根据一定的规则在/dev/目录下生成设备文件Cron定时任务D-BUS提供简单的应用程序互相通讯syslog日志信息守护进程HAL设备的属性管理network网络进程ZENworks Management管理网络Name Service Cache名字服务缓存守护进程smart card terminals智能卡服务RPC portmap主要功能是把RP
7、C程序号转化为Internet的端口号,nfs依赖它powersaved支持apmrandom保存和恢复系统的高质量随机数生产器,这些随机数是系统一些随机行为提供的。resource manager资源管理器sshd远程登陆 初始化参数优化配置文件参数值用途/etc/sysctl.confnet.ipv4.tcp_fin_timeout = 30表示SYN队列的长度,默认为1024,加大队列长度为8192,可以容纳更多等待连接的网络连接数(修改系統默认的TIMEOUT时间)。net.ipv4.tcp_syncookies = 1表示开启SYN Cookies。当出现SYN等待队列溢出时,启用c
8、ookies来处理,可防范少量SYN攻击,默认为0,表示关闭;net.ipv4.tcp_tw_recycle = 1表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。net.ipv4.tcp_tw_reuse = 1表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;net.ipv4.icmp_echo_ignore_broadcasts = 1让系统对广播没有反映net.ipv4.conf.all.rp_filter = 1启用IP欺骗保护,打开源路由核查.net.ipv4.tcp_keepalive_time
9、 = 300表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时。net.ipv4.tcp_synack_retries = 2net.ipv4.tcp_syn_retries = 2syn重试次数net.ipv4.ip_local_port_range = 5000 65000表示用于向外连接的端口范围。缺省情况下很小:32768到61000。 limits.confsoft stack unlimitedhard stack unlimited最大栈大小soft nofile 409600soft nproc 65535hard nproc 63535在
10、OS级别设置打开文件的最大数目soft data unlimitedhard data unlimited最大数据大小soft fsize unlimitedhard fsize unlimited最大文件大小soft core unlimithard core unlimit限制内核文件的大小soft nofile 409600hard nofile 409600打开文件的最大数目对现有现有操作系统操作系统进行标准化,其中包括初始化安装包、初始化系统服务,优化标准话内核参数的初始化(针对不同应用如数据库或web),以及文件系统格式的标准化。三、目录标准(分区)服务器类型分区目录空间备注实体机
11、/boot200M启动分区/swap内存(16G一下)X2交换分区,内存大于16G的,交换分区大小与内存大小一致/40G系统根分区/home10G系统用户目录/var10G系统var目录/app(非数据库)所有剩余空间非数据库的数据资源目录/data(数据库)所有剩余空间数据库的数据资源目录虚拟机/30G直接自动分区四、应用程序(中间件的版本,即目录结构)中间件名称版本备注apache2.4.4无PHP5.3.6无nginx1.12无五、新应用上线的标准web服务器: 数据存放目录备注容器(jboss、tomcat、jdk)/apps/product/每个服务器上必须只存运行在一个应用或应用容
12、器(相同的,可以存在冷备)备份数据/apps/backup生产代码目录禁止放备份或其他垃圾文件脚本/opt/bin/opt/bin/crontab下存放所有加入计划任务的(所有用户),/opt/bin/app下放置涉及到应用的脚本,/opt/bin/other下放置其他脚步用户家目录(除root)/home/user环境变量必须在用户的bash里设定,无重要需求不修改系统层的环境变量。Web系统上线所需脚本:脚本位置脚本名字脚本内容用途/opt/bin/crontabcpnohup.sh见尾部备注切割并归档nohup日志的cpaccess.sh切割并归档access日志的date.sh时间同步
13、的六、代码上线标准目录文件类型权限应用启动用户代码更新用户/apps/product/txxx代码目录(不可变文件)读、执行读、写、执行/apps/logs可变文件目录(如log)读、写、执行读写/apps/share存放随机生产的文件读、写、读/apps/data存放临时文件读、写读注: 代码上线标准:每次代码上线开发人员本地必须保留版本库(与生成上保持一致),上线完成后验证本地与生产的代码是否一致。七、服务器上架标准服务器上线需确认的基本信息:所需确认内容确认结果确认时间机柜电量确认是否合规服务器到机房之前网关、本机及网管ip本机及网管ip必须未被使用,网关必须是网络同事确认过的必须在插网线之前确认验证网管ip、用户名和密码(统一的)是否正确及是否可连接上线离开机房之前服务器ip必须贴在服务器明显位置必须在加电之前确认初始化脚本确认初始化脚本是否执行成功插网线之前确认资产列表将设备信息添加到公司资产列表里去上架后一周内HQAGENT(占无)安装及运行正常业务正式上线前及上架后一周内备注(初始化脚本内容):
