基礎(chǔ)環(huán)境規(guī)范備注：M6為本次使用的世紀(jì)互聯(lián)M6機(jī)房的縮寫，其他機(jī)房請(qǐng)更改此縮寫。一、 系統(tǒng)基礎(chǔ)環(huán)境1. 主機(jī)名設(shè)置:物理服務(wù)器主機(jī)名與標(biāo)簽一致【虛擬機(jī)主機(jī)名與虛擬機(jī)標(biāo)識(shí)(虛擬機(jī)管理平臺(tái)上的標(biāo)識(shí)) 一

基礎(chǔ)環(huán)境規(guī)范

備注：M6為本次使用的世紀(jì)互聯(lián)M6機(jī)房的縮寫，其他機(jī)房請(qǐng)更改此縮寫。

一、 系統(tǒng)基礎(chǔ)環(huán)境

1. 主機(jī)名設(shè)置:

物理服務(wù)器主機(jī)名與標(biāo)簽一致

【虛擬機(jī)主機(jī)名與虛擬機(jī)標(biāo)識(shí)(虛擬機(jī)管理平臺(tái)上的標(biāo)識(shí)) 一致】 主機(jī)名稱所有IDC 范圍內(nèi)統(tǒng)一命名

主機(jī)名作為運(yùn)維管理對(duì)象標(biāo)識(shí)，在其生命周期內(nèi)不變 命名規(guī)則為：

M6-233-33.inc.91.com

M6為idc 名稱；233-33為主機(jī)IP 后兩位；inc.91.com 為本地zone 。

2. 路由設(shè)置（vpn 設(shè)置情況再討論）

默認(rèn)路由由各機(jī)房的網(wǎng)絡(luò)情況決定；

內(nèi)網(wǎng)路由添加至：

/etc/sysconfig/network-scripts/route-em1 (route-eth0)

3. NTP 設(shè)置

設(shè)置兩個(gè)NTP 同步源

主：本IDC NTP服務(wù)器

備:中心節(jié)點(diǎn)NTP 服務(wù)器

同步到 cn.pool.ntp.org

4. DNS 設(shè)置（每個(gè)機(jī)房2個(gè)local dns；域名：inc.91.com dnspod 設(shè)置兩個(gè)DNS 服務(wù)器

主：本地IDC DNS服務(wù)器 ；備：DNS 服務(wù)器

根據(jù)主機(jī)所提供的服務(wù)來(lái)定義域名：

例：cobbler 服務(wù)器

cob-idcM6 IN A 10.10.233.33 ntp-idcM6 IN cname M6-233-33.inc.91.com. cboss-manage IN cname M6-233-33.inc.91.com. 反解暫時(shí)不做（郵件系統(tǒng)要做反解）

5. YUM 設(shè)置 ）

Yum 源為本地IDC 內(nèi)源

yum 源:yum-idcM6.inc.91.com,

6. Bash-hacker 安裝

一個(gè)帶命令記錄的bash

Bash-4.1(源碼)

7. 安裝主機(jī)硬件檢查（廠家工具）: 自動(dòng)采集硬件信息

8. 進(jìn)行文件完整性檢查（tripwire ）工具安裝

9. Profile 環(huán)境變量統(tǒng)一（/etc/profile; .bash_profile; 定義哪些東西？）

#禁止提示接收郵件

echo “unset MAILCHECK” >> /etc/profile

source /etc/profile

#連接超時(shí)10分鐘

echo “TMOUT=600″ >>/etc/profile

source /etc/profile

#默認(rèn)VI 為VIM

sed -i "8 s/^/alias vi ='vim' /" /root/.bashrc 2>/dev/null

echo 'syntax on' > /root/.vimrc 2>/dev/null

#解決SSH 登錄慢的問(wèn)題

sed -i "s/#UseDNS yes/UseDNS no/" /etc/ssh/sshd_config

/etc/init.d/sshd restart

#禁止按CTRL ALT DEL重啟

sed -i s/^ca/#ca/g /etc/inittab # file descriptors ulimit -HSn 65535 echo -ne " * soft nofile 65536 * hard nofile 65536

" >>/etc/security/limits.conf

(/etc/security/limits.d/90-nproc.conf)(centos 6.5)

sed -i '/SELINUX /s/enforcing/disabled/' /etc/selinux /config

10. Crontab （注釋怎么寫， 定義哪些東西；編輯方式crontab –e ； ）

例：

Crontab –e

# 定時(shí)任務(wù)編寫人的名字 - 用途 - 2014/01/27

#wangyuelong – 同步時(shí)間 – 2014/01/27

0 0 * * * /usr/sbin/ntpdate ntp.idcM6.inc.91.com

11. Ssh

服務(wù)端口44322

Root 用戶登錄用key 方式

密碼固定時(shí)間進(jìn)行重制

每臺(tái)服務(wù)器建立普通帳號(hào)，用于啟動(dòng)業(yè)務(wù)

12. 關(guān)閉的服務(wù)（策略）

關(guān)閉Iptables 服務(wù)，（通過(guò)snort 進(jìn)行安全防護(hù)）

關(guān)閉selinux

關(guān)閉networkmanager

關(guān)閉ip6tables

關(guān)閉sendmail （數(shù)據(jù)庫(kù)服務(wù)器）

13. Lvm ，不開(kāi)啟

14. Agent 安裝

1) 、需要安裝的

Cacti 客戶端

nagios 客戶端

Ntp

Rsyslog

2) 、暫時(shí)不安裝的

（Zabbix 客戶端）

（企業(yè)MIB 客戶端）

（Puppet 客戶端）

（Openvas 客戶端）

二、 IDC基礎(chǔ)服務(wù)

15. NTP 時(shí)間服務(wù):為內(nèi)網(wǎng)主機(jī)提供時(shí)間同步服務(wù)

每個(gè)IDC 兩臺(tái)，1臺(tái)主一臺(tái)備，可與其他不常用的服務(wù)共用。

內(nèi)部域名ntp-idcM6.inc.91.com

每臺(tái)服務(wù)器定時(shí)同步時(shí)間：

Crontab –e

#同步時(shí)間

0 0 * * * /usr/sbin/ntpdate cn.pool.ntp.org

16. DNS 服務(wù):為內(nèi)網(wǎng)主機(jī)提供互聯(lián)網(wǎng)DNS 轉(zhuǎn)發(fā)及內(nèi)部域名解釋服務(wù)

每IDC 兩臺(tái), 一臺(tái)master ，一臺(tái)為backup

每臺(tái)服務(wù)器將DNS IP >> /etc/resolv.conf

17. YUM 源:為內(nèi)網(wǎng)主機(jī)提供yum 服務(wù)

每機(jī)房一臺(tái)，使用文件服務(wù) (http)

域名:yum-idcM6.inc.91.com

加源 Centos/Dag /163/sohu/epel-x86_64

18. 文件服務(wù)器(FTP,windows共享，HTTP) ：為內(nèi)網(wǎng)所有用戶提供文件存儲(chǔ)和

共享服務(wù)

每機(jī)房一臺(tái)

域名：fs-idcM6.inc.91.com

使用ftp

19. Cobbler 服務(wù)器:提供物理機(jī)及虛擬機(jī)系統(tǒng)安裝及初始化服務(wù)

每機(jī)房一臺(tái)

域名：cob-idcM6.inc.91.com

Pxe ， 腳本

分區(qū)：

/boot 500M

Swap 8G

/ 20G (系統(tǒng))

/var 20G （系統(tǒng)級(jí)日志）

/data 50G （tomcat 等安裝的應(yīng)用）

/deploy 20G （程序代碼）

/log 30G （業(yè)務(wù)日志）

20. Syslog-ng:為內(nèi)網(wǎng)主機(jī)提供日志收集服務(wù)（rsyslog ，功能、擴(kuò)展產(chǎn)品）

每機(jī)房一臺(tái)，將所有應(yīng)用日志及系統(tǒng)日志進(jìn)行匯總

創(chuàng)建普通用戶，用于開(kāi)發(fā)等進(jìn)行查看日志文件

Log-idcM6.inc.91.com

21. VPN 服務(wù)器:提供各IDC 的互聯(lián)服務(wù)

每機(jī)房一臺(tái)

域名：vpn-idcM6.inc.91.com

22. Snort IDS入侵檢測(cè)系統(tǒng)：安全防護(hù)服務(wù)

每機(jī)房一臺(tái)

域名：ids-idcM6.inc.91.com

23. OpenVAS/appscan/wvas/sqlmap :安全掃描和評(píng)估

內(nèi)網(wǎng)中心節(jié)點(diǎn)一臺(tái)

域名：vas-idcM6.inc.91.com

24. 文件系統(tǒng)完整性檢測(cè)

tripwire ，aide

三、 應(yīng)用服務(wù)

25. 日志規(guī)劃

所有程序的服務(wù)上生產(chǎn)時(shí)，保證日志存放位置為/logs下（老系統(tǒng)在/data/logs下）

例如：

dianpu 對(duì)應(yīng)日志存放在

例子：/logs/dianpu/log.20140128

Log ：日志目錄

dianpu ：項(xiàng)目名

Log.20140128：日志名

26. tomcat 規(guī)劃

1) 存放位置為/app下(老系統(tǒng)/data)

2) 命名規(guī)范為 服務(wù)名_tom

例如：

dianpu 對(duì)應(yīng)的名稱命名為

dianpu_tom

3)tomcat 自身的日志存放在/app/服務(wù)名_tom/logs/

tomcat 自身的日志保存周期為當(dāng)天

4）tomcat 引用程序路徑統(tǒng)一在server.XML 中定義

例如：

dianpu

/app/dianpu_tom/conf/server.xml

(老系統(tǒng)用/data/dianpu_tom/conf/server.xml)

5) 啟動(dòng)端口及其關(guān)閉端口定義。

啟動(dòng)端口使用1024以上未占用端口。

關(guān)閉端口在選定的啟動(dòng)端口前加1

例如：

選定的啟動(dòng)端口為7336

關(guān)閉端口則為17336

6）tomcat 啟動(dòng)時(shí)用普通用戶tom 啟動(dòng)

四、 虛擬機(jī)劃分：

1、 宿主機(jī)

是否支持虛擬化：grep -E -o 'vmx|svm' /proc/cpuinfo

統(tǒng)一安裝kvm 和kvm 依賴的包

(yum -y install qemu-kvm libvirt python-virtinst bridge-utils

or yum -y groupinstall 'Virtualization' 'Virtualization Client' 'Virtualization Platform' 'Virtualization Tools' )

查看模塊： lsmod | grep kvm

與虛擬機(jī)網(wǎng)絡(luò)連接都是用橋接

使用：BRIDGE=br0

Ifcfg-br0

2、 宿主機(jī)主機(jī)名

宿主機(jī)在兆維機(jī)房的第n 臺(tái)

例：在兆維機(jī)房?jī)?nèi)的宿主機(jī)1的名稱

M6vm-6-33

M6vm-6-33.inc.91.com

3、 宿主機(jī)分區(qū)

Boot 500M

Swap 8/16G

/ 100G

/var 100G

/opt 50G

/kvm 剩余所有空間

4、 宿主機(jī)存放虛擬機(jī)磁盤鏡像路徑

/kvm/virtualdisk/

/kvm/iso

5、 虛擬機(jī)主機(jī)名：

虛擬機(jī)在宿主機(jī)節(jié)點(diǎn)1中，節(jié)點(diǎn)1 虛擬機(jī)ip 后兩位 例：node1-233-00

6、 虛擬機(jī)資源分配

Cpu 根據(jù)需求分配 Mem 根據(jù)需求分配

Disk 根據(jù)需求分配

7、 宿主使用規(guī)范

五、 網(wǎng)絡(luò)

所有vlan 網(wǎng)關(guān)都配置在核心上，各網(wǎng)的vlan 號(hào)順延使用，除外網(wǎng)vlan 其它不同vlan 間可互相通訊。

2、

Ip 地址規(guī)劃

單個(gè)vlan 中設(shè)備數(shù)不超過(guò)240臺(tái)，并使用1個(gè)C 的IP 網(wǎng)段。所有物理機(jī)和虛擬機(jī)都具有一個(gè)外網(wǎng)IP 和一個(gè)私網(wǎng)IP 。服務(wù)器IP 由第一個(gè)IP 開(kāi)始順延使用，網(wǎng)關(guān)等網(wǎng)絡(luò)所需IP 從最后一個(gè)IP 開(kāi)始往前使用。

外網(wǎng)IP 根據(jù)IDC 機(jī)房分配使用。

私網(wǎng)IP 使用10.0.0.0/8這個(gè)網(wǎng)段，第二位為IDC 所在城市的區(qū)號(hào)，如果同一城市有兩個(gè)及兩個(gè)以上IDC 機(jī)房，根據(jù)區(qū)號(hào)向前或者向后順延使用，私網(wǎng)的后兩位與外網(wǎng)的后兩位保持一致。

管理網(wǎng)IP 的第二位使用物理機(jī)的私網(wǎng)IP 第二位的數(shù)字加上一百，其余三位與私網(wǎng)IP 保持一致。

例如，北京的一臺(tái)服務(wù)器：外網(wǎng)為58.68.233.4，私網(wǎng)為10.10.233.4，管理網(wǎng)為10.110.233.4。第二位10為北京區(qū)號(hào)，私網(wǎng)和管理網(wǎng)的后兩位的233.4與外網(wǎng)保持一致。

3、新網(wǎng)段加入

遇到原IP 用盡IDC 新分配網(wǎng)段時(shí)，外網(wǎng)、私網(wǎng)和管理網(wǎng)都重新使用新vlan ，按照IP 地址規(guī)劃分配使用新IP 段。

4、布線 機(jī)柜布線

交換機(jī)擺放在機(jī)柜最上方，交換機(jī)前面板（端口）對(duì)著服務(wù)器后面板的網(wǎng)口，方便走線。

網(wǎng)絡(luò)設(shè)備互聯(lián)線使用，使用光纖連接。服務(wù)器與交換機(jī)連接的網(wǎng)線必須使用6類以上的成品線，禁止跨機(jī)柜連接服務(wù)器。

單一機(jī)房使用不同顏色的網(wǎng)線區(qū)分使用類別，例如：紅色為私網(wǎng)；藍(lán)色為外網(wǎng)；綠色為管理口；灰色為設(shè)備互聯(lián)線。

連接服務(wù)器的網(wǎng)線根據(jù)機(jī)房環(huán)境從機(jī)柜左側(cè)和右側(cè)分別走線，并按照相同顏色扎帶捆綁。

根據(jù)IDC 機(jī)房要求，一個(gè)機(jī)柜部署小于等于14臺(tái)服務(wù)器。服務(wù)器與服務(wù)器中間空1U 空間。服務(wù)器的第一個(gè)網(wǎng)卡為私網(wǎng)，第二個(gè)網(wǎng)卡為外網(wǎng)，ilo 網(wǎng)卡為管理網(wǎng)。

5、標(biāo)簽

所有網(wǎng)線兩端都貼有內(nèi)容相同的標(biāo)簽，包含交換機(jī)端口號(hào)以及設(shè)備物理位置信息。

例如：SW1-P1---S-1-1，SW1為交換機(jī)1、P1為交換機(jī)第一個(gè)端口，S-1-1為機(jī)柜從上往下第一臺(tái)服務(wù)器第一個(gè)網(wǎng)卡。

6、交換機(jī)以太網(wǎng)口使用

使用48口接入交換機(jī)，交換機(jī)后邊的端口作為網(wǎng)絡(luò)設(shè)備互聯(lián)端口，連接服務(wù)器的端口按照服務(wù)器自上到下的順序從第一個(gè)端口開(kāi)始使用。

一個(gè)機(jī)柜最多擺放14臺(tái)服務(wù)器，端口使用為：前20口為外網(wǎng)，后20口為內(nèi)網(wǎng)，最后4光口為網(wǎng)絡(luò)設(shè)備互聯(lián)口，剩余8個(gè)端口作為冗余口以及測(cè)試端口使用。

單獨(dú)一臺(tái)24口交換機(jī)做為管理口的連接。

7、檢查、備份、設(shè)備命名

所有交換機(jī)ssh 遠(yuǎn)程登錄，snmp 監(jiān)控所有端口流量。一個(gè)月備份所有設(shè)備配置一次。密碼一年更改一次，并由字母、數(shù)字和符號(hào)組成，長(zhǎng)度大于14位。

隨著新服務(wù)器的進(jìn)入隨機(jī)現(xiàn)場(chǎng)巡檢，固定1個(gè)月遠(yuǎn)程 現(xiàn)場(chǎng)巡檢一次設(shè)備。巡檢項(xiàng)包含網(wǎng)絡(luò)設(shè)備的狀態(tài)、CPU 、內(nèi)存、和端口狀況等信息。

統(tǒng)一網(wǎng)絡(luò)設(shè)備命名方式，例如ZW-D1408-D03-S5800，ZW 為兆維機(jī)房、D1為D1區(qū)域、408為408室、D03為D03機(jī)柜、S5800為設(shè)備型號(hào)。

服務(wù)器命名規(guī)則：例如ZW-233-11，ZW 為兆維機(jī)房、233-11為服務(wù)器IP 最后兩段。

8、設(shè)備替換

每個(gè)機(jī)房冷備一臺(tái)接入交換機(jī)，連接到核心交換機(jī)上，可隨時(shí)遠(yuǎn)程準(zhǔn)備配置更換故障設(shè)備。