运维统一环境准备

负载均衡服务器 2台 对访问网站流量分流，减少流量对单一服务器的压力

web服务器 3台 处理用户访问请求（Nginx）

NFS存储服务 1台 存储图片，附件，头像等静态数据

Rsync备份服务器 1台 对全网服务器数据，进行实时与定时备份

MySQL数据库服务器 1台 对动态变化数据进行存储（文本内容）

管理服务器 1台 1、作为YUM仓库服务器，提供全网服务器的软件下载

2、 跳板机，操作审计

3、 VPN（pptp）

4、 监控（zabbix）

5、 兼批量分发和管理（ssh key+ansible+saltstack）

假设主机IP规划的网段外网都在10.0.0.0/24 内网 172.16.1.0/24

统一VMware虚拟机网络配置

• 外网

• 内网

• 命令行setup设置的外网内网

模板机优化配置

• 更改yum源

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo 阿里源

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo

epel源

• 关闭selinux和iptables

#关闭selinux

sed -i.bak 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

grep SELINUX=disabled /etc/selinux/config

setenforce 0

getenforce

#关闭iptables

/etc/init.d/iptables stop

/etc/init.d/iptables stop

chkconfig iptables off

• 精简开机自启动服务

#精简开机自启动服务

export LANG=en_US.UTF-8

chkconfig|egrep -v "crond|sshd|network|rsyslog|sysstat"|awk '{print "chkconfig",$1,"off"}'

chkconfig --list|grep 3:on

• 英文字符集

#英文字符集

cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori

echo 'LANG="en_US.UTF-8"' >/etc/sysconfig/i18n

source /etc/sysconfig/i18n

echo $LANG

• 时间同步

#时间同步

echo '#time sync by lidao at 2017-03-08' >>/var/spool/cron/root

echo '/usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1' >>/var/spool/cron/root

crontab -l

• 加大文件描述

#加大文件描述

echo '* - nofile 65535 ' >>/etc/security/limits.conf

tail -1 /etc/security/limits.conf

• 内核优化

#内核优化

cat >>/etc/sysctl.conf<<EOF

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000 65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#以下参数是对iptables防火墙的优化，防火墙不开会提示，可以忽略不理。

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_tcp_timeout_established = 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

EOF

sysctl -p

• 安装其他常用软件

#安装其他小软件

yum install lrzsz nmap tree dos2unix nc telnet sl -y

• ssh连接速度慢优化

#ssh连接速度慢优化

sed -i.bak 's@#UseDNS yes@UseDNS no@g;s@^GSSAPIAuthentication yes@GSSAPIAuthentication no@g' /etc/ssh/sshd_config

/etc/init.d/sshd reload

总结

1）不用root登录管理系统，而以普通用户登录通过sudo授权管理。

2）更改默认的远程连接SSH服务端口，禁止root用户远程连接，甚至要更改SSH服务只监听内网IP。

3）定时自动更新服务器的时间，使其和互联网时间同步。

4）配置yum更新源，从国内更新源下载安装软件包。

5）关闭SELinux及iptables（在工作场景中，如果有外部IP一般要打开iptables，高并发高流量的服务器可能无法开启）。

6）调整文件描述符的数量，进程及文件的打开都会消耗文件描述符数量。

7）定时自动清理邮件临时目录垃圾文件，防止磁盘的inodes数被小文件占满（注意Centos6和Centos5要清除的目录不同）。

8）精简并保留必要的开机自启动服务（如crond、sshd、network、rsyslog、sysstat）。

9）Linux内核参数优化/etc/sysctl.conf，执行sysctl -p生效。

10）更改系统字符集为“zh_CN.UTF-8”，使其支持中文，防止出现乱码问题。

11）锁定关键系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab， 处理以上内容后把chattr、lsattr改名为sudo授权用户，转移走，这样就安全多了。

12）清空/etc/issue、/etc/issue.net，去除系统及内核版本登录前的屏幕显示。

13）清除多余的系统虚拟用户账号。

14）为grub引导菜单加密码。

15）禁止主机被ping。

• 进行VMware软件配置操作

1） 对配置好的模拟机，拍摄快照留念

2） 对模板机进行克隆操作

提示：

当多个主机克隆完成后，要分别启动

配置克隆后的虚拟主机

• 修改网卡IP地址信息

[root@keke ~]# sed -i 's#200#41#g' /etc/sysconfig/network-scripts/ifcfg-eth[01]

[root@keke~ ]# cat /etc/sysconfig/network-scripts/ifcfg-eth[01]

• 修改主机名称

[root@keke ~]# hostname backup

[root@keke ~]# sed -i 's#keke#backup#g' /etc/sysconfig/network

[root@keke ~]# cat /etc/sysconfig/network

NETWORKING=yes

HOSTNAME=backup

[root@oldboyedu42-lnb ~]# cat /etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

172.16.1.5 lb01

172.16.1.6 lb02

172.16.1.7 web01

172.16.1.8 web02

172.16.1.9 web03

172.16.1.51 db01 db01.etiantian.org

172.16.1.31 nfs01

172.16.1.41 backup

172.16.1.61 m01

[root@keke ~]#

最后一步：重启1.1.1 重启网卡，建立新的xshell连接标签（或者重启服务器）