标准服务器部署规范示例

声明：

     本部署规范是本人依据以往工作单位的项目要求整理增补而成的，仅作项目展示使用，不能满足某些特殊公司的要求，请勿照搬。

     每一家公司的业务运营都各有自身特点，需要根据本公司、本部门的运营特征来制定自己的产品交付标准与要求。

     欢迎各位方家进行交流探讨，以便产生具备更大适用范围的细则性操作文档。

1、术语定义
标准服务器：服务器由金属裸机状态变为运行操作系统和实现公网连接及SSH登录功能，不包含业务定制化的运行环境安装与调试。交付的产品是业务运行环境部署前的就绪状态。

2、操作系统
操作系统主要指基于Linux kernel的发行版套件，如无特别说明，本文档约定的操作系统指的就是Linux发行版套件。

一、实施前的准备工作

1、获取机器的 CPU 架构，确定可安装的操作系统是32位还是64位；
2、查看机器的硬件组成信息，确定是否受操作系统的硬件兼容性支持；
3、和需求方确认操作系统发行版的选装要求，如无指定要求，默认安装CentOS最新稳定版的64位无GUI的基础环境系统；
4、和需求方确认分区需求，如无指定要求，boot、root、home、data应分在LVM上单独挂载，并在data上开启ACL控制；
5、和需求方确认防火墙和 SELinux 需求，如无指定要求，开启Firewall的default、系统安装完毕后开启SELinux安全控制；
6、和网络资源管理部门确认IP 地址的规划信息、是否使用 IPV6及为当前机器分配的IP段落和条数；
7、和主机资源管理部门确认主机名的规划及当前主机被分配的主机名、DNS解析配置；

二、操作系统安装要求

1、使用镜像存储服务器中定制过的标准化镜像作为安装源，如需求方有指定要求，则将指定的镜像作为系统安装源；
2、安装语言为“英语（美国）”，如需求方有指定要求，则安装指定语言；
3、时区选择“纽约（美东）”，如需求方有指定要求，则选择指定语言；
4、关于磁盘分区，应先划分不少于1024M的boot，而后建立LVM，在LVM上划分不少于10240M的root及home、data。需求方有指定要求，则按照指定要求为磁盘分区；
5、关于文件系统格式，默认挂载ext4，需求方有指定要求，则挂载指定的文件系统；
6、关于LVM的管理， LVM Group Name统一用 LVMgroup命名（其中标示从0开始计数的阿拉伯数字）；Logic Vloume Name 安装分区挂载点的名称命名，如挂载点为root、则命名为root；
7、关于是否划分swap，默认不予划分，但需求方有指定要求，则按照指定要求划分swap的大小。若划分了swap，则Logic Vloume Name应命名为swap；
8、关于IP地址的配置，优先配置IPv4的静态地址。建议在安装过程中将主IP填入并勾选开机启动，并填入被分配的网关和主DNS；
9、关于主机名的设定，统一采用英文小写的实意单词全拼；
10、关于出事密码的设定，统一按照软件工具存储服务器中提供的随机密码生成程序生成16位强密码，并做好记录、移交给需求方；
11、关于系统组件，默认选择“Base System”、请勿勾选GUI环境包，默认安装vim、gcc、ftp、中文语言支持。

三、操作系统安装完毕后的初始化配置

1、修改文件/etc/inittab，确认默认的运行级别为3，即 id:3:initdefault: ；
2、创建系统次root级管理用户并设定16位的初始随机密码；
3、修改文件/etc/ssh/sshd_config，关闭root用户的SSH登录权限，修改SSH的默认端口号并做好记录移交给需求方（如需求方有指定要求则按照指定要求配置）；
4、配置文件/etc/sudoers，赋予次root级管理用户获取临时root的权限；
5、执行 setup，取消不必要的系统开机服务；
6、对系统中/etc/sysconfig/network-scripts/、/etc/fstab、/etc/system、/etc/rc.d/rc.sysinit等关键文件和目录做初次备份，备份目录默认为/home/systemoriginal/；
7、对当前系统执行首次软件仓库和系统组件更新；
8、对data目录设定ACL控制权限，当前仅允许次root级管理用户对此目录进行读写， setfacl -m d:USERNAME:rwx /data ；
9、对删除初始化设置做一次检查，并将检查结论记录到交付文档中，无误后即开启OS的防火墙和SELinux控制。

四、标准化机器的交付

1、将完成初始化配置的标准服务器进行资产备案、入库；
2、将部署实施过程中产生的交付文档和核验结论分别提交到主机资源管理、网络资源管理、商务资源管理、资产管理和本部门运维知识库；
3、将标准服务器资产移交给产品交付部门并接收电签回执。

   孟伯，20200312
   交流联系：WeChat 1807479153；QQ 1807479153 ；Phone：177 3781 5124