运维体系运维规范介绍-邢飞

运维体系介绍及相关规范

（底层架构及系统篇）

邢飞

运维体系运维规范介绍--邢飞共18页，您现在浏览的是第1页!IT运维概念单位IT部门采用相关的方法,手段,技术,制度、流程和文档等,对IT运行环境(如硬软件环境、网络环境等)、IT业务系统和IT运维人员进行的综合管理.运维体系运维规范介绍--邢飞共18页，您现在浏览的是第2页!目录■设备管理：对网络设备、服务器设备、操作系统运行状况进行监控。■应用/服务管理：对各种应用支持软件如数据库、中间件、群件以及各种通用或特定服务的监控管理，如邮件系统、DNS、Web等的监控与管理。■数据/存储/容灾管理：对系统和业务数据进行统一存储、备份和恢复。■业务管理：包含对企业自身核心业务系统运行情况的监控与管理，对于业务的管理，主要关注该业务系统的CSF（关键成功因素CriticalSuccessFactors）和KPI（关键绩效指标KeyPerformanceIndicators）。■目录/内容管理：该部分主要对于企业需要统一发布或因人定制的内容管理和对公共信息的管理。■资源资产管理：管理企业中各IT系统的资源资产情况，这些资源资产可以是物理存在的，也可以是逻辑存在的，并能够与企业的财务部门进行数据交互。■信息安全管理：该部分包含了许多方面的内容，目前信息安全管理主要依据的国际标准是ISO17799，该标准涵盖了信息安全管理的十大控制方面，36个控制目标和127种控制方式，如企业安全组织方式、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、业务连续性管理等。■日常工作管理：该部分主要用于规范和明确运维人员的岗位职责和工作安排、提供绩效考核量化依据、提供解决经验与知识的积累与共享手段IT运行维护管理的每一个子系统中都包含着十分丰富的内容，实现完善的IT运维管理是企业提高经营水平和服务水平的关键。运行/维护阶段与服务/支持阶段的分界线为前者是面向IT部门内部的管理，而后者是面向业务部门、企业中的其它人员或直接面向客户。运维体系运维规范介绍--邢飞共18页，您现在浏览的是第3页!底层运维硬件相关

服务器：DellHPIBM64位EM64TAMD64--（X86_64)DellRackG11R410R510R610R710R910（2550/2650/2850/2950)G12XeonE5(R420R520R620R720R720XDR820)U----4.445CM一个标准机柜42U双电源7x24x365RAID–SSDSASSATA(SCSI)

远程管理卡IDrac6Enterprise（HPilo)

尽量少做硬件改动使用统一品牌（成本选择优化）

服务器新产品增强测试OS安装硬件故障处理

虚拟化技术:XenVmwareKVMVirtualBOX集中存储(NetAPPNASEMC/HPSAN-FC/ISCSI)

负载均衡：F5BIG-IP/CitrixNetscaler(健康检测，调度算法，会话保持）

其他可选A10ArrayRadware（软件Haproxy,LVS-NATTUNDR)

其他：防火墙，存储，VPN,入侵检测/防御，防DDOS设备,交换机运维体系运维规范介绍--邢飞共18页，您现在浏览的是第4页!底层运维架构图1（负载均衡）运维体系运维规范介绍--邢飞共18页，您现在浏览的是第5页!系统层运维操作系统及应用服务器端软件的选择架构设计及技术发展的跟踪

操作系统：

Unix–三大Unix（IBMAIX,HP-UX,SunSolaris)

BSD(FreeBSDNetBSDOpenBSD)

Linux(Redhat(CentOS）Debian(Ubuntu)GentooSlackwareSuse)

运维体系运维规范介绍--邢飞共18页，您现在浏览的是第6页!系统层运维(规范）服务器端软件使用原则规范

全局系统工具及开发包使用系统自带的：gccg++wgetcurlBashSedGawkvimPerl(DBI)Python便于yum/rpm集中管理（最小安装+需要的库及工具整理）

特别要求：系统库中没有或版本指定手工编译：/usr/local/

守护进程使用同一项目使用同一版本:当前稳定系列里的最新稳定版ApacheNginxMySQLPHP(FastCGI）(尽量不要安装系统自带的，可能可执行程序及动态链接库冲突）

大版本升级：遇到性能瓶颈，重大安全bug,严格测试后申请停业务时间平滑升级及数据迁移。（定出回滚方案）运维体系运维规范介绍--邢飞共18页，您现在浏览的是第7页!系统层运维安全---操作系统安全服务器端软件安全（网络安全）

操作系统的安全：（与性能及易用性矛盾）

关闭不必要的服务及端口

内核级升级尽量使用最新稳定版root运维与研发普通账号的分离（账号管理,集中认证）iptablesshell操作行为日志记录—(bashlog)

安全工具的使用nmapchkrootkitrkhunter(snort)

软件安全：

尽量使用最新稳定版

尽量以普通账号运行在/ROOT下

chroot（proftpdbindhaproxy)

关闭版本号回显(ApacheNginxPHP减少信息泄露）

应用的授权如(mysql)

网络层安全：IP连接鉴权

关闭所有端口（交换机ACL)数据库决不能暴露在外网

硬件防火墙（DDOS)入侵检测/入侵防御

运维体系运维规范介绍--邢飞共18页，您现在浏览的是第8页!系统层运维系统监控系统底层参数监控CPU内存SWAP硬盘空间系统负载ping(流量）

端口监控tcp（服务进程监控重启Monit)特定服务监控—NginxMySQLRedis(自定义参数模板）报警

邮件报警短信报警（MSN,QQ)负责人-（业务重要性）硬件监控

特定品牌服务器如硬盘坏内存坏（项太多影响性能）应用监控—WEB逻辑模拟zabbix(Centreon+nagios+Nrpe+PNP+NDO.ganglia)运维体系运维规范介绍--邢飞共18页，您现在浏览的是第9页!系统层运维集中管理及自动化（目标）Puppet(Func,Cfengine)客户端

任务分发

传统现有模式(SSHKey方式）的问题自动化Puppet+shell(脚本语言）

自动监控，集中管理客户端部署

系统光盘裁剪

自动化系统安装

运维体系运维规范介绍--邢飞共18页，您现在浏览的是第10页!运维体系内容底层运维：（大公司小公司的区别）硬件---服务器虚拟化负载均衡（防火墙，存储，VPN,入侵检测/防御，交换机）网络系统架构设计---远程管理NAT负载均衡（HA,冗余，可扩展，端口分离）CDN子网(VPN)系统层运维：操作系统及应用服务器端软件的选择架构设计及技术发展的跟踪优化---操作系统优化服务器端软件优化（架构优化）安全---操作系统安全服务器端软件安全（网络安全）监控---系统底层参数监控端口监控报警备份及归档---程序备份数据备份日志备份数据库备份集中管理（可选）自动化应用运维：运维体系运维规范介绍--邢飞共18页，您现在浏览的是第11页!底层运维网络系统架构设计

远程管理架构

NAT架构（隐藏端口,减少公网IP)

子网设计(VPN互通)

负载均衡（负载分担HA,冗余，减少单点，可扩展（项目生命周期，规模扩大），端口分离）

CDN双线BGP（动静态分离,隐藏主站IP，动态路由加速，CNAME,第三方CDN厂商，节点质量监控）

集中存储-（NFS）-分布式存储

业务架构与应用软件架构与项目经理及研发人员沟通！！

运维体系运维规范介绍--邢飞共18页，您现在浏览的是第12页!底层运维架构图2（CDN)运维体系运维规范介绍--邢飞共18页，您现在浏览的是第13页!系统层运维服务器端软件技术的选择及跟踪

—ApacheNginxLighttpdCherokeehiawathaftp–proftpdpure-ftpdvsftpd(ncftpd)mail-sendmailqmailpostfixeximcourierdatabase-mysql(PerconaMariaDB)PostgresqlFirebirdOraclenosql–mongoDBrediscassandracouchdb(Memcached-FlareTC/TT)

语言—PerlPythonPHPRubyLuaJavaTCL/TK(Shell)

版本控制—CVSSubverisonGitDNS–BINDmaraDNSPowerDNS

负载均衡-HaproxyLVSHA-heartbeatkeepalivedProxy-SquidVarnishTrafficServerfirewall—iptables(ipchains)shorewall—Netfilter

监控---nagios(centreon)zabbixganglia(cactiMRTG)ssh---opensshssh

集中管理–puppetcfenginefunc

文件同步---rsync(配合inotify)unison

备份----BaculaAmandaSSL加密库–OpenSSLPolarSSLJSP引擎----TomcatResin（Jboss，Weblogic,Websphere)

分布式文件系统–GlusterFShadoopHDFSMogileFSFastDFSCephMooseFS（DRBD)

其他：SAMBAOpenLDAPFreeRadiusOpenVPNNMAP

MyFtp99/pub/

每天更新99/pub/books/

电子书

运维体系运维规范介绍--邢飞共18页，您现在浏览的是第14页!系统层运维优化：操作系统优化服务器端软件优化（架构优化）

操作系统的优化：简单即美：Simple

is

beautiful

尽量最小安装，精简

关闭不必要的服务及ttys

内核升级及参数调优（文件系统的选择）--一切皆有度

服务器端软件优化：如Apache(Nginx)MySQL参数调优

架构优化：负载均衡（CDN)多点冗余（MySQL主从/多主/集群读写分离）

运维体系运维规范介绍--邢飞共18页，您现在浏览的是第15页!系统层运维（规范）分离原则规范系统分区与数据分区分离/与/ROOT分离

数据与程序以普通用户身份装到/ROOT下运维与