AIX6.1操作系統(tǒng)部署方案設(shè)計(jì)和安裝配置指南（V1.1）

1、aix6.1aix6.1 操作系統(tǒng)部署方案設(shè)計(jì)和安操作系統(tǒng)部署方案設(shè)計(jì)和安 裝裝 配置指南配置指南 （v1.1v1.1） 北京數(shù)據(jù)中心開(kāi)放系統(tǒng)平臺(tái)管理部北京數(shù)據(jù)中心開(kāi)放系統(tǒng)平臺(tái)管理部 2010-3 目目 錄錄 1前言前言.5 1.1編寫(xiě)目的.5 1.2預(yù)期讀者.5 2系統(tǒng)部署模式系統(tǒng)部署模式.6 2.1單機(jī)模式.6 2.2基于系統(tǒng)技術(shù)的 ha 方案；.6 2.2.1active-standby主備方式.7 2.2.2active-active 互備方式.7 2.2.3一備二模式.7 2.2.4循環(huán)備份模式.8 2.2.5concurrent并行處理模式.9 2.3基于軟件技術(shù)的cluster方

2、案.9 2.4基于網(wǎng)絡(luò)硬件設(shè)備的負(fù)載均衡方案.9 3應(yīng)用部署建議應(yīng)用部署建議.10 4系統(tǒng)設(shè)計(jì)考慮的因素系統(tǒng)設(shè)計(jì)考慮的因素.11 4.1用戶.11 4.2相關(guān)命名.11 4.3存儲(chǔ)/本地盤容量限制.11 4.4系統(tǒng)網(wǎng)絡(luò).12 4.5參數(shù)設(shè)置.12 4.6軟件安裝.12 4.7空間規(guī)劃.13 4.8安全加固.13 4.9時(shí)鐘同步.14 5命名規(guī)范命名規(guī)范.15 5.1資源分配原則.15 5.1.1設(shè)備分檔.15 5.1.2資源調(diào)整.15 5.2機(jī)器及機(jī)柜的編號(hào)規(guī)則.15 5.2.1機(jī)柜的命名和編號(hào)規(guī)則.15 5.3分區(qū)使用規(guī)范.16 5.3.1分區(qū)的部署原則.16 5.3.2分區(qū)資源的分配原則.

3、16 5.4主機(jī)命名原則.18 5.5用戶及用戶組命名.19 5.5.1目標(biāo).19 5.5.2指導(dǎo)方針.19 5.5.3用戶組.20 5.5.4用戶.21 5.5.5用戶和組id的分配情況.22 5.6應(yīng)用 vg、lv 和文件系統(tǒng).23 5.6.1應(yīng)用vg.23 5.6.2應(yīng)用lv的命名.24 5.6.3lv條帶化.25 5.6.4應(yīng)用文件系統(tǒng)的使用規(guī)范.37 5.6.5patrol監(jiān)控使用的文件系統(tǒng).38 5.7軟件安裝路徑.25 5.7.1數(shù)據(jù)庫(kù).25 5.7.2中間件.25 5.7.3應(yīng)用系統(tǒng).25 5.8hacmp命名.26 5.8.1命名規(guī)則.26 5.8.2配置舉例.26 6aix

4、 設(shè)計(jì)規(guī)范設(shè)計(jì)規(guī)范.28 6.1操作系統(tǒng)的內(nèi)核.28 6.2軟件包安裝規(guī)范.28 6.2.1aix系統(tǒng)需要安裝的軟件包.28 6.2.2字符集安裝要求.29 6.3系統(tǒng)補(bǔ)丁的安裝規(guī)范.29 6.3.1操作系統(tǒng).29 6.3.2adapter 微碼.30 6.4操作系統(tǒng)參數(shù)的設(shè)置.30 6.4.1基本操作參數(shù)系統(tǒng)環(huán)境.30 6.4.2vmm參數(shù).31 6.4.3io參數(shù).32 6.4.4網(wǎng)絡(luò)參數(shù).33 6.4.5security參數(shù).34 6.4.6hacmp相關(guān)參數(shù).34 6.5系統(tǒng)主要文件系統(tǒng)的使用方法.35 6.5.1/tmp .35 6.5.2/var.36 6.5.3/usr .36

5、6.5.4/ .36 6.5.5/home.36 6.5.6aix文件系統(tǒng)建議值.37 6.6系統(tǒng)轉(zhuǎn)儲(chǔ)空間和交換區(qū)的設(shè)置.38 6.6.1dump設(shè)置.38 6.6.2pagingspace設(shè)置.38 6.7用戶權(quán)限設(shè)置.39 6.7.1用戶文件權(quán)限規(guī)范.39 6.7.2用戶資源限制.39 6.8口令使用規(guī)范.39 6.8.1口令設(shè)置規(guī)范.39 6.8.2口令保存規(guī)范.40 6.8.3用戶口令限制.40 6.8.4root用戶口令使用規(guī)范.41 6.9系統(tǒng)安全加固.41 6.9.1系統(tǒng)安全加固的原則.41 6.9.2aix系統(tǒng)安全加固.41 6.9.3 用戶path搜索路徑.41 6.10系統(tǒng)

6、網(wǎng)絡(luò)設(shè)置規(guī)范.46 6.10.1ip地址申請(qǐng).46 6.10.2網(wǎng)卡速率的設(shè)置.49 6.10.3網(wǎng)卡綁定的設(shè)置.49 6.10.4系統(tǒng)靜態(tài)路由的設(shè)置.49 6.10.5網(wǎng)絡(luò)端口的使用.50 6.11系統(tǒng)監(jiān)控.50 6.12系統(tǒng)備份的相關(guān)規(guī)定.51 6.13nfs 的使用 .51 1前言前言 1.1 編寫(xiě)目的編寫(xiě)目的 為總結(jié)我中心開(kāi)放系統(tǒng)建設(shè)的成果，加強(qiáng)開(kāi)放系統(tǒng)平臺(tái)建設(shè)工作的規(guī)范化 管理，我們梳理了開(kāi)放系統(tǒng)平臺(tái)基礎(chǔ)設(shè)施設(shè)計(jì)的相關(guān)文檔，并進(jìn)行了深化、細(xì) 化，力求結(jié)合實(shí)際的設(shè)計(jì)、實(shí)施工作，對(duì)設(shè)計(jì)、實(shí)施起到規(guī)范、指導(dǎo)作用。 本指南主要從一個(gè)設(shè)計(jì)者的角度進(jìn)行闡述，相關(guān)章節(jié)也按此思路編寫(xiě)。作 為一個(gè)設(shè)計(jì)

7、者，首先要了解產(chǎn)品可實(shí)現(xiàn)的部署模式，如何選擇部署模式，其次 要考慮設(shè)計(jì)涉及到的因素，有針對(duì)性地做好 ibm 操作系統(tǒng)的設(shè)計(jì)等； 在界線的劃分上，基礎(chǔ)產(chǎn)品只涉及本產(chǎn)品的設(shè)計(jì)，上層應(yīng)用產(chǎn)品對(duì)基礎(chǔ)產(chǎn) 品的需求放在應(yīng)用產(chǎn)品中，例如，oracle 部署對(duì) aix 的要求，放在 oracle 設(shè)計(jì)指導(dǎo)中。 在編寫(xiě)過(guò)程中，特別關(guān)注可操作性，不僅僅是要求，而是提出建議，盡量 覆蓋設(shè)計(jì)工作中涉及的工作要點(diǎn)。本指南中參數(shù)建議值是對(duì)系統(tǒng)設(shè)計(jì)時(shí)的指導(dǎo)， 是合理的經(jīng)驗(yàn)值，但由于應(yīng)用系統(tǒng)的復(fù)雜性，每個(gè)系統(tǒng)有自己的特點(diǎn)，建議按 建議值進(jìn)行系統(tǒng)的初始配置，在壓力測(cè)試和系統(tǒng)上線后根據(jù)實(shí)際需要做相應(yīng)的 調(diào)整。 1.2 預(yù)期讀者預(yù)

8、期讀者 項(xiàng)目基礎(chǔ)設(shè)施可行性研究、設(shè)計(jì)和實(shí)施人員，項(xiàng)目組應(yīng)用系統(tǒng)設(shè)計(jì)人員， 相關(guān)運(yùn)行維護(hù)技術(shù)人員。 2系統(tǒng)部署模式系統(tǒng)部署模式 對(duì)于業(yè)務(wù)中斷時(shí)間要求高的系統(tǒng)和服務(wù)，應(yīng)該提供高可用性保護(hù)。對(duì)于業(yè) 務(wù)中斷時(shí)間要求不高的應(yīng)用系統(tǒng)，可以考慮采用單機(jī)或冷備機(jī)方式進(jìn)行部署。 針對(duì)網(wǎng)絡(luò)的不同層次，我們提供了不同的高可用性保護(hù)方式。包括： 1、基于系統(tǒng)技術(shù)的 ha 方案； 2、基于軟件技術(shù)的 cluster 方案； 3、基于網(wǎng)絡(luò)硬件設(shè)備的負(fù)載均衡方案； 4、基于數(shù)據(jù)庫(kù)技術(shù)的并行處理模式 2.1 單機(jī)模式單機(jī)模式 對(duì)于業(yè)務(wù)中斷恢復(fù)時(shí)間要求比較低的非關(guān)鍵系統(tǒng)，可以采用單機(jī)的部署模 式，單機(jī)部署具有以下特點(diǎn)。 優(yōu)點(diǎn)優(yōu)

9、點(diǎn) 1、 硬件成本低。單節(jié)點(diǎn)，硬件投入較低，滿足非重要系統(tǒng)的需求。 2、 安裝配置簡(jiǎn)單，管理維護(hù)成本低。 缺點(diǎn)缺點(diǎn) 1、 可用性不高，由于是單臺(tái)服務(wù)器，沒(méi)有備機(jī)，故障恢復(fù)時(shí)間較長(zhǎng)。 2、 擴(kuò)展性差。 2.2 基于系統(tǒng)技術(shù)的基于系統(tǒng)技術(shù)的 ha 方案；方案； ha 方案方案是服務(wù)器生產(chǎn)廠商或第三方提供的，基于硬件設(shè)備的系統(tǒng)級(jí)軟件。 它可以提供系統(tǒng)失效接管的自動(dòng)解決方案，在系統(tǒng)失效后，自動(dòng)將應(yīng)用相關(guān)資 源交由備份機(jī)接管，并可以自動(dòng)恢復(fù)業(yè)務(wù)的運(yùn)行。應(yīng)用相關(guān)資源包括：網(wǎng)絡(luò)地 址，應(yīng)用代碼、存儲(chǔ)和業(yè)務(wù)數(shù)據(jù)，進(jìn)程及相關(guān)內(nèi)存區(qū)，相關(guān)服務(wù)。ha 解決方 案的缺點(diǎn)是：技術(shù)復(fù)雜，需要一整套硬件設(shè)施來(lái)提供失效接管的

10、冗余結(jié)構(gòu)，包 括服務(wù)器、網(wǎng)絡(luò)鏈路、存儲(chǔ)鏈路、存儲(chǔ)空間等，其開(kāi)銷是比較大的，另外，維 護(hù)成本也相應(yīng)提高；ha 方案的優(yōu)點(diǎn)是：業(yè)務(wù)恢復(fù)的時(shí)間短，自動(dòng)化程度高， 不需要人工干預(yù)。此方案適合部署了數(shù)據(jù)庫(kù)軟件的服務(wù)器使用，對(duì)于單數(shù)據(jù)庫(kù)、 多數(shù)據(jù)庫(kù)、并行數(shù)據(jù)庫(kù)都適用。部署方式主要有： 2.2.1 active-standby 主備方式主備方式 主備方式主備方式 一臺(tái)服務(wù)器為生產(chǎn)機(jī)，另一臺(tái)服務(wù)器為備份機(jī)，備機(jī)平時(shí)不提供 任何服務(wù)。這種方式適用于服務(wù)器在故障切換后，要求備機(jī)處理能力不能下降 的重要系統(tǒng)。對(duì)于采用 ha 方式的數(shù)據(jù)庫(kù)軟件代碼、中間件代碼、應(yīng)用代碼要求 部署在本地，數(shù)據(jù)部分部署在共享存儲(chǔ)上。 2.

11、2.2 active-active 互備方式互備方式 一般由于服務(wù)器數(shù)量限制，但又有高可用保護(hù)需求的系統(tǒng)，如只有兩臺(tái)服 務(wù)器的系統(tǒng)一臺(tái)為 ap，一臺(tái)為 db 服務(wù)器。ap 與 db 服務(wù)器配置成互為備份， ap 服務(wù)器平時(shí)提供應(yīng)用服務(wù)，db 平時(shí)提供數(shù)據(jù)庫(kù)服務(wù)，當(dāng)任一臺(tái)服務(wù)器故障 時(shí)，其上的服務(wù)會(huì)切換到另一臺(tái)健康的服務(wù)器上，繼續(xù)對(duì)外提供服務(wù)。此時(shí)由 于 ap、db 同時(shí)運(yùn)行在一臺(tái)服務(wù)器上，服務(wù)器的處理能力會(huì)明顯下降。這種方 式適用于服務(wù)器負(fù)載相對(duì)空閑的系統(tǒng)。部署時(shí)還要考慮切換后兩個(gè)服務(wù)使用一 臺(tái)服務(wù)器的 cpu、內(nèi)存資源，由于資源的減少，當(dāng) db 服務(wù)切換到 ap 服務(wù)器 上，啟動(dòng)數(shù)據(jù)庫(kù)時(shí)，需

12、要減小 db 的 sga 區(qū)分配等操作（oracle） ，以滿足數(shù)據(jù) 庫(kù)對(duì)資源的需求。 2.2.3 一備二模式一備二模式 一備二模式類似于主備模式，只是備份服務(wù)器同時(shí)承擔(dān)兩臺(tái)生產(chǎn)機(jī)的備份 工作，優(yōu)點(diǎn)是可以節(jié)省一臺(tái)備份服務(wù)器。如 a 為生產(chǎn)主機(jī)，b 為生產(chǎn)主機(jī)，c 為備份機(jī)，c 機(jī)同時(shí)備份 a 機(jī)及 b 機(jī)?？紤]數(shù)據(jù)存儲(chǔ)的安全，配置一備二的系 統(tǒng)，a、b 兩臺(tái)生產(chǎn)機(jī)的存儲(chǔ)設(shè)備不需共享，即不識(shí)別對(duì)方的存儲(chǔ)設(shè)備。 2.2.4 循環(huán)備份模式循環(huán)備份模式 a-b-c 均為生產(chǎn)機(jī)，c 機(jī)備份 a 機(jī)，c 機(jī)備份 b 機(jī)，a 機(jī)又備份 c 機(jī)。這 種方式適用于服務(wù)器資源緊張的非關(guān)鍵應(yīng)用，又有高可用保護(hù)要求的

13、系統(tǒng)，缺 點(diǎn)是只有一臺(tái)生產(chǎn)服務(wù)器發(fā)生故障時(shí)備機(jī)可以接管，當(dāng)兩臺(tái)服務(wù)器同時(shí)發(fā)生故 障時(shí)備機(jī)無(wú)法正常接管。 注意：對(duì)于采用一備二或者循環(huán)備份方式的系統(tǒng)需要考慮兩個(gè)因素，一是實(shí)施 要求，集群中的所有服務(wù)器需要部署在相同網(wǎng)段；二是維護(hù)要求，由于所有服 務(wù)器均在同一個(gè)集群 cluster 中，如果其中的一臺(tái)主機(jī)進(jìn)行配置變更需要 ha 同步 配置時(shí)，整個(gè)集群中的服務(wù)器都需要停下來(lái)同步 ha，因此最好是同一套應(yīng)用系 統(tǒng)，且可以同時(shí)啟停的系統(tǒng)采用一備多的方式。 2.2.5 concurrent 并行處理模式并行處理模式 適用于 oracle 數(shù)據(jù)庫(kù)的 rac 方式等，詳細(xì)內(nèi)容見(jiàn) oracle 設(shè)計(jì)規(guī)范部分。

14、2.3 基于軟件技術(shù)的基于軟件技術(shù)的 cluster 方案方案 基于軟件技術(shù)的基于軟件技術(shù)的 cluster 方案方案，是利用中間件等應(yīng)用平臺(tái)軟件本身具有的集 群功能，將應(yīng)用部署到多臺(tái)設(shè)備上，在某臺(tái)設(shè)備出現(xiàn)故障時(shí)，由其它正常的設(shè) 備將出現(xiàn)故障的設(shè)備上的客戶訪問(wèn)請(qǐng)求接管過(guò)來(lái)，繼續(xù)提供服務(wù)。 （如 tuxedo、weblogic、websphere 的集群技術(shù)）cluster 方案的缺點(diǎn)是：需要購(gòu)買額 外的 license；配置比較復(fù)雜，增加了管理難度；此方案的優(yōu)點(diǎn)是：不需要購(gòu)置 額外的網(wǎng)絡(luò)鏈路、存儲(chǔ)鏈路，也不需要額外的存儲(chǔ)空間，業(yè)務(wù)恢復(fù)的時(shí)間比較 短，只有連接故障服務(wù)器的客戶需要重新登錄；此方案

15、適合那些部署了帶有集 群功能軟件的設(shè)備使用，主要適合應(yīng)用層的中間件服務(wù)器使用。 2.4 基于網(wǎng)絡(luò)硬件設(shè)備的負(fù)載均衡方案基于網(wǎng)絡(luò)硬件設(shè)備的負(fù)載均衡方案 基于網(wǎng)絡(luò)硬件設(shè)備的負(fù)載均衡方案基于網(wǎng)絡(luò)硬件設(shè)備的負(fù)載均衡方案，是利用網(wǎng)絡(luò)負(fù)載均衡設(shè)備，根據(jù)一定 的負(fù)載均衡算法，將客戶端訪問(wèn)請(qǐng)求分配到若干臺(tái)服務(wù)器上，其中任何一臺(tái)服 務(wù)器出現(xiàn)故障都不影響業(yè)務(wù)的正常運(yùn)行。這種解決方案的優(yōu)點(diǎn)是：服務(wù)器上不 需要配置任何冗余部件，也不需要進(jìn)行任何額外的軟件配置，控制簡(jiǎn)單，服務(wù) 器擴(kuò)展平滑簡(jiǎn)單。缺點(diǎn)是：只能對(duì)少數(shù)類型的服務(wù)提供負(fù)載均衡功能。此方案 尤其適合 web 服務(wù)。 3應(yīng)用部署建議應(yīng)用部署建議 在三層架構(gòu)中，居于中

16、心位置的是業(yè)務(wù)數(shù)據(jù)。相對(duì)于業(yè)務(wù)代碼和 web 服務(wù)， 業(yè)務(wù)數(shù)據(jù)的規(guī)模比較大，業(yè)務(wù)數(shù)據(jù)一旦丟失，整個(gè)業(yè)務(wù)都將陷于停頓，并且難 以恢復(fù)。因此，應(yīng)該重點(diǎn)保護(hù)業(yè)務(wù)數(shù)據(jù)。應(yīng)用邏輯是重要性相對(duì)低一些的部分， 恢復(fù)相對(duì)容易，所以在三層架構(gòu)中是次要保護(hù)對(duì)象。重要性最低的是數(shù)據(jù)展現(xiàn) 層，該層沒(méi)有自己獨(dú)立的數(shù)據(jù)和業(yè)務(wù)邏輯，完全被動(dòng)地展現(xiàn)經(jīng)業(yè)務(wù)邏輯層過(guò)濾 后的業(yè)務(wù)數(shù)據(jù)，因此，它的恢復(fù)是最容易的，不需要花費(fèi)太大的力量進(jìn)行保護(hù)。 根據(jù)上述分析，結(jié)合三層應(yīng)用架構(gòu)的特點(diǎn)，我們建議： 1、為數(shù)據(jù)庫(kù)服務(wù)器提供最高級(jí)別的可用性保護(hù)，也就是基于系統(tǒng)技術(shù)的 ha 保護(hù)。如果業(yè)務(wù)明確提出，數(shù)據(jù)重要程度很低或易于恢復(fù)，業(yè)務(wù)對(duì)恢復(fù)時(shí) 間的

17、要求也不高，也可以不進(jìn)行 ha 保護(hù)。 2、應(yīng)用層服務(wù)器進(jìn)行基于軟件技術(shù)的 cluster 保護(hù)。因業(yè)務(wù)邏輯相對(duì)容易 恢復(fù)，所以，我們建議選用 cluster 解決方案。 3、針對(duì)最簡(jiǎn)單的 web 層服務(wù)器，我們建議用網(wǎng)絡(luò)負(fù)載均衡設(shè)備實(shí)現(xiàn)服務(wù) 的高可用性。 4系統(tǒng)設(shè)計(jì)考慮的因素系統(tǒng)設(shè)計(jì)考慮的因素 4.1 用戶用戶 用戶分?jǐn)?shù)據(jù)庫(kù)用戶、中間件用戶、應(yīng)用用戶、應(yīng)用監(jiān)控用戶、應(yīng)用維護(hù)用 戶等，不同的用戶劃分不同的權(quán)限及組，避免同一用戶擁有不同角色的權(quán)限。 原則上： 1、 應(yīng)用用戶不能屬于數(shù)據(jù)庫(kù)組也不能屬于中間件組 2、 用戶的 rwx 權(quán)限限制，應(yīng)用監(jiān)控用戶不能對(duì)應(yīng)用程序及配置文件有寫(xiě)和 執(zhí)行權(quán)限 3

18、、 應(yīng)用用戶不能有啟停數(shù)據(jù)庫(kù)的權(quán)限 4、 規(guī)范用戶口令設(shè)置，登陸權(quán)限 5、 合理設(shè)置用戶資源限制 limits 4.2 相關(guān)命名相關(guān)命名 統(tǒng)一命名規(guī)則，需要統(tǒng)一的命名的內(nèi)容包括：機(jī)柜、主機(jī)、分區(qū)、操作系 統(tǒng)、用戶、用戶組、id、文件系統(tǒng)、卷組、邏輯卷、目錄、集群 ha 等。 4.3 存儲(chǔ)存儲(chǔ)/本地盤容量限制本地盤容量限制 單個(gè)分區(qū)本地磁盤一般配置為 2 到 4 塊 146gb 的 scsi 硬盤，用于 rootvg、軟件代碼安裝。 外置存儲(chǔ)： 1、 數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)加工處理類服務(wù)器、需要存儲(chǔ)空間很大的系統(tǒng)及有 共享需求的系統(tǒng)可以連接外接存儲(chǔ)設(shè)備。 2、 數(shù)據(jù)庫(kù)一般使用劃分為 raid10 的

19、磁盤，文件系統(tǒng)一般使用劃分為 raid5 的磁盤。 3、 為了合理利用存儲(chǔ)及交換機(jī)資源，應(yīng)用服務(wù)器、web 服務(wù)器、windows 服務(wù)器一般不連接存儲(chǔ)設(shè)備。 4.4 系統(tǒng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò) 系統(tǒng)網(wǎng)絡(luò)設(shè)置： 1、 對(duì)于沒(méi)有 ha 保護(hù)的服務(wù)器系統(tǒng)，為了提高可用性，網(wǎng)卡配置為雙網(wǎng)卡 綁定工作，模式為主備模式，兩塊網(wǎng)卡分別連接主備兩臺(tái)交換機(jī)。 2、 網(wǎng)卡的速率設(shè)置需要與網(wǎng)絡(luò)部門共同確定，需要與交換機(jī)的端口設(shè)置保 持一致，要求采用自適應(yīng)模式（包括光口和電口） 。 3、 網(wǎng)絡(luò)參數(shù)，根據(jù)安裝的軟件需求，進(jìn)行合理的設(shè)置，以滿足應(yīng)用部署需 求。 4.5 參數(shù)設(shè)置參數(shù)設(shè)置 服務(wù)器參數(shù)設(shè)置首先滿足其上部署的數(shù)據(jù)庫(kù)或中

20、間件對(duì)操作系統(tǒng)的參數(shù)設(shè) 置要求，再根據(jù) ibm 的建議值進(jìn)行設(shè)置。參數(shù)設(shè)置包括 1、 pagingspace 2、 vmm 3、 網(wǎng)絡(luò) 4、 io 5、 操作系統(tǒng)位數(shù) 6、 異步 io 7、 時(shí)區(qū)（使用東八區(qū)） 8、 語(yǔ)言環(huán)境（中文環(huán)境） 4.6 軟件安裝軟件安裝 數(shù)據(jù)庫(kù)、中間件、應(yīng)用等軟件的代碼安裝在本地磁盤的文件系統(tǒng)上，安裝 目錄統(tǒng)一命名，并建立相應(yīng)文件系統(tǒng)，不能使用系統(tǒng)的文件系統(tǒng)作為軟件安裝 目錄。 例： 數(shù)據(jù)庫(kù)軟件安裝在 /home/db/informix 中間件安裝在/home/mw/weblogic 應(yīng)用軟件/home/ap/ocrm 4.7 空間規(guī)劃空間規(guī)劃 1、 系統(tǒng)級(jí)文件系統(tǒng)

21、大小設(shè)置 2、 非系統(tǒng)級(jí)文件系統(tǒng)的空間大小根據(jù)實(shí)際需要進(jìn)行設(shè)置，如 /home/db/oracle 10gb /home/db/informix 5gb /home/mw/weblogic 2gb 3、 存儲(chǔ)空間一般按滿足業(yè)務(wù)數(shù)據(jù)半年到一年的增長(zhǎng)需求進(jìn)行分配 4.8 安全加固安全加固 ibm aix 主機(jī)操作系統(tǒng)安全加固技術(shù)主要是通過(guò)對(duì)操作系統(tǒng)本身模塊和組 件的增加，修改或裁剪等技術(shù)，屏蔽和消除操作系統(tǒng)自身缺陷和安全漏洞，確 保操作系統(tǒng)安全穩(wěn)定運(yùn)行，滿足業(yè)務(wù)系統(tǒng)穩(wěn)定、安全運(yùn)行的要求。遵循以下原 則： 1、組件服務(wù)最少 最小的服務(wù)和組件。 區(qū)分服務(wù)器的用途和角色，禁止安裝不必要的服務(wù)和組件。 服

22、務(wù)內(nèi)部組件也應(yīng)采用上述原則進(jìn)行裁減。 2、最小賬戶 進(jìn)行嚴(yán)格的賬戶管理，實(shí)施嚴(yán)格的賬戶策略。 嚴(yán)格控制增加、修改和刪除系統(tǒng)中的賬戶、群組。 刪除所有系統(tǒng)上不使用的賬戶和數(shù)據(jù)中心組。 3、最小權(quán)限 盡可能的降低系統(tǒng)服務(wù)、群組和賬戶的權(quán)限。 對(duì)操作系統(tǒng)提供權(quán)限的授予進(jìn)行嚴(yán)格限制。 禁止不必要的賬戶訪問(wèn)不需要的資源。 4、專用原則 盡量避免利用一臺(tái)主機(jī)實(shí)現(xiàn)多種服務(wù)的角色功能。 分區(qū)專用，隔離系統(tǒng)、應(yīng)用和數(shù)據(jù)所在的分區(qū)。 安裝 openssh 軟件，禁用 telnet 服務(wù)。 定期檢查 ibm 發(fā)布的 security 補(bǔ)丁建議，補(bǔ)丁鏈接地址： http:/ export tmout 增強(qiáng)安全性 3h

23、istexpirehistexpire026密碼可重新使用前的星期數(shù)。 4minalphaminalpha 02密碼中最少有幾個(gè)字母（無(wú) 論大小寫(xiě)） 5minotherminother 02密碼中最少有幾個(gè)非字母字 符（不區(qū)分?jǐn)?shù)字和符號(hào)） 6minlenminlen 08密碼最小位數(shù) 7maxrepeatsmaxrepeats83在密碼中可重復(fù)字符的最大數(shù)目 6.4.6 hacmp 相關(guān)參數(shù)相關(guān)參數(shù) 序號(hào)序號(hào)參數(shù)參數(shù)參數(shù)名稱參數(shù)名稱 defaultdefault 建議值建議值調(diào)整原則及注釋調(diào)整原則及注釋 maxpout8193不修改1i/o pacing minpout4096 通過(guò) smit

24、ty chgsys調(diào)整高低水印, 每當(dāng)系統(tǒng)內(nèi)有其它應(yīng)用在做大量 的 i/o 操作時(shí)，用戶可能會(huì)碰到如 交互性能受到嚴(yán)重影響等問(wèn)題. 2syncsync 進(jìn)程同步頻 率 60 秒10可能在繁重的 i/o 傳輸期間增加觸 發(fā) deadman switch 的可能性。 3tty 流控 制 flow controlsoftware flow control (xon) software flow control (xon) somehow the hardware flow (rts) control for tty was recommended however it could result in

25、 potential tty overrun error in hacmp/rsct environment. 4tty 波特 率 1)ha 配置中的 change network custom module 2)創(chuàng)建 tty 時(shí)指定 bate rate=9600 空(38400)9600hacmp 配置中的 tty 波特率默認(rèn)是 空，空=38400，與 tty 物理設(shè)備的 9600 設(shè)置保持一致。 5failure detection rate of a network module normalslow減慢 ha 心跳線的診斷頻率 emc 磁 盤自定 義的解 鎖腳本 在 hacmp 中設(shè)

26、置 emcpowerreset 以及 break reserves in parallel =true 沒(méi)有增加提高h(yuǎn)acmp對(duì)磁盤的啟動(dòng) 和切換速度及異機(jī)情況的磁 盤解鎖 6 hds 磁 盤自定 義的解 鎖腳本 add a custom cluster event； add custom disk methods 沒(méi)有增加提高 hacmp 對(duì)磁盤的啟動(dòng) 和切換速度及異機(jī)情況的磁 盤解鎖 6.5 系統(tǒng)主要文件系統(tǒng)的使用方法系統(tǒng)主要文件系統(tǒng)的使用方法 在 unix 系統(tǒng)中，有五個(gè)主要的系統(tǒng)文件系統(tǒng)，它們是 /、/usr、/var、/tmp 和/home。 6.5.1/tmp /tmp 文件系統(tǒng)只

27、應(yīng)包含臨時(shí)文件。分配給/tmp 的磁盤空間不應(yīng)太大，應(yīng)該 在需要的時(shí)候再增加。應(yīng)用系統(tǒng)運(yùn)行時(shí)產(chǎn)生的臨時(shí)文件不放在/tmp 目錄下，存 放到應(yīng)用文件系統(tǒng)指定的目錄下。運(yùn)行維護(hù)時(shí)產(chǎn)生的臨時(shí)備份文件和日常維護(hù) 需要存放的巡檢信息、監(jiān)控信息等文件存放到/home/backupfile 下， /home/backupfile 文件系統(tǒng)的創(chuàng)建要求見(jiàn) 6.5.6。 6.5.2/var /var 應(yīng)該是一個(gè)單獨(dú)的文件系統(tǒng)，并且應(yīng)該允許其隨需求而增長(zhǎng)。如果將 /var 建立在其它文件系統(tǒng)中，如 / 根文件系統(tǒng)中，當(dāng)某個(gè)應(yīng)用發(fā)生嚴(yán)重問(wèn)題 或者出現(xiàn)硬件故障時(shí)，系統(tǒng)將會(huì)產(chǎn)生大量的日志，會(huì)造成 / 文件系統(tǒng)很快就被 填

28、滿，不能繼續(xù)生成日志，而 / 文件系統(tǒng)被填滿了服務(wù)將會(huì)中斷，由此會(huì)產(chǎn)生 嚴(yán)重的后果。 建立/var 文件系統(tǒng)時(shí)，需要對(duì)所需空間的大小進(jìn)行估算。建議/var 文件系 統(tǒng)大小應(yīng)該從 3gb 開(kāi)始向上增長(zhǎng)。對(duì)于需要大量日志的 web 或郵件服務(wù)器，可 能需要分配更大的空間。 6.5.3/usr 考慮到一些系統(tǒng)產(chǎn)品或是應(yīng)用產(chǎn)品可能需要安裝在/usr 下，因此可以初始 給/usr 文件系統(tǒng)一個(gè)較大的值，當(dāng)這個(gè)值不夠用時(shí)，在適當(dāng)?shù)娜U(kuò)此文件系統(tǒng)。 6.5.4 / 盡管將 / 根文件系統(tǒng)作為存放所有內(nèi)容的文件系統(tǒng)，并使其足夠大，以處 理更多的任務(wù)，這似乎很方便。但是，將 / 根文件系統(tǒng)保持較小會(huì)更合適，因

29、為 / 根文件系統(tǒng)的主要存放/etc、/dev、內(nèi)核，以及一些靜態(tài)鏈接的二進(jìn)制文 件，空間需求較少。 與/usr 不同的是，/ 根文件系統(tǒng)必須設(shè)置為可讀 / 可寫(xiě)權(quán)限，因?yàn)樗欠胖?系統(tǒng)配置信息、設(shè)備文件系統(tǒng)以及/proc 文件系統(tǒng)的地方。 考慮到內(nèi)置硬盤的實(shí)際情況，我們考慮在實(shí)施過(guò)程中適當(dāng)?shù)膶⒏募w系統(tǒng)擴(kuò) 大一些。 6.5.5/home 根據(jù)服務(wù)器的用途，/home 可以被認(rèn)為是操作系統(tǒng)的一部分或者是應(yīng)用程 序的一部分。由于一些軟件產(chǎn)品的安裝，對(duì)/home 文件有較大的空間要求，因 此實(shí)施過(guò)程中需對(duì) /home 文件系統(tǒng)進(jìn)行考慮。 6.5.6 建立建立/home/backupfile 文件

30、系統(tǒng)用于存放臨時(shí)文件文件系統(tǒng)用于存放臨時(shí)文件 在 rootvg 中創(chuàng)建用于存放臨時(shí)備份文件，或日常維護(hù)需要存放巡檢信息、 監(jiān)控信息等文件的目錄，文件系統(tǒng)初始大小 10gb，mount 點(diǎn) /home/backupfile。 jfs2 日志文件系統(tǒng) 目錄權(quán)限為 777 均支持大文件 6.5.7 rootvg 中主要文件系統(tǒng)大小建議值中主要文件系統(tǒng)大小建議值 文件系統(tǒng)文件系統(tǒng)值值備注備注 / 大小1gb /tmp 大小3gb /usr 大小4gb /home 大小1gb /var 大小3gb 6.5.8 應(yīng)用文件系統(tǒng)的使用規(guī)范應(yīng)用文件系統(tǒng)的使用規(guī)范 數(shù)據(jù)庫(kù)、中間件文件系統(tǒng) 生產(chǎn)環(huán)境的數(shù)據(jù)庫(kù)及中間件

31、將考慮安裝在一個(gè)單獨(dú)的文件系統(tǒng)上，而且文件系 統(tǒng)創(chuàng)建在本地，即需要在對(duì)等的兩臺(tái)主機(jī)上分別安裝數(shù)據(jù)庫(kù)和中間件，而對(duì)于 共享的信息或是數(shù)據(jù)庫(kù)的裸設(shè)備，則必須放置在外置存儲(chǔ)上。 應(yīng)用文件系統(tǒng) 應(yīng)用系統(tǒng)其他的文件系統(tǒng)原則上由各項(xiàng)目組分別提出，除此以外，為各個(gè)項(xiàng)目 組單獨(dú)建一個(gè)文件系統(tǒng)，mount 點(diǎn)在/home/ap，以供各個(gè)項(xiàng)目組放置自己的用 戶和其他信息。 均為日志文件系統(tǒng) jfs2 均支持大文件 均基于特定的 lv lv 均基于上述命名格式 6.5.9 patrol 監(jiān)控使用的文件系統(tǒng)監(jiān)控使用的文件系統(tǒng) 總行集中監(jiān)控項(xiàng)目需要在被監(jiān)控系統(tǒng)上創(chuàng)建單獨(dú)的文件系統(tǒng)，放置監(jiān)控軟件 及監(jiān)控?cái)?shù)據(jù)。 該文件系統(tǒng)

32、大小為 2gb，邏輯卷的名稱為 xxxv00l9110，掛接點(diǎn)為 /home/ap/patrol，其中 xxx 指項(xiàng)目名稱縮寫(xiě)。 6.6 系統(tǒng)轉(zhuǎn)儲(chǔ)空間和交換區(qū)的設(shè)置系統(tǒng)轉(zhuǎn)儲(chǔ)空間和交換區(qū)的設(shè)置 6.6.1 dump 設(shè)置設(shè)置 dump 大小為內(nèi)存大小的一半或用命令 sysdumpdev e（或 /usr/lib/ras/dumpcheck -p）進(jìn)行估算。dumpdev 功能選項(xiàng)設(shè)置應(yīng)該如下： # # sysdumpdevsysdumpdev -l-l primary /dev/lg_dumplv secondary /dev/sysdumpnull copy directory /var/ad

33、m/ras forced copy flag true always allow dump true dump compression on 6.6.2 pagingspace 設(shè)置設(shè)置 pagingspace 區(qū)的配置規(guī)則，按照以下原則配置： 1、內(nèi)存配置在 16g 以下：與內(nèi)存大小一致； 2、內(nèi)存配置在 16g 以上，交換區(qū)初始大小設(shè)置為 16g，以后根據(jù)實(shí)際使用 情況進(jìn)行調(diào)整； 交換區(qū) pagingspace 創(chuàng)建在本地磁盤，最好創(chuàng)建幾個(gè)相同大小的交換區(qū)設(shè) 備，分布在不同磁盤上，當(dāng)物理內(nèi)存不足時(shí)，能夠提供更好的 io 性能。 6.7 用戶權(quán)限設(shè)置用戶權(quán)限設(shè)置 6.7.1 用戶文件權(quán)限規(guī)范

34、用戶文件權(quán)限規(guī)范 為了保護(hù)應(yīng)用用戶的文件安全，制定安全規(guī)則如下： 1、文件擁有者對(duì)文件擁有全部權(quán)限； 2、同組的用戶對(duì)文件有讀和寫(xiě)的權(quán)限，沒(méi)有啟動(dòng)和停止應(yīng)用的權(quán)限； 3、其他用戶對(duì)文件只有讀權(quán)限； 系統(tǒng)的用戶 umask 設(shè)置為 027，應(yīng)用屬主可以根據(jù)需要進(jìn)行進(jìn)一步的設(shè)置。 方式有兩種： 1、 創(chuàng)建用戶時(shí)，把用戶的 umask 屬性設(shè)置為 027； 2、 修改用戶的.profile 文件，把 umask 027 命令加入，保存修改后，所 有新登錄的用戶創(chuàng)建的文件的權(quán)限都是 750（目錄）或 640（普通文件） 。 6.7.2 用戶資源限制用戶資源限制 放開(kāi)數(shù)據(jù)庫(kù)用戶、關(guān)鍵應(yīng)用用戶的資源使用限

35、制， /etc/security/limits，將以下 limits 設(shè)置為 -1 1、 如果應(yīng)用的 core 文件大于該限制值,所產(chǎn)生的 core 文件有可能不完整。 2、 如果限制 data, rss, stack，stack_hard 的大小，有可能使應(yīng)用因?yàn)?內(nèi)存資源不足而意外中止。 3、 如果限制 fsize，nofiles ，有可能因?yàn)槲募笮〉氖芟拗苹蛘叽蜷_(kāi)多 于限制之上的文件數(shù)量而導(dǎo)致應(yīng)用失敗。 6.8 口令使用規(guī)范口令使用規(guī)范 6.8.1 口令設(shè)置規(guī)范口令設(shè)置規(guī)范 1、密碼必須至少有 8 位。 2、密碼必須復(fù)雜，至少包括 3 個(gè)以下類型的字符： 1)大寫(xiě)英文字母 a, b,

36、c, . z 2)小寫(xiě)英文字母 a, b, c, . z 3)阿拉伯?dāng)?shù)字 0, 1, 2, . 9 4)非字母數(shù)字（“特殊字符” ） ，比如標(biāo)點(diǎn)符號(hào) 3、密碼不要包含用戶名、電子郵件名稱或者全名的任何部分。 4、密碼應(yīng)該定期更換，更換密碼的時(shí)間間隔最長(zhǎng)為 3 個(gè)月，有專門人員負(fù)責(zé)密 碼的保管和定期更換。 5、新的密碼不能與最近八個(gè)密碼中的任何一個(gè)相同。 6、密碼不應(yīng)該是字典中“常見(jiàn)”的單詞或者是一個(gè)行話單詞。密碼不要包含任 何語(yǔ)言的語(yǔ)句。 6.8.2 口令保存規(guī)范口令保存規(guī)范 各種應(yīng)用不得將數(shù)據(jù)庫(kù)管理員用戶，如：informix 的用戶名、用戶口令不 能設(shè)置在應(yīng)用程序中，寫(xiě)在配置文件中的用戶名

37、和口令需要加密存放。應(yīng)用軟 件有需要數(shù)據(jù)庫(kù)用戶的，視連接需要，例如：查詢、寫(xiě)入等功能需要，由數(shù)據(jù) 庫(kù)管理員建立相應(yīng)用戶并授權(quán)，由應(yīng)用系統(tǒng)進(jìn)行配置使用。 root 口令、數(shù)據(jù)庫(kù)管理用戶（例如 informix 和 oracle 用戶）口令、中間 件管理用戶（例如：websphere、weblogic、tuxedo 等）將由系統(tǒng)管理部門掌 握，各項(xiàng)目組的應(yīng)用用戶的口令由數(shù)據(jù)中心掌握，維護(hù)用戶由項(xiàng)目組掌握。 6.8.3 用戶口令限制用戶口令限制 aix 系統(tǒng)直接修改用戶屬性來(lái)控制用戶口令的設(shè)置規(guī)則，在 aix 系統(tǒng)上， 可以通過(guò)命令修改用戶口令限制，也可以直接修改/etc/security/user

38、 文件對(duì) 口令進(jìn)行限制，如果使用第二種方式，需要修改/etc/security/user 文件的下 列屬性值： 屬性屬性描述描述建議值建議值缺省值缺省值最大值最大值 histexpire在 6 個(gè)月（26 周）內(nèi)不允許重新使用以 前使用過(guò)的密碼 260 minalpha密碼中最少有幾個(gè)字母（無(wú)論大小寫(xiě)）2 minother密碼中最少有幾個(gè)非字母字符（不區(qū)分 數(shù)字和符號(hào)） 2 minlen密碼最小位數(shù)8 maxrepeats在密碼中可重復(fù)字符的最大數(shù)目。3 6.8.4 root 用戶口令使用規(guī)范用戶口令使用規(guī)范 原則上各種應(yīng)用軟件不得使用超級(jí)用戶進(jìn)行維護(hù)和啟停管理，有類似功能 需要的，可以由系統(tǒng)

39、管理員使用 root 建立相應(yīng)的用戶（組） ，由各應(yīng)用進(jìn)行使 用。 有些軟件需要用 root 用戶安裝，如 ibm websphere，但安裝后 websphere 的啟停操作必須改為非 root 用戶。 6.9 系統(tǒng)安全加固系統(tǒng)安全加固 6.9.1 系統(tǒng)安全加固的原則系統(tǒng)安全加固的原則 使用系統(tǒng)服務(wù)的原則如下： 1、不需要的服務(wù)一律關(guān)閉； 2、如果需要使用常見(jiàn)的服務(wù)，應(yīng)該避免使用缺省的端口號(hào)； 3、如果被使用的服務(wù)內(nèi)部可以對(duì)連接的機(jī)器和用戶進(jìn)行限制，應(yīng)該啟用限 制機(jī)制；（例如 ftp 服務(wù)） 6.9.2 aix 系統(tǒng)安全加固系統(tǒng)安全加固 tcpip 服務(wù)服務(wù) 配置文件：rc.

40、tcpip 服務(wù)名狀態(tài)(啟動(dòng)/關(guān)閉/視情況)說(shuō)明 dhcpcd關(guān)閉 autoconf6關(guān)閉 ndpd-host關(guān)閉 ndpd-router關(guān)閉 syslogd打開(kāi) nfs視情況nfs 服務(wù)器打開(kāi)，沒(méi)有使用 nfs 的系統(tǒng)關(guān)閉該服務(wù)。 lpd關(guān)閉 routed關(guān)閉 gated關(guān)閉 sendmail關(guān)閉 portmap打開(kāi)x-window 使用 inetd打開(kāi) named關(guān)閉 timed關(guān)閉 xntpd打開(kāi)根據(jù)需要打開(kāi) rwhod關(guān)閉 snmpd打開(kāi)patrol 監(jiān)控使用 在 hacmp 環(huán)境中，該服務(wù) 要打開(kāi) dhcpsd關(guān)閉 dhcprd關(guān)閉 dpid2關(guān)閉 hostmibd打開(kāi)lpar 管理

41、需要 snmpmibd視情況在 hacmp 環(huán)境中，該服務(wù) 要打開(kāi) aixmibd關(guān)閉 mrouted關(guān)閉 pxed關(guān)閉 binld關(guān)閉 muxatmd視情況在 hacmp 環(huán)境中，該服務(wù) 要打開(kāi) inet 服務(wù)服務(wù) 配置文件 inetd.conf 子服務(wù)名狀態(tài)(啟動(dòng)/關(guān)閉/視情況)說(shuō)明 openssh打開(kāi)安裝見(jiàn)第 2 部分說(shuō)明 ftp 打開(kāi)根據(jù)需要打開(kāi) telnet 關(guān)閉已安裝 ssh 的關(guān)閉 telnet shell 關(guān)閉根據(jù)需要打開(kāi)或關(guān)閉。遠(yuǎn)程 登錄或遠(yuǎn)程執(zhí)行使用的。 kshell 關(guān)閉 login 關(guān)閉 klogin 關(guān)閉 exec 關(guān)閉 comsat 關(guān)閉 uucp

42、關(guān)閉 bootps關(guān)閉 finger 關(guān)閉 systat關(guān)閉 netstat關(guān)閉 tftp關(guān)閉 talk 關(guān)閉 ntalk 關(guān)閉 rquotad關(guān)閉 rexd關(guān)閉 rstatd關(guān)閉 rusersd關(guān)閉 rwalld關(guān)閉 sprayd關(guān)閉 pcnfsd關(guān)閉 echo關(guān)閉 discard關(guān)閉 chargen關(guān)閉 daytime關(guān)閉 time關(guān)閉 instsrv關(guān)閉 imap2關(guān)閉 pop3關(guān)閉 wsmserveam關(guān)閉 dtspc關(guān)閉 cmsd關(guān)閉 ttdbserver關(guān)閉 godm視情況hacmp 打開(kāi) 其它服務(wù)其它服務(wù) 配置文件：inittab 服務(wù)名狀態(tài)(啟動(dòng)/關(guān)閉/視情況)說(shuō)

43、明 rcnfs 服務(wù)視情況使用 nis 和 nfs 服務(wù)時(shí)打開(kāi) qdaemon關(guān)閉 writesrv關(guān)閉 登陸超時(shí)設(shè)置登陸超時(shí)設(shè)置 2 分鐘超時(shí)設(shè)置 編輯/etc/profile 文件： readonly tmout=120; export tmout 其中 readonly 控制 tmout 不能被用戶在命令行任意修改。 不安全的文件不安全的文件 有些文件可能帶來(lái)安全隱患，以下的文件不應(yīng)該在系統(tǒng)中存在 文件文件威脅威脅要求要求 /etc/hosts.equiv認(rèn)證失效此文件不應(yīng)該在系統(tǒng)中存在 $home/.netrc口令失效此文件不應(yīng)該在系統(tǒng)中存在 $home/.

44、rhosts or /.rhosts認(rèn)證失效此文件不應(yīng)該在系統(tǒng)中存在， 特例：由于 informix 數(shù)據(jù)庫(kù)的認(rèn)證 為操作系統(tǒng)用戶，所以 informx 的 復(fù)制服務(wù)或客戶端用戶連接 server 時(shí)會(huì)用到此文件。 如果應(yīng)用要求上面的文件必須存在，在配置上述文件時(shí)一定要同時(shí)指定允許訪 問(wèn)的 hostname 和用戶名，不能使用 “+” ，也不能只有 hostname，而且此文件 的權(quán)限只能是文件屬主有讀寫(xiě)權(quán)限。 不安全的配置舉例：$home/.rhosts + 網(wǎng)絡(luò)中的任何主機(jī)的任何用戶都被信任 bjdb0141 這臺(tái)主機(jī)上的任何用戶都被信任 6.9.3 用戶用戶 path 搜索路徑搜索路徑

45、path 變量中定義的搜索路徑，在順序上，應(yīng)該先是系統(tǒng)路徑然后是用戶程序路 徑，并且目錄中不能包含. 、 :, 或者以:開(kāi)頭和結(jié)尾。root 用戶不 正確的路徑設(shè)置，可能會(huì)導(dǎo)致 root 用戶誤執(zhí)行一個(gè)惡意文件。 除了 root 用戶的環(huán)境變量，以下這些全局初始化文件也不能包含以上符號(hào)。 /etc/login /etc/profile /etc/bashrc /etc/environment /etc/security/environ 6.9.4 禁用禁用 telnet，安裝，安裝 ssh 安裝最新版本的 openssh 軟件，禁用 telnet 服務(wù)。 6.10系統(tǒng)網(wǎng)絡(luò)設(shè)置規(guī)范系統(tǒng)網(wǎng)絡(luò)設(shè)置規(guī)

46、范 6.10.1ip 地址申請(qǐng)地址申請(qǐng) 確定系統(tǒng)的部署架構(gòu)后，立即向網(wǎng)絡(luò)部提交 ip 地址申請(qǐng)表，待 ip 地址分配 后項(xiàng)目組才能與網(wǎng)絡(luò)部確認(rèn)端口訪問(wèn)需求。幾種部署結(jié)構(gòu)的地址申請(qǐng)表見(jiàn)下面 的 ip 地址申請(qǐng)表舉例，供參考： 1、單機(jī)方式的地址申請(qǐng) 見(jiàn)表中的報(bào)表web acrm_報(bào)表wb_sv 2、ha 主備、互備方式的地址申請(qǐng) 見(jiàn)表中的，這兩臺(tái)服務(wù)器為雙機(jī)互備關(guān)系。 acrm_etl1_sv acrm_etl1_bt acrm_etl1_stb acrm_etl2_sv acrm_etl2_bt acrm_etl2_stb etl_ap1 etl_ap2 3、oracle 10g rac 方式

47、的地址申請(qǐng) 見(jiàn)表中的，這兩臺(tái)服務(wù)器配置為 10g acrm_db1_sv acrm_db1_bt oracle_rac_hb1 acrm_db2_sv acrm_db2_bt oracle_rac_hb2 db1 db2 rac。 4、負(fù)載均衡方式的 web 地址申請(qǐng) 見(jiàn)表中的 生產(chǎn)_web1 acrm_wb1_sv 生產(chǎn)_web2 acrm_wb2_sv 生產(chǎn) web1/web2對(duì) 外負(fù)載均衡ip acrm_wb_vip 5、中間件集群方式的地址申請(qǐng) 見(jiàn)表中的，配置為 websphere 的 cluster。 was_ap1 acrm_was1_sv was_ap2 acrm_was2_sv

48、 ip 地址申請(qǐng)表示例： 主主機(jī)機(jī)類類型型 分分布布主主機(jī)機(jī)網(wǎng)網(wǎng)卡卡描描述述m ma ac c地地址址主主機(jī)機(jī)地地址址子子網(wǎng)網(wǎng)掩掩碼碼網(wǎng)網(wǎng)關(guān)關(guān)備備注注 生生產(chǎn)產(chǎn) acrm_db1_sv054oracle的vip acrm_db1_bt 154 實(shí)地址，雙網(wǎng)卡綁定，接主備 交換機(jī) oracle_rac_hb1352 oracle心跳地址，雙網(wǎng)卡綁 定，接主備交換機(jī) acrm_db2_sv11.157.79.

49、2254oracle的vip acrm_db2_bt 354 實(shí)地址，雙網(wǎng)卡綁定，接主備 交換機(jī) oracle_rac_hb2452 oracle心跳地址，雙網(wǎng)卡綁 定，接主備交換機(jī) acrm_etl1_sv254ha的浮動(dòng)地址，service ip acrm_etl1_bt354ha的b

50、oot地址 acrm_etl1_stb54ha的standby acrm_etl2_sv454ha的浮動(dòng)地址，service ip acrm_etl2_bt554ha的boot地址 acrm_etl2_stb54ha的standby was_ap1 acrm_was1_sv 0255.255.255.

51、054 實(shí)地址，雙網(wǎng)卡綁定，接主備 交換機(jī) was_ap2 acrm_was2_sv 154 實(shí)地址，雙網(wǎng)卡綁定，接主備 交換機(jī) 生產(chǎn)_web1 acrm_wb1_sv 549 實(shí)地址，雙網(wǎng)卡綁定，接主備 交換機(jī) 生產(chǎn)_web2 acrm_wb2_sv 649 實(shí)地址，雙網(wǎng)卡綁定，接主備 交換機(jī) 生產(chǎn) web1/web2對(duì) 外負(fù)載均衡ip acrm_wb_vip11

52、.157.64.24 負(fù)載均衡vip地址，2臺(tái)web服 務(wù)器的對(duì)外服務(wù)地址。 報(bào)表webacrm_報(bào)表wb_sv754雙網(wǎng)卡綁定，接主備交換機(jī) db1 db2 acrm etl_ap1 etl_ap2 主主機(jī)機(jī)類類型型 分分布布主主機(jī)機(jī)網(wǎng)網(wǎng)卡卡描描述述m ma ac c地地址址主主機(jī)機(jī)地地址址子子網(wǎng)網(wǎng)掩掩碼碼網(wǎng)網(wǎng)關(guān)關(guān)備備注注 帶帶外外管管理理: : db1acrm_db1_mgt54 db2acrm_db2_mgt11.159.9

53、5.1054 etl_ap1acrm_etl1_mgt154 etl_ap2acrm_etl2_mgt254 was_ap1acrm_was1_mgt354 was_ap2acrm_was2_mgt454 生產(chǎn)_web1acrm_wb1_mgt 32

54、54 生產(chǎn)_web2acrm_wb2_mgt 454 報(bào)表webacrm_報(bào)表wb_mgt554 hmc1 acrm_hmc1_mgt 與db1、db2雙 向打開(kāi) 657/tcp,657 /udp,23/tcp 154 hmc2acrm_hmc2_mgt254 acrm 6

55、.10.2網(wǎng)卡速率的設(shè)置網(wǎng)卡速率的設(shè)置 ibm 的 p-series、p5 小型機(jī)配置的 rj-45 接口的集成網(wǎng)卡和擴(kuò)展網(wǎng)卡都是 千兆網(wǎng)卡，系統(tǒng)支持將上述網(wǎng)卡設(shè)置為千兆全雙工工作模式。在使用這些網(wǎng)卡 時(shí)，目前設(shè)置原則為與網(wǎng)絡(luò)交換機(jī)端口模式保持一致，設(shè)置為自適應(yīng)工作模式。 6.10.3網(wǎng)卡綁定的設(shè)置網(wǎng)卡綁定的設(shè)置 一定要保證所有生產(chǎn)網(wǎng)絡(luò)連接（除 hmc 連接、帶管網(wǎng)絡(luò)連接、心跳網(wǎng)絡(luò)連 接之外的所有網(wǎng)絡(luò)連接）的高可用性，避免單點(diǎn)故障。具體措施有以下兩種： 1、有 ha 提供高可用性保護(hù)，有備用網(wǎng)卡，主卡和備卡應(yīng)分別連接到兩個(gè)互 備的網(wǎng)絡(luò)交換機(jī)上； 2、無(wú) ha 保護(hù)的網(wǎng)絡(luò)連接，應(yīng)按照以太網(wǎng)匯聚的

56、方式，將兩塊或多塊網(wǎng)卡綁 定，網(wǎng)卡分別連接到兩個(gè)互備的網(wǎng)絡(luò)交換機(jī)上。因交換機(jī)的限制，對(duì)于 雙網(wǎng)卡綁定問(wèn)題，只有 2 條線不能做成 load balance 模式，目前只能采 取主、備方式進(jìn)行網(wǎng)卡的綁定。 6.10.4系統(tǒng)靜態(tài)路由的設(shè)置系統(tǒng)靜態(tài)路由的設(shè)置 假設(shè)北京數(shù)據(jù)中心某項(xiàng)目主機(jī)的生產(chǎn)地址為 11.156/157.x.y，那么該主機(jī) 的缺省路由應(yīng)該設(shè)置為： 11.156/157.x.z，其中 z 是網(wǎng)絡(luò)組指定的網(wǎng)關(guān)的地址編號(hào)。 北京數(shù)據(jù)中心目前生產(chǎn)網(wǎng)絡(luò)的缺省路由設(shè)置規(guī)則（實(shí)際設(shè)置時(shí)與網(wǎng)絡(luò)再次確認(rèn)） ： 1、 一般為 11.156/157.x.254 2、 web 服務(wù)器如果采用負(fù)載均衡模式為：

57、11.156/157.x.249 系統(tǒng)項(xiàng)目主機(jī)帶外管理路由設(shè)置方式如下： 目標(biāo)地址網(wǎng)關(guān)地址說(shuō)明 /11.159.x.254滿足到原 200 網(wǎng)段的通訊需求 /11.159.x.254滿足到新帶管網(wǎng)絡(luò)備份及時(shí)鐘等公共服務(wù)器 的通訊需求 128.y.62.0/11.159.x.254滿足到各開(kāi)發(fā)中心遠(yuǎn)程訪問(wèn)的需求 x 為主機(jī)帶管地址第三位 128.y.62.0 中的 y 根據(jù)項(xiàng)目歸屬開(kāi)發(fā)中心的不同來(lái)變化 0上海開(kāi)發(fā)中心 32北京開(kāi)發(fā)中心 64廈門開(kāi)發(fā)中心 96武漢開(kāi)發(fā)中心 128廣州開(kāi)發(fā)中心 160成都開(kāi)發(fā)中心 6.10.5網(wǎng)絡(luò)端口的使用網(wǎng)絡(luò)端口的使用 網(wǎng)絡(luò)服務(wù) port 端口 1024 以下預(yù)留給操作系統(tǒng)使用，并且有些個(gè)別大于 1024 的