運(yùn)維體系運(yùn)維規(guī)范介紹-邢飛

運(yùn)維體系介紹及相關(guān)規(guī)范

（底層架構(gòu)及系統(tǒng)篇）

邢飛

運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第1頁(yè)!IT運(yùn)維概念單位IT部門(mén)采用相關(guān)的方法,手段,技術(shù),制度、流程和文檔等,對(duì)IT運(yùn)行環(huán)境(如硬軟件環(huán)境、網(wǎng)絡(luò)環(huán)境等)、IT業(yè)務(wù)系統(tǒng)和IT運(yùn)維人員進(jìn)行的綜合管理.運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第2頁(yè)!目錄■設(shè)備管理：對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、操作系統(tǒng)運(yùn)行狀況進(jìn)行監(jiān)控。■應(yīng)用/服務(wù)管理：對(duì)各種應(yīng)用支持軟件如數(shù)據(jù)庫(kù)、中間件、群件以及各種通用或特定服務(wù)的監(jiān)控管理，如郵件系統(tǒng)、DNS、Web等的監(jiān)控與管理?！鰯?shù)據(jù)/存儲(chǔ)/容災(zāi)管理：對(duì)系統(tǒng)和業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)一存儲(chǔ)、備份和恢復(fù)?！鰳I(yè)務(wù)管理：包含對(duì)企業(yè)自身核心業(yè)務(wù)系統(tǒng)運(yùn)行情況的監(jiān)控與管理，對(duì)于業(yè)務(wù)的管理，主要關(guān)注該業(yè)務(wù)系統(tǒng)的CSF（關(guān)鍵成功因素CriticalSuccessFactors）和KPI（關(guān)鍵績(jī)效指標(biāo)KeyPerformanceIndicators）?！瞿夸?內(nèi)容管理：該部分主要對(duì)于企業(yè)需要統(tǒng)一發(fā)布或因人定制的內(nèi)容管理和對(duì)公共信息的管理?！鲑Y源資產(chǎn)管理：管理企業(yè)中各IT系統(tǒng)的資源資產(chǎn)情況，這些資源資產(chǎn)可以是物理存在的，也可以是邏輯存在的，并能夠與企業(yè)的財(cái)務(wù)部門(mén)進(jìn)行數(shù)據(jù)交互?！鲂畔踩芾恚涸摬糠职嗽S多方面的內(nèi)容，目前信息安全管理主要依據(jù)的國(guó)際標(biāo)準(zhǔn)是ISO17799，該標(biāo)準(zhǔn)涵蓋了信息安全管理的十大控制方面，36個(gè)控制目標(biāo)和127種控制方式，如企業(yè)安全組織方式、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與運(yùn)營(yíng)安全、訪問(wèn)控制、業(yè)務(wù)連續(xù)性管理等?！鋈粘９ぷ鞴芾恚涸摬糠种饕糜谝?guī)范和明確運(yùn)維人員的崗位職責(zé)和工作安排、提供績(jī)效考核量化依據(jù)、提供解決經(jīng)驗(yàn)與知識(shí)的積累與共享手段IT運(yùn)行維護(hù)管理的每一個(gè)子系統(tǒng)中都包含著十分豐富的內(nèi)容，實(shí)現(xiàn)完善的IT運(yùn)維管理是企業(yè)提高經(jīng)營(yíng)水平和服務(wù)水平的關(guān)鍵。運(yùn)行/維護(hù)階段與服務(wù)/支持階段的分界線為前者是面向IT部門(mén)內(nèi)部的管理，而后者是面向業(yè)務(wù)部門(mén)、企業(yè)中的其它人員或直接面向客戶。運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第3頁(yè)!底層運(yùn)維硬件相關(guān)

服務(wù)器：DellHPIBM64位EM64TAMD64--（X86_64)DellRackG11R410R510R610R710R910（2550/2650/2850/2950)G12XeonE5(R420R520R620R720R720XDR820)U----4.445CM一個(gè)標(biāo)準(zhǔn)機(jī)柜42U雙電源7x24x365RAID–SSDSASSATA(SCSI)

遠(yuǎn)程管理卡IDrac6Enterprise（HPilo)

盡量少做硬件改動(dòng)使用統(tǒng)一品牌（成本選擇優(yōu)化）

服務(wù)器新產(chǎn)品增強(qiáng)測(cè)試OS安裝硬件故障處理

虛擬化技術(shù):XenVmwareKVMVirtualBOX集中存儲(chǔ)(NetAPPNASEMC/HPSAN-FC/ISCSI)

負(fù)載均衡：F5BIG-IP/CitrixNetscaler(健康檢測(cè)，調(diào)度算法，會(huì)話保持）

其他可選A10ArrayRadware（軟件Haproxy,LVS-NATTUNDR)

其他：防火墻，存儲(chǔ)，VPN,入侵檢測(cè)/防御，防DDOS設(shè)備,交換機(jī)運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第4頁(yè)!底層運(yùn)維架構(gòu)圖1（負(fù)載均衡）運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第5頁(yè)!系統(tǒng)層運(yùn)維操作系統(tǒng)及應(yīng)用服務(wù)器端軟件的選擇架構(gòu)設(shè)計(jì)及技術(shù)發(fā)展的跟蹤

操作系統(tǒng)：

Unix–三大Unix（IBMAIX,HP-UX,SunSolaris)

BSD(FreeBSDNetBSDOpenBSD)

Linux(Redhat(CentOS）Debian(Ubuntu)GentooSlackwareSuse)

運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第6頁(yè)!系統(tǒng)層運(yùn)維(規(guī)范）服務(wù)器端軟件使用原則規(guī)范

全局系統(tǒng)工具及開(kāi)發(fā)包使用系統(tǒng)自帶的：gccg++wgetcurlBashSedGawkvimPerl(DBI)Python便于yum/rpm集中管理（最小安裝+需要的庫(kù)及工具整理）

特別要求：系統(tǒng)庫(kù)中沒(méi)有或版本指定手工編譯：/usr/local/

守護(hù)進(jìn)程使用同一項(xiàng)目使用同一版本:當(dāng)前穩(wěn)定系列里的最新穩(wěn)定版ApacheNginxMySQLPHP(FastCGI）(盡量不要安裝系統(tǒng)自帶的，可能可執(zhí)行程序及動(dòng)態(tài)鏈接庫(kù)沖突）

大版本升級(jí)：遇到性能瓶頸，重大安全bug,嚴(yán)格測(cè)試后申請(qǐng)停業(yè)務(wù)時(shí)間平滑升級(jí)及數(shù)據(jù)遷移。（定出回滾方案）運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第7頁(yè)!系統(tǒng)層運(yùn)維安全---操作系統(tǒng)安全服務(wù)器端軟件安全（網(wǎng)絡(luò)安全）

操作系統(tǒng)的安全：（與性能及易用性矛盾）

關(guān)閉不必要的服務(wù)及端口

內(nèi)核級(jí)升級(jí)盡量使用最新穩(wěn)定版root運(yùn)維與研發(fā)普通賬號(hào)的分離（賬號(hào)管理,集中認(rèn)證）iptablesshell操作行為日志記錄—(bashlog)

安全工具的使用nmapchkrootkitrkhunter(snort)

軟件安全：

盡量使用最新穩(wěn)定版

盡量以普通賬號(hào)運(yùn)行在/ROOT下

chroot（proftpdbindhaproxy)

關(guān)閉版本號(hào)回顯(ApacheNginxPHP減少信息泄露）

應(yīng)用的授權(quán)如(mysql)

網(wǎng)絡(luò)層安全：IP連接鑒權(quán)

關(guān)閉所有端口（交換機(jī)ACL)數(shù)據(jù)庫(kù)決不能暴露在外網(wǎng)

硬件防火墻（DDOS)入侵檢測(cè)/入侵防御

運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第8頁(yè)!系統(tǒng)層運(yùn)維系統(tǒng)監(jiān)控系統(tǒng)底層參數(shù)監(jiān)控CPU內(nèi)存SWAP硬盤(pán)空間系統(tǒng)負(fù)載ping(流量）

端口監(jiān)控tcp（服務(wù)進(jìn)程監(jiān)控重啟Monit)特定服務(wù)監(jiān)控—NginxMySQLRedis(自定義參數(shù)模板）報(bào)警

郵件報(bào)警短信報(bào)警（MSN,QQ)負(fù)責(zé)人-（業(yè)務(wù)重要性）硬件監(jiān)控

特定品牌服務(wù)器如硬盤(pán)壞內(nèi)存壞（項(xiàng)太多影響性能）應(yīng)用監(jiān)控—WEB邏輯模擬zabbix(Centreon+nagios+Nrpe+PNP+NDO.ganglia)運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第9頁(yè)!系統(tǒng)層運(yùn)維集中管理及自動(dòng)化（目標(biāo)）Puppet(Func,Cfengine)客戶端

任務(wù)分發(fā)

傳統(tǒng)現(xiàn)有模式(SSHKey方式）的問(wèn)題自動(dòng)化Puppet+shell(腳本語(yǔ)言）

自動(dòng)監(jiān)控，集中管理客戶端部署

系統(tǒng)光盤(pán)裁剪

自動(dòng)化系統(tǒng)安裝

運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第10頁(yè)!運(yùn)維體系內(nèi)容底層運(yùn)維：（大公司小公司的區(qū)別）硬件---服務(wù)器虛擬化負(fù)載均衡（防火墻，存儲(chǔ)，VPN,入侵檢測(cè)/防御，交換機(jī)）網(wǎng)絡(luò)系統(tǒng)架構(gòu)設(shè)計(jì)---遠(yuǎn)程管理NAT負(fù)載均衡（HA,冗余，可擴(kuò)展，端口分離）CDN子網(wǎng)(VPN)系統(tǒng)層運(yùn)維：操作系統(tǒng)及應(yīng)用服務(wù)器端軟件的選擇架構(gòu)設(shè)計(jì)及技術(shù)發(fā)展的跟蹤優(yōu)化---操作系統(tǒng)優(yōu)化服務(wù)器端軟件優(yōu)化（架構(gòu)優(yōu)化）安全---操作系統(tǒng)安全服務(wù)器端軟件安全（網(wǎng)絡(luò)安全）監(jiān)控---系統(tǒng)底層參數(shù)監(jiān)控端口監(jiān)控報(bào)警備份及歸檔---程序備份數(shù)據(jù)備份日志備份數(shù)據(jù)庫(kù)備份集中管理（可選）自動(dòng)化應(yīng)用運(yùn)維：運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第11頁(yè)!底層運(yùn)維網(wǎng)絡(luò)系統(tǒng)架構(gòu)設(shè)計(jì)

遠(yuǎn)程管理架構(gòu)

NAT架構(gòu)（隱藏端口,減少公網(wǎng)IP)

子網(wǎng)設(shè)計(jì)(VPN互通)

負(fù)載均衡（負(fù)載分擔(dān)HA,冗余，減少單點(diǎn)，可擴(kuò)展（項(xiàng)目生命周期，規(guī)模擴(kuò)大），端口分離）

CDN雙線BGP（動(dòng)靜態(tài)分離,隱藏主站IP，動(dòng)態(tài)路由加速，CNAME,第三方CDN廠商，節(jié)點(diǎn)質(zhì)量監(jiān)控）

集中存儲(chǔ)-（NFS）-分布式存儲(chǔ)

業(yè)務(wù)架構(gòu)與應(yīng)用軟件架構(gòu)與項(xiàng)目經(jīng)理及研發(fā)人員溝通??！

運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第12頁(yè)!底層運(yùn)維架構(gòu)圖2（CDN)運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第13頁(yè)!系統(tǒng)層運(yùn)維服務(wù)器端軟件技術(shù)的選擇及跟蹤

—ApacheNginxLighttpdCherokeehiawathaftp–proftpdpure-ftpdvsftpd(ncftpd)mail-sendmailqmailpostfixeximcourierdatabase-mysql(PerconaMariaDB)PostgresqlFirebirdOraclenosql–mongoDBrediscassandracouchdb(Memcached-FlareTC/TT)

語(yǔ)言—PerlPythonPHPRubyLuaJavaTCL/TK(Shell)

版本控制—CVSSubverisonGitDNS–BINDmaraDNSPowerDNS

負(fù)載均衡-HaproxyLVSHA-heartbeatkeepalivedProxy-SquidVarnishTrafficServerfirewall—iptables(ipchains)shorewall—Netfilter

監(jiān)控---nagios(centreon)zabbixganglia(cactiMRTG)ssh---opensshssh

集中管理–puppetcfenginefunc

文件同步---rsync(配合inotify)unison

備份----BaculaAmandaSSL加密庫(kù)–OpenSSLPolarSSLJSP引擎----TomcatResin（Jboss，Weblogic,Websphere)

分布式文件系統(tǒng)–GlusterFShadoopHDFSMogileFSFastDFSCephMooseFS（DRBD)

其他：SAMBAOpenLDAPFreeRadiusOpenVPNNMAP

MyFtp99/pub/

每天更新99/pub/books/

電子書(shū)

運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第14頁(yè)!系統(tǒng)層運(yùn)維優(yōu)化：操作系統(tǒng)優(yōu)化服務(wù)器端軟件優(yōu)化（架構(gòu)優(yōu)化）

操作系統(tǒng)的優(yōu)化：簡(jiǎn)單即美：Simple

is

beautiful

盡量最小安裝，精簡(jiǎn)

關(guān)閉不必要的服務(wù)及ttys

內(nèi)核升級(jí)及參數(shù)調(diào)優(yōu)（文件系統(tǒng)的選擇）--一切皆有度

服務(wù)器端軟件優(yōu)化：如Apache(Nginx)MySQL參數(shù)調(diào)優(yōu)

架構(gòu)優(yōu)化：負(fù)載均衡（CDN)多點(diǎn)冗余（MySQL主從/多主/集群讀寫(xiě)分離）

運(yùn)維體系運(yùn)維規(guī)范介紹--邢飛共18頁(yè)，您現(xiàn)在瀏覽的是第15頁(yè)!系統(tǒng)層運(yùn)維（規(guī)范）分離原則規(guī)范系統(tǒng)分區(qū)與數(shù)據(jù)分區(qū)分離/與/ROOT分離

數(shù)據(jù)與程序以普通用戶身份裝到/ROOT下運(yùn)維與