服务器用户手册

服务器用户手册一、硬件安装与部署1.1机柜安装规范服务器安装前需确认机柜尺寸兼容性，标准机架式服务器（1U/2U）需匹配对应高度的机柜空间。安装时至少两人协作，将服务器沿导轨平稳推入机柜，使用M6螺丝固定前后挂耳，确保垂直偏差不超过2mm。机柜内相邻服务器间距应≥5cm，预留散热通道。安装完成后需检查服务器与机柜框架的间隙，晃动幅度应≤1mm。1.2内部组件安装流程CPU安装：需在防静电工作台操作，佩戴防静电腕带。打开CPU插槽锁扣，对准三角标记放入处理器，缓慢闭合锁扣至听到"咔嗒"声。涂抹导热硅脂时采用"五点法"（中心及四角各一点），硅脂厚度以覆盖CPU核心为准（约0.5mm）。散热器安装需均匀用力压合，确保四个固定栓同步扣紧。内存配置：根据主板内存通道标识（如A1/A2/B1/B2）进行插装，单通道配置优先占用A1插槽，双通道需成对安装在A1+B1或A2+B2插槽。ECC内存安装前需确认主板支持类型（UDIMM/RDIMM/LRDIMM），混插不同规格内存会导致系统报错。最大内存容量需参考主板手册，如IntelC621芯片组支持最大768GBDDR4-2933内存。存储设备安装：热插拔硬盘需在服务器通电状态下，沿硬盘托架导轨推入直至锁定，系统会自动识别。非热插拔硬盘安装需先断电，使用硬盘支架固定，连接SATA/SAS数据线时注意接口防呆设计，电源接口需听到卡扣锁定声。RAID卡安装需插入PCIex8及以上速率插槽，安装完成后需连接超级电容模块。1.3线缆连接标准电源连接：冗余电源模块需连接不同相位的市电输入，线缆标签需标注"PWR-A"、"PWR-B"区分。电源输出线需使用理线架整理，弯曲半径≥5cm。网络连接：双网卡服务器需连接至不同交换机，实现链路冗余。RJ45接口需听到"咔嗒"声确认连接到位，光纤模块插入时需解锁卡扣，拔出时需按压释放按钮。网络线缆需按颜色分类：红色-业务网、蓝色-管理网、黄色-存储网。外设连接：控制台连接需使用专用KVM线缆，USB接口优先连接键盘鼠标，VGA/DVI接口需使用螺丝固定。所有线缆需通过机柜理线环固定，线缆下垂弧度≤15cm。二、操作系统配置2.1系统安装准备BIOS设置：开机按Del/F2进入BIOS，配置项包括：启动顺序：设置UEFI/legacy模式，优先从CD-ROM/USB启动硬盘模式：RAID卡配置需设置为RAID模式，AHCI模式用于单盘配置电源管理：启用"ACPowerRecovery"设为"On"，确保断电恢复后自动开机安全设置：禁用USB端口（除控制台接口），启用SecureBoot安装介质制作：使用Rufus工具制作启动盘，ISO文件校验需通过SHA256哈希比对。WindowsServer2022安装盘需至少8GB容量USB设备，Linux系统建议使用DD模式写入镜像。2.2分区方案设计WindowsServer分区：系统分区（C:）：≥100GB，NTFS格式，分配主分区数据分区（D:）：剩余空间，启用NTFS压缩恢复分区：自动创建，≥500MBLinux分区（以CentOS8为例）：/boot：500MB，ext4，主分区/boot/efi：200MB，vfat（UEFI模式）swap：内存≤32GB时设为内存大小的1.5倍，≥32GB时设为32GB/：剩余空间，xfs格式，LVM逻辑卷/data：建议单独划分，用于应用数据存储2.3网络配置详解静态IP配置：#Linux系统配置（CentOS8）nmcliconmodeth0ipv4.addresses00/24nmcliconmodeth0ipv4.gatewaynmcliconmodeth0ipv4.dns"14"nmcliconmodeth0ipv4.methodmanualnmcliconupeth0#WindowsServer配置New-NetIPAddress-InterfaceAlias"Ethernet"-IPAddress00-PrefixLength24-DefaultGatewaySet-DnsClientServerAddress-InterfaceAlias"Ethernet"-ServerAddresses"","14"网络优化参数：Linux系统：调整sysctl.conf参数net.ipv4.tcp_max_syn_backlog=10240net.ipv4.tcp_fin_timeout=30net.core.somaxconn=4096Windows系统：修改注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]"TcpTimedWaitDelay"=dword:0000001e"MaxUserPort"=dword:0000fffe2.4服务器角色配置Web服务器配置（Nginx）：#安装编译环境yuminstall-ygccpcre-develzlib-developenssl-devel#编译安装Nginx./configure--prefix=/usr/local/nginx--with-http_ssl_module--with-streammake&&makeinstall#配置服务自启cat>/usr/lib/systemd/system/nginx.service<<EOF[Unit]Description=NginxServerAfter=network.target[Service]Type=forkingExecStart=/usr/local/nginx/sbin/nginxExecReload=/usr/local/nginx/sbin/nginx-sreloadExecStop=/usr/local/nginx/sbin/nginx-sstopPrivateTmp=true[Install]WantedBy=multi-user.targetEOFsystemctlenable--nownginx数据库服务器配置（MySQL8.0）：#配置f[mysqld]datadir=/var/lib/mysqlsocket=/var/lib/mysql/mysql.sockmax_connections=1000innodb_buffer_pool_size=4Gslow_query_log=1slow_query_log_file=/var/log/mysql/slow.loglong_query_time=2三、日常维护与管理3.1例行检查项目每日检查：硬件状态：通过IPMI查看传感器数据，CPU温度应≤85℃，风扇转速应在额定值±20%范围内，电源输出电压波动≤5%系统性能：使用top/htop监控CPU使用率（警戒线80%）、内存使用率（警戒线85%）、磁盘I/O（iowait≤10%）服务状态：检查关键服务（httpd/nginx/mysqld）运行状态，确保无异常终止记录每周检查：磁盘健康：使用smartctl工具检测硬盘状态，关注SMART属性中的"Reallocated_Sector_Ct"（应=0）、"Temperature_Celsius"（应≤45℃）日志审查：检查/var/log/messages、/var/log/secure中是否有异常登录记录，错误日志增长速率是否正常补丁更新：使用yumcheck-update或WindowsUpdate检查安全补丁，评估更新必要性每月检查：硬件清洁：对服务器进风口滤网进行除尘，使用压缩空气（压力≤0.3MPa）吹扫机箱内部，重点清洁电源和风扇模组线缆检查：检查所有连接线缆是否松动，接口是否有氧化现象，理线是否规范性能基线对比：将当前性能数据与历史基线对比，偏差超过20%需进行优化3.2数据备份策略备份方案设计：全量备份：每月执行一次，备份所有数据，采用tar.gz压缩格式，压缩率应≥60%增量备份：每日执行，仅备份变化数据，使用rsync工具的--link-dest参数创建硬链接快照备份介质：采用3-2-1原则（3份副本、2种介质、1份异地），异地备份需通过加密VPN传输备份执行流程：#数据库备份脚本示例#!/bin/bashBACKUP_DIR=/backup/mysqlDATE=$(date+%Y%m%d)#创建备份目录mkdir-p$BACKUP_DIR/$DATE#全量备份mysqldump-uroot-p$DB_PASS--all-databases|gzip>$BACKUP_DIR/$DATE/full_backup.sql.gz#保留最近30天备份find$BACKUP_DIR-typed-mtime+30-execrm-rf{}\;备份验证机制：每月进行一次恢复测试，验证备份文件完整性使用md5sum对备份文件生成校验值，每次备份后进行比对记录备份耗时和恢复耗时，评估RTO（恢复时间目标）是否达标3.3性能优化措施CPU优化：进程绑定：使用taskset将CPU密集型进程绑定到特定核心，避免进程在不同核心间切换中断优化：通过set_irq_affinity脚本将网卡中断分配到不同CPU核心，减少中断冲突超线程配置：根据应用类型调整超线程开关，OLTP数据库建议关闭超线程内存优化：Linux系统：调整vm.swappiness参数（建议设为10），减少内存交换Windows系统：设置虚拟内存为物理内存的1.5倍，放置在非系统分区应用优化：调整数据库连接池大小（如Tomcat的maxThreads参数），避免内存泄漏存储优化：文件系统：XFS文件系统启用discard功能（mount-odiscard），定期执行fstrimRAID优化：RAID5/6建议使用条带大小64KB，RAID10条带大小128KB，启用WriteBack缓存策略I/O调度：SSD使用deadline调度器，HDD使用cfq调度器，通过echodeadline>/sys/block/sda/queue/scheduler配置四、故障排除与处理4.1硬件故障诊断电源故障：现象：服务器无法加电，电源指示灯不亮或呈琥珀色排查流程：检查市电输入：使用万用表测量电压（应在198-242V范围内）测试电源模块：交换冗余电源模块位置，判断是否单个电源故障检查电源背板：测量电源背板输出电压（+12V、+5V、+3.3V）是否正常解决方案：更换故障电源模块，如背板故障需整机断电更换内存故障：现象：服务器启动时报"MemoryError"，POST自检提示内存错误，系统随机崩溃排查流程：查看POST代码：记录主板显示的内存错误代码（如AMIBIOS的0x0002）逐槽测试：通过单条内存测试确定故障内存插槽和内存条更换测试：使用已知良好的内存条测试故障插槽，判断是内存还是主板问题解决方案：更换故障内存条，如插槽故障需维修主板硬盘故障：现象：系统无法识别硬盘，RAID控制器报警，读写数据时出现I/O错误排查流程：RAID状态检查：通过RAID卡管理工具（如MegaCLI、ssacli）查看阵列状态，确认故障硬盘硬盘检测：将故障硬盘连接至测试机，使用MHDD检测坏道情况接口检查：检查硬盘数据线和接口是否有物理损坏解决方案：热插拔更换硬盘，RAID自动重建（重建期间性能会下降30-50%）4.2系统故障处理启动故障：现象：服务器启动停滞在BIOS界面，或提示"OperatingSystemNotFound"排查流程：BIOS设置检查：确认启动顺序是否正确，硬盘是否被识别引导修复：Linux系统：使用LiveCD启动，执行grub2-install/dev/sda修复引导Windows系统：使用安装盘进入"修复计算机"，执行bootrec/fixmbr和bootrec/fixboot文件系统检查：使用fsck或chkdsk检查系统分区完整性服务故障：Apache服务无法启动案例：查看错误日志：tail-f/var/log/httpd/error_log，发现"Addressalreadyinuse:AH00072:make_sock:couldnotbindtoaddress[::]:80"定位冲突进程：netstat-tulpn|grep:80，发现nginx进程占用80端口解决冲突：停止nginx服务或修改Apache监听端口数据损坏：MySQL数据库损坏修复：停止数据库服务：systemctlstopmysqld备份数据文件：cp-r/var/lib/mysql/var/lib/mysql_bak执行修复：mysqld_safe--skip-grant-tables--user=mysql&，然后使用mysqlcheck修复损坏表重启服务：systemctlrestartmysqld4.3网络故障排查连接中断：排查流程：物理层检查：查看网卡指示灯（LINK灯应常亮，ACT灯闪烁），更换网线测试链路层检查：使用iplinkshoweth0查看接口状态，确保无DOWN状态网络层检查：ping网关测试连通性，traceroute跟踪路由路径，判断中断位置应用层检查：使用telnet测试目标端口连通性（如telnet80）带宽异常：排查步骤：流量监控：使用iftop查看实时流量，确定异常流量来源IP和端口连接分析：使用ss-tanp查看TCP连接状态，关注ESTABLISHED状态连接数进程定位：根据端口号找到对应进程，判断是否为正常业务流量限流措施：使用iptables或tc工具临时限制异常流量五、安全加固策略5.1系统安全配置账户安全：禁用root直接登录：在/etc/ssh/sshd_config中设置PermitRootLoginno，使用sudo授权管理密码策略：编辑/etc/pam.d/system-auth，设置passwordrequisitepam_cracklib.sominlen=12ucredit=-1lcredit=-1dcredit=-1ocredit=-1，强制密码复杂度账户审计：定期执行lastlog命令检查长期未登录账户，使用userdel删除无用账户文件权限：关键文件保护：chmod600/etc/passwd/etc/shadow/etc/groupchmod700/rootchattr+i/etc/passwd/etc/shadow#设置不可修改属性SUID/SGID清理：find/-perm-4000-execls-l{}\;#检查SUID文件find/-perm-2000-execls-l{}\;#检查SGID文件对非必要的SUID文件（如cp、mv）执行chmodu-s移除SUID权限服务加固：禁用不必要服务：systemctldisable--nowbluetoothcupsavahi-daemonSSH安全配置：Port2222#修改默认端口Protocol2#仅使用SSHv2MaxAuthTries3#最大认证尝试次数PubkeyAuthenticationyes#启用密钥认证PasswordAuthenticationno#禁用密码认证5.2网络安全防护防火墙配置：iptables规则示例：#清空现有规则iptables-Fiptables-X#默认策略iptables-PINPUTDROPiptables-PFORWARDDROPiptables-POUTPUTACCEPT#允许已建立连接iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT#允许SSH访问iptables-AINPUT-ptcp--dport2222-s/24-jACCEPT#允许Web服务iptables-AINPUT-ptcp--dport80-jACCEPTiptables-AINPUT-ptcp--dport443-jACCEPT#保存规则iptables-save>/etc/sysconfig/iptables入侵检测：安装配置Fail2ban：yuminstall-yfail2bancat>/etc/fail2ban/jail.local<<EOF[sshd]enabled=trueport=2222filter=sshdlogpath=/var/log/securemaxretry=3bantime=86400ignoreip=00#信任IP白名单EOFsystemctlenable--nowfail2banWeb应用防护：ModSecurity配置：yuminstall-ymod_securitycp/etc/httpd/conf.d/mod_security.conf{.example,}#启用OWASP核心规则集sed-i's/SecRuleEngineDetectionOnly/SecRuleEngineOn/'/etc/httpd/conf.d/mod_security.confsystemctlrestarthttpd5.3数据安全保障文件加密：使用LUKS加密分区：cryptsetupluksFormat/dev/sdbcryptsetupopen/dev/sdbencrypted_datamkfs.xfs/dev/mapper/encrypted_datamount/dev/mapper/encrypted_data/data#设置自动挂载echo"/dev/sdb/dataxfsdefaults,cryptsetup=UUID=xxx00">>/etc/fstab传输加密：配置SSH密钥认证：ssh-keygen-ted25519-C"server-backup"#生成密钥对ssh-copy-id-i~/.ssh/id_ed25519.pubuser@remote_host#复制公钥#客户端配置cat>~/.ssh/config<<EOFHostbackupHostName00UserbackupuserIdentityFile~/.ssh/id_ed25519Port2222EOF审计跟踪：配置auditd监控关键文件：auditctl-w/etc/passwd-pwa-kpasswd_changesauditctl-w/usr/bin/sudo-px-ksudo_usage#查看审计日志ausearch-kpasswd_changes六、高级配置与扩展6.1虚拟化部署方案KVM虚拟化环境搭建：#检查CPU支持grep-E'vmx|svm'/proc/cpuinfo#安装KVM组件yuminstall-yqemu-kvmlibvirtvirt-installbridge-utilssystemctlenable--nowlibvirtd#创建桥接网络virshiface-bridgeeth0br0#创建虚拟机virt-install--nameweb01--ram4096--vcpus2--diskpath=/var/lib/libvirt/images/web01.qcow2,size=40--cdrom/iso/CentOS-7-x86_64-DVD-2009.iso--networkbridge=br0--graphicsvnc,listen=--noautoconsoleVMwareESXi配置：存储配置：创建VMFSdatastore，块大小设置根据虚拟磁盘最大容量选择（2TB以下选1MB，2-4TB选2MB）网络配置：配置vSwitch，划分端口组（Management/VMNetwork/VMotion），启用JumboFrame（MTU=9000）资源调度：设置CPU份额（Normal=1000）、内存预留（至少为虚拟机内存的25%）、磁盘I/O控制（Shares=Normal）6.2集群部署指南LVS负载均衡集群：#安装ipvsadmyuminstall-yipvsadm#配置LVS-DR模式ipvsadm-A-t0:80-srripvsadm-a-t0:80-r01:80-gipvsadm-a-t0:80-r02:80-g#保存配置ipvsadm-S>/etc/sysconfig/ipvsadmMySQL主从复制：#主库配置[mysqld]server-id=1log_bin=/var/log/mysql/mysql-bin.logbinlog_do_db=testdbbinlog_ignore_db=mysqlexpire_logs_days=7#从库配置[mysqld]server-id=2relay_log=/var/log/mysql/relay-bin.loglog_slave_updates=1read_only=1#初始化复制CHANGEMASTERTOMASTER_HOST='0',MASTER_USER='repl',MASTER_PASSWORD='replpass',MASTER_LOG_FILE='mysql-bin.000001',MASTER_LOG_POS=154;STARTSLAVE;6.3远程管理配置IPMI配置：#安装IPMI工具yuminstall-yipmitool#设置IPMI网络ipmitoollanset1ipsrcstaticipmitoollanset1ipaddr50ipmitoollanset1netmaskipmitoollanset1defgwipaddr#远程控制ipmitool-Ilanplus-H50-Uadmin-Ppasswordpowerstatusipmitool-Ilanplus-H50-Uadmin-Ppasswordchassisp