信创服务器操作系统（银河麒麟版）-安全与网络服务 教案全套

课程教案章节内容项目1部署防火墙服务课时4～6教学目标知识目标：了解银河麒麟高级服务器操作系统中系统防火墙（Netfilter/Firewalld）的基本原理。熟悉系统防火墙的“四表五链”结构及其处理流程。掌握Firewalld的九个安全区域（Zone）及其默认策略。了解麒麟操作系统特有的KySec安全增强机制（强制访问控制MAC）。能力目标：熟练使用命令行工具firewall-cmd管理和控制Firewalld服务。能够根据业务需求配置网络接口分配、端口管理及访问规则。能够实施KySec安全增强控制，修改安全模式及配置文件标记。素养目标：培养学生的网络安全意识和“信创”自主可控的技术自信。养成严谨的系统运维操作习惯。教学重点Firewalld安全区域的概念、端口与服务的永久及临时开放、KySec安全增强的实施。教学难点Netfilter数据包流向原理、Firewalld动态防火墙机制、KySec三种安全模式的区别。教学方法项目教学法、任务驱动法、案例分析法、对比教学法教学手段图示教学、实操演练、信息化教学资源、实验验证手段、过程评价与反馈教学过程一、知识讲解1.系统防火墙深度解析Netfilter/Firewalld关系：Firewalld是动态防火墙管理工具（守护进程），而数据包过滤的底层核心是内核中的Netfilter模块。“四表”结构（优先级从高到低）：raw表：决定包是否被连接跟踪机制跟踪。mangle表：修改数据包特定部分（如TTL、打标签）。nat表：网络地址转换（SNAT/DNAT）。filter表：过滤包的核心，决定放行或丢弃。“五链”流向（关卡）：PREROUTING：数据包进入后首先经过的链，决定路由流向。INPUT：发往本地系统的数据包。FORWARD：经由本地路由到其他系统的包。OUTPUT：本地产生并发送出去的包。POSTROUTING：离开系统前的最后处理。2.Firewalld安全区域核心特性：支持动态更新，修改规则无须重启整个服务。九个安全区域（Zone）：银河麒麟默认区域为public（仅允许ssh、dhcpv6-client）。trusted：信任所有连接。drop/block：丢弃或拒绝任何接收的连接。3.麒麟KySec安全增强机制三种安全模式：强制模式(Normal)：违规操作会被阻止并审计记录。警告模式(Warning)：违规时弹出授权认证框。软模式(Softmode)：仅审计记录，不阻止操作。关键安全标记：身份标记(userid)：如secadm（安全管理员文件）、none（所有用户可用）。保护标记(protect)：如readonly（只读）、verify（执行前检查完整性）。执行控制(exectl)：如original（系统原始文件，可执行）、unknown（未知文件，禁止执行）。二、任务实施与验证任务1-1：配置Firewalld防火墙1.环境准备与启动：命令：systemctlstartfirewalld&&systemctlenablefirewalld。验证：执行systemctlstatusfirewalld确保状态为active(running)。2.接口分配与区域管理：命令：将网卡eth0永久加入public区域。Bashfirewall-cmd--zone=public--add-interface=eth0--permanentfirewall-cmd--reload验证：执行firewall-cmd--get-active-zones查看接口绑定是否生效。3.规则配置（以开放80端口为例）：命令：firewall-cmd--zone=public--add-port=80/tcp--permanent。验证：执行firewall-cmd--zone=public--list-ports检查输出中是否包含80/tcp。任务1-2：KySec安全增强实施1.开启安全模式：操作：使用麒麟安全管理工具或命令行将KySec设为Normal模式。验证：执行getstatus（或对应麒麟安全指令）查看当前运行模式。2.文件标记实操：操作：对特定的第三方工具设置kysoft可信脚本标记或verified标记。验证：尝试运行该文件，并在/var/log/audit/audit.log中查看是否有相关审计日志生成。三、教学总结与作业1.教学总结重点回顾：Firewalld通过Zone实现基于信任等级的资产保护。核心对比：KySec与传统的SELinux相比，提供了更符合国内信创安全标准的三权分立机制（管理员、安全员、审计员）。易错点提醒：强调--permanent参数的重要性，以及执行后必须通过--reload重新加载规则。2.课后作业简答题：简述Netfilter中“四表”的优先级顺序及各自作用。KySec的“软模式”与“强制模式”在处理违规操作时有何不同？实践题：在银河麒麟服务器上配置防火墙，要求永久拒绝来自00的所有访问，并允许局域网内所有机器访问本机的443(HTTPS)端口。写出对应命令。教学后记

课程教案章节内容项目2麒麟操作系统日志管理服务课时4教学目标知识目标：了解Linux/麒麟系统日志的重要作用及其分类（内核日志、系统日志、应用日志）。深入理解rsyslog服务的配置文件格式、设施（Facilities）与优先级（Priorities）。掌握systemd-journald内存日志的特点与journalctl的使用。理解日志轮转（logrotate）的原理及重要性。能力目标：能够配置rsyslog将特定日志记录到指定文件。能够配置远程日志服务器，实现日志的集中化存储与管理。熟练运用journalctl进行故障排查与系统监控。能够配置日志轮转策略，防止磁盘空间被日志撑爆。素养目标：培养学生“证据留存”的安全意识，建立规范的数据管理习惯。提升处理复杂系统故障时的逻辑分析能力。教学重点rsyslog远程日志发送与接收配置、journalctl的过滤查询、日志轮转参数设置。教学难点rsyslog的选择器（Selector）语法、远程日志传输过程中的安全与连接排查、结构化日志与非结构化日志的区别。教学方法任务驱动法、对比教学法、演示法教学手段图示教学、实操演练、数字化资源教学过程一、知识讲解1.RSyslog系统日志体系服务构成：由rsyslog.service管理单元和RSyslog收集工具组成，具备高性能、模块化特点。配置文件逻辑：/etc/rsyslog.conf采用“选择器(Selector)=设施(Facility)+优先级(Priority)”模式。常用设施：authpriv(安全/授权)、mail(邮件)、cron(定时任务)、kern(内核)。优先级阶梯：从低到高为debug<info<notice<warning<err<crit<alert<emerg。处理流程：日志产生→RSyslog捕获→匹配过滤器→执行输出动作(写入本地文件、发送到远程服务器或写入数据库)。2.日志轮转(Logrotate)机制核心功能：自动对日志进行滚动、压缩、删除及创建新文件，防止单一日志文件过大消耗磁盘空间。配置参数：daily/weekly/monthly：定义轮转周期。rotate4：保留最近4个归档文件。compress：压缩旧日志以节省空间。missingok：如果日志文件不存在，不报错。3.现代日志工具Journalctl与DmesgJournalctl：用于查询由systemd-journald服务收集的二进制日志，支持按单元(-u)、时间(--since)、优先级(-p)快速检索。Dmesg：专门用于提取内核环形缓冲区(KernelRingBuffer)信息的工具，是诊断硬件驱动和启动问题的核心手段。二、任务实施与验证任务2-1：配置RSyslog进行自定义与远程日志管理【任务实施】自定义本地日志：编辑配置：vim/etc/rsyslog.conf。添加规则：local0.*/var/log/custom_app.log（将local0设施的所有级别日志存入该文件）。应用配置：systemctlrestartrsyslog。构建远程日志服务器：服务端：取消/etc/rsyslog.conf中imudp模块及514端口的注释，允许接收UDP日志。客户端：添加规则*.*@192.168.x.x:514(使用@表示UDP，@@表示TCP)。【任务验证】本地验证：执行logger-p"TestLogMessage"，检查/var/log/custom_app.log是否出现该内容。远程验证：在客户端生成测试日志，在服务端执行tail-f/var/log/messages观察是否有来自客户端主机名的记录。任务2-2：使用Logrotate管理日志文件大小【任务实施】在/etc/logrotate.d/下创建新配置文件my_app。写入以下策略：Plaintext/var/log/custom_app.log{size10Mrotate5compresspostrotate/bin/kill-HUP`cat/var/run/rsyslogd.pid2>/dev/null`2>/dev/null||trueendscript}【任务验证】执行强制轮转测试：logrotate-f/etc/logrotate.d/my_app。检查目录下是否生成了custom_app.log.1.gz。任务2-3：使用Journalctl进行高级故障诊断【任务实施】实时监控：执行journalctl-f观察系统实时动态。精准查询：查询今日以来所有的SSH登录失败记录：journalctl_SYSTEMD_UNIT=sshd.service--sincetoday|grep"Failed"。【任务验证】模拟一次错误的SSH登录，核实journalctl是否能立即捕获该事件的时间戳与来源IP。三、教学总结与作业1.教学总结(运维核心逻辑)分层管理：引导学生理解“实时内存日志(Journald)+永久持久化日志(RSyslog)”的双重架构。信创特色：在麒麟系统中，日志管理是符合等保2.0审计要求的核心组件，必须确保存储周期不低于6个月。操作习惯：强调在修改配置后务必先用rsyslogd-N1进行语法检查，再重启服务。2.课后作业选择题：在RSyslog配置中，authpriv.*设施主要记录什么信息？(A.内核信息B.邮件信息C.安全与授权信息D.打印信息)下列哪个journalctl参数用于查看指定服务单元的日志？(A.-pB.-uC.-kD.-f)综合实践题：天网工作室要求将所有系统的emergency(紧急)级别日志不仅写入本地，还要同步发送给管理员终端。请写出在/etc/rsyslog.conf中应添加的配置行，并说明如何验证配置生效。简答题：简述日志轮转中postrotate脚本的作用是什么？在麒麟系统中为什么通常需要在这个脚本里重启或重载日志服务？教学后记

课程教案章节内容项目3部署系统监控服务课时6教学目标知识目标：了解系统监控的必要性及常见的监控指标（CPU、内存、磁盘、网络）。掌握Zabbix监控系统的架构组成（Server、Agent、Database、Web）。理解Zabbix的监控流程：数据采集、数据存储、阈值触发、报警通知。熟悉SNMP协议及IPMI接口在硬件监控中的作用。能力目标：能够在银河麒麟服务器上完成LAMP/LNMP环境搭建。能够独立完成ZabbixServer的安装与Web端的初始化配置。能够配置ZabbixAgent并实现跨主机的基本性能数据采集。能够自定义监控项（Items）和触发器（Triggers）。素养目标：培养“预防为主”的系统维护理念，提升对异常数据的敏感度。建立对国产信创监控软件生态的认知。教学重点Zabbix环境部署、Agent端配置、自定义监控模板的使用。教学难点宏（Macros）的应用、触发器表达式的逻辑编写、Zabbix自动发现机制。教学方法项目教学法、任务驱动法、演示法、案例分析法。教学手段图示教学、实操演练、信息化教学资源（视频二维码）、实验验证。教学过程一、知识讲解1.Zabbix监控系统深度架构(3.1)数据流转全过程：采集层：ZabbixAgent提取系统指标（如vm.memory.size[available]）。传输层：通过加密通道（可选）发送至Server。处理层：Server匹配数据库中的阈值（Trigger），判断是否异常。持久层：历史数据存入MariaDB/PostgreSQL，趋势数据进行压缩存储。展示/告警层：Web界面生成图表，Action模块触发邮件或脚本。信创环境适配：强调Zabbix在麒麟操作系统上的PHP依赖关系（通常需要PHP7.4及以上版本）以及与内嵌安全机制（如KySec）的协同。2.监控项(Items)与触发器(Triggers)逻辑(3.2)监控项类型：Zabbix代理、SNMP、简单检查、计算型、内部检查。键值(Key)原理：每个监控项都有唯一Key，支持参数化（如net.if.in[eth0]）。触发器表达式：使用逻辑运算符（and/or/not）结合函数（last(),avg(),diff()）。例如：last(/host/cpu_load)>5。3.自动发现与自动注册(3.3)网络发现(Discovery)：Server定期扫描网段，发现存活主机并自动关联模板。自动注册(ActiveRegistration)：Agent主动向Server报到，适用于云环境和大规模动态扩展场景。二、任务实施与验证(步进式实操细节)任务3-1：在麒麟服务器上构建Zabbix服务端环境【任务实施细节】LAMP环境精细化配置：安装：dnfinstallhttpdmariadb-serverphp-fpmzabbix-server-mysqlzabbix-web-mysql。数据库初始化：创建库zabbix字符集设为utf8mb4，导入架构文件。配置时区：在/etc/php.ini或Zabbix专用配置中设置date.timezone=Asia/Shanghai。配置Server与数据库连接：修改/etc/zabbix/zabbix_server.conf中的DBPassword，并确保DBUser=zabbix。启动与权限调整：设置相关服务开机自启：systemctlenable--nowhttpdmariadbzabbix-server。【任务验证指标】端口状态：执行ss-ntlp|grep10051，确保Server监听端口已开启。日志排查：查看/var/log/zabbix/zabbix_server.log，确认无“connectiontodatabasefailed”错误。Web连通性：访问Web页面，完成Setup检查项，确保所有PHP插件显示“OK”。任务3-2：配置Agent监控及Linux基础指标采集【任务实施细节】Agent安装与配置：在受控机安装zabbix-agent。修改配置文件：设置Server=服务端IP以及Hostname=本机唯一标识。模板关联：在Web界面创建主机，选择模板LinuxbyZabbixagent或ICMPPing。自定义监控项（进阶）：创建UserParameter。例如监控当前登录人数：UserParameter=login.users,who|wc-l。【任务验证指标】可用性图标：Web界面“主机”列表中的“ZBX”图标变为绿色。数据一致性：在“最新数据”中查看到的内存使用量应与在受控机执行free-m的结果吻合。任务3-3：告警动作与触发器联动实验【任务实施细节】创建触发器：定义Item:磁盘剩余空间<10%。设置告警媒介：配置SMTP服务器（如163或企业邮箱）。配置动作(Action)：设置“操作”为发送邮件，“恢复操作”为发送恢复通知。模拟故障：使用ddif=/dev/zeroof=/tmp/bigfilebs=1Mcount=2000快速消耗磁盘空间。【任务验证指标】仪表盘响应：确认Zabbix仪表盘首页出现“High”等级的红色告警。邮件送达：查收邮箱，确认收到的邮件正文中包含：故障时间、主机名、当前磁盘使用率具体数值。三、教学总结与作业1.教学总结知识串联：总结监控系统如何通过“指标-阈值-告警”三个环节保障服务器安全。实战避坑：强调防火墙（Firewalld）必须开放10050/10051端口，且注意Zabbix账号对自定义脚本的执行权限问题。职业素养：强调监控不是为了监视人，而是为了通过数据预判风险，减少系统宕机时间。2.课后作业理论思考题：当Zabbix监控页面显示主机不可达（ZBX变红），请列举至少4个排查步骤。为什么在信创环境下，建议将数据库和ZabbixServer部署在不同的物理/虚拟服务器上？实践操作题：基础题：为你的麒麟服务器配置一个监控项，实时监控/etc/passwd文件是否被修改（提示：使用文件校验和vfs.file.cksum）。挑战题：配置一个自动发现规则（Discovery），要求自动发现局域网段内所有开启了22端口的麒麟服务器，并自动将它们加入“信创服务器”主机组。简答题：简述Zabbix中“宏(Macro)”的作用，并举例说明全局宏和主机宏的使用场景。教学后记

课程教案章节内容项目4部署Nginx服务课时6教学目标知识目标：理解Nginx的高性能架构（异步非阻塞、事件驱动模型）。掌握Nginx配置文件nginx.conf的核心指令块（Main,Events,Http,Server,Location）。理解正向代理与反向代理的区别。掌握负载均衡的常用算法（轮询、权重、Ip_hash）。能力目标：能够在银河麒麟服务器上通过dnf或源码编译安装Nginx。能够配置虚拟主机（基于域名、IP、端口）。能够实现Nginx的反向代理配置及动静分离。能够配置多台后端节点的负载均衡集群。素养目标：强化高性能架构思维，理解国产操作系统对高并发业务的支撑能力。培养细致的排错能力，习惯通过日志分析定位配置错误。教学重点Nginx配置文件结构、Location匹配优先级、负载均衡配置。教学难点反向代理中的头部信息转发、动静分离的正则逻辑、负载均衡的会话保持策略。教学方法项目教学法、任务驱动法、演示法、案例分析法。教学手段图示教学、实操演练、信息化教学资源（视频二维码）、实验验证。教学过程一、知识讲解1.Nginx概述与核心优势(4.1)特性：高并发连接（支持数万并发）、内存消耗极低、支持热部署（不停机升级）。架构模型：Master-Worker模型。Master进程：负责接收信号、读取配置文件、管理Worker进程。Worker进程：处理实际的网络请求。对比Apache：分析Prefork/Worker模式与Nginx事件驱动模型的效率差异。2.配置文件结构深度解析(4.2)全局块(Main)：配置运行用户、工作进程数（通常设为CPU核心数）。Events块：配置连接处理上限（worker_connections）。Http块：Server块：虚拟主机的具体配置。Location块：URL路由匹配。支持精准匹配(=)、正则匹配(~,~*)和前缀匹配(^~)。Upstream块：定义后端服务器组（用于负载均衡）。3.反向代理与负载均衡原理(4.3)反向代理(ReverseProxy)：代理服务器接收客户端请求，转发给内部网络服务器，并返回结果。对客户端而言，代理服务器就是真实服务器。负载均衡(LoadBalancing)：将流量分发到多个节点，提高系统容错性和处理能力。轮询(RoundRobin)：默认方式，按时间顺序逐一分配。权重(Weight)：按比例分配，适用于服务器性能不均的情况。Ip_hash：解决Session会话丢失问题。二、任务实施与验证任务4-1：Nginx基础部署与虚拟主机配置【任务实施细节】安装Nginx：执行dnfinstallnginx。启动并设置开机自启：systemctlenable--nownginx。配置基于域名的虚拟主机：创建站点目录：mkdir-p/www/site1和/www/site2。编写测试首页：创建index.html。修改配置：在/etc/nginx/conf.d/下创建vhost.conf，定义两个server块，分别设置server_name为和。权限与防火墙：确保nginx用户对站点目录有读取权限。开放端口：firewall-cmd--add-service=http--permanent&&firewall-cmd--reload。【任务验证指标】语法检查：执行nginx-t返回syntaxisok。本地解析：修改/etc/hosts，将域名指向本地IP。访问测试：使用curl和curl，确认返回不同的网页内容。任务4-2：配置反向代理实现动静分离【任务实施细节】后端服务准备：在8080端口启动一个简单的Web服务（或Tomcat）。代理配置：在Location块中使用proxy_pass:8080;。设置Header：proxy_set_headerHost$host;确保后端能获取真实域名。动静分离实施：配置location~*\.(jpg|png|gif|css|js)$直接指向本地静态目录。配置location/转发给动态后端。【任务验证指标】路径验证：查看Nginx访问日志access.log，确认图片类资源未请求后端服务，而是在本地磁盘命中。功能验证：关闭后端8080服务，发现动态页面502，但静态图片依然能正常显示。任务4-3：构建高可用负载均衡集群【任务实施细节】环境准备：准备三台麒麟服务器（1台Nginx调度器，2台Web后端）。配置Upstream组：Nginxupstreammy_cluster{server01weight=3;server02weight=1;}引用调度：在Server块中设置proxy_passhttp://my_cluster;。超时处理：配置proxy_connect_timeout，防止因某台后端宕机导致调度器卡顿。【任务验证指标】权重验证：连续刷新页面，确认后端服务器1出现的频率约是服务器2的3倍。容错验证：手动停止其中一台Web后端，确认Nginx能够自动剔除故障节点，请求依然正常处理。三、教学总结与作业1.教学总结性能逻辑：回顾Nginx为什么快（IO多路复用），以及如何通过调优worker_processes发挥麒麟服务器多核性能。信创实践：强调在国产环境下，Nginx往往作为应用的最前端，其稳定性和client_max_body_size等配置对业务的重要性。安全规范：强调隐藏版本号（server_tokensoff;）等安全加固操作。2.课后作业理论思考题：Location匹配中，~和^~的区别是什么？为什么说反向代理能提高Web服务的安全性？实践操作题：基础题：配置一个Nginx服务，要求访问http://ip/status时能显示Nginx当前的连接状态（提示：使用stub_status模块）。挑战题：配置一个基于Ip_hash的负载均衡，并结合rewrite指令，实现当用户使用移动端访问时，自动跳转到。简答题：简述当Nginx出现504GatewayTimeout错误时，通常应该排查哪些配置参数？说明proxy缓冲区（ProxyBuffer）的作用。教学后记

课程教案章节内容项目5部署DNS服务器课时4～6教学目标知识目标：理解DNS域名空间的层级结构（根域、顶级域、二级域、主机名）。掌握DNS查询过程（递归查询与迭代查询）的逻辑区别。熟悉BIND服务的核心配置文件及其语法要求。掌握常见资源记录（RR）类型：A、AAAA、CNAME、MX、PTR、NS、SOA。能力目标：能够在银河麒麟服务器上完成bind及相关工具的安装。能够独立配置主域名服务器（PrimaryDNS）的正向与反向解析区域。能够配置从域名服务器（SlaveDNS）实现区域传输与数据冗余。能够使用nslookup、dig和host工具进行解析故障排查。素养目标：认识DNS作为网络基础设施的战略意义，增强网络主权意识。培养规范配置、严谨命名的专业运维素质。教学重点BIND配置文件（named.conf）的访问控制、正反向区域数据库文件的编写、常用资源记录的定义。教学难点递归与迭代查询的详细流程、DNS区域传输（AXFR）的安全控制、多条解析记录的权重理解。教学方法项目教学法、任务驱动法、演示法、案例分析法。教学手段图示教学、实操演练、信息化教学资源、实验验证。教学过程一、知识讲解1.DNS基础理论与域名结构(5.1)域名空间结构：采用倒挂树状结构。根域（.）：全球共有13组根服务器。顶级域（TLD）：如.cn、.com、.net。二级域：如。主机名（子域）：如www、mail。解析类型：正向解析：已知域名查IP地址（最常用）。反向解析：已知IP地址查域名（常用于邮件过滤、日志审计）。查询方式：递归查询：客户端指向服务器，服务器“负责到底”并返回最终结果。迭代查询：服务器指向服务器，由请求者亲自依次询问各级服务器。2.BIND服务组件解析(5.2)软件包：bind（核心服务）、bind-utils（工具包）、bind-chroot（安全监狱环境）。核心配置文件(/etc/named.conf)：options块：定义监听IP（默认53端口）、允许查询的范围、转发器等。zone块：定义域名区域名称、类型（master/slave）及对应的数据文件名。资源记录(ResourceRecords)详解：SOA：起始授权记录，定义区域的全局属性（刷新时间、重试时间等）。NS：域名服务器记录。A：IPv4地址记录。CNAME：别名记录。PTR：指针记录，用于反向解析。二、任务实施与验证任务5-1：部署主域名服务器实现正向解析【任务实施细节】安装BIND：执行dnfinstallbindbind-utils-y。编辑主配置文件(/etc/named.conf)：修改listen-onport53{any;};。修改allow-query{any;};（实验环境下设为any，生产环境应严格控制）。定义区域(/etc/named.rfc1912.zones)：添加区域信息：Plaintextzone"kylinos.local"IN{typemaster;file"kylinos.local.zone";allow-update{none;};};建立区域数据库文件：复制模板：cp-p/var/named/named.localhost/var/named/kylinos.local.zone。编写记录：添加wwwA00以及mailA01。权限与服务重启：确保文件所有权属于named组。重启服务：systemctlrestartnamed。【任务验证指标】语法检查：使用named-checkconf/etc/named.conf和named-checkzonekylinos.local/var/named/kylinos.local.zone确认无误。客户端测试：将/etc/resolv.conf中的nameserver指向本机，执行nslookupwww.kylinos.local，观察是否准确返回00。任务5-2：配置反向解析区域【任务实施细节】定义反向区域：在named.rfc1912.zones中添加：Plaintextzone"10.168.192."IN{typemaster;file"192.168.10.ptr";};创建PTR数据文件：编辑/var/named/192.168.10.ptr。添加记录：100PTRwww.kylinos.local.（注意末尾的点）。防火墙策略：开放UDP/53端口。【任务验证指标】工具验证：执行dig-x00。结果比对：在ANSWERSECTION中确认返回域名为www.kylinos.local.。任务5-3：主从域名服务器同步配置（高可用）【任务实施细节】主服务器设置：在zone块中添加also-notify{从服务器IP;};。从服务器设置：修改named.conf监听所有IP。定义从区域：Plaintextzone"kylinos.local"IN{typeslave;masters{主服务器IP;};file"slaves/kylinos.local.zone.slave";};同步验证：在从服务器上启动named，观察/var/named/slaves/是否自动生成加密的解析文件。【任务验证指标】模拟故障：关掉主服务器的named服务，配置客户端指向从服务器IP。解析检查：确认客户端依然能够正常解析www.kylinos.local。三、教学总结与作业1.教学总结核心点：总结DNS配置的三要素：配置文件修改、区域数据编写、权限与防火墙调整。易错点：数据文件末尾的“点号”丢失导致解析失败。区域文件所有权不是named导致服务无法读取。序列号（Serial）在更新后未增加导致从服务器不同步。国产化意义：介绍麒麟操作系统在根域名服务器镜像、纯IPv6解析环境下的适配优势。2.课后作业理论思考题：为什么DNS协议同时使用UDP和TCP的53端口？分别在什么场景下使用？简述DNS区域传输中“全量传输（AXFR）”与“增量传输（IXFR）”的区别。实践操作题：基础题：在麒麟服务器上配置一个别名记录（CNAME），让web.kylinos.local指向www.kylinos.local。挑战题：配置一个泛域名解析，要求访问任何.kylinos.local（如test.kylinos.local）都指向IP54。故障分析题：执行nslookup时提示**servercan'tfindwww.kylinos.local:SERVFAIL，请列举至少三个可能的故障点。教学后记

课程教案章节内容项目6部署DHCP服务课时4教学目标知识目标：理解DHCP（动态主机配置协议）的作用及其在大型网络中的优势。掌握DHCP工作过程中的“四个阶段”交互原理（Discover,Offer,Request,Ack）。熟悉DHCP服务的主要术语：作用域（Scope）、租约（Lease）、保留地址（Reservation）。了解DHCP中继代理（RelayAgent）解决跨网段分配的原理。能力目标：能够在银河麒麟服务器上安装dhcp-server软件包。能够熟练编写dhcpd.conf配置文件，设置地址池、网关、DNS等参数。能够根据MAC地址配置静态IP地址绑定。能够在客户端验证地址获取情况，并解读租约文件。素养目标：培养自动化运维意识，理解减少人工手动配置IP带来的效率提升。养成严格遵守网络规划的职业习惯，防止IP地址冲突造成的网络瘫痪。教学重点DHCP的四步交互流程、dhcpd.conf全局与局部参数配置、固定IP绑定。教学难点租约更新机制（T1/T2时间点）、DHCP中继的工作逻辑、多网卡环境下的监听配置。教学方法项目教学法、任务驱动法、演示法、情景模拟法。教学手段图示教学、实操演练、信息化教学资源、抓包分析验证。教学过程一、知识讲解1.DHCP工作原理详解(6.1)交互四阶段（报文类型均为UDP67/68）：DHCPDiscover：客户端广播寻找网络中的DHCP服务器。DHCPOffer：服务器响应，向客户端提供预分配的IP地址等参数。DHCPRequest：客户端选择一个Offer，并广播告知所有服务器自己的选择。DHCPAck：选中的服务器确认租约生效，客户端开始使用该IP。租约更新：当租约到达50%（T1）时，客户端尝试续租；若失败，到87.5%（T2）时再次尝试。DHCP中继（Relay）：由于广播报文无法跨越路由器，中继代理负责将客户端请求以单播形式转发给远程DHCP服务器。2.核心配置文件解析(6.2)程序路径：/usr/sbin/dhcpd。配置文件：/etc/dhcp/dhcpd.conf。关键声明指令：subnet：定义逻辑子网。range：定义动态分配的IP地址范围。optionrouters：定义默认网关。optiondomain-name-servers：定义DNS服务器地址。default-lease-time/max-lease-time：定义租约周期。3.静态地址分配(6.3)host声明：通过hardwareethernet指令匹配客户端网卡MAC地址，使用fixed-address指令分配固定IP。二、任务实施与验证任务6-1：构建基础DHCP服务器实现自动分配【任务实施细节】环境准备：服务器端：银河麒麟服务器，配置静态IP（如）。客户端：另一台麒麟系统或Windows，网络调至与服务器同一虚拟网段。安装服务：执行dnfinstalldhcp-server-y。编写配置：修改/etc/dhcp/dhcpd.conf。Plaintext#全局参数optiondomain-name"";optiondomain-name-servers14;#作用域定义subnetnetmask{range050;optionrouters;default-lease-time86400;max-lease-time172800;}启动服务：systemctlenable--nowdhcpd。【任务验证指标】服务验证：检查systemctlstatusdhcpd，确保无报错。客户端验证：客户端执行nmcliconnectionup<网卡>或重启网络，使用ipaddr查看是否获取到了10.50~10.150之间的地址。租约查看：在服务器端查看/var/lib/dhcpd/dhcpd.leases，确认是否有客户端的租约记录。任务6-2：配置基于MAC地址的固定IP分配【任务实施细节】获取MAC地址：在客户端执行iplink或ifconfig记录ether后面的硬件地址。修改配置：在dhcpd.conf的subnet块外或块内添加host声明。Plaintexthostadmin-pc{hardwareethernet00:0C:29:4F:AB:CD;fixed-address8;}重启服务：systemctlrestartdhcpd。【任务验证指标】客户端重连：客户端执行dhclient-r释放地址，再执行dhclient重新获取。精准性检查：核实客户端获取到的IP是否为8。任务6-3：多网卡环境下的DHCP监听配置【任务实施细节】场景模拟：服务器有eth0（内网）和eth1（外网）两块网卡。指定接口：在银河麒麟中，修改/etc/sysconfig/dhcpd（或通过systemd单元文件参数），设置DHCPDARGS="eth0"。验证目的：防止DHCP服务向外网网段广播，造成网络污染。【任务验证指标】安全性验证：确保只有连接在eth0交换机下的客户端能获取IP。三、教学总结与作业1.教学总结流程梳理：回顾Discover到Ack的信令交互过程。运维经验：服务器自身必须配置静态IP。地址池范围（range）不能包含服务器IP及网关IP，避免冲突。修改配置后务必使用journalctl-udhcpd查看详细日志排错。信创特性：强调在国产终端大规模部署时，DHCP是实现“零配置”入网的关键。2.课后作业理论思考题：当网络中存在两台DHCP服务器时，客户端会接受哪一台分配的地址？为什么？简述DHCP租约到达50%时的续租过程（单播还是广播？）。实践操作题：基础题：配置一个DHCP作用域，要求租约时间为2小时，DNS为本地服务器IP。挑战题：模拟一个IP地址冲突场景（手动给一台机器设为地址池内的IP），观察DHCP服务器如何通过ICMP检测并避免将该地址分配给其他客户端。排错分析题：如果客户端无法获取IP，显示DHCPDISCOVERoneth0to55port67interval3且一直循环，请列举至少三个可能的检查方向。教学后记

课程教案章节内容项目7网络链路聚合服务课时4教学目标知识目标：理解网络链路聚合（LinkAggregation）的概念及应用场景。掌握网卡绑定（Bonding）与网络组（Team）的区别与联系。熟悉链路聚合的常见模式（如active-backup,round-robin,loadbalance等）。理解LACP（链路聚合控制协议）的原理。能力目标：能够在银河麒麟服务器上使用nmcli工具配置Team网络组。能够为聚合后的逻辑网卡配置IP地址及网络参数。能够添加和删除从设备（Slave/Port）。能够进行链路故障切换测试并分析连接状态。素养目标：培养对“系统高可用性”的设计思维。强化在核心机房环境下的风险规避意识和应急操作能力。教学重点Team网络组的配置流程、常用Runner模式的选择、物理网卡的添加与管理。教学难点不同聚合模式对交换机端配置的要求、链路状态监控（MII与ARP）的原理。教学方法项目教学法、任务驱动法、演示法、对比教学法。教学手段图示教学、实操演练、实验验证。教学过程一、知识讲解1.链路聚合技术概述(7.1)核心定义：将多块物理网卡逻辑上合并为一根“管道”，对外表现为一个逻辑接口和唯一的MAC/IP地址。主要优势：冗余性（故障转移）：当其中一根网线或一个网口损坏时，业务不中断。带宽叠加：通过多链路并行传输数据，提升吞吐量。技术演进：Bonding：传统的内核模块实现，配置相对复杂。Team：现代化的链路聚合实现，由用户空间程序驱动，性能更好且更易于扩展。2.Team网络组的常用模式(7.2)broadcast(广播模式)：每个数据包都在所有端口发送。round-robin(轮询模式)：数据包依次轮流在每个端口发送，实现负载均衡。active-backup(主备模式)：平时只有主接口工作，故障时自动切换（最常用）。loadbalance(负载均衡)：根据哈希算法分配流量，需监控链路状态。lacp(802.3ad)：符合标准的链路聚合，需要物理交换机支持并开启相应功能。3.监控机制(7.3)ethtool(MII)：检查网卡链接指示灯状态。arp_ping：通过发送ARP请求确认远端网关是否通畅，比MII更可靠。二、任务实施与验证任务7-1：使用nmcli构建Team网络组（主备模式）【任务实施细节】环境准备：确认服务器拥有至少两块物理网卡（如eth0,eth1），且当前均未配置IP。创建Team逻辑接口：命令：nmcliconnectionaddtypeteamcon-nameteam0ifnameteam0config'{"runner":{"name":"activebackup"}}'。为Team接口配置IP参数：命令：nmcliconnectionmodifyteam0ipv4.addresses0/24ipv4.methodmanual。添加物理网卡到网络组：命令1：nmcliconnectionaddtypeteam-slavecon-nameteam0-port1ifnameeth0masterteam0。命令2：nmcliconnectionaddtypeteam-slavecon-nameteam0-port2ifnameeth1masterteam0。激活连接：命令：nmcliconnectionupteam0；nmcliconnectionupteam0-port1；nmcliconnectionupteam0-port2。【任务验证指标】状态检查：执行teamdctlteam0state，确认runner为activebackup，且两个端口均已up，其中一个是active。参数验证：执行ipaddrshowteam0，确认逻辑网卡已成功获取IP地址。任务7-2：链路故障切换验证实验【任务实施细节】持续监控：在客户端开启ping0-t。模拟故障：在服务器端手动断开当前“Active”状态的物理网卡（或使用nmclidevicedisconnecteth0）。观察切换：再次执行teamdctlteam0state，查看活动端口是否自动漂移到另一块网卡。【任务验证指标】丢包率检查：查看客户端ping的反馈，正常情况下切换过程仅会出现1-2个包的延迟或丢包，随后立即恢复正常。日志核实：查看/var/log/messages，确认系统记录了网卡LinkDown及切换到备份链路的消息。三、教学总结与作业1.教学总结关键结论：链路聚合不仅是物理层面的叠加，更是系统安全性的保障。在生产环境中，核心数据库和业务服务器通常必须配置active-backup。操作要点：不要直接给物理成员网卡配IP。配置文件中的JSON格式（config部分）必须严格遵守语法。强制要求学生掌握teamdctl命令，这是查看聚合状态最权威的工具。信创价值：银河麒麟对Team技术提供了完善的图形化及命令行支持，完全满足金融、政务等对高可用网络的要求。2.课后作业理论思考题：如果使用round-robin模式，为什么有时会导致网络连接不稳定？（提示：乱序问题）。active-backup模式下，备份网卡的MAC地址与主网卡是否一致？实践操作题：基础题：在实验机上配置一个名为team_web的网络组，使用loadbalance模式。挑战题：配置Team接口后，再在其上创建一个VLAN子接口（如team0.10），并为该VLAN接口配置不同网段的IP，实现链路聚合与VLANTrunk的结合。简答题：简述nmcli配置中team和team-slave之间的逻辑关系。教学后记

课程教案章节内容项目8网络时钟同步服务课时4教学目标知识目标：理解时间同步在分布式系统、日志审计及认证协议（如Kerberos）中的决定性作用。掌握NTP（网络时间协议）的分层结构（Stratum层级概念）。掌握Chrony与传统NTP服务的区别（同步速度、精度及间歇性网络适应性）。熟悉Chrony的核心组件：chronyd（守护进程）和chronyc（命令行工具）。能力目标：能够在银河麒麟服务器上完成chrony软件包的安装与配置。能够独立搭建内网NTP服务端（Stratum1/2）为其他服务器提供校时。能够配置客户端同步至指定服务器，并设置阶跃同步与平滑同步策略。能够使用chronyc监控时钟偏移和服务器同步状态。素养目标：培养严谨的运维观，认识到“失之毫秒，差之千里”对数据一致性的影响。关注国家授时中心等自主可控的时间基准源，强化安全意识。教学重点Chrony配置文件chrony.conf的核心指令、服务端允许客户端接入的权限控制。教学难点平滑偏移（Slew）与立即阶跃（Step）的逻辑区别、分层结构（Stratum）的权值计算、孤立内网环境下的本地伪时钟源配置。教学方法项目教学法、任务驱动法、演示法、对比教学法。教学手段图示教学、实操演练、信息化教学资源、实时状态监控验证。教学过程一、知识讲解1.网络时间同步原理(8.1)NTP层级结构(Stratum)：Stratum0：原子钟、GPS信号源（硬件）。Stratum1：直接连接物理时钟源的服务器。Stratum2：通过网络连接Stratum1的服务器，以此类推。层级越大，精度理论上越低。同步机制：阶跃同步(Stepping)：如果时间偏差巨大，直接将时钟“拨到”正确时刻。平滑同步(Slewing)：微调系统时钟频率，让时钟逐渐追上或等候正确时刻，避免时间跳变对数据库等应用的影响。2.Chrony服务核心解析(8.2)优势：同步频率更高、在网络不稳定的环境下表现更稳健、支持在没有网络连接时记录系统时钟漂移。配置文件路径：/etc/chrony.conf。关键指令：server：定义上游NTP服务器地址。allow：允许哪些网段的客户端请求本服务器。localstratum10：当本服务器无法连接互联网时，仍可作为时间源（虚假层级）。makestep：定义触发阶跃同步的阈值。3.工具使用(8.3)chronycsources：查看当前连接的时间源详情。chronyctracking：查看系统时钟的误差、频率偏差及层级信息。二、任务实施与验证任务8-1：部署企业级内网NTP服务端【任务实施细节】环境准备：服务器A（服务端）：具备连接外网能力或作为基准源，IP为。安装Chrony：dnfinstallchrony-y。配置服务端参数(/etc/chrony.conf)：设置上游源：serveriburst（iburst可加速首次同步）。设置访问权限：allow/24（允许10网段客户端同步）。离线容错：localstratum10（外网断开时，仍认为自己是可靠源）。启动与开放防火墙：systemctlenable--nowchronyd。firewall-cmd--add-service=ntp--permanent&&firewall-cmd--reload。【任务验证指标】状态检查：执行chronyctracking，查看ReferenceID是否已指向外部NTP节点。监听检查：执行ss-nupl|grep123，确保UDP123端口正常监听。任务8-2：配置客户端实现自动校时【任务实施细节】环境准备：服务器B（客户端）：无法连接外网，IP为。修改配置：屏蔽默认服务器，添加：serveriburst。设置强制阶跃：makestep1.03（若偏差大于1秒，前3次同步允许阶跃）。重启服务：systemctlrestartchronyd。【任务验证指标】同步验证：执行chronycsources-v。判定标准：查看输出，如果前面出现了^*符号（^表示服务器，*表示当前正在同步的源），则证明同步成功。手动漂移测试：手动使用date-s"10:00:00"改乱客户端时间，等待片刻观察时间是否自动恢复。任务8-3：使用chronyc管理系统时钟【任务实施细节】手动触发校时：在客户端执行chronycmakestep，立即强制同步。查看性能：执行chronycsourcestats查看各源的漂移率和原始数据。【任务验证指标】精度验证：Lastoffset字段数值应趋于极其微小的科学计数法数值（如+/-0.000001s）。三、教学总结与作业1.教学总结核心点：强调Chrony同步的“主从逻辑”与“权限逻辑”。操作坑点：客户端与服务端防火墙必须同时开放UDP123端口。配置文件中allow网段如果写错，客户端将显示Refid.INIT.。信创实践：在麒麟操作系统集群中，建议指定一台具有外部时钟参考的机器为核心，其他所有业务机均指向它，以保证集群内各节点（如K8s、数据库集群）毫秒级同步。2.课后作业理论思考题：为什么数据库服务器通常偏向于使用“平滑同步”而非“阶跃同步”？chronycsources结果中，^?代表什么意思？如何排查此类问题？实践操作题：基础题：配置一台服务器同步至中国国家授时中心NTP服务器（），并查看其Stratum级别。挑战题：配置一个内网Chrony环境，要求设置makestep-10（即禁止任何阶跃同步，全部使用平滑同步），观察当时间偏差1分钟时，系统需要多久才能追平。简答题：简述Chrony相比于传统NTPD服务在笔记本电脑或经常进入休眠模式的服务器上的优势。教学后记

课程教案章节内容项目9部署NFS服务课时4教学目标知识目标：理解NFS（网络文件系统）的基本概念及其在信创集群中的作用。掌握RPC（远程过程调用）协议在NFS通信中的支撑作用。熟悉NFS服务的各种权限参数（rw,ro,sync,async,no_root_squash等）。了解NFS与存储区域网络（SAN）及其他共享方式的区别。能力目标：能够在银河麒麟服务器上安装nfs-utils和rpcbind。能够通过编辑/etc/exports文件配置灵活的共享目录及权限。能够使用exportfs工具动态维护共享列表。能够实现客户端的临时挂载与通过/etc/fstab实现的永久挂载。素养目标：培养“数据中心化”的管理思维，理解资源整合对效率的提升。强化数据共享环境下的访问控制意识，严防权限过大导致的安全风险。教学重点NFS服务配置流程、共享权限参数的组合应用、客户端挂载技术。教学难点NFS权限与底层文件系统（Linux权限）的叠加映射关系、RPC端口随机化导致的防火墙配置难题。教学方法项目教学法、任务驱动法、演示法、实验对比法。教学手段图示教学、实操演练、信息化教学资源、在线实验手册。教学过程一、知识讲解1.NFS工作原理与架构(9.1)NFS简介：基于UDP/IP协议，允许客户端通过网络像访问本地磁盘一样访问远程服务器的文件。RPC机制：由于NFS的服务端口是不固定的，RPC（RemoteProcedureCall）充当了“中介”角色，负责记录NFS端口并告知客户端。通信流程：服务端启动rpcbind记录端口。服务端启动nfs服务并注册端口至rpcbind。客户端向服务端的rpcbind询问NFS端口。客户端通过获取的端口与NFS服务进行数据传输。2.核心配置文件及权限参数(9.2)配置文件：/etc/exports。格式：共享目录允许访问的主机/网段(权限参数)。关键参数详解：rw/ro：读写或只读。sync/async：同步写入磁盘或异步缓存（sync选安全性，async选性能）。no_root_squash：若客户端是root，则在服务器端也拥有root权限（风险大）。root_squash：将客户端root映射为匿名用户（nfsnobody），更安全。all_squash：无论客户端什么用户，全部映射为匿名用户。3.辅助工具命令(9.3)showmount-e[IP]：查看远程服务器公开的共享列表。exportfs-rv：不重启服务，直接重新加载配置文件。二、任务实施与验证任务9-1：构建基础NFS共享环境【任务实施细节】服务端准备：创建共享目录：mkdir-p/data/nfs_share。设置本地权限：chmod777/data/nfs_share（实验环境下确保权限通过）。安装软件：dnfinstallnfs-utilsrpcbind-y。配置共享(/etc/exports)：添加内容：/data/nfs_share/24(rw,sync,no_root_squash)。启动服务（顺序敏感）：先启动rpcbind：systemctlstartrpcbind。后启动nfs-server：systemctlenable--nownfs-server。防火墙配置：执行：firewall-cmd--add-service={nfs,rpc-bind,mountd}--permanent&&firewall-cmd--reload。【任务验证指标】导出检查：执行showmount-elocalhost，确认输出包含/data/nfs_share/24。进程检查：执行rpcinfo-p，确保nfs、mountd等程序已在RPC中注册。任务9-2：客户端挂载与自动挂载【任务实施细节】临时挂载：创建挂载点：mkdir/mnt/nfs_data。执行挂载：mount-tnfs:/data/nfs_share/mnt/nfs_data。永久挂载(/etc/fstab)：添加行：:/data/nfs_share/mnt/nfs_datanfsdefaults00。读写测试：客户端：touch/mnt/nfs_data/client_test.txt。服务端：检查/data/nfs_share是否同步出现该文件。【任务验证指标】挂载确认：执行df-h，查看是否有:/data/nfs_share的挂载信息。重启测试：重启客户端，确认/mnt/nfs_data下的内容依然存在且可读写。任务9-3：NFS权限映射实验【任务实施细节】修改权限：将/etc/exports中的参数改为root_squash。刷新配置：执行exportfs-rv。身份测试：客户端使用root用户在共享目录创建文件，观察文件的属主。【任务验证指标】属主检查：在服务端执行ls-l，发现该文件的属主变为nfsnobody（或ID为65534的账号），证明映射生效。三、教学总结与作业1.教学总结流程梳理：强调服务端“三部曲”：目录准备、文件配置、服务启动。避坑指南：忘记启动rpcbind会导致nfs启动失败。共享目录的Linux系统权限（rwx）必须与NFS共享权限（rw/ro）同时满足才能写入。信创视野：NFS是麒麟操作系统云桌面、集群计算中最常用的轻量级共享存储方案，掌握它对后续学习K8s动态存储卷具有重要意义。2.课后作业理论思考题：为什么说no_root_squash参数在公网环境下是非常不安全的？如果服务端IP变了，客户端挂载的目录会出现什么现象？如何优雅处理（umount-l）？实践操作题：基础题：配置两个共享目录，其中一个仅允许0主机读写，另一个允许全网段只读访问。挑战题：配置NFS的固定端口（在/etc/nfs.conf中），并配置防火墙仅开放指定的TCP/UDP端口而非使用服务别名，以此提高安全性。排错分析题：客户端执行mount时报错mount.nfs:Connectiontimedout，请按优先级列出三个排查步骤。教学后记

课程教案章节内容项目10部署iSCSI存储服务课时4～6教学目标知识目标：理解iSCSI（互联网小型计算机系统接口）的基本概念及工作原理。掌握iSCSI的核心术语：Target（服务端）、Initiator（客户端）、LUN（逻辑单元号）、IQN（唯一限定名称）。熟悉块设备存储与文件系统共享（如NFS）的区别。了解iSCSI的发现机制、登录过程及CHAP认证协议。能力目标：能够在银河麒麟服务器上安装targetcli并在服务端创建存储对象。能够配置iSCSITarget，实现磁盘分区、逻辑卷（LVM）的挂载输出。能够在客户端（Initiator）发现、登录远程存储并进行分区格式化。能够配置基于IQN的访问控制列表（ACL）以确保存储安全。素养目标：培养“存储与计算分离”的高级架构思维。强化数据安全防护意识，理解块级存储误操作可能带来的毁灭性后果。教学重点使用targetcli交互界面配置服务端、客户端发现并连接存储、ACL权限配置。教学难点IQN的格式标准、LUN的映射关系、iSCSI存储在客户端的持久化挂载与多路径机制。教学方法项目教学法、任务驱动法、演示法、实验对比法。教学手段图示教学、实操演练、信息化教学资源、存储管理平台演示。教学过程一、知识讲解1.iSCSI存储技术概述(10.1)块级共享vs文件级共享：文件级(NFS/SMB)：共享的是现有的文件系统，适合办公协作。块级(iSCSI/FC)：共享的是裸磁盘或逻辑卷，客户端需自行格式化，适合数据库和虚拟化存储。iSCSI组件架构：Target：提供存储资源的服务器。Initiator：使用存储资源的客户端。Fabric：连接两者的网络（通常为千兆或万兆以太网）。IQN命名规范：格式为iqn.yyyy-mm.naming-authority:unique-name（如.kylin:server）。2.iSCSI协议交互流程(10.2)发现阶段：Initiator发送发现请求，Target返回可用的端口和资源列表。登录阶段：建立TCP连接，进行身份验证（如CHAP认证）。工作阶段：SCSI指令通过封装在TCP/IP包中在网络上传输。3.核心工具介绍(10.3)targetcli：银河麒麟中管理iSCSI目标的shell交互式工具，支持层级化管理目录（backstores,iscsi）。iscsiadm：客户端管理工具，用于发现、登录及查询连接状态。二、任务实施与验证任务10-1：部署iSCSITarget服务端【任务实施细节】准备存储资源：准备一块新硬盘或逻辑卷。例如：/dev/sdb1。安装并进入管理界面：dnfinstalltargetcli-y。执行targetcli进入交互式Shell。创建后端存储(Backstores)：/backstores/blockcreatename=disk0dev=/dev/sdb1。创建iSCSI目标(Target)：/iscsicreate.kylin:server1（系统会自动生成TPG1目录）。配置LUN（逻辑单元）：在TPG目录下：luns/create/backstores/block/disk0。配置ACL（访问控制）：命令：acls/create.kylin:client1（此为允许接入的客户端名称）。保存并退出：saveconfig->exit。启动服务：systemctlenable--nowtarget。【任务验证指标】监听验证：执行ss-ntlp|grep3260，确认iSCSI默认端口已开启。配置检查：在targetcli中使用ls命令，确保目录树结构完整且LUN状态为正常。任务10-2：配置客户端Initiator发现并挂载【任务实施细节】安装工具：dnfinstalliscsi-initiator-utils-y。配置Initiator名称：编辑/etc/iscsi/initiatorname.iscsi。设置为服务端ACL中允许的名字：InitiatorName=.kylin:client1。发现Target资源：执行：iscsiadm-mdiscovery-tsendtargets-p服务端IP。登录存储：执行：iscsiadm-mnode-T.kylin:server1-p服务端IP-l。使用磁盘：执行lsblk，观察系统中是否多出了一个新的磁盘（如/dev/sdc）。对新磁盘进行分区挂载：mkfs.xfs/dev/sdc1->mount/dev/sdc1/data。【任务验证指标】挂载验证：执行df-h，查看新磁盘挂载情况。持久化验证：在/etc/fstab中添加_netdev参数挂载项，重启客户端后确认磁盘自动连接。任务10-3：iSCSI卸载与清理实操【任务实施细节】客户端退出：先卸载挂载点，再执行iscsiadm-mnode-T...-u。删除发现记录：iscsiadm-mnode-odelete-T...。服务端清理：在targetcli中使用clearconfigconfirm=true或按层级逐个删除luns、tpg和backstores。三、教学总结与作业1.教学总结核心点：强调iSCSI是“伪装成硬盘的网络数据流”，所有权在客户端，但物理载体在服务端。易错点排查：客户端的InitiatorName必须与服务端的ACL字符串完全一致（含大小写）。服务端的防火墙必须放行3260端口。注意/etc/fstab挂载时务必添加_netdev参数，否则可能因网络未启动而导致系统无法开机。信创视野：在麒麟操作系统构成的云计算基础架构中，iSCSI配合Ceph等分布式存储是实现虚拟机热迁移的基础。2.课后作业理论思考题：简述iSCSI存储中TPG（TargetPortalGroup）的作用。为什么在同一个iSCSILUN上，不建议两台Initiator同时挂载同一个非集群文件系统（如XFS）进行写操作？实践操作题：基础题：在麒麟服务端创建一个名为lun_data的存储资源，并在客户端成功发现并分区。挑战题：在服务端配置CHAP双向认证，即服务端