服務器基礎與日常運維 信通中心系統管理部馬蜀峰2014年4月 培訓提綱 分公司服務器現狀 分公司服務器現狀 信通系統管理部機房有兩個主機房 分別有各類應用系統服務器100多臺 包括區域中心托管服務器和分公司自建系統服務器 服務器類型有x86服務器 Windows操作系統 和小型機 UNIX操作系統 如SUNSolars IBMAIX等 西南區域中心機房正在建設中 建成以后為西南區域各單位重要業務系統服務器及核心網絡設備集中管理 分公司服務器現狀 集團公司托管服務器 管道生產管理系統 A3 電子郵件系統 Email 桌面安全系統 SEP 身份認證與管理系統即時通信系統區域中心網管系統 分公司服務器現狀 分公司自建項目服務器 生產運行系統企業信息門戶系統營銷管理系統規劃計劃系統運維監控系統域名解析系統 分公司服務器現狀 基礎設施建設情況 服務器部署方面 目前分公司各類服務器基本實現了分公司級集中部署 培訓提綱 PC服務器基礎知識 服務器基礎知識 服務器是指在網絡環境下運行相應的應用軟件 為網上用戶提供共享信息資源和各種服務的一種高性能計算機 英文名稱叫做SERVER 服務器是一種高性能的計算機 高速度的運算能力 長時間的可靠運行 強大的外部數據吞吐能力等 因而服務器又與微機 普通PC 在處理能力 穩定性 可靠性 安全性 可擴展性 可管理性等方面存在很大的區別 而最大的差異就是在多用戶多任務環境下的可靠性上 服務器分類 目前 按照體系架構來區分 CPU 服務器主要分為三類 一部分是IA IntelArchitecture Intel架構 架構服務器 又稱CISC ComplexInstructionSetComputer復雜指令集 架構服務器 即通常我們所講的PC服務器 它是基于PC機體系結構 使用Intel或與其兼容的處理器芯片的服務器 也稱為X86服務器 如 Intel AMD 主要操作系統為Windows linux一部分是比IA服務器性能更高的服務器 即RISC ReducedInstructionSetComputing精簡指令集 架構服務器 這種RISC型號的CPU一般來講在我們日常使用的電腦中是根本看不到的 它完全采用了與普通CPU不同的結構 使用RISC芯片并且主要采用UNIX操作系統的服務器 SUNSPARC HPPA RISC IBMPowerPC 主要操作系統為SUNsolaris HPUNIX IBMAIX VLIW是英文 VeryLongInstructionWord 的縮寫 中文意思是 超長指令集架構 這種構架叫做IA 64架構 基于這種指令架構的微處理器主要有Intel的IA 64和AMD的x86 64兩種 支持64位操作系統的PC服務器 服務器分類 按機箱結構分類 塔式服務器機架式服務器刀片服務器 服務器分類 按處理器 CPU 個數分類應用層次1路服務器 最多插1個CPU 入門級服務器2路服務器 最多插2個CPU 工作組級服務器4路服務器 最多插4個CPU 部門級 企業級多路服務器 可插多個CPU 部門級 企業級 機架式服務器按高度分類 1U服務器2U服務器4U服務器8U服務器1U 4 445cm 服務器組成結構 服務器的特點 CPU數量多 核數多 主頻高 緩存大 內存數量多 可擴展性強 容錯 雙通道 硬盤數量多 容量大 容錯 多電源冗余 服務器的CPU CPU 中央處理器 服務器的大腦PC服務器CPU基于Intel架構PC服務器CPU主要類型 IntelXone AMDCPU的技術參數 核數 主頻 緩存 服務器的硬盤 硬盤的技術參數 容量 轉速 接口類型硬盤容量 72G 146G 300G 600G 1T等硬盤轉速 7 2K 10K 15K 轉 每分鐘 硬盤類型 iSCSI SSD FC SATA SAS不同接口的硬盤 iSCSI早期服務器硬盤 容量小 轉速低 SSD固態硬盤 容量小 轉速快 價格昂貴 FC光纖硬盤 容量小 轉速快 價格貴 SAS容量小 轉速快 價格中等 SATA容量大 轉速低 價格便宜 服務器前視圖 前部 后部視圖 3 5寸HDD Power按鈕 可選光驅 USB接口 UIDLED 電源 PCIe插槽 VGA接口 串口 USB接口 NIC FlexLOM接口 iLO接口 內部視圖 Internalview 風扇 電源 內存插槽 I O接口 處理器 處理器導流板 前視圖 內部技術細節 后視圖技術細節 服務器各項指示燈介紹 服務器最基本的指示燈1 內部健康狀態指示燈2 外部健康狀態指示燈3 以太網卡健康狀態指示燈4 UID指示燈 維護 藍色 5 電源開關結合硬件日志信息判斷服務器硬件故障6 硬盤健康狀態指示燈 服務器各項指示燈介紹 現在服務器除以上基本指示燈 還將內部各部件健康狀態燈做在服務面板上 大部分可以直接從面板指示燈判斷服務器硬件故障 磁盤的Raid技術 RAID 冗余磁盤陣列 就是將N塊硬盤通過RAIDController 分Hardware Software 結合成虛擬單臺大容量的硬盤使用 其特色是N塊硬盤同時讀取速度加快及提供容錯性 Hotspare 熱備盤 當一個正在使用的磁盤發生故障后 一個空閑 加電并待機的磁盤將馬上代替此故障盤 此方法就是熱備用 熱備用磁盤上不存儲任何的用戶數據 未使用時磁盤指示燈處于熄滅狀態 常見的Raid技術 Raid0 條帶化 將2個以上的磁盤組成條帶化 數據分布在不同磁盤上 提高數據傳輸速率 Raid0的速度是最快的 但是RAID0沒有冗余功能的 如果一個磁盤 物理 損壞 則所有的數據都無法使用 Raid1 鏡象結構 由2塊 4塊或成雙數磁盤組成 拿2塊磁盤組成鏡象為例 2塊磁盤保存一模一樣的數據 1塊磁盤損壞 另外1塊磁盤可以繼續使用 數據不會丟失 缺點是速度慢 損失50 容量的磁盤空間 常見的Raid技術 RAID5 分布式奇偶校驗的獨立磁盤結構 奇偶校驗碼在不同的磁盤上 所以提高了可靠性 允許單個磁盤出錯 任何一個硬盤損壞 都可以根據其它硬盤上的校驗位來重建損壞的數據 硬盤的利用率為n 1 至少3塊盤 RAID6 RAID6是RAID5的擴展 主要是用于要求數據絕對不能出錯的場合 允許2塊磁盤同時損壞 數據不會丟失 硬盤的利用率為n 2 至少4塊盤 常見的Raid技術 Raid10 高可靠性與高效磁盤結構 這種結構是一個帶區結構加一個鏡象結構 因為兩種結構各有優缺點 因此可以相互補充 達到既高效又高速還可以的目的 主要用于容量不大 但要求速度和差錯控制的數據庫中 例如系統盤 Raid Hotspare Raid與熱備盤組合 根據需求選擇做不同的Raid 再留1塊磁盤熱備盤 熱備盤未使用時磁盤指示燈處于熄滅狀態 x86服務器安裝系統 服務器加電自檢 確認各項健康狀態燈正常 各廠商都有服務器引導光盤 插入引導光盤 光盤啟動后進入安裝頁面 按需求做磁盤陣列 通常2塊盤做Raid10 4塊盤做Raid5 8塊盤 用2塊盤做Raid10安裝操作系統 5塊盤做Raid5存放數據 剩1塊盤做熱備盤 磁盤陣列做好后 劃分磁盤空間 系統盤 數據盤等 按提示安裝服務器驅動程序及操作系統 操作系統安裝后 更新補丁 安裝防病毒軟件 培訓提綱 PC服務器日常運維 運維體系 為了保障核心關鍵業務應用安全 穩定可靠運行 滿足集團公司信息系統運維管理的工作要求 分公司借鑒了ITIL 信息技術基礎架構庫 和GCC 信息系統總體控制 標準 開展包括組織架構 制度體系及技術平臺的建設 初步實現了集中管理 集中維護 集中監控 運維體系建設情況 服務器運維目標 運維目標保證公司重要信息系統7 24小時穩定運行 實現各系統年度正常運行率99 以上 確保各應用系統數據安全 網上相關業務可靠 平穩開展 運維內容服務器硬件巡檢維護工作服務器操作系統巡檢維護工作 服務器安全 補丁更新 防病毒 防攻擊 每月運維分析會年度運維分析會 服務器硬件日常運維 服務器硬件巡檢內容 服務器及存儲整體外觀情況 服務器及存儲電源和風扇健康狀態指示燈 服務器及存儲系統面版健康狀態指示燈 服務器及存儲硬盤健康狀態指示燈 服務器及存儲硬件報警日志 服務器及存儲電源線 網線 光纖連接線情況 服務器及存儲整體運行情況 服務器前面板細節 1 機箱內部各部件狀態燈2 UID指示燈 維護用藍色 3 內部健康狀態指示燈4 外部健康狀態指示燈5 6 以太網卡健康狀態指示燈7 電源開關8 視頻接口9 USB接口 常見硬件故障 硬盤故障 常見硬件故障 內存故障 常見硬件故障 網絡連接故障 常見硬件故障 電源故障 注意事項 對于熱插拔硬件的故障處理可以在不用關機斷電的情況下在線更換常見的熱插拔硬件包括 硬盤 電源部分服務器還包括了內存盒 取出內存盒可以更換內存操作人員需戴防靜電手環 注意事項 對于非熱插拔硬件的故障處理非熱插拔硬件指需要打開機箱才能操作的硬件非熱插拔硬件故障處理的關鍵點 關機斷電并拔下電源插頭操作人員需戴防靜電手環 服務器操作系統日常運維 服務器操作系統巡檢內容 檢查操作系統補丁更新情況 檢查操作系統防病毒軟件病毒庫更新情況 檢查操作系統防病毒軟件掃描日志 檢查操作系統日志報錯情況 檢查操作系統系統磁盤 數據盤剩余空間 檢查服務器CPU 內存使用率 檢查數據庫備份情況 分公司運行監控系統 運行監控系統登錄方式 http 10 89 1 207 1 首頁 1 1資源一覽 1 首頁 1 2BSMDashboard 2 TopN 看主機 網絡和應用的CPU和內存利用率排名 4 策略 服務 監控系統展現層次 設置閥值 產生事件 影響資源的整體狀態 4 策略 指標分類 4 策略 一 資源選擇那些資源應用某項策略 二 指標定義指標定義中可以設置那些指標是否監控 在是否監控的前提下才設置這些監控指標中那些是關鍵指標 而關鍵指標才能設置指標閥值 只要有一個關鍵指標有問題就會影響到資源的整體狀態 黃色告警是叫超警戒 紅色告警是叫超負荷 三 事件定義定義那些指標和資源產生事件 事件的查看在監控 事件管理 四 報警定義配置是否激活報警 配置報警接收人員 選擇那些資源事件發生才發送報警 發送報警的時間段 報警的查看在監控 報警管理 5 監控 一 資源監控二 日志監控日志監控是通過設置關鍵字 可以是與或者或的兩種方式來配置關鍵字 和日志級別進行事件過濾 從而產生日志文件預警的功能 三 事件管理 6 服務 一 服務定義建立業務服務系統拓撲二 事件定義設置那些服務事件可以產生事件 服務事件的查看在監控 事件管理三 報警定義設置那些服務事件可以產生報警 報警的查看在監控 報警管理四 計劃不在線時間針對具體某個資源 計劃不在線時間段內 系統依舊會產生事件 只是不觸發報警 7 報表 2 故障類報表 1 資源類報表 3 服務類報表 培訓提綱 Windos服務器安全與配置 PC服務器安全 服務器注意事項 服務器要求不接入外網及時更新系統安全補丁安裝防病毒軟件 及時更新病毒庫不要任意接入移動存儲操作系統安全基線配置 系統采用三級架構 分別在總部 區域數據中心部署服務器和管理軟件 各企事業單位負責安裝客戶端軟件 在總部部署病毒定義碼和補丁更新服務器 電子文檔保護服務器 存儲和日志分析服務器在區域數據中心部署防病毒 補丁分發 端點準入服務器和后臺管理服務器各企事業單位安裝客戶端軟件 系統部署架構 中石油防病毒軟件部署架構 防病毒軟件SEP11簡介 賽門鐵克終端安全保護系統 SEP11 SNAC11 1個終端軟件 SEP11客戶端 1個服務器管理平臺 策略管理服務器 多層次計算機終端保護 防病毒 防間諜軟件 防火墻 入侵防護IPS 應用程序控制 設備控制 局域網強制設備 SymantecLANEnforcer6100 接入層802 1x交換機強制網關設備 SymantecGatewayEnforcer6100 外網 門戶等客戶端遵從公司安全策略才能訪問網絡 否則訪問受限并進入修補網站 59 功能模型 Symantec端點保護管理器 Peter liu 59 60 60 非常6 1 防病毒 防間諜軟件 防火墻 入侵防護 設備控制 應用程序控制 防病毒模塊 網絡訪問控制 網絡訪問控制模塊 防火墻 入侵防護 設備控制 應用程序控制 Peter liu 60 SEP11客戶端界面 Peter liu 61 操作系統安全配置 帳號管理 管理缺省賬戶 重命名管理員賬戶Administrator 禁用來賓賬戶Guest 刪除或鎖定與工作無關的賬戶操作 進入 控制面板 管理工具 計算機管理 進入 系統工具 本地用戶和組 用戶 操作系統安全配置 口令管理 密碼復雜度至少包含以下四種類別的字符 英文大寫字母 A到Z 英文小寫字母 a到z 阿拉伯數字 0到9 非字母字符 例如 操作系統安全配置 口令管理 密碼長度最小值 8位密碼最長使用期限 不長于90天強制密碼歷史 5次 含5次 賬戶鎖定閾值 6次 含6次 操作 進入 控制面板 管理工具 本地安全策略 在 帳戶策略 密碼策略 操作系統安全配置 認證授權 遠程系統強制關機只指派給Administrators組本地系統強制關機只指派給Administrators組取得文件或其它對象的所有權 只指派給Administrators組操作 進入 控制面板 管理工具 本地安全策略 在 本地策略 用戶權利指派 操作系統安全配置 日志審核 以下審核策略均勾選 成功 與 失敗 兩項 審核登錄審核策略更改審核對象訪問審核目錄服務訪問審核特權使用審核系統事件審核帳戶管理審核過程追蹤日志文件大小 400M 操作 進入 控制面板 管理工具 本地安全策略 在 本地策略 審核策略 操作系統安全配置 系統服務 關閉自動播放功能 防止從移動設備 或光盤 感染惡意代碼 1 對于WindowsXP與Windows2003 開始 運行 gpedit msc 打開組策略編輯器 選擇 計算機配置 管理模板 系統 關閉自動播放 查看其狀態 2 對于Windows7與Windows2008 開始 運行 gpedit msc 打開組策略編輯器 計算機配置 管理模板 Windows組件 自動播放策略 在中 選擇 關閉自動播放 查看其狀態 操作系統安全配置 系統服務 服務與端口安全管理 關閉不必要的服務與端口 操作 在 控制面板 管理工具 計算機管理 中 選擇 服務和應用程序 服務 檢測操作參考可根據具體應用情況 篩選不必要的服務 操作系統安全配置 補丁與防護軟件 系統安全補丁管理 服務器安裝補丁前應進行測試 防病毒管理 對于服務器 安裝桌面安全安全管理系統中的防病毒軟件即可 操作系統安全配置 共享文件夾及訪問權限 關閉默認共享 在非域環境下 關閉windows硬盤默認共享 例如C D 設置共享文件夾訪問權限 只允許授權的賬戶擁有權限共享此文件夾進入 控制面板 管理工具 計算機管理 在 系統工具 共享文件夾 下 查看每檢測操作參考個共享文件夾的共享權限 只將權限授權于指定賬戶 操作系統安全配置 遠程維護 遠程協助安全管理 如果無特別需要 建議關閉遠程協助 遠程桌面安全管理 終端計算機如無特別需要 建議關閉遠程桌面 操作 鼠標右鍵點擊 我的電腦 選擇 屬性 選擇 遠程 標簽 培訓提綱 服務器虛擬化技術介紹 今天IT架構的現狀 DataCenterManagement Server OS Application Service Storage Client Developer NETWORK Database Database AppServer MailServer AppServer 服務器平均利用率只有5 到15 但高峰時又不能滿足需要 服務器泛濫難以管理 每臺服務器支持單一應用 能源成本持續上升 解決方案 云計算 云計算 云計算 云計算 新的IT運營模式 自動化隨需應變及時性 虛擬化之旅 BC DRC 安全 法規遵從 管理自動化 組織結構優化 流程優化 梳理應用 虛擬化 整合平臺 整體優化 節省成本 提高效率 降低風險 私有云轉變之旅 虛擬化 云計算的關鍵技術 虛擬化 將物理資源隔離 提供一個標準化的統一的資源池 以提供自動化 按需及時的分配資源的能力 不同類型的虛擬化技術 UNIX系統分區技術RAS特性價格昂貴靈活度較低不能跨服務器移動技術門檻高 X 架構集群實現RAS特性價格低廉靈活度高輕松實現跨服務器移動技術門檻低 虛擬化平臺 虛擬機 虛擬機 虛擬機 虛擬機 操作系統 應用 應用 應用 虛擬化平臺 基礎服務虛擬計算 服務器虛擬化虛擬存儲虛擬網絡應用服務可用性安全性伸縮性 虛擬化資源平臺 ESX ESXi使用革命性的技術回收利用虛擬內存 內存頁面共享Ballooning內存壓縮虛擬層交換 虛擬計算 虛擬內存技術 虛擬層 分布式資源調度 DRS 按需自動資源調配 功能跨資源池動態調整計算資源基于預定義的規則智能分配資源優勢使IT和業務優先級對應動態提高系統管理效率自動化的硬件維護 動態負載均衡和連續智能優化 保證所有應用需要的的資源 資源池 業務需求 圍繞業務進行組織和規劃 而不是您的硬件 虛擬計算 分布式電源管理 DPM 資源池 業務需求 下電 當整個群集需要資源減少時 整合所有負載到少數幾臺服務器上將不需要的服務器置于備用模式當負載增加時 DPM自動將處于備用狀態的服務器喚醒 在確保服務級別的同時 最大限度降低了數據中心服務器的耗電量虛擬機沒有中斷或停機 虛擬存儲 存儲訪問協議 存儲 虛擬網絡 分布式虛擬交換機 虛擬化平臺 基礎服務虛擬計算虛擬存儲虛擬網絡應用服務可用性安全性伸縮性 可用性 用VMotion減少計劃內宕機時間 VMotion是什么 通過VMwareVMotion可以實現虛擬機的動態遷移 而服務不中斷客戶優勢零宕機時間 進行有計劃的服務器維護和升級遷移工作負載 資源利用率最大化服務器的持續可用性 完整的交易集成支持FibreChannel和iSCSISAN環境以及NAS VMotion遷移虛擬機 SAN iSCSI或NAS VMwareHA提高了系統的可用性 功能當服務器故障時 自動重新啟動虛擬機優勢經濟有效的適用于所有應用的高可用不需要獨占的stand by硬件沒有集群軟件的成本和復雜性 經濟有效的適用于所有應用的高可用解決方案 X 應用服務 可用性 容錯FaultTolerance 應用服務 可用性 VMwareSiteRecoveryMana