IDC环境规范

11. Ssh
服务端口 44322 Root 用户登录用 key 方式 密码固定时间进行重制 每台服务器建立普通帐号，用于启动业务
12. 关闭的服务（策略）
关闭 Iptables 服务，（通过 snort 进行安全防护） 关闭 selinux 关闭 networkmanager 关闭 ip6tables 关闭 sendmail（数据库服务器）
4、 宿主机存放虚拟机磁盘镜像路径 /kvm/virtualdisk/
/kvm/iso 5、 虚拟机主机名： 虚拟机在宿主机节点 1 中，节点 1+虚拟机 ip 后两位 例：node1-233-00 6、 虚拟机资源分配 Cpu 根据需求分配 Mem 根据需求分配
Disk
根据需求分配
7、 宿主使用规范
每个 IDC 两台，1 台主一台备，可与其他不常用的服务共用。 内部域名 ntp-idcM6.inc.91.com 每台服务器定时同步时间： Crontab –e #同步时间 0 0 * * * /usr/sbin/ntpdate cn.pool.ntp.org
16. DNS 服务:为内网主机提供互联网 DNS 转发及内部域名解释服务
每 IDC 两台,一台 master，一台为 backup 每台服务器将 DNS IP >> /etc/resolv.conf
17. YUM 源:为内网主机提供 yum 服务
每机房一台，使用文件服务 (http) 域名:yum-idcM6.inc.91.com 加源 Centos/Dag /163/sohu/epel-x86_64
dnspod ）
5. YUM 设置
Yum 源为本地 IDC 内源 yum 源:yum-idcM6.inc.91.com,
6. Bash-hacker 安装
一个带命令记录的 bash Bash-4.1(源码)
7. 安装主机硬件检查（厂家工具）:
自动采集硬件信息
8. 进行文件完整性检查（tripwire ）工具安装 9. Profile 环境变量统一（/etc/profile; .bash_profile; 定义哪些东西？）
#禁止提示接收邮件 echo “unset MAILCHECK” >> /etc/profile source /etc/profile #连接超时 10 分钟 echo “TMOUT=600″ >>/etc/profile source /etc/profile #默认 VI 为 VIM sed -i "8 s/^/alias vi='vim'/" /root/.bashrc 2>/dev/null echo 'syntax on' > /root/.vimrc 2>/dev/null #解决 SSH 登录慢的问题 sed -i "s/#UseDNS yes/UseDNS no/" /etc/ssh/sshd_config /etc/init.d/sshd restart #禁止按 CTRL+ALT+DEL 重启 sed -i s/^ca/\#ca/g /etc/inittab # file descriptors ulimit -HSn 65535 echo -ne " * soft nofile 65536 * hard nofile 65536 " >>/etc/security/limits.conf (/etc/security/limits.d/90-nproc.conf)(centos 6.5)
与虚拟机网络连接都是用桥接 使用：BRIDGE=br0
Ifcfg-br0
2、 宿主机主机名
宿主机在兆维机房的第 n 台 例：在兆维机房内的宿主机 1 的名称 M6vm-6-33 M6vm-6-33.inc.91.com
3、 宿主机分区 Boot Swap / /var /opt /kvm 500M 8/16G 100G 100G 50G 剩余所有空间
22. Snort IDS 入侵检测系统：安全防护服务
每机房一台 域名：ids-idcM6.inc.91.com
23. OpenVAS/appscan/wvas/sqlmap :安全扫描和评估
内网中心ቤተ መጻሕፍቲ ባይዱ点一台 域名：vas-idcM6.inc.91.com
24. 文件系统完整性检测 tripwire，aide
三、 应用服务
老环境： 名称 /data/域名_tom /data/deploy/域名 /data/backup/域名_tom/日期 /data/scripts/*.sh /opt/software/*.tar.gz 新环境： 名称 /app/域名_tom /deploy/域名 /app/backup/域名_tom/日期 /deploy/scripts/*.sh /opt/software/*.tar.gz 描述 应用程序目录 程序存放目录 备份文件 存放所有脚本的目录 程序安装文件 举例 例：/app/shop_tom 例：/deploy/shop 例：/app/backup/shop_tom/20150129 描述 应用程序目录 程序存放目录 备份文件 存放所有脚本的目录 程序安装文件 举例 例：/data/shop_tom 例：/data/deploy/shop 例：/data/backup/shop_tom/20150129
2. 路由设置（vpn 设置情况再讨论）
默认路由由各机房的网络情况决定； 内网路由添加至： /etc/sysconfig/network-scripts/route-em1 (route-eth0)
3. NTP 设置
设置两个 NTP 同步源 主：本 IDC NTP 服务器 备:中心节点 NTP 服务器 同步到 cn.pool.ntp.org
单个 vlan 中设备数不超过 240 台，并使用 1 个 C 的 IP 网段。所有物理机 和虚拟机都具有一个外网 IP 和一个私网 IP。 服务器 IP 由第一个 IP 开始顺延 使用，网关等网络所需 IP 从最后一个 IP 开始往前使用。 外网 IP 根据 IDC 机房分配使用。 私网 IP 使用 10.0.0.0/8 这个网段，第二位为 IDC 所在城市的区号，如果 同一城市有两个及两个以上 IDC 机房，根据区号向前或者向后顺延使用，私 网的后两位与外网的后两位保持一致。 管理网 IP 的第二位使用物理机的私网 IP 第二位的数字加上一百，其余三 位与私网 IP 保持一致。 例如，北京的一台服务器：外网为 58.68.233.4，私网为 10.10.233.4， 管理网为 10.110.233.4。第二位 10 为北京区号，私网和管理网的后两位的 233.4 与外网保持一致。 3、新网段加入 遇到原 IP 用尽 IDC 新分配网段时， 外网、 私网和管理网都重新使用新 vlan， 按照 IP 地址规划分配使用新 IP 段。 4、布线+机柜布线 交换机摆放在机柜最上方，交换机前面板（端口）对着服务器后面板的 网口，方便走线。 网络设备互联线使用，使用光纤连接。服务器与交换机连接的网线必须 使用 6 类以上的成品线，禁止跨机柜连接服务器。 单一机房使用不同颜色的网线区分使用类别，例如：红色为私网；蓝色 为外网；绿色为管理口；灰色为设备互联线。 连接服务器的网线根据机房环境从机柜左侧和右侧分别走线，并按照相 同颜色扎带捆绑。 根据 IDC 机房要求，一个机柜部署小于等于 14 台服务器。服务器与服务 器中间空 1U 空间。服务器的第一个网卡为私网，第二个网卡为外网，ilo 网 卡为管理网。 5、标签 所有网线两端都贴有内容相同的标签，包含交换机端口号以及设备物理 位置信息。
虚拟机划分：
1、 宿主机 是否支持虚拟化：grep -E -o 'vmx|svm' /proc/cpuinfo 统一安装 kvm 和 kvm 依赖的包
(yum -y install qemu-kvm libvirt python-virtinst bridge-utils or yum -y groupinstall 'Virtualization' 'Virtualization Client' 'Virtualization Platform' 'Virtualization Tools' ) 查看模块： lsmod | grep kvm
4. DNS 设置（每个机房 2 个 local dns；域名：inc.91.com
设置两个 DNS 服务器 主：本地 IDC DNS 服务器 ；备：DNS 服务器 根据主机所提供的服务来定义域名： 例：cobbler 服务器 cob-idcM6 IN A 10.10.233.33 ntp-idcM6 IN cname M6-233-33.inc.91.com. cboss-manage IN cname M6-233-33.inc.91.com. 反解暂时不做（邮件系统要做反解）
25. 日志规划
所有程序的服务上生产时，保证日志存放位置为 /logs 下（老系统在/data/logs 下） 例如： dianpu 对应日志存放在 例子：/logs/dianpu/log.20140128 Log：日志目录 dianpu：项目名 Log.20140128：日志名
26. tomcat 规划
五、 网络
1、 Vlan id 说明 网络设备管理 外网 内网 管理网 DB 网 Vlan 范围 默认 vlan1 至 vlan99 vlan100 至 vlan199 vlan200 至 vlan299 vlan300 至 vlan399 Vlan400 至 vlan499
所有 vlan 网关都配置在核心上，各网的 vlan 号顺延使用，除外网 vlan 其它不同 vlan 间可互相通讯。 2、Ip 地址规划 地区 外网 北 京 58.68.233.4-62 兆维 58.68.233.68-78 内网 10.10.233.4/24
服务器：1-210 Vip:211-230 设备：231-253 网关：254
管理网 10.110.23.4/24
服务器：1-210 Vip:211-230 设备：231-253 网关：254
DB 10.10.0.4/24
服务器：1-210 Vip:211-230 设备：231-253 网关：254
基础环境规范
备注：M6 为本次使用的世纪互联 M6 机房的缩写，其他机房请更改此缩写。
一、 系统基础环境
1. 主机名设置:
物理服务器主机名与标签一致 【虚拟机主机名与虚拟机标识(虚拟机管理平台上的标识)一致】 主机名称所有 IDC 范围内统一命名 主机名作为运维管理对象标识，在其生命周期内不变 命名规则为： M6-233-33.inc.91.com M6 为 idc 名称；233-33 为主机 IP 后两位；inc.91.com 为本地 zone。
(老系统用/data/dianpu_tom/conf/server.xml) 5)启动端口及其关闭端口定义。 启动端口使用 1024 以上未占用端口。 关闭端口在选定的启动端口前加 1 例如： 选定的启动端口为 7336 关闭端口则为 17336 6）tomcat 启动时用普通用户 tom 启动
四、
1)存放位置为/app 下(老系统/data) 2)命名规范为 服务名_tom 例如： dianpu 对应的名称命名为 dianpu_tom 3)tomcat 自身的日志存放在/app/服务名_tom/logs/ tomcat 自身的日志保存周期为当天 4）tomcat 引用程序路径统一在 server.XML 中定义 例如： dianpu /app/dianpu_tom/conf/server.xml
18. 文件服务器(FTP,windows 共享， HTTP)： 为内网所有用户提供文件存储和 共享服务
每机房一台 域名：fs-idcM6.inc.91.com 使用 ftp
19. Cobbler 服务器:提供物理机及虚拟机系统安装及初始化服务
每机房一台 域名：cob-idcM6.inc.91.com Pxe， 脚本 分区： /boot 500M Swap 8G / 20G (系统) /var 20G （系统级日志） /data 50G （tomcat 等安装的应用） /deploy 20G （程序代码） /log 30G （业务日志）
sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config
10. Crontab（注释怎么写， 定义哪些东西；编辑方式 crontab –e； ）
例：
Crontab –e # 定时任务编写人的名字 - 用途 - 2014/01/27 #wangyuelong – 同步时间 – 2014/01/27 0 0 * * * /usr/sbin/ntpdate ntp.idcM6.inc.91.com
20. Syslog-ng:为内网主机提供日志收集服务（rsyslog，功能、扩展产品）
每机房一台，将所有应用日志及系统日志进行汇总 创建普通用户，用于开发等进行查看日志文件 Log-idcM6.inc.91.com
21. VPN 服务器:提供各 IDC 的互联服务
每机房一台 域名：vpn-idcM6.inc.91.com
13. Lvm，不开启 14. Agent 安装
1)、需要安装的 Cacti 客户端 nagios 客户端 Ntp Rsyslog 2)、暂时不安装的 （Zabbix 客户端） （企业 MIB 客户端） （Puppet 客户端） （Openvas 客户端）
二、 IDC 基础服务
15. NTP 时间服务:为内网主机提供时间同步服务