《運維體系運維規(guī)范介紹-邢飛》由會員分享,可在線閱讀,更多相關《運維體系運維規(guī)范介紹-邢飛(18頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、 單位 IT 部門采用相關的方法,手段,技術,制度、流程和文檔 等,對IT 運行環(huán)境(如硬軟件環(huán)境、網(wǎng)絡環(huán)境等)、IT 業(yè)務系統(tǒng)和 IT 運維人員進行的綜合管理. 設備管理:對網(wǎng)絡設備、服務器設備、操作系統(tǒng)運行狀況進行監(jiān)控。 應用/服務管理:對各種應用支持軟件如數(shù)據(jù)庫、中間件、群件以及各種通用或特定服務的監(jiān)控管理,如郵件系統(tǒng)、DNS、Web等的監(jiān)控與管理。 數(shù)據(jù)/存儲/容災管理:對系統(tǒng)和業(yè)務數(shù)據(jù)進行統(tǒng)一存儲、備份和恢復。 業(yè)務管理:包含對企業(yè)自身核心業(yè)務系統(tǒng)運行情況的監(jiān)控與管理,對于業(yè)務的管理,主要關注該業(yè)務系統(tǒng)的CSF(關鍵成功因素Critical Success Factors)和KPI(
2、關鍵績效指標 Key Performance Indicators)。 目錄/內(nèi)容管理:該部分主要對于企業(yè)需要統(tǒng)一發(fā)布或因人定制的內(nèi)容管理和對公共信息的管理。 資源資產(chǎn)管理:管理企業(yè)中各IT系統(tǒng)的資源資產(chǎn)情況,這些資源資產(chǎn)可以是物理存在的,也可以是邏輯存在的,并能夠與企業(yè)的財務部門進行數(shù)據(jù)交互。 信息安全管理:該部分包含了許多方面的內(nèi)容,目前信息安全管理主要依據(jù)的國際標準是ISO17799,該標準涵蓋了信息安全管理的十大控制方面,36個控制目標和127種控制方式,如企業(yè)安全組織方式、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與運營安全、訪問控制、業(yè)務連續(xù)性管理等。 日常工作管理:該部分主要
3、用于規(guī)范和明確運維人員的崗位職責和工作安排、提供績效考核量化依據(jù)、提供解決經(jīng)驗與知識的積累與共享手段IT運行維護管理的每一個子系統(tǒng)中都包含著十分豐富的內(nèi)容,實現(xiàn)完善的IT運維管理是企業(yè)提高經(jīng)營水平和服務水平的關鍵。 運行/維護階段與服務/支持階段的分界線為前者是面向 IT部門內(nèi)部的管理,而后者是面向業(yè)務部門、企業(yè)中的其它人員或直接面向客戶。 底層運維:(大公司小公司的區(qū)別)硬件-服務器 虛擬化 負載均衡(防火墻,存儲,VPN,入侵檢測/防御,交換機)網(wǎng)絡系統(tǒng)架構設計 -遠程管理 NAT 負載均衡 (HA,冗余,可擴展,端口分離) CDN 子網(wǎng)(VPN)系統(tǒng)層運維:操作系統(tǒng)及應用服務器端軟件的選
4、擇架構設計及技術發(fā)展的跟蹤優(yōu)化-操作系統(tǒng)優(yōu)化 服務器端軟件優(yōu)化 (架構優(yōu)化)安全-操作系統(tǒng)安全 服務器端軟件安全 (網(wǎng)絡安全)監(jiān)控-系統(tǒng)底層參數(shù)監(jiān)控 端口監(jiān)控 報警備份及歸檔-程序備份 數(shù)據(jù)備份 日志備份 數(shù)據(jù)庫備份集中管理(可選) 自動化應用運維: 硬件相關 服務器:Dell HP IBM 64位 EM64T AMD64-(X86_64) Dell Rack G11 R410 R510 R610 R710 R910(2550/2650/2850/2950) G12 Xeon E5 (R420 R520 R620 R720 R720XD R820) U-4.445CM 一個標準機柜42U 雙電
5、源 7x24x365 RAID SSD SAS SATA (SCSI) 遠程管理卡IDrac 6 Enterprise(HP ilo) 盡量少做硬件改動 使用統(tǒng)一品牌 (成本選擇優(yōu)化) 服務器新產(chǎn)品增強測試 OS安裝 硬件故障處理 虛擬化技術:Xen Vmware KVM VirtualBOX集中存儲(NetAPP NAS EMC/HP SAN-FC/ISCSI) 負載均衡:F5 BIG-IP /Citrix Netscaler (健康檢測,調(diào)度算法,會話保持) 其他可選A10 Array Radware (軟件Haproxy,LVS-NAT TUN DR) 其他:防火墻,存儲,VPN,入侵檢
6、測/防御,防DDOS設備,交換機 網(wǎng)絡系統(tǒng)架構設計 遠程管理架構 NAT 架構 (隱藏端口,減少公網(wǎng)IP) 子網(wǎng)設計(VPN互通) 負載均衡 (負載分擔 HA,冗余,減少單點,可擴展(項目生命周期,規(guī)模擴大),端口分離) CDN 雙線 BGP (動靜態(tài)分離,隱藏主站IP,動態(tài)路由加速,CNAME,第三方CDN廠商,節(jié)點質(zhì)量監(jiān)控) 集中存儲-(NFS)-分布式存儲 業(yè)務架構與應用軟件架構與項目經(jīng)理及研發(fā)人員溝通! 架構圖1(負載均衡) 架構圖2(CDN) 操作系統(tǒng)及應用服務器端軟件的選擇架構設計及技術發(fā)展的跟蹤 操作系統(tǒng): Unix 三大Unix(IBM AIX,HP-UX,Sun Solari
7、s) BSD (FreeBSD NetBSD OpenBSD) Linux (Redhat(CentOS) Debian(Ubuntu) Gentoo Slackware Suse ) 服務器端軟件技術的選擇及跟蹤 wwwApache Nginx Lighttpd Cherokee hiawatha ftp proftpd pure-ftpd vsftpd (ncftpd) mail- sendmail qmail postfix exim courier database- mysql(Percona MariaDB) Postgresql Firebird Oracle nosql mon
8、goDB redis cassandra couchdb (Memcached-Flare TC/TT) 語言Perl Python PHP Ruby Lua Java TCL/TK (Shell) 版本控制CVS Subverison Git DNS BIND maraDNS PowerDNS 負載均衡-Haproxy LVS HA-heartbeat keepalived Proxy-Squid Varnish Traffic Server firewalliptables (ipchains) shorewallNetfilter 監(jiān)控- nagios(centreon) zabbix
9、ganglia (cacti MRTG) ssh-openssh ssh 集中管理 puppet cfengine func 文件同步 - rsync (配合inotify) unison 備份 - Bacula Amanda SSL加密庫 OpenSSL PolarSSL JSP引擎 - Tomcat Resin (Jboss,Weblogic,Websphere) 分布式文件系統(tǒng) GlusterFS hadoop HDFS MogileFS FastDFS Ceph MooseFS (DRBD) 其他:SAMBA OpenLDAP FreeRadius OpenVPN NMAP My Ft
10、p ftp:/61.135.158.199/pub/ 每天更新 ftp:/61.135.158.199/pub/books/ 電子書 服務器端軟件使用原則規(guī)范 全局系統(tǒng)工具及開發(fā)包使用系統(tǒng)自帶的:gcc g+ wget curl Bash Sed Gawk vim Perl (DBI) Python 便于yum/rpm集中管理 (最小安裝+需要的庫及工具整理) 特別要求:系統(tǒng)庫中沒有或版本指定手工編譯:/usr/local/ 守護進程使用同一項目使用同一版本:當前穩(wěn)定系列里的最新穩(wěn)定版 Apache Nginx MySQL PHP(FastCGI) (盡量不要安裝系統(tǒng)自帶的,可能可執(zhí)行程序及動
11、態(tài)鏈接庫沖突) 大版本升級:遇到性能瓶頸,重大安全bug,嚴格測試后申請停業(yè)務時間平滑升級及數(shù)據(jù)遷移。(定出回滾方案) 優(yōu)化:操作系統(tǒng)優(yōu)化 服務器端軟件優(yōu)化 (架構優(yōu)化) 操作系統(tǒng)的優(yōu)化:簡單即美: Simple is beautiful 盡量最小安裝,精簡 關閉不必要的服務及ttys 內(nèi)核升級及參數(shù)調(diào)優(yōu)(文件系統(tǒng)的選擇)-一切皆有度 服務器端軟件優(yōu)化:如Apache(Nginx) MySQL 參數(shù)調(diào)優(yōu) 架構優(yōu)化:負載均衡(CDN) 多點冗余(MySQL主從/多主/集群 讀寫分離) 安全-操作系統(tǒng)安全 服務器端軟件安全 (網(wǎng)絡安全) 操作系統(tǒng)的安全:(與性能及易用性矛盾) 關閉不必要的服務及端
12、口 內(nèi)核級升級 盡量使用最新穩(wěn)定版 root運維與研發(fā)普通賬號的分離(賬號管理,集中認證) iptables shell操作行為日志記錄(bash log) 安全工具的使用nmap chkrootkit rkhunter (snort) 軟件安全: 盡量使用最新穩(wěn)定版 盡量以普通賬號運行在/ROOT下 chroot (proftpd bind haproxy) 關閉版本號回顯(Apache Nginx PHP減少信息泄露) 應用的授權 如(mysql) 網(wǎng)絡層安全: IP連接鑒權 關閉所有端口 (交換機ACL) 數(shù)據(jù)庫決不能暴露在外網(wǎng) 硬件防火墻(DDOS) 入侵檢測/入侵防御 分離原則規(guī)范系
13、統(tǒng)分區(qū)與數(shù)據(jù)分區(qū)分離 /與/ROOT分離 數(shù)據(jù)與程序以普通用戶身份裝到/ROOT下運維與研發(fā)的分離 配置系統(tǒng)與程序開發(fā)分離 系統(tǒng)配置,應用部署文檔化(有備份人員)系統(tǒng)賬號權限的分離 登陸賬號與應用賬號分離(應用賬號禁止直接登陸,增加線上機器賬號需要申請,使用人員全名) 運維人員與開發(fā)人員權限的分離 特權端口與非特權端口的分離 使用NAT方式 外網(wǎng)80映射大于1024的非特權端口前端后端存儲的分離開發(fā)環(huán)境測試環(huán)境與線上生產(chǎn)環(huán)境的分離 系統(tǒng)監(jiān)控系統(tǒng)底層參數(shù)監(jiān)控 CPU 內(nèi)存 SWAP 硬盤空間 系統(tǒng)負載 ping (流量) 端口監(jiān)控 tcp (服務進程監(jiān)控重啟 Monit)特定服務監(jiān)控Nginx
14、MySQL Redis (自定義參數(shù) 模板)報警 郵件報警 短信報警 (MSN,QQ) 負責人-(業(yè)務重要性)硬件監(jiān)控 特定品牌服務器 如硬盤壞 內(nèi)存壞 (項太多影響性能)應用監(jiān)控WEB邏輯模擬zabbix (Centreon+nagios+Nrpe+PNP+NDO. ganglia) 備份及歸檔 程序備份 SVN 開發(fā)機 數(shù)據(jù)備份 全備 增量 差異 用戶生成 NFS(Rsync+inotify) 分布式文件系統(tǒng) (項目生命周期,重要程度,單點多點) 日志備份 統(tǒng)計分析 收入相關(壓縮歸檔) 數(shù)據(jù)庫備份 MySQL 實時(主從) 定期 增量 全備 (集群)備份方式:Rsync,專用工具Amanda Bacula 定期歸檔及刪除 歸檔機及歸檔刪除腳本(2份以上) 集中管理及自動化(目標) Puppet(Func,Cfengine) 客戶端 任務分發(fā) 傳統(tǒng)現(xiàn)有模式(SSH Key方式)的問題自動化 Puppet+shell(腳本語言) 自動監(jiān)控,集中管理客戶端部署 系統(tǒng)光盤裁剪 自動化系統(tǒng)安裝 謝 謝 ! ! 多 多 溝 通 交 流 ! !