运维体系运维规范介绍-邢飞.pptx

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,运维体系介绍及相关规范,,（,底层架构及系统篇,）,,邢飞,,,IT,运维概念,,,单位,IT,部门采用相关的方法,,,手段,,,技术,,,制度、流程和文档 等,,,对,IT,运行环境,(,如硬软件环境、网络环境等,),、,IT,业务系统和,IT,运维人员进行的综合管理,.,,,目录,■设备管理：对网络设备、服务器设备、操作系统运行状况进行监控■应用,/,服务管理：对各种应用支持软件如数据库、中间件、群件以及各种通用或特定服务的监控管理，如邮件系统、,DNS,、,Web,等的监控与管理■ 数据,/,存储,/,容灾管理：对系统和业务数据进行统一存储、备份和恢复■ 业务管理：包含对企业自身核心业务系统运行情况的监控与管理，对于业务的管理，主要关注该业务系统的,CSF,（关键成功因素,Critical Success Factors,）和,KPI,（关键绩效指标,Key Performance Indicators,）■ 目录,/,内容管理：该部分主要对于企业需要统一发布或因人定制的内容管理和对公共信息的管理。

■ 资源资产管理：管理企业中各,IT,系统的资源资产情况，这些资源资产可以是物理存在的，也可以是逻辑存在的，并能够与企业的财务部门进行数据交互■ 信息安全管理：该部分包含了许多方面的内容，目前信息安全管理主要依据的国际标准是,ISO17799,，该标准涵盖了信息安全管理的十大控制方面，,36,个控制目标和,127,种控制方式，如企业安全组织方式、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、业务连续性管理等■ 日常工作管理：该部分主要用于规范和明确运维人员的岗位职责和工作安排、提供绩效考核量化依据、提供解决经验与知识的积累与共享手段,IT,运行维护管理的每一个子系统中都包含着十分丰富的内容，实现完善的,IT,运维管理是企业提高经营水平和服务水平的关键运行,/,维护阶段与服务,/,支持阶段的分界线为前者是面向,IT,部门内部的管理，而后者是面向业务部门、企业中的其它人员或直接面向客户运维体系内容,底层运维：（大公司小公司的区别）,硬件,---,服务器 虚拟化 负载均衡（防火墙，存储，,VPN,,入侵检测,/,防御，交换机）,网络系统架构设计,---,远程管理,NAT,负载均衡 （,HA,,冗余，可扩展，端口分离）,CDN,子网,(VPN),系统层运维：,操作系统及应用服务器端软件的选择架构设计及技术发展的跟踪,优化,---,操作系统优化 服务器端软件优化 （架构优化）,安全,---,操作系统安全 服务器端软件安全 （网络安全）,监控,---,系统底层参数监控 端口监控 报警,备份及归档,---,程序备份 数据备份 日志备份 数据库备份,集中管理（可选） 自动化,,应用运维：,,,底层运维,硬件相关,,服务器：,Dell HP IBM 64,位,EM64T AMD64--,（,X86_64),Dell Rack G11 R410 R510 R610 R710 R910,（,2550/2650/2850/2950) G12 Xeon E5 (R420 R520 R620 R720 R720XD R820),U----4.445CM,一个标准机柜,42U,双电源,7x24x365,RAID – SSD SAS SATA (SCSI),,远程管理卡,IDrac 6 Enterprise,（,HP ilo),,尽量少做硬件改动 使用统一品牌 （成本选择优化）,,服务器新产品增强测试,OS,安装 硬件故障处理,,虚拟化技术,:Xen Vmware KVM VirtualBOX,集中存储,(NetAPP NAS EMC/HP SAN-FC/ISCSI),,负载均衡：,F5 BIG-IP /,Citrix Netscaler (,健康检测，调度算法，会话保持）,,其他可选,A10 Array Radware,（软件,Haproxy,LVS-NAT TUN DR),,其他：防火墙，存储，,VPN,,入侵检测,/,防御，防,DDOS,设备,,,交换机,,底层运维,网络系统架构设计,,,远程管理架构,,NAT,架构 （隐藏端口,,,减少公网,IP),,,子网设计,(VPN,互通,),,,负载均衡 （负载分担,HA,,冗余，减少单点，可扩展（项目生命周期，规模扩大），端口分离）,,CDN,双线,BGP,（动静态分离,,,隐藏主站,IP,，动态路由加速，,CNAME,,第三方,CDN,厂商，节点质量监控）,,,集中存储,-,（,NFS,）,-,分布式存储,,,业务架构与应用软件架构与项目经理及研发人员沟通！！,,底层运维,架构图,1,（负载均衡）,底层运维,架构图,2,（,CDN),,系统层运维,操作系统及应用服务器端软件的选择架构设计及技术发展的跟踪,,操作系统：,,Unix –,三大,Unix,（,IBM AIX,HP-UX,Sun Solaris),,,BSD (FreeBSD NetBSD OpenBSD),,,Linux (Redhat(CentOS,）,Debian(Ubuntu) Gentoo Slackware Suse ),,系统层运维,服务器端软件技术的选择及跟踪,,www—Apache Nginx Lighttpd Cherokee hiawatha,ftp – proftpd pure-ftpd vsftpd (ncftpd),mail- sendmail qmail postfix exim courier,database- mysql(Percona MariaDB) Postgresql Firebird Oracle,nosql – mongoDB redis cassandra couchdb (Memcached-Flare TC/TT),,语言,—Perl Python PHP Ruby Lua Java TCL/TK (Shell),,版本控制,—CVS Subverison Git,DNS –BIND maraDNS PowerDNS,,负载均衡,-Haproxy LVS,HA-heartbeat keepalived,Proxy-Squid Varnish Traffic Server,firewall—iptables (ipchains) shorewall—Netfilter,,监控,--- nagios(centreon) zabbix ganglia (cacti MRTG),ssh---openssh ssh,,集中管理,– puppet cfengine func,,文件同步,--- rsync (,配合,inotify) unison,,备份,---- Bacula Amanda,SSL,加密库,– OpenSSL PolarSSL,JSP,引擎,---- Tomcat Resin,（,Jboss,，,Weblogic,Websphere),,分布式文件系统,– GlusterFS hadoop HDFS MogileFS FastDFS Ceph MooseFS,（,DRBD),,其他：,SAMBA OpenLDAP FreeRadius OpenVPN NMAP,,My Ftp,每天更新,,电子书,,系统层运维,(,规范）,服务器端软件使用原则规范,,全局系统工具及开发包使用系统自带的：,gcc g++ wget curl Bash Sed Gawk vim Perl (DBI) Python,便于,yum/rpm,集中管理 （最小安装,+,需要的库及工具整理）,,,特别要求：系统库中没有或版本指定手工编译：,/usr/local/,,,,守护进程使用同一项目使用同一版本,:,当前稳定系列里的最新稳定版,Apache Nginx MySQL PHP(FastCGI,）,(,尽量不要安装系统自带的，可能可执行程序及动态链接库冲突）,,,大版本升级：遇到性能瓶颈，重大安全,bug,,严格测试后申请停业务时间平滑升级及数据迁移。

定出回滚方案）,,系统层运维,优化：操作系统优化 服务器端软件优化 （架构优化）,,操作系统的优化：简单即美：,Simple,,is,,beautiful,,尽量最小安装，精简,,关闭不必要的服务及,ttys,,内核升级及参数调优（文件系统的选择）,--,一切皆有度,,,服务器端软件优化：如,Apache(Nginx) MySQL,参数调优,,,,架构优化：负载均衡（,CDN),多点冗余（,MySQL,主从,/,多主,/,集群 读写分离）,,系统层运维,安全,---,操作系统安全 服务器端软件安全 （网络安全）,,,操作系统的安全：（与性能及易用性矛盾）,,关闭不必要的服务及端口,,内核级升级 尽量使用最新稳定版,root,运维与研发普通账号的分离（账号管理,,,集中认证）,iptables,shell,操作行为日志记录,—(bash log),,安全工具的使用,nmap chkrootkit rkhunter (snort),,软件安全：,,尽量使用最新稳定版,,尽量以普通账号运行在,/ROOT,下,,,chroot,（,proftpd bind haproxy),,关闭版本号回显,(Apache Nginx PHP,减少信息泄露）,,应用的授权 如,(mysql),,网络层安全：,IP,连接鉴权,,关闭所有端口 （交换机,ACL),数据库决不能暴露在外网,,硬件防火墙（,DDOS),入侵检测,/,入侵防御,,,系统层运维（规范）,分离原则规范,,系统分区与数据分区分离,/,与,/ROOT,分离,,数据与程序以普通用户身份装到,/ROOT,下,,运维与研发的分离,,配置系统与程序开发分离,,系统配置，应用部署文档化（有备份人员）,,系统账号权限的分离,,登陆账号与应用账号分离,(,应用账号禁止直接登陆，增加线上机器账号需要申请，使用人员全名）,,运维人员与开发人员权限的分离,,特权端口与非特权端口的分离,,使用,NAT,方式 外网,80,映射大于,1024,的非特权端口,,前端后端存储的分离,,开发环境测试环境与线上生产环境的分离,,,,,,系统层运维,系统监控,系统底层参数监控,CPU,内存,SWAP,硬盘空间 系统负载,ping (,流量）,,端口监控,tcp,（服务进程监控重启,Monit),特定服务监控,—Nginx MySQL Redis (,自定义参数 模板）,报警,,邮件报警 短信报警 （,MSN,),负责人,-,（业务重要性）,硬件监控,,特定品牌服务器 如硬盘坏 内存坏 （项太多影响性能）,应用监控,—WEB,逻辑模拟,zabbix (Centreon+nagios+Nrpe+PNP+NDO. ganglia),系统层运维,备份及归档,程序备份,SVN,开发机,数据备份 全备 增量 差异,,用户生成,NFS(Rsync+inotify),分布式文件系统 （项目生命周期，重要程度，单点多点）,日志备份,,统计分析 收入相关（压缩归档）,数据库备份,MySQL,实时（主从） 定期 增量 全备 （集群）,备份方式：,Rsync,,专用工具,Amanda Bacula,,定期归档及删除,,归档机及归档删除脚本（,2,份以上）,系统层运维,集中管理及自动化（目标）,Puppet(Func,Cfengine),客户端,,任务分发,,传统现有模式,(SSH Key,方式）的问题,,,自动化,Puppet+shell(,脚本语言）,,自动监控，集中管理客户端部署,,系统光盘裁剪,,自动化系统安装,,,谢谢！！多多沟通交流！！,,。