运维体系运维规范介绍-邢飞

单位 IT 部门采用相关的方法,手段,技术,制度、流程和文档 等,对IT 运行环境(如硬软件环境、网络环境等)、IT 业务系统和 IT 运维人员进行的综合管理. 设备管理：对网络设备、服务器设备、操作系统运行状况进行监控。 应用/服务管理：对各种应用支持软件如数据库、中间件、群件以及各种通用或特定服务的监控管理，如邮件系统、DNS、Web等的监控与管理。 数据/存储/容灾管理：对系统和业务数据进行统一存储、备份和恢复。 业务管理：包含对企业自身核心业务系统运行情况的监控与管理，对于业务的管理，主要关注该业务系统的CSF（关键成功因素Critical Success Factors）和KPI（关键绩效指标 Key Performance Indicators）。 目录/内容管理：该部分主要对于企业需要统一发布或因人定制的内容管理和对公共信息的管理。 资源资产管理：管理企业中各IT系统的资源资产情况，这些资源资产可以是物理存在的，也可以是逻辑存在的，并能够与企业的财务部门进行数据交互。 信息安全管理：该部分包含了许多方面的内容，目前信息安全管理主要依据的国际标准是ISO17799，该标准涵盖了信息安全管理的十大控制方面，36个控制目标和127种控制方式，如企业安全组织方式、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、业务连续性管理等。 日常工作管理：该部分主要用于规范和明确运维人员的岗位职责和工作安排、提供绩效考核量化依据、提供解决经验与知识的积累与共享手段IT运行维护管理的每一个子系统中都包含着十分丰富的内容，实现完善的IT运维管理是企业提高经营水平和服务水平的关键。 运行/维护阶段与服务/支持阶段的分界线为前者是面向 IT部门内部的管理，而后者是面向业务部门、企业中的其它人员或直接面向客户。 底层运维：（大公司小公司的区别）硬件-服务器 虚拟化 负载均衡（防火墙，存储，VPN,入侵检测/防御，交换机）网络系统架构设计 -远程管理 NAT 负载均衡 （HA,冗余，可扩展，端口分离） CDN 子网(VPN)系统层运维：操作系统及应用服务器端软件的选择架构设计及技术发展的跟踪优化-操作系统优化 服务器端软件优化 （架构优化）安全-操作系统安全 服务器端软件安全 （网络安全）监控-系统底层参数监控 端口监控 报警备份及归档-程序备份 数据备份 日志备份 数据库备份集中管理（可选） 自动化应用运维： 硬件相关 服务器：Dell HP IBM 64位 EM64T AMD64-（X86_64) Dell Rack G11 R410 R510 R610 R710 R910（2550/2650/2850/2950) G12 Xeon E5 (R420 R520 R620 R720 R720XD R820) U-4.445CM 一个标准机柜42U 双电源 7x24x365 RAID SSD SAS SATA (SCSI) 远程管理卡IDrac 6 Enterprise（HP ilo) 尽量少做硬件改动 使用统一品牌 （成本选择优化） 服务器新产品增强测试 OS安装 硬件故障处理 虚拟化技术:Xen Vmware KVM VirtualBOX集中存储(NetAPP NAS EMC/HP SAN-FC/ISCSI) 负载均衡：F5 BIG-IP /Citrix Netscaler (健康检测，调度算法，会话保持） 其他可选A10 Array Radware （软件Haproxy,LVS-NAT TUN DR) 其他：防火墙，存储，VPN,入侵检测/防御，防DDOS设备,交换机 网络系统架构设计 远程管理架构 NAT 架构 （隐藏端口,减少公网IP) 子网设计(VPN互通) 负载均衡 （负载分担 HA,冗余，减少单点，可扩展（项目生命周期，规模扩大），端口分离） CDN 双线 BGP （动静态分离,隐藏主站IP，动态路由加速，CNAME,第三方CDN厂商，节点质量监控） 集中存储-（NFS）-分布式存储 业务架构与应用软件架构与项目经理及研发人员沟通！ 架构图1（负载均衡） 架构图2（CDN) 操作系统及应用服务器端软件的选择架构设计及技术发展的跟踪 操作系统： Unix 三大Unix（IBM AIX,HP-UX,Sun Solaris) BSD (FreeBSD NetBSD OpenBSD) Linux (Redhat(CentOS） Debian(Ubuntu) Gentoo Slackware Suse ) 服务器端软件技术的选择及跟踪 wwwApache Nginx Lighttpd Cherokee hiawatha ftp proftpd pure-ftpd vsftpd (ncftpd) mail- sendmail qmail postfix exim courier database- mysql(Percona MariaDB) Postgresql Firebird Oracle nosql mongoDB redis cassandra couchdb (Memcached-Flare TC/TT) 语言Perl Python PHP Ruby Lua Java TCL/TK (Shell) 版本控制CVS Subverison Git DNS BIND maraDNS PowerDNS 负载均衡-Haproxy LVS HA-heartbeat keepalived Proxy-Squid Varnish Traffic Server firewalliptables (ipchains) shorewallNetfilter 监控- nagios(centreon) zabbix ganglia (cacti MRTG) ssh-openssh ssh 集中管理 puppet cfengine func 文件同步 - rsync (配合inotify) unison 备份 - Bacula Amanda SSL加密库 OpenSSL PolarSSL JSP引擎 - Tomcat Resin （Jboss，Weblogic,Websphere) 分布式文件系统 GlusterFS hadoop HDFS MogileFS FastDFS Ceph MooseFS （DRBD) 其他：SAMBA OpenLDAP FreeRadius OpenVPN NMAP My Ftp ftp:/61.135.158.199/pub/ 每天更新 ftp:/61.135.158.199/pub/books/ 电子书 服务器端软件使用原则规范 全局系统工具及开发包使用系统自带的：gcc g+ wget curl Bash Sed Gawk vim Perl (DBI) Python 便于yum/rpm集中管理 （最小安装+需要的库及工具整理） 特别要求：系统库中没有或版本指定手工编译：/usr/local/ 守护进程使用同一项目使用同一版本:当前稳定系列里的最新稳定版 Apache Nginx MySQL PHP(FastCGI） (尽量不要安装系统自带的，可能可执行程序及动态链接库冲突） 大版本升级：遇到性能瓶颈，重大安全bug,严格测试后申请停业务时间平滑升级及数据迁移。（定出回滚方案） 优化：操作系统优化 服务器端软件优化 （架构优化） 操作系统的优化：简单即美： Simple is beautiful 尽量最小安装，精简 关闭不必要的服务及ttys 内核升级及参数调优（文件系统的选择）-一切皆有度 服务器端软件优化：如Apache(Nginx) MySQL 参数调优 架构优化：负载均衡（CDN) 多点冗余（MySQL主从/多主/集群 读写分离） 安全-操作系统安全 服务器端软件安全 （网络安全） 操作系统的安全：（与性能及易用性矛盾） 关闭不必要的服务及端口 内核级升级 尽量使用最新稳定版 root运维与研发普通账号的分离（账号管理,集中认证） iptables shell操作行为日志记录(bash log) 安全工具的使用nmap chkrootkit rkhunter (snort) 软件安全： 尽量使用最新稳定版 尽量以普通账号运行在/ROOT下 chroot （proftpd bind haproxy) 关闭版本号回显(Apache Nginx PHP减少信息泄露） 应用的授权 如(mysql) 网络层安全： IP连接鉴权 关闭所有端口 （交换机ACL) 数据库决不能暴露在外网 硬件防火墙（DDOS) 入侵检测/入侵防御 分离原则规范系统分区与数据分区分离 /与/ROOT分离 数据与程序以普通用户身份装到/ROOT下运维与研发的分离 配置系统与程序开发分离 系统配置，应用部署文档化（有备份人员）系统账号权限的分离 登陆账号与应用账号分离(应用账号禁止直接登陆，增加线上机器账号需要申请，使用人员全名） 运维人员与开发人员权限的分离 特权端口与非特权端口的分离 使用NAT方式 外网80映射大于1024的非特权端口前端后端存储的分离开发环境测试环境与线上生产环境的分离 系统监控系统底层参数监控 CPU 内存 SWAP 硬盘空间 系统负载 ping (流量） 端口监控 tcp （服务进程监控重启 Monit)特定服务监控Nginx MySQL Redis (自定义参数 模板）报警 邮件报警 短信报警 （MSN,QQ) 负责人-（业务重要性）硬件监控 特定品牌服务器 如硬盘坏 内存坏 （项太多影响性能）应用监控WEB逻辑模拟zabbix (Centreon+nagios+Nrpe+PNP+NDO. ganglia) 备份及归档 程序备份 SVN 开发机 数据备份 全备 增量 差异 用户生成 NFS(Rsync+inotify) 分布式文件系统 （项目生命周期，重要程度，单点多点） 日志备份 统计分析 收入相关（压缩归档） 数据库备份 MySQL 实时（主从） 定期 增量 全备 （集群）备份方式：Rsync,专用工具Amanda Bacula 定期归档及删除 归档机及归档删除脚本（2份以上） 集中管理及自动化（目标） Puppet(Func,Cfengine) 客户端 任务分发 传统现有模式(SSH Key方式）的问题自动化 Puppet+shell(脚本语言） 自动监控，集中管理客户端部署 系统光盘裁剪 自动化系统安装 谢 谢 ！ ！ 多 多 沟 通 交 流 ！ ！