Linux服务器基础操作配置

背景

现场应用环境部署之前，系统需进行配置(root权限)，进行服务器的基础配置；基础配置完成后开始环境搭建。

系统版本查看

查看操作****系统版本

cat /etc/redhat-release

查看操作系统位数

uname -a

如下图所示，操作系统为redhat7.4 企业版，64位。

注：如果是32位的，则会提示为i386。

系统CPU、内存、硬盘查看

查看逻辑CPU数

# 查看逻辑CPU数
cat /proc/cpuinfo| grep "processor"| wc -l

以下示例：显示逻辑CPU数为32核

查看内存大小

以下示例：显示内存为128G

查看硬盘情况

以下示例中：系统分区为99G。数据分区为1T，挂载目录为/DATA。

如果有数据分区，程序应部署到数据分区中。

如果没有数据分区，再将程序部署到系统分区。

配置主机名

如果分配的服务器是虚拟机，一般没有设置主机名。主机名根据实际情况修改。

如果分配的服务器是阿里云或者华为云的ECS服务器。一般hostnamectl主机名已经设置好了，但/etc/hosts可能没有配置。请检查该文件中是否有主机名配置。如果没有，请将主机名、主机ip加到该文件中。

注：查看阿里云或华为云的ECS服务器ip,请使用ifconfig命令查看到的为准。因为SSH远程连接的ip可能是通过负载均衡映射后的IP。

执行以下命令设置主机名，及验证设置是否成功。

# 查看主机名
$ hostnamectl
# 设置主机名
$ hostnamectl set-hostname 主机名
# 配置主机名与ip的绑定关系
$ echo "主机IP地址   主机名"  >>  /etc/hosts
# 如果服务器有多台，请将其他节点的主机名也加入到该文件中
$ echo "其他主机1IP地址   主机名"  >>  /etc/hosts
$ echo "其他主机2IP地址   主机名"  >>  /etc/hosts

以上设置完毕后，再重新远程连接下，命令行左侧的提示就显示为已修改的主机名****。

YUM源配置

拿到服务器后，可以通过yum命令进行安装某个软件，检查yum源是否配置。

如果没有配置，参考本章节进行配置。

上传及挂载IOS文件

新建ISO目录及挂载目录：

mkdir -p /mnt/iso
mkdir -p /mnt/cdrom

上传对应系统版本的镜像文件到/mnt/iso目录中

挂载/mnt/iso/下镜像文件到/mnt/cdrom中：

mount -o loop -t iso9660 /mnt/iso/XXX镜像文件名.iso /mnt/cdrom

配置yum源

1、备份/etc/yum.repo.d下所有的repo库文件

mkdir /etc/yum.repos.d/bak

mv /etc/yum.repos.d/*.repo /etc/yum.repos.d/bak/

2、在/etc/yum.repos.d/下新建一个local.repo库文件。

vim /etc/yum.repos.d/local.repo

将以下内容全部粘贴保存即可。

[local]
name=local
baseurl=file:///mnt/cdrom
enabled=1
gpgcheck=0

要保证/etc/yum.repos.d/目录下只有local.repo一个文件，其它的repo文件要全部备份删除。

测试yum源

清除yum缓存：yum clean all

创建yum缓存：yum makecache

输入yum包列表：yum list

可以安装gcc安装包，以测试yum源是否可用

yum install gcc -y

如果能正常安装，说明配置成功。

防火墙及SELinux

Linux7关闭防火墙

1、查看防火墙状态：systemctl status firewalld

为dead表示为关闭状态，如果其他状态执行关闭命令。

2、暂时关闭防火墙：systemctl stop firewalld

3、永久关闭防火墙：systemctl disable firewalld

Linux6关闭防火墙

1、查看防火墙状态：/etc/init.d/iptables status

2、暂时关闭防火墙：/etc/init.d/iptables stop

3、永久关闭防火墙：chkconfig iptables off

关闭SElinux

1、查看SElinux状态：getenforce

2、临时关闭(不用重启即可生效)

setenforce 0 (用于关闭selinux防火墙，但重启后失效)

3、永久关闭SElinux修改配置文件。

vim /etc/selinux/config

将SELINUX=enforcing改为SELINUX=disabled，保存后退出

4、再次验证SElinux状态，Disabled 表示已关闭。

时钟同步

与信通沟通本网省时钟服务器IP,测试集群下服务器是否能访问（集群内其中一台可以访问即可）。如果不能，沟通申请相关访问权限。如果可以，请按照以下步骤配置时钟同步。

检查时区

检查是否为上海时区，如果不是，使用timedatectl进行修改。

[root@linux-179 ~]timedatectl set-timezone Asia/Shanghai

NTP服务器搭建

安装NTP相关软件

[root@linux-179 ~]yum install -y ntp ntpdate

设置同步硬件时钟

[root@linux-179 ~]vim /etc/sysconfig/ntpd
##加入以下配置
SYNC_HWCLOCK=yes

设置集群中主节点与省时钟服务器保持同步

设置集群中其他节点与主节点保持同步

启动ntp服务

#启动ntpd
[root@linux-179 ~]systemctl start ntpd
#设置开机自启动
[root@linux-179 ~]systemctl enable ntpd

检查更新状态

remote   - 本机和上层ntp的ip或主机名，“+”表示优先，“*”表示次优先
refid    - 参考上一层ntp主机地址
st       - stratum阶层
when     - 多少秒前曾经同步过时间
poll     - 下次更新在多少秒后
reach    - 已经向上层ntp服务器要求更新的次数
delay    - 网络延迟
offset   - 时间补偿
jitter   - 系统时间与bios时间差

创建用户与组

程序要尽可能部署到普通用户下。因此，需要有一个可以使用得普通用户。如果拿到服务器后已经有普通用户，就不用执行下面的创建用户命令。

同属于一个集群下的机器，用户名和组的id必须保持一致，如果不保持一致，配置共享目录时会有权限的影响。

示例：一台机器weblogic用户的id为502，bea组的id为502，则另一台机器weblogic用户的id也要为502,bea组的id也要为502。执行以下语句创建weblogic用户和bea组：

groupadd -g 502 bea                          
useradd -g bea -u 502 weblogic
passwd weblogic
设置weblogic用户的密码

特殊说明：以上weblogic只是示例，具体项目上规定使用什么名字，由项目组决定。

服务器性能调优

内核参数调优

用root用户，修改/etc/sysctl.conf文件，加上如下参数，

执行vi /etc/sysctl.conf命令，加入以下内容：

#the next part is used for optimizing of kernel 
fs.file-max = 6815744
net.ipv4.tcp_max_syn_backlog = 65536
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768

net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_max_orphans = 3276800

net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 120
net.ipv4.ip_local_port_range = 1024  65535

如下图所示：

当配置完后，要执行命令/sbin/sysctl -p使其配置生效。

用户最大进程、线程数调整

特殊说明：

如果现场服务都已经部署好，运行一段时间了，才发现需要优化。需要重启consul基础服务和相关的微服务。

通过ulimit -a,查看最大打开文件数、最大进程数配置。这个配置是针对用户的。请使用root和安装基础微服务平台的用户（多数现场使用weblogic）分别查询。

如果用户的最大进程数是小于30000:

在/etc/security/limits.d/20-nproc.conf，最后一行加入，重新ssh登录即生效：

用户   soft    nproc     30000
示例：
weblogic   soft    nproc     30000

如果用户的打开文件数小于30000：

修改/etc/security/limits.conf,在最低下加入以下内容

#以下root请根据情况替换成
用户 soft nofile 30000
用户 hard nofile 30000
示例：
root soft nofile 30000
root hard nofile 30000
weblogic soft nofile 30000
weblogic hard nofile 30000

安装JDK

1、查看当前系统java版本，命令如下

java -version

如果跟上面一样是openjdk,该版本的jdk缺少部分组件，估我们需要重新安装自己的JDK。

2、创建jdk的安装路径，在/usr/local目录下新建java目录，以下为创建此目录命令

mkdir –p /usr/local/java

3、将JDK文件“jdk-8u202-linux-x64.tar.gz”，利用FTP工具上传至“/usr/local/java”目录下。

4、解压此文件包，命令如下：

cd /usr/local/java
tar -xvf ./jdk-8u202-linux-x64.tar.gz
chmod -R 755 ./jdk1.8.0_202

5、配置java路径,编辑“/etc/profile”文件，找到“export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE INPUTRC”，在其上加入以下语句，保存退出即可。

export JAVA_HOME="/usr/local/java/jdk1.8.0_202"
export PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH
export CLASSPATH=".:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar"

6、配置生效。执行以下语句，让其配置生效。

source /etc/profile

7、再次验证系统jdk是否为“1.8”.

java -version