操作系统配置规范化、自动化

1 简介

只是实现了对操作系统的主机名、网络、磁盘分区的安装规范，但此时还不能够直接用于生产，因为操作系统还有很多配置没有进行优化，接下来的工作就是要对操作系统进行配置规范化。

2 思路

让我们先停止手头无休止的工作，来简单回想下曾经配置过数不清的服务器，配置过程是否和以下有所类似：

• yum源配置 阿里源、163源、epel源等
• 安装常用工具 gcc、gcc-c++、cmake、wget、iftop、supervisor等
• 环境变量配置 a.终端超时时间 b.优化history
• 关闭并停用selinux
• 创建基础目录
• 创建应用用户
• ntp设置
• limit限制 a. 文件描述符65535 b. 进程数65535
• sshd 安全加固 a. 端口更改 ----测试阶段仍是22 b. 禁止root登录等优化
• 各种agent安装
• iptables a. 关闭iptables 、firewall b. 有防火墙，做基础配置
• 内核参数调整
• 开机启动 rc.local 需要授权755，默认缺少可执行权限。
• 设置dns
• 安全设置 密码复杂度、禁止无用服务等

以上基本都是操作系统配置优化可能涉及到的点，相信我们肯定都配置过。重点是我们还在日复一日的手动或脚本化的个性化执行，还是已经提取规范、在团队中流转自动化、批量化按需执行？

是的，如果运维团队不大，手动或脚本能够满足配置需求；但一旦上规模，团队中每个人由于个人认知、习惯等，配置后的系统差异化很大。此时就凸显了配置规范化的重要性，配合自动化运维工具，可实现配置的自动化、批量化及按需配置等功能，有效避免了团队的配置差异化。

3 系统配置规范

对于规范，我们还是要按照统一的规范编写风格，遵循简单清晰、直观展示的原则;

当然规范的依据是建立在事实基础之上，在上文已经提出了，我们只需将其整合以下即可，具体涉及以下几方面：

1. 用户 服务器使用固定用户，主要为管理用户、应用用户、日志用户
2. 软件源 安装基础组件需要通过统一的软件源
3. 关闭服务 统一关闭selinux、iptables、sendmail、postfix等无用服务
4. 初始目录 创建固定的初始目录，如应用、日志、备份等目录
5. limit及内核参数
6. DNS及NTP
7. 环境变量及历史命令记录 终端超时 历史命令记录及远程备份
8. ssh优化 禁止root登录 ssh登录慢优化 修改默认端口
9. 安全设置 密码复杂度及长度等 禁止ctrl+alt+delete等

为了避免规范化细节输出，给本就不轻松的运维工作增加额外的负担，因此我们还是列举要点，至于细节可以参看自动化部署内容，便于我们规范+实操的有效结合。

4 配置自动化

结合配置规范化，我们下一步的工作就是自动化的实现。在此为应对不同服务器的需求，我们最好是能实现按需配置，即既可以实现配置的全部执行，也可以实现某个配置需求的单独执行。因此我们要提前做好功能的分配。 在此我们使用ansible对服务器进行配置的自动化完全化，以及通过tag实现按需配置。

#对配置自动化通过ansible-playbook实现
vim os_init.yml
- hosts: "{{ host_ip }}"
  gather_facts: yes
  remote_user: root
  roles:
    - os_init

#其中task如下
vim mail.yml
- include: user.yml  #用户管理
- include: repo.yml  #yum源
- include: init_pkg.yml  #安装基础组件
- include: profile.yml  #环境变量
- include: selinux.yml  #selinux
- include: dir.yml  #基础目录
- include: limits.yml   #系统参数
- include: iptables.yml  #防火墙
- include: sysctl.yml   #内核参数
- include: rc.local.yml   #开机启动
- include: dns.yml    #dns
- include: ntp.yml    #ntp
- include: rsyslog.yml  #日志同步
- include: sshd.yml  #ssh优化
- include: safe.yml   #安全配置

#服务器配置完全化
ansible-playbook -b -e host_ip=10.10.2.10 -v os_init.yml
#通过tag实现单独添加用户
ansible-playbook -b -e host_ip=10.10.2.10 -v os_init.yml -t user
#通过tag实现单独安全配置
ansible-playbook -b -e host_ip=10.10.2.10 -v os_init.yml -t safe

我们通过host_ip既可以实现服务器的单独执行，也可以配置通过ansible资产实现服务器的批量执行。

5 小结

在操作系统的安装规范化+配置规范化前提下，结合Cobbler+Ansible实现了操作系统的安装、配置自动化，可以在一定程度上解决运维工作中的基础运维部分，其更深远的意义在于有效避免了因配置参数混乱导致的生产问题，为日后更多的自动化接入打好了基础。