Rocky Linux云服务搭建从入门到精通掌握企业级开源操作系统在云端部署的完整流程与实用技巧解决实际应用中的常见问题提升系统稳定性与安全性

威震华夏关云长

1. Rocky Linux简介与云服务优势

Rocky Linux是一个社区支持的企业级操作系统，由CentOS创始人Gregory Kurtzer创建，旨在作为CentOS的后继者。它完全兼容Red Hat Enterprise Linux (RHEL)，提供了稳定、安全且高性能的操作系统环境，非常适合企业级应用和云服务部署。

1.1 Rocky Linux的特点

• 稳定性：基于RHEL源代码构建，提供长期支持版本
• 安全性：定期安全更新和补丁
• 兼容性：与RHEL完全二进制兼容
• 社区支持：活跃的社区提供技术支持和持续开发
• 免费使用：无需订阅费用，降低企业成本

1.2 Rocky Linux在云服务中的优势

• 成本效益：作为免费的企业级操作系统，大幅降低云服务部署成本
• 可靠性：适合需要长时间稳定运行的企业应用
• 灵活性：支持各种云平台和虚拟化技术
• 安全性：内置安全功能和SELinux支持
• 生态系统：丰富的软件包和工具支持

2. Rocky Linux基础知识

2.1 系统架构

Rocky Linux支持多种处理器架构，包括：

• x86_64 (Intel/AMD 64位)
• ARM64 (aarch64)
• POWER (ppc64le)

2.2 包管理系统

Rocky Linux使用DNF（Dandified YUM）作为默认的包管理器，它是YUM的下一代版本，提供了更快的依赖解析和更好的性能。

基本DNF命令示例：

2. # 更新软件包列表
3. sudo dnf check-update
5. # 安装软件包
6. sudo dnf install package_name
8. # 卸载软件包
9. sudo dnf remove package_name
11. # 搜索软件包
12. sudo dnf search keyword
14. # 查看已安装的软件包
15. sudo dnf list installed
17. # 清理缓存
18. sudo dnf clean all

复制代码

2.3 系统服务管理

Rocky Linux使用systemd作为系统和服务管理器：

2. # 启动服务
3. sudo systemctl start service_name
5. # 停止服务
6. sudo systemctl stop service_name
8. # 重启服务
9. sudo systemctl restart service_name
11. # 启用服务开机自启
12. sudo systemctl enable service_name
14. # 禁用服务开机自启
15. sudo systemctl disable service_name
17. # 查看服务状态
18. sudo systemctl status service_name

复制代码

3. 云服务环境准备

3.1 主流云服务提供商选择

Rocky Linux可以在各大云服务提供商上部署，包括：

• Amazon Web Services (AWS)
• Microsoft Azure
• Google Cloud Platform (GCP)
• Alibaba Cloud
• 腾讯云
• 华为云

3.2 云服务账户创建与配置

以AWS为例，创建和配置云服务环境：

1. 注册AWS账户
2. 完成身份验证
3. 设置IAM用户和权限
4. 配置安全组（防火墙规则）
5. 生成SSH密钥对

2. # 生成SSH密钥对
3. ssh-keygen -t rsa -b 4096 -f ~/.ssh/rocky-cloud-key
5. # 将公钥上传到云服务提供商
6. cat ~/.ssh/rocky-cloud-key.pub

复制代码

3.3 网络规划

在部署Rocky Linux云服务器前，需要进行网络规划：

• VPC设计：确定虚拟私有云的IP地址范围
• 子网划分：根据功能划分公共子网和私有子网
• 安全组配置：设置入站和出站规则
• 负载均衡：如需要高可用性，规划负载均衡器

4. Rocky Linux在云端的安装与配置

4.1 在AWS上部署Rocky Linux

1. 登录AWS管理控制台
2. 导航到EC2服务
3. 点击”启动实例”
4. 在AWS Marketplace中搜索”Rocky Linux”
5. 选择合适的Rocky Linux AMI
6. 选择实例类型（如t3.micro用于测试，m5.large用于生产）
7. 配置实例详情（网络、子网等）
8. 添加存储（根据需求调整EBS大小）
9. 配置安全组（开放SSH、HTTP、HTTPS等端口）
10. 选择或创建SSH密钥对
11. 启动实例

2. # 安装AWS CLI
3. sudo dnf install awscli -y
5. # 配置AWS CLI
6. aws configure
8. # 创建Rocky Linux实例
9. aws ec2 run-instances \
10.     --image-id ami-0abcdef1234567890 \  # 替换为实际的Rocky Linux AMI ID
11.     --instance-type t3.micro \
12.     --key-name rocky-cloud-key \
13.     --security-group-ids sg-0abcdef1234567890 \
14.     --subnet-id subnet-0abcdef1234567890 \
15.     --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=Rocky-Linux-Server}]'

复制代码

4.2 初始系统配置

2. # 通过SSH连接到实例
3. ssh -i ~/.ssh/rocky-cloud-key rocky@public-ip-address

复制代码

2. # 更新系统
3. sudo dnf update -y
5. # 重启系统（如果需要）
6. sudo reboot

复制代码

2. # 创建新用户
3. sudo adduser adminuser
5. # 设置密码
6. sudo passwd adminuser
8. # 将用户添加到wheel组（sudo权限）
9. sudo usermod -aG wheel adminuser
11. # 切换到新用户
12. su - adminuser

复制代码

2. # 查看当前主机名
3. hostnamectl
5. # 设置主机名
6. sudo hostnamectl set-hostname rocky-server.example.com
8. # 验证主机名
9. hostnamectl status

复制代码

2. # 查看当前时区
3. timedatectl
5. # 列出所有可用时区
6. timedatectl list-timezones
8. # 设置时区（例如：上海）
9. sudo timedatectl set-timezone Asia/Shanghai
11. # 验证时区设置
12. timedatectl

复制代码

2. # 查看网络接口
3. ip addr show
5. # 查看网络配置文件
6. ls /etc/sysconfig/network-scripts/
8. # 编辑网络配置文件（例如：ifcfg-eth0）
9. sudo vi /etc/sysconfig/network-scripts/ifcfg-eth0
11. # 示例配置：
12. TYPE=Ethernet
13. BOOTPROTO=dhcp
14. DEFROUTE=yes
15. PEERDNS=yes
16. PEERROUTES=yes
17. IPV4_FAILURE_FATAL=no
18. IPV6INIT=yes
19. IPV6_AUTOCONF=yes
20. IPV6_DEFROUTE=yes
21. IPV6_PEERDNS=yes
22. IPV6_PEERROUTES=yes
23. IPV6_FAILURE_FATAL=no
24. NAME=eth0
25. DEVICE=eth0
26. ONBOOT=yes
28. # 重启网络服务
29. sudo systemctl restart NetworkManager

复制代码

5. 系统优化与安全加固

5.1 系统安全加固

Rocky Linux使用firewalld作为默认的防火墙管理工具：

2. # 安装firewalld
3. sudo dnf install firewalld -y
5. # 启动并启用firewalld
6. sudo systemctl start firewalld
7. sudo systemctl enable firewalld
9. # 检查firewalld状态
10. sudo systemctl status firewalld
12. # 查看默认区域
13. sudo firewall-cmd --get-default-zone
15. # 查看活动区域
16. sudo firewall-cmd --get-active-zones
18. # 查看当前区域开放的端口
19. sudo firewall-cmd --list-all
21. # 开放端口（例如：HTTP 80端口）
22. sudo firewall-cmd --permanent --add-service=http
23. sudo firewall-cmd --reload
25. # 开放自定义端口（例如：8080端口）
26. sudo firewall-cmd --permanent --add-port=8080/tcp
27. sudo firewall-cmd --reload
29. # 移除端口
30. sudo firewall-cmd --permanent --remove-service=http
31. sudo firewall-cmd --reload

复制代码

SELinux（Security-Enhanced Linux）是Linux内核的安全模块，提供强制访问控制（MAC）：

2. # 检查SELinux状态
3. getenforce
5. # 查看SELinux模式
6. sestatus
8. # 临时设置SELinux为宽松模式
9. sudo setenforce 0
11. # 临时设置SELinux为强制模式
12. sudo setenforce 1
14. # 永久修改SELinux配置
15. sudo vi /etc/selinux/config
17. # 将SELINUX=enforcing改为：
18. SELINUX=disabled  # 禁用SELinux
19. SELINUX=permissive  # 宽松模式
20. SELINUX=enforcing  # 强制模式（推荐）
22. # 查看文件的安全上下文
23. ls -Z /path/to/file
25. # 修改文件的安全上下文
26. sudo chcon -t httpd_sys_content_t /var/www/html/index.html
28. # 恢复文件默认安全上下文
29. sudo restorecon -v /var/www/html/index.html
31. # 查看SELinux布尔值
32. getsebool -a
34. # 设置SELinux布尔值
35. sudo setsebool -P httpd_can_network_connect on

复制代码

2. # 编辑SSH配置文件
3. sudo vi /etc/ssh/sshd_config
5. # 修改以下配置：
6. Port 2222  # 更改默认端口
7. PermitRootLogin no  # 禁止root登录
8. PasswordAuthentication no  # 禁用密码认证，仅允许密钥认证
9. PermitEmptyPasswords no  # 禁止空密码
10. X11Forwarding no  # 禁用X11转发
11. MaxAuthTries 3  # 最大认证尝试次数
12. ClientAliveInterval 300  # 客户端活动间隔
13. ClientAliveCountMax 0  # 最大客户端活动计数
15. # 重启SSH服务
16. sudo systemctl restart sshd
18. # 添加防火墙规则允许新的SSH端口
19. sudo firewall-cmd --permanent --add-port=2222/tcp
20. sudo firewall-cmd --reload

复制代码

2. # 安装EPEL仓库
3. sudo dnf install epel-release -y
5. # 安装fail2ban
6. sudo dnf install fail2ban -y
8. # 启动并启用fail2ban
9. sudo systemctl start fail2ban
10. sudo systemctl enable fail2ban
12. # 创建本地配置文件
13. sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
15. # 编辑配置文件
16. sudo vi /etc/fail2ban/jail.local
18. # 配置SSH保护
19. [sshd]
20. enabled = true
21. port = 2222
22. filter = sshd
23. logpath = /var/log/secure
24. maxretry = 3
25. bantime = 3600
26. findtime = 600
28. # 重启fail2ban服务
29. sudo systemctl restart fail2ban
31. # 查看fail2ban状态
32. sudo fail2ban-client status
33. sudo fail2ban-client status sshd

复制代码

5.2 系统性能优化

2. # 编辑sysctl配置文件
3. sudo vi /etc/sysctl.conf
5. # 添加或修改以下参数：
6. # 网络优化
7. net.core.rmem_max = 16777216
8. net.core.wmem_max = 16777216
9. net.ipv4.tcp_rmem = 4096 87380 16777216
10. net.ipv4.tcp_wmem = 4096 65536 16777216
11. net.ipv4.tcp_fin_timeout = 30
12. net.ipv4.tcp_keepalive_time = 1200
13. net.ipv4.tcp_max_syn_backlog = 8192
14. net.ipv4.tcp_max_tw_buckets = 5000
15. net.ipv4.tcp_tw_reuse = 1
16. net.ipv4.tcp_tw_recycle = 1
17. net.ipv4.tcp_syncookies = 1
18. net.ipv4.tcp_congestion_control = bbr
20. # 文件系统优化
21. fs.file-max = 100000
22. fs.inotify.max_user_watches = 1000000
24. # 虚拟内存优化
25. vm.swappiness = 10
26. vm.dirty_ratio = 60
27. vm.dirty_background_ratio = 2
29. # 应用配置
30. sudo sysctl -p

复制代码

2. # 查看当前文件系统
3. df -hT
5. # 查看磁盘I/O统计
6. iostat -x 1
8. # 检查文件系统
9. sudo fsck -t ext4 /dev/sda1
11. # 调整文件系统参数（以ext4为例）
12. sudo tune2fs -o journal_data_writeback /dev/sda1
13. sudo tune2fs -O ^has_journal /dev/sda1
15. # 设置noatime选项提升性能
16. sudo vi /etc/fstab
18. # 修改挂载选项，添加noatime：
19. /dev/sda1 / ext4 defaults,noatime 0 0
21. # 重新挂载文件系统
22. sudo mount -o remount /

复制代码

2. # 编辑limits.conf文件
3. sudo vi /etc/security/limits.conf
5. # 添加或修改以下限制：
6. * soft nofile 65536
7. * hard nofile 65536
8. * soft nproc 32768
9. * hard nproc 32768
10. * soft core unlimited
11. * hard core unlimited
13. # 编辑systemd系统配置
14. sudo vi /etc/systemd/system.conf
16. # 修改以下参数：
17. DefaultLimitNOFILE=65536
18. DefaultLimitNPROC=32768
20. # 重启systemd
21. sudo systemctl daemon-reexec

复制代码

6. 常用服务部署

6.1 Web服务器部署

2. # 安装EPEL仓库
3. sudo dnf install epel-release -y
5. # 安装Nginx
6. sudo dnf install nginx -y
8. # 启动并启用Nginx
9. sudo systemctl start nginx
10. sudo systemctl enable nginx
12. # 检查Nginx状态
13. sudo systemctl status nginx
15. # 配置防火墙允许HTTP和HTTPS
16. sudo firewall-cmd --permanent --add-service=http
17. sudo firewall-cmd --permanent --add-service=https
18. sudo firewall-cmd --reload
20. # 创建网站目录
21. sudo mkdir -p /var/www/example.com/html
22. sudo chown -R nginx:nginx /var/www/example.com/html
23. sudo chmod -R 755 /var/www/example.com
25. # 创建示例页面
26. sudo vi /var/www/example.com/html/index.html
28. # 添加以下内容：
29. <!DOCTYPE html>
30. <html>
31. <head>
32.     <title>Welcome to Example.com!</title>
33. </head>
34. <body>
35.     <h1>Success! The Nginx server is working!</h1>
36. </body>
37. </html>
39. # 创建Nginx配置文件
40. sudo vi /etc/nginx/conf.d/example.com.conf
42. # 添加以下配置：
43. server {
44.     listen 80;
45.     server_name example.com www.example.com;
46.     root /var/www/example.com/html;
47.     index index.html;
49.     location / {
50.         try_files $uri $uri/ =404;
51.     }
53.     error_page 404 /404.html;
54.     error_page 500 502 503 504 /50x.html;
55.     location = /50x.html {
56.         root /usr/share/nginx/html;
57.     }
58. }
60. # 测试Nginx配置
61. sudo nginx -t
63. # 重新加载Nginx配置
64. sudo systemctl reload nginx

复制代码

2. # 安装Apache
3. sudo dnf install httpd -y
5. # 启动并启用Apache
6. sudo systemctl start httpd
7. sudo systemctl enable httpd
9. # 检查Apache状态
10. sudo systemctl status httpd
12. # 配置防火墙允许HTTP和HTTPS
13. sudo firewall-cmd --permanent --add-service=http
14. sudo firewall-cmd --permanent --add-service=https
15. sudo firewall-cmd --reload
17. # 创建网站目录
18. sudo mkdir -p /var/www/example.com/html
19. sudo chown -R apache:apache /var/www/example.com/html
20. sudo chmod -R 755 /var/www/example.com
22. # 创建示例页面
23. sudo vi /var/www/example.com/html/index.html
25. # 添加以下内容：
26. <!DOCTYPE html>
27. <html>
28. <head>
29.     <title>Welcome to Example.com!</title>
30. </head>
31. <body>
32.     <h1>Success! The Apache server is working!</h1>
33. </body>
34. </html>
36. # 创建Apache配置文件
37. sudo vi /etc/httpd/conf.d/example.com.conf
39. # 添加以下配置：
40. <VirtualHost *:80>
41.     ServerName example.com
42.     ServerAlias www.example.com
43.     DocumentRoot /var/www/example.com/html
44.    
45.     <Directory /var/www/example.com/html>
46.         Options Indexes FollowSymLinks
47.         AllowOverride All
48.         Require all granted
49.     </Directory>
50.    
51.     ErrorLog /var/log/httpd/example.com-error.log
52.     CustomLog /var/log/httpd/example.com-access.log combined
53. </VirtualHost>
55. # 检查Apache配置
56. sudo apachectl configtest
58. # 重新加载Apache配置
59. sudo systemctl reload httpd

复制代码

6.2 数据库服务器部署

2. # 安装MariaDB服务器
3. sudo dnf install mariadb-server -y
5. # 启动并启用MariaDB
6. sudo systemctl start mariadb
7. sudo systemctl enable mariadb
9. # 检查MariaDB状态
10. sudo systemctl status mariadb
12. # 运行安全安装脚本
13. sudo mysql_secure_installation
15. # 登录到MariaDB
16. mysql -u root -p
18. # 创建数据库和用户
19. CREATE DATABASE exampledb;
20. CREATE USER 'exampleuser'@'localhost' IDENTIFIED BY 'password';
21. GRANT ALL PRIVILEGES ON exampledb.* TO 'exampleuser'@'localhost';
22. FLUSH PRIVILEGES;
23. EXIT;
25. # 配置防火墙允许MySQL端口（如需远程访问）
26. sudo firewall-cmd --permanent --add-service=mysql
27. sudo firewall-cmd --reload
29. # 编辑MariaDB配置文件
30. sudo vi /etc/my.cnf.d/mariadb-server.cnf
32. # 添加或修改以下配置：
33. [mysqld]
34. character-set-server = utf8mb4
35. collation-server = utf8mb4_unicode_ci
36. max_connections = 200
37. innodb_buffer_pool_size = 2G  # 根据服务器内存调整
38. innodb_log_file_size = 256M
39. slow_query_log = 1
40. slow_query_log_file = /var/log/mariadb/slow.log
41. long_query_time = 2
43. # 重启MariaDB服务
44. sudo systemctl restart mariadb

复制代码

2. # 安装PostgreSQL服务器
3. sudo dnf install postgresql-server postgresql-contrib -y
5. # 初始化数据库集群
6. sudo postgresql-setup --initdb
8. # 启动并启用PostgreSQL
9. sudo systemctl start postgresql
10. sudo systemctl enable postgresql
12. # 检查PostgreSQL状态
13. sudo systemctl status postgresql
15. # 切换到postgres用户
16. sudo -i -u postgres
18. # 创建数据库和用户
19. createdb exampledb
20. createuser --interactive
22. # 设置密码
23. psql -c "ALTER USER exampleuser WITH PASSWORD 'password';"
25. # 授予数据库权限
26. psql -c "GRANT ALL PRIVILEGES ON DATABASE exampledb TO exampleuser;"
28. # 退出postgres用户
29. exit
31. # 配置防火墙允许PostgreSQL端口（如需远程访问）
32. sudo firewall-cmd --permanent --add-service=postgresql
33. sudo firewall-cmd --reload
35. # 编辑PostgreSQL配置文件
36. sudo vi /var/lib/pgsql/data/postgresql.conf
38. # 添加或修改以下配置：
39. listen_addresses = 'localhost'  # 或 '*' 允许所有IP连接
40. max_connections = 100
41. shared_buffers = 128MB  # 根据服务器内存调整
42. effective_cache_size = 4GB
43. maintenance_work_mem = 64MB
44. checkpoint_completion_target = 0.9
45. wal_buffers = 16MB
46. default_statistics_target = 100
47. random_page_cost = 1.1
48. effective_io_concurrency = 200
49. work_mem = 4MB
50. min_wal_size = 1GB
51. max_wal_size = 4GB
53. # 编辑客户端认证配置文件
54. sudo vi /var/lib/pgsql/data/pg_hba.conf
56. # 添加或修改以下配置以允许远程连接：
57. # TYPE  DATABASE        USER            ADDRESS                 METHOD
58. host    all             all             0.0.0.0/0               md5
60. # 重启PostgreSQL服务
61. sudo systemctl restart postgresql

复制代码

6.3 安装PHP

2. # 安装EPEL和Remi仓库
3. sudo dnf install epel-release -y
4. sudo dnf install https://rpms.remirepo.net/enterprise/remi-release-9.rpm -y
6. # 安装PHP及常用扩展
7. sudo dnf module enable php:remi-8.1 -y
8. sudo dnf install php php-cli php-fpm php-mysqlnd php-zip php-gd php-mbstring php-curl php-xml php-pear php-bcmath php-json -y
10. # 检查PHP版本
11. php -v
13. # 配置PHP-FPM
14. sudo vi /etc/php-fpm.d/www.conf
16. # 修改以下配置：
17. user = nginx  # 如果使用Nginx
18. ; user = apache  # 如果使用Apache
19. group = nginx  # 如果使用Nginx
20. ; group = apache  # 如果使用Apache
22. listen = /var/run/php-fpm/php-fpm.sock
23. listen.owner = nginx
24. listen.group = nginx
25. listen.mode = 0660
27. pm = dynamic
28. pm.max_children = 50
29. pm.start_servers = 5
30. pm.min_spare_servers = 5
31. pm.max_spare_servers = 35
33. # 启动并启用PHP-FPM
34. sudo systemctl start php-fpm
35. sudo systemctl enable php-fpm
37. # 检查PHP-FPM状态
38. sudo systemctl status php-fpm
40. # 创建PHP测试文件
41. sudo vi /var/www/example.com/html/info.php
43. # 添加以下内容：
44. <?php
45. phpinfo();
46. ?>
48. # 如果使用Nginx，修改Nginx配置以支持PHP
49. sudo vi /etc/nginx/conf.d/example.com.conf
51. # 添加以下配置：
52. server {
53.     listen 80;
54.     server_name example.com www.example.com;
55.     root /var/www/example.com/html;
56.     index index.php index.html;
58.     location / {
59.         try_files $uri $uri/ =404;
60.     }
62.     location ~ \.php$ {
63.         fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
64.         fastcgi_index index.php;
65.         fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
66.         include fastcgi_params;
67.     }
69.     error_page 404 /404.html;
70.     error_page 500 502 503 504 /50x.html;
71.     location = /50x.html {
72.         root /usr/share/nginx/html;
73.     }
74. }
76. # 测试Nginx配置
77. sudo nginx -t
79. # 重新加载Nginx配置
80. sudo systemctl reload nginx
82. # 如果使用Apache，安装PHP模块并重启Apache
83. sudo dnf install php libapache2-mod-php -y
84. sudo systemctl restart httpd

复制代码

6.4 安装Docker

2. # 安装必要的包
3. sudo dnf install -y dnf-utils device-mapper-persistent-data lvm2
5. # 添加Docker仓库
6. sudo dnf config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
8. # 安装Docker
9. sudo dnf install -y docker-ce docker-ce-cli containerd.io
11. # 启动并启用Docker
12. sudo systemctl start docker
13. sudo systemctl enable docker
15. # 检查Docker状态
16. sudo systemctl status docker
18. # 将用户添加到docker组（避免使用sudo）
19. sudo usermod -aG docker $USER
21. # 重新登录以应用组更改
23. # 验证Docker安装
24. docker run hello-world
26. # 配置Docker镜像加速器（可选）
27. sudo mkdir -p /etc/docker
28. sudo vi /etc/docker/daemon.json
30. # 添加以下内容（使用阿里云镜像加速器为例）：
31. {
32.   "registry-mirrors": ["https://<your-mirror-id>.mirror.aliyuncs.com"]
33. }
35. # 重启Docker服务
36. sudo systemctl restart docker
38. # 安装Docker Compose
39. sudo dnf install -y docker-compose-plugin
41. # 验证Docker Compose安装
42. docker compose version

复制代码

7. 监控与维护

7.1 系统监控工具

2. # 安装htop
3. sudo dnf install htop -y
5. # 使用top命令
6. top
8. # 使用htop命令
9. htop

复制代码

2. # 安装sysstat包
3. sudo dnf install sysstat -y
5. # 启用并启动sysstat
6. sudo systemctl enable sysstat
7. sudo systemctl start sysstat
9. # 使用vmstat查看内存、进程和CPU活动
10. vmstat 1 5
12. # 使用iostat查看CPU和I/O统计信息
13. iostat -xz 1
15. # 使用mpstat查看CPU统计信息
16. mpstat -P ALL 1

复制代码

2. # 安装nmon
3. sudo dnf install nmon -y
5. # 运行nmon
6. nmon

复制代码

7.2 日志管理

2. # 查看所有日志
3. sudo journalctl
5. # 查看特定服务的日志
6. sudo journalctl -u nginx.service
8. # 查看最近的日志
9. sudo journalctl -n 100
11. # 实时查看日志
12. sudo journalctl -f
14. # 查看特定时间段的日志
15. sudo journalctl --since "2023-01-01" --until "2023-01-02"
17. # 查看内核日志
18. sudo journalctl -k
20. # 限制日志输出数量
21. sudo journalctl -n 50
23. # 清理旧日志
24. sudo journalctl --vacuum-size=100M

复制代码

2. # 查看logrotate配置
3. ls /etc/logrotate.d/
5. # 编辑Nginx的logrotate配置
6. sudo vi /etc/logrotate.d/nginx
8. # 示例配置：
9. /var/log/nginx/*.log {
10.     daily
11.     missingok
12.     rotate 52
13.     compress
14.     delaycompress
15.     notifempty
16.     create 640 nginx adm
17.     sharedscripts
18.     postrotate
19.         if [ -f /var/run/nginx.pid ]; then
20.             kill -USR1 `cat /var/run/nginx.pid`
21.         fi
22.     endscript
23. }
25. # 测试logrotate配置
26. sudo logrotate -d /etc/logrotate.d/nginx
28. # 手动运行logrotate
29. sudo logrotate -f /etc/logrotate.d/nginx

复制代码

7.3 安装和使用监控解决方案

2. # 安装Zabbix仓库
3. sudo rpm -Uvh https://repo.zabbix.com/zabbix/6.0/rhel/9/x86_64/zabbix-release-6.0-4.el9.noarch.rpm
4. sudo dnf clean all
6. # 安装Zabbix服务器、前端和代理
7. sudo dnf install zabbix-server-mysql zabbix-web-mysql zabbix-apache-conf zabbix-sql-scripts zabbix-selinux-policy zabbix-agent -y
9. # 创建初始数据库
10. mysql -uroot -p
11. create database zabbix character set utf8mb4 collate utf8mb4_bin;
12. create user zabbix@localhost identified by 'password';
13. grant all privileges on zabbix.* to zabbix@localhost;
14. set global log_bin_trust_function_creators = 1;
15. quit;
17. # 导入初始架构和数据
18. zcat /usr/share/doc/zabbix-sql-scripts/mysql/server.sql.gz | mysql -uzabbix -p zabbix
20. # 导入数据库后禁用log_bin_trust_function_creators
21. mysql -uroot -p
22. set global log_bin_trust_function_creators = 0;
23. quit;
25. # 为Zabbix服务器配置数据库
26. sudo vi /etc/zabbix/zabbix_server.conf
28. # 修改以下配置：
29. DBPassword=password
31. # 为Zabbix前端配置PHP时区
32. sudo vi /etc/php-fpm.d/zabbix.conf
34. # 修改以下配置：
35. php_value[date.timezone] = Asia/Shanghai
37. # 启动Zabbix服务器和代理进程
38. sudo systemctl restart zabbix-server zabbix-agent httpd php-fpm
39. sudo systemctl enable zabbix-server zabbix-agent httpd php-fpm
41. # 配置防火墙允许Zabbix端口
42. sudo firewall-cmd --permanent --add-service=http
43. sudo firewall-cmd --permanent --add-port=10051/tcp
44. sudo firewall-cmd --reload
46. # 访问Zabbix前端
47. # http://<server_ip_or_name>/zabbix

复制代码

2. # 创建Prometheus用户
3. sudo useradd --no-create-home --shell /bin/false prometheus
5. # 创建必要的目录
6. sudo mkdir /etc/prometheus
7. sudo mkdir /var/lib/prometheus
9. # 下载Prometheus
10. cd /tmp
11. wget https://github.com/prometheus/prometheus/releases/download/v2.37.0/prometheus-2.37.0.linux-amd64.tar.gz
12. tar -xvf prometheus-2.37.0.linux-amd64.tar.gz
14. # 复制二进制文件
15. sudo cp prometheus-2.37.0.linux-amd64/prometheus /usr/local/bin/
16. sudo cp prometheus-2.37.0.linux-amd64/promtool /usr/local/bin/
18. # 复制配置文件
19. sudo cp -r prometheus-2.37.0.linux-amd64/consoles /etc/prometheus
20. sudo cp -r prometheus-2.37.0.linux-amd64/console_libraries /etc/prometheus
22. # 设置目录权限
23. sudo chown -R prometheus:prometheus /etc/prometheus
24. sudo chown -R prometheus:prometheus /var/lib/prometheus
26. # 创建Prometheus配置文件
27. sudo vi /etc/prometheus/prometheus.yml
29. # 添加以下基本配置：
30. global:
31.   scrape_interval: 15s
33. scrape_configs:
34.   - job_name: 'prometheus'
35.     scrape_interval: 5s
36.     static_configs:
37.       - targets: ['localhost:9090']
39.   - job_name: 'node_exporter'
40.     scrape_interval: 5s
41.     static_configs:
42.       - targets: ['localhost:9100']
44. # 创建systemd服务文件
45. sudo vi /etc/systemd/system/prometheus.service
47. # 添加以下内容：
48. [Unit]
49. Description=Prometheus
50. Wants=network-online.target
51. After=network-online.target
53. [Service]
54. User=prometheus
55. Group=prometheus
56. Type=simple
57. ExecStart=/usr/local/bin/prometheus \
58.     --config.file /etc/prometheus/prometheus.yml \
59.     --storage.tsdb.path /var/lib/prometheus/ \
60.     --web.console.templates=/etc/prometheus/consoles \
61.     --web.console.libraries=/etc/prometheus/console_libraries
63. [Install]
64. WantedBy=multi-user.target
66. # 启动Prometheus服务
67. sudo systemctl daemon-reload
68. sudo systemctl start prometheus
69. sudo systemctl enable prometheus
71. # 检查Prometheus状态
72. sudo systemctl status prometheus
74. # 安装Node Exporter
75. sudo useradd --no-create-home --shell /bin/false node_exporter
77. # 下载Node Exporter
78. cd /tmp
79. wget https://github.com/prometheus/node_exporter/releases/download/v1.4.0/node_exporter-1.4.0.linux-amd64.tar.gz
80. tar -xvf node_exporter-1.4.0.linux-amd64.tar.gz
82. # 复制二进制文件
83. sudo cp node_exporter-1.4.0.linux-amd64/node_exporter /usr/local/bin/
85. # 设置权限
86. sudo chown node_exporter:node_exporter /usr/local/bin/node_exporter
88. # 创建systemd服务文件
89. sudo vi /etc/systemd/system/node_exporter.service
91. # 添加以下内容：
92. [Unit]
93. Description=Node Exporter
94. Wants=network-online.target
95. After=network-online.target
97. [Service]
98. User=node_exporter
99. Group=node_exporter
100. Type=simple
101. ExecStart=/usr/local/bin/node_exporter
103. [Install]
104. WantedBy=multi-user.target
106. # 启动Node Exporter服务
107. sudo systemctl daemon-reload
108. sudo systemctl start node_exporter
109. sudo systemctl enable node_exporter
111. # 检查Node Exporter状态
112. sudo systemctl status node_exporter
114. # 配置防火墙允许Prometheus和Node Exporter端口
115. sudo firewall-cmd --permanent --add-port=9090/tcp
116. sudo firewall-cmd --permanent --add-port=9100/tcp
117. sudo firewall-cmd --reload
119. # 安装Grafana
120. sudo dnf install -y grafana
122. # 启动并启用Grafana
123. sudo systemctl start grafana-server
124. sudo systemctl enable grafana-server
126. # 检查Grafana状态
127. sudo systemctl status grafana-server
129. # 配置防火墙允许Grafana端口
130. sudo firewall-cmd --permanent --add-port=3000/tcp
131. sudo firewall-cmd --reload
133. # 访问Grafana
134. # http://<server_ip_or_name>:3000
135. # 默认用户名和密码: admin/admin

复制代码

8. 性能优化

8.1 系统性能调优

2. # 查看CPU信息
3. lscpu
5. # 查看CPU使用率
6. top
7. htop
9. # 设置CPU性能模式
10. sudo cpupower frequency-set -g performance
12. # 查看CPU频率
13. cpupower frequency-info
15. # 安装tuned并选择性能配置文件
16. sudo dnf install tuned -y
17. sudo systemctl start tuned
18. sudo systemctl enable tuned
20. # 查看可用的配置文件
21. sudo tuned-adm list
23. # 应用性能配置文件
24. sudo tuned-adm profile throughput-performance
26. # 查看当前活动的配置文件
27. sudo tuned-adm active

复制代码

2. # 查看内存使用情况
3. free -h
4. vmstat -s
6. # 查看内存详细信息
7. cat /proc/meminfo
9. # 创建交换文件（如果需要）
10. sudo fallocate -l 2G /swapfile
11. sudo chmod 600 /swapfile
12. sudo mkswap /swapfile
13. sudo swapon /swapfile
14. echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab
16. # 调整swappiness参数
17. echo 'vm.swappiness=10' | sudo tee -a /etc/sysctl.conf
18. sudo sysctl -p
20. # 清理缓存
21. sudo sync; echo 1 > /proc/sys/vm/drop_caches  # 清理页缓存
22. sudo sync; echo 2 > /proc/sys/vm/drop_caches  # 清理目录项和inode缓存
23. sudo sync; echo 3 > /proc/sys/vm/drop_caches  # 清理页缓存、目录项和inode缓存

复制代码

2. # 查看磁盘I/O统计
3. iostat -xz 1
5. # 查看磁盘使用情况
6. df -h
8. # 查看磁盘I/O调度器
9. cat /sys/block/sda/queue/scheduler
11. # 设置I/O调度器为deadline
12. echo deadline | sudo tee /sys/block/sda/queue/scheduler
14. # 永久设置I/O调度器
15. echo 'echo deadline > /sys/block/sda/queue/scheduler' | sudo tee -a /etc/rc.local
16. sudo chmod +x /etc/rc.local
18. # 查看磁盘读写速度
19. sudo hdparm -Tt /dev/sda
21. # 使用fio进行磁盘性能测试
22. sudo dnf install fio -y
24. # 顺序读写测试
25. fio --name=seqread --ioengine=libaio --direct=1 --bs=1M --size=1G --rw=read --filename=/tmp/testfile --runtime=60 --time_based=1 --group_reporting
26. fio --name=seqwrite --ioengine=libaio --direct=1 --bs=1M --size=1G --rw=write --filename=/tmp/testfile --runtime=60 --time_based=1 --group_reporting
28. # 随机读写测试
29. fio --name=randread --ioengine=libaio --direct=1 --bs=4k --size=1G --rw=randread --filename=/tmp/testfile --runtime=60 --time_based=1 --group_reporting
30. fio --name=randwrite --ioengine=libaio --direct=1 --bs=4k --size=1G --rw=randwrite --filename=/tmp/testfile --runtime=60 --time_based=1 --group_reporting

复制代码

8.2 应用性能优化

2. # 编辑Nginx主配置文件
3. sudo vi /etc/nginx/nginx.conf
5. # 优化worker进程和连接数
6. worker_processes auto;  # 设置为auto会自动检测CPU核心数
7. worker_rlimit_nofile 65535;  # 增加文件描述符限制
9. events {
10.     worker_connections 65535;  # 每个worker进程的最大连接数
11.     multi_accept on;  # 允许一个worker进程同时接受多个新连接
12.     use epoll;  # 使用高效的epoll事件模型
13. }
15. # 优化HTTP设置
16. http {
17.     sendfile on;  # 使用sendfile系统调用来传输文件
18.     tcp_nopush on;  # 优化sendfile
19.     tcp_nodelay on;  # 禁用Nagle算法，减少延迟
20.    
21.     keepalive_timeout 30;  # 保持连接的超时时间
22.     keepalive_requests 1000;  # 单个连接可以处理的最大请求数
23.    
24.     client_body_timeout 10;  # 客户端请求体读取超时时间
25.     client_header_timeout 10;  # 客户端请求头读取超时时间
26.     send_timeout 2;  # 发送响应的超时时间
27.    
28.     client_max_body_size 20m;  # 客户端请求体的最大大小
29.     client_body_buffer_size 128k;  # 客户端请求体的缓冲区大小
30.    
31.     # 开启Gzip压缩
32.     gzip on;
33.     gzip_vary on;
34.     gzip_min_length 1024;
35.     gzip_proxied expired no-cache no-store private auth;
36.     gzip_types text/plain text/css text/xml text/javascript application/javascript application/xml+rss application/json;
37.    
38.     # 配置缓存
39.     open_file_cache max=200000 inactive=20s;
40.     open_file_cache_valid 30s;
41.     open_file_cache_min_uses 2;
42.     open_file_cache_errors on;
43. }
45. # 测试Nginx配置
46. sudo nginx -t
48. # 重新加载Nginx配置
49. sudo systemctl reload nginx

复制代码

2. # 编辑MySQL/MariaDB配置文件
3. sudo vi /etc/my.cnf.d/mariadb-server.cnf
5. # 添加或修改以下配置：
6. [mysqld]
7. # 基本设置
8. character-set-server = utf8mb4
9. collation-server = utf8mb4_unicode_ci
10. default-storage-engine = InnoDB
12. # 内存设置
13. innodb_buffer_pool_size = 4G  # 设置为系统内存的50-70%
14. innodb_buffer_pool_instances = 4  # 设置为CPU核心数或更少
15. innodb_log_file_size = 512M
16. innodb_log_buffer_size = 64M
17. query_cache_type = 0  # 在MySQL 8.0和MariaDB 10.4+中已移除查询缓存
18. query_cache_size = 0  # 在MySQL 8.0和MariaDB 10.4+中已移除查询缓存
20. # 连接设置
21. max_connections = 500
22. max_connect_errors = 100000
23. thread_cache_size = 100
24. thread_stack = 192K
26. # InnoDB设置
27. innodb_file_per_table = 1
28. innodb_flush_log_at_trx_commit = 2  # 在性能和数据安全之间取得平衡
29. innodb_flush_method = O_DIRECT
30. innodb_read_io_threads = 8
31. innodb_write_io_threads = 8
32. innodb_thread_concurrency = 0
34. # 日志设置
35. slow_query_log = 1
36. slow_query_log_file = /var/log/mariadb/slow.log
37. long_query_time = 2
38. log_queries_not_using_indexes = 1
40. # 其他设置
41. tmp_table_size = 64M
42. max_heap_table_size = 64M
43. sort_buffer_size = 2M
44. read_buffer_size = 1M
45. read_rnd_buffer_size = 2M
46. join_buffer_size = 2M
47. table_open_cache = 2000
48. table_definition_cache = 2000
50. # 重启MySQL/MariaDB服务
51. sudo systemctl restart mariadb
53. # 检查MySQL/MariaDB状态
54. sudo systemctl status mariadb
56. # 使用mysqltuner进行性能分析
57. # 安装mysqltuner
58. wget https://raw.githubusercontent.com/major/MySQLTuner-perl/master/mysqltuner.pl
59. chmod +x mysqltuner.pl
61. # 运行mysqltuner
62. ./mysqltuner.pl

复制代码

2. # 编辑PHP配置文件
3. sudo vi /etc/php.ini
5. # 优化以下配置：
6. memory_limit = 256M
7. max_execution_time = 30
8. max_input_time = 60
9. upload_max_filesize = 20M
10. post_max_size = 20M
11. max_input_vars = 3000
13. # 编辑PHP-FPM配置文件
14. sudo vi /etc/php-fpm.d/www.conf
16. # 优化以下配置：
17. pm = dynamic
18. pm.max_children = 100
19. pm.start_servers = 20
20. pm.min_spare_servers = 10
21. pm.max_spare_servers = 30
22. pm.max_requests = 1000
23. request_terminate_timeout = 30
25. # 编辑OPcache配置
26. sudo vi /etc/php.d/10-opcache.ini
28. # 优化以下配置：
29. opcache.enable=1
30. opcache.memory_consumption=128
31. opcache.interned_strings_buffer=8
32. opcache.max_accelerated_files=4000
33. opcache.revalidate_freq=2
34. opcache.fast_shutdown=1
36. # 重启PHP-FPM服务
37. sudo systemctl restart php-fpm
39. # 检查PHP-FPM状态
40. sudo systemctl status php-fpm

复制代码

9. 故障排除与常见问题解决

9.1 系统启动问题

2. # 查看系统日志
3. sudo journalctl -xb
5. # 检查磁盘空间
6. df -h
8. # 检查文件系统
9. sudo fsck -f /dev/sda1
11. # 检查引导加载程序
12. sudo grub2-mkconfig -o /boot/grub2/grub.cfg
14. # 修复引导加载程序
15. sudo grub2-install /dev/sda
17. # 检查系统服务状态
18. sudo systemctl list-units --type=service --state=failed
20. # 重启系统
21. sudo reboot

复制代码

2. # 查看服务状态
3. sudo systemctl status service_name
5. # 查看服务日志
6. sudo journalctl -u service_name
8. # 检查服务配置文件
9. sudo vi /etc/systemd/system/service_name.service
11. # 重新加载systemd配置
12. sudo systemctl daemon-reload
14. # 重启服务
15. sudo systemctl restart service_name
17. # 检查服务依赖
18. sudo systemctl list-dependencies service_name

复制代码

9.2 网络问题

2. # 检查网络接口
3. ip addr show
5. # 检查网络连接
6. ping -c 4 8.8.8.8
8. # 检查DNS解析
9. nslookup example.com
11. # 检查路由表
12. ip route show
14. # 检查网络服务状态
15. sudo systemctl status NetworkManager
17. # 重启网络服务
18. sudo systemctl restart NetworkManager
20. # 检查防火墙状态
21. sudo firewall-cmd --state
23. # 检查SELinux状态
24. getenforce
26. # 检查网络配置文件
27. sudo vi /etc/sysconfig/network-scripts/ifcfg-eth0

复制代码

2. # 检查端口是否监听
3. sudo ss -tulnp | grep :port_number
5. # 检查防火墙规则
6. sudo firewall-cmd --list-all
8. # 检查SELinux策略
9. sudo semanage port -l | grep port_number
11. # 添加防火墙规则
12. sudo firewall-cmd --permanent --add-port=port_number/tcp
13. sudo firewall-cmd --reload
15. # 添加SELinux端口策略
16. sudo semanage port -a -t http_port_t -p tcp port_number
18. # 检查服务状态
19. sudo systemctl status service_name
21. # 检查服务配置
22. sudo vi /etc/service_name/service_name.conf

复制代码

9.3 性能问题

2. # 查看系统负载
3. uptime
4. top
5. htop
7. # 查看CPU使用率
8. mpstat -P ALL 1
10. # 查看内存使用情况
11. free -h
12. vmstat 1
14. # 查看磁盘I/O
15. iostat -xz 1
17. # 查看网络连接
18. ss -tulnp
20. # 查看进程资源使用情况
21. ps aux --sort=-%cpu | head
22. ps aux --sort=-%mem | head
24. # 查看系统日志
25. sudo journalctl -f
27. # 查看内核日志
28. dmesg -T | tail
30. # 查看系统资源限制
31. ulimit -a

复制代码

2. # 查看磁盘使用情况
3. df -h
5. # 查看目录大小
6. du -sh /path/to/directory
8. # 查看大文件
9. find /path/to/search -type f -size +100M -exec ls -lh {} \;
11. # 清理软件包缓存
12. sudo dnf clean all
14. # 清理日志文件
15. sudo journalctl --vacuum-size=100M
17. # 清理临时文件
18. sudo rm -rf /tmp/*
20. # 查找并删除旧的日志文件
21. sudo find /var/log -type f -name "*.log.*" -delete
23. # 查找并删除核心转储文件
24. sudo find /var/crash -type f -delete
26. # 查找并删除旧的备份文件
27. sudo find /backup -type f -mtime +30 -delete

复制代码

9.4 安全问题

2. # 检查异常登录
3. sudo lastb
4. sudo last
6. # 检查异常进程
7. ps aux
9. # 检查网络连接
10. sudo ss -tulnp
12. # 检查计划任务
13. crontab -l
14. sudo cat /etc/crontab
15. sudo ls /etc/cron.d/
17. # 检查系统服务
18. sudo systemctl list-units --type=service
20. # 检查用户账户
21. sudo cat /etc/passwd
22. sudo cat /etc/shadow
24. # 检查sudo权限
25. sudo cat /etc/sudoers
27. # 检查SSH配置
28. sudo cat /etc/ssh/sshd_config
30. # 检查防火墙规则
31. sudo firewall-cmd --list-all
33. # 检查SELinux状态
34. getenforce
36. # 安装并运行安全扫描工具
37. sudo dnf install rkhunter -y
38. sudo rkhunter --checkall
40. # 安装并运行恶意软件扫描工具
41. sudo dnf install clamav -y
42. sudo freshclam
43. sudo clamscan -r --infected /home

复制代码

2. # 检查网络连接
3. sudo ss -tulnp
5. # 检查网络流量
6. sudo iftop -nNP
8. # 检查系统负载
9. uptime
10. top
12. # 检查Web服务器访问日志
13. sudo tail -f /var/log/nginx/access.log
14. sudo tail -f /var/log/httpd/access_log
16. # 使用fail2ban阻止恶意IP
17. sudo fail2ban-client status sshd
18. sudo fail2ban-client set sshd banip IP_ADDRESS
20. # 使用iptables阻止恶意IP
21. sudo iptables -A INPUT -s IP_ADDRESS -j DROP
23. # 使用firewalld阻止恶意IP
24. sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="IP_ADDRESS" drop'
25. sudo firewall-cmd --reload
27. # 配置连接限制
28. sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 100 -j DROP
30. # 配置速率限制
31. sudo iptables -A INPUT -p tcp --dport 80 -m limit --limit 50/minute --limit-burst 100 -j ACCEPT
32. sudo iptables -A INPUT -p tcp --dport 80 -j DROP
34. # 使用DDoS防护工具
35. sudo dnf install fail2ban -y
36. sudo systemctl start fail2ban
37. sudo systemctl enable fail2ban

复制代码

10. 高级主题

10.1 集群部署

2. # 安装Keepalived
3. sudo dnf install keepalived -y
5. # 在主节点上配置Keepalived
6. sudo vi /etc/keepalived/keepalived.conf
8. # 添加以下配置：
9. vrrp_script chk_nginx {
10.     script "killall -0 nginx"
11.     interval 2
12.     weight 2
13. }
15. vrrp_instance VI_1 {
16.     state MASTER
17.     interface eth0
18.     virtual_router_id 51
19.     priority 101
20.     advert_int 1
21.     authentication {
22.         auth_type PASS
23.         auth_pass your_password
24.     }
25.     virtual_ipaddress {
26.         192.168.1.100/24 dev eth0
27.     }
28.     track_script {
29.         chk_nginx
30.     }
31. }
33. # 在备用节点上配置Keepalived
34. sudo vi /etc/keepalived/keepalived.conf
36. # 添加以下配置：
37. vrrp_script chk_nginx {
38.     script "killall -0 nginx"
39.     interval 2
40.     weight 2
41. }
43. vrrp_instance VI_1 {
44.     state BACKUP
45.     interface eth0
46.     virtual_router_id 51
47.     priority 100
48.     advert_int 1
49.     authentication {
50.         auth_type PASS
51.         auth_pass your_password
52.     }
53.     virtual_ipaddress {
54.         192.168.1.100/24 dev eth0
55.     }
56.     track_script {
57.         chk_nginx
58.     }
59. }
61. # 启动并启用Keepalived
62. sudo systemctl start keepalived
63. sudo systemctl enable keepalived
65. # 检查Keepalived状态
66. sudo systemctl status keepalived
68. # 检查虚拟IP
69. ip addr show
71. # 配置防火墙允许VRRP协议
72. sudo firewall-cmd --permanent --add-rich-rule='rule protocol value="vrrp" accept'
73. sudo firewall-cmd --reload

复制代码

2. # 安装HAProxy
3. sudo dnf install haproxy -y
5. # 配置HAProxy
6. sudo vi /etc/haproxy/haproxy.cfg
8. # 添加以下配置：
9. global
10.     log         127.0.0.1 local2
11.     chroot      /var/lib/haproxy
12.     pidfile     /var/run/haproxy.pid
13.     maxconn     4000
14.     user        haproxy
15.     group       haproxy
16.     daemon
18.     stats socket /var/lib/haproxy/stats
20. defaults
21.     mode                    http
22.     log                     global
23.     option                  httplog
24.     option                  dontlognull
25.     option http-server-close
26.     option forwardfor       except 127.0.0.0/8
27.     option                  redispatch
28.     retries                 3
29.     timeout http-request    10s
30.     timeout queue           1m
31.     timeout connect         10s
32.     timeout client          1m
33.     timeout server          1m
34.     timeout http-keep-alive 10s
35.     timeout check           10s
36.     maxconn                 3000
38. frontend main
39.     bind *:80
40.     acl url_static       path_beg       -i /static /images /javascript /stylesheets
41.     acl url_static       path_end       -i .jpg .gif .png .css .js
43.     use_backend static          if url_static
44.     default_backend             app
46. backend static
47.     balance     roundrobin
48.     server      static 127.0.0.1:4331 check
50. backend app
51.     balance     roundrobin
52.     server  app1 192.168.1.11:80 check
53.     server  app2 192.168.1.12:80 check
55. listen stats
56.     bind *:8404
57.     stats enable
58.     stats uri /stats
59.     stats refresh 30s
60.     stats auth admin:your_password
61.     stats hide-version
63. # 启动并启用HAProxy
64. sudo systemctl start haproxy
65. sudo systemctl enable haproxy
67. # 检查HAProxy状态
68. sudo systemctl status haproxy
70. # 配置防火墙允许HAProxy端口
71. sudo firewall-cmd --permanent --add-port=80/tcp
72. sudo firewall-cmd --permanent --add-port=8404/tcp
73. sudo firewall-cmd --reload
75. # 访问HAProxy统计页面
76. # http://<haproxy_ip>:8404/stats

复制代码

10.2 容器化部署

2. # 创建项目目录
3. mkdir myapp && cd myapp
5. # 创建Dockerfile
6. vi Dockerfile
8. # 添加以下内容：
9. FROM rockylinux:9
10. RUN dnf install -y nginx
11. COPY index.html /usr/share/nginx/html/
12. EXPOSE 80
13. CMD ["nginx", "-g", "daemon off;"]
15. # 创建index.html
16. vi index.html
18. # 添加以下内容：
19. <!DOCTYPE html>
20. <html>
21. <head>
22.     <title>Welcome to My App!</title>
23. </head>
24. <body>
25.     <h1>Hello from Docker!</h1>
26. </body>
27. </html>
29. # 创建docker-compose.yml
30. vi docker-compose.yml
32. # 添加以下内容：
33. version: '3'
34. services:
35.   web:
36.     build: .
37.     ports:
38.       - "80:80"
39.     volumes:
40.       - ./nginx.conf:/etc/nginx/nginx.conf:ro
41.     depends_on:
42.       - db
43.     networks:
44.       - app-network
46.   db:
47.     image: mariadb:10.5
48.     environment:
49.       MYSQL_ROOT_PASSWORD: example
50.       MYSQL_DATABASE: myapp
51.       MYSQL_USER: myapp
52.       MYSQL_PASSWORD: myapp
53.     volumes:
54.       - db-data:/var/lib/mysql
55.     networks:
56.       - app-network
58. volumes:
59.   db-data:
61. networks:
62.   app-network:
63.     driver: bridge
65. # 创建nginx.conf
66. vi nginx.conf
68. # 添加以下内容：
69. events {
70.     worker_connections 1024;
71. }
73. http {
74.     server {
75.         listen 80;
76.         server_name localhost;
77.         location / {
78.             root /usr/share/nginx/html;
79.             index index.html;
80.         }
81.     }
82. }
84. # 启动应用
85. docker-compose up -d
87. # 查看容器状态
88. docker-compose ps
90. # 查看应用日志
91. docker-compose logs
93. # 停止应用
94. docker-compose down
96. # 清理资源
97. docker-compose down -v

复制代码

2. # 安装Kubernetes工具
3. sudo dnf install -y kubectl
5. # 安装Minikube（用于本地测试）
6. curl -LO https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64
7. sudo install minikube-linux-amd64 /usr/local/bin/minikube
9. # 启动Minikube集群
10. minikube start --driver=docker
12. # 检查集群状态
13. kubectl cluster-info
14. kubectl get nodes
16. # 创建部署配置文件
17. vi deployment.yaml
19. # 添加以下内容：
20. apiVersion: apps/v1
21. kind: Deployment
22. metadata:
23.   name: myapp
24. spec:
25.   replicas: 3
26.   selector:
27.     matchLabels:
28.       app: myapp
29.   template:
30.     metadata:
31.       labels:
32.         app: myapp
33.     spec:
34.       containers:
35.       - name: myapp
36.         image: rockylinux:9
37.         command: ["/bin/sh", "-c", "dnf install -y nginx && echo 'Hello from Kubernetes!' > /usr/share/nginx/html/index.html && nginx -g 'daemon off;'"]
38.         ports:
39.         - containerPort: 80
41. # 创建服务配置文件
42. vi service.yaml
44. # 添加以下内容：
45. apiVersion: v1
46. kind: Service
47. metadata:
48.   name: myapp-service
49. spec:
50.   selector:
51.     app: myapp
52.   ports:
53.     - protocol: TCP
54.       port: 80
55.       targetPort: 80
56.   type: LoadBalancer
58. # 部署应用
59. kubectl apply -f deployment.yaml
60. kubectl apply -f service.yaml
62. # 查看部署状态
63. kubectl get deployments
64. kubectl get pods
65. kubectl get services
67. # 访问应用
68. minikube service myapp-service
70. # 扩展应用
71. kubectl scale deployment myapp --replicas=5
73. # 查看扩展后的状态
74. kubectl get deployments
75. kubectl get pods
77. # 清理资源
78. kubectl delete service myapp-service
79. kubectl delete deployment myapp

复制代码

10.3 自动化部署

2. # 安装Ansible
3. sudo dnf install ansible -y
5. # 创建Ansible配置文件
6. mkdir -p ~/ansible && cd ~/ansible
7. vi ansible.cfg
9. # 添加以下内容：
10. [defaults]
11. inventory = inventory
12. host_key_checking = False
13. remote_user = adminuser
14. ask_pass = False
15. private_key_file = ~/.ssh/rocky-cloud-key
17. # 创建主机清单文件
18. vi inventory
20. # 添加以下内容：
21. [webservers]
22. web1 ansible_host=192.168.1.11
23. web2 ansible_host=192.168.1.12
25. [dbservers]
26. db1 ansible_host=192.168.1.21
28. [all:vars]
29. ansible_python_interpreter=/usr/bin/python3
31. # 创建Playbook文件
32. vi deploy_webserver.yml
34. # 添加以下内容：
35. ---
36. - name: Deploy web server
37.   hosts: webservers
38.   become: yes
39.   
40.   tasks:
41.     - name: Install EPEL repository
42.       dnf:
43.         name: epel-release
44.         state: present
45.    
46.     - name: Install nginx
47.       dnf:
48.         name: nginx
49.         state: present
50.    
51.     - name: Start and enable nginx
52.       systemd:
53.         name: nginx
54.         state: started
55.         enabled: yes
56.    
57.     - name: Create website directory
58.       file:
59.         path: /var/www/example.com/html
60.         state: directory
61.         owner: nginx
62.         group: nginx
63.         mode: '0755'
64.    
65.     - name: Copy website content
66.       copy:
67.         content: |
68.           <!DOCTYPE html>
69.           <html>
70.           <head>
71.               <title>Welcome to Example.com!</title>
72.           </head>
73.           <body>
74.               <h1>Success! The Nginx server is working!</h1>
75.           </body>
76.           </html>
77.         dest: /var/www/example.com/html/index.html
78.         owner: nginx
79.         group: nginx
80.         mode: '0644'
81.    
82.     - name: Copy nginx configuration
83.       copy:
84.         content: |
85.           server {
86.               listen 80;
87.               server_name example.com www.example.com;
88.               root /var/www/example.com/html;
89.               index index.html;
90.               
91.               location / {
92.                   try_files $uri $uri/ =404;
93.               }
94.               
95.               error_page 404 /404.html;
96.               error_page 500 502 503 504 /50x.html;
97.               location = /50x.html {
98.                   root /usr/share/nginx/html;
99.               }
100.           }
101.         dest: /etc/nginx/conf.d/example.com.conf
102.         owner: root
103.         group: root
104.         mode: '0644'
105.         validate: /usr/sbin/nginx -t -c %s
106.    
107.     - name: Restart nginx
108.       systemd:
109.         name: nginx
110.         state: restarted
111.    
112.     - name: Open firewall port
113.       firewalld:
114.         service: http
115.         permanent: yes
116.         state: enabled
117.         immediate: yes
119. # 运行Playbook
120. ansible-playbook deploy_webserver.yml
122. # 检查执行结果
123. ansible webservers -m uri -a "url=http://localhost"

复制代码

2. # 安装Java
3. sudo dnf install java-11-openjdk -y
5. # 添加Jenkins仓库
6. sudo wget -O /etc/yum.repos.d/jenkins.repo https://pkg.jenkins.io/redhat-stable/jenkins.repo
7. sudo rpm --import https://pkg.jenkins.io/redhat-stable/jenkins.io.key
9. # 安装Jenkins
10. sudo dnf install jenkins -y
12. # 启动并启用Jenkins
13. sudo systemctl start jenkins
14. sudo systemctl enable jenkins
16. # 检查Jenkins状态
17. sudo systemctl status jenkins
19. # 配置防火墙允许Jenkins端口
20. sudo firewall-cmd --permanent --add-port=8080/tcp
21. sudo firewall-cmd --reload
23. # 获取初始管理员密码
24. sudo cat /var/lib/jenkins/secrets/initialAdminPassword
26. # 访问Jenkins
27. # http://<server_ip>:8080
29. # 安装必要的插件
30. # 在Jenkins Web界面中，安装以下插件：
31. # - Git Plugin
32. # - Pipeline Plugin
33. # - Docker Plugin
34. # - Ansible Plugin
36. # 创建Jenkinsfile
37. vi Jenkinsfile
39. # 添加以下内容：
40. pipeline {
41.     agent any
42.    
43.     stages {
44.         stage('Checkout') {
45.             steps {
46.                 git 'https://github.com/yourusername/yourrepository.git'
47.             }
48.         }
49.         
50.         stage('Build') {
51.             steps {
52.                 sh 'docker build -t yourapp:latest .'
53.             }
54.         }
55.         
56.         stage('Test') {
57.             steps {
58.                 sh 'docker run --rm yourapp:latest /bin/sh -c "npm test"'
59.             }
60.         }
61.         
62.         stage('Deploy') {
63.             steps {
64.                 ansiblePlaybook(
65.                     playbook: 'deploy.yml',
66.                     inventory: 'inventory',
67.                     credentialsId: 'ansible-ssh-key'
68.                 )
69.             }
70.         }
71.     }
72.    
73.     post {
74.         always {
75.             echo 'Pipeline completed'
76.             cleanWs()
77.         }
78.     }
79. }
81. # 创建Ansible部署文件
82. vi deploy.yml
84. # 添加以下内容：
85. ---
86. - name: Deploy application
87.   hosts: webservers
88.   become: yes
89.   
90.   tasks:
91.     - name: Pull latest Docker image
92.       docker_image:
93.         name: yourapp
94.         tag: latest
95.         source: pull
96.    
97.     - name: Stop existing container
98.       docker_container:
99.         name: yourapp
100.         state: stopped
101.       ignore_errors: yes
102.    
103.     - name: Remove existing container
104.       docker_container:
105.         name: yourapp
106.         state: absent
107.       ignore_errors: yes
108.    
109.     - name: Start new container
110.       docker_container:
111.         name: yourapp
112.         image: yourapp:latest
113.         state: started
114.         ports:
115.           - "80:80"
116.         restart_policy: always

复制代码

11. 总结与最佳实践

11.1 Rocky Linux云服务部署最佳实践

1. 系统安全始终保持系统更新：sudo dnf update -y配置防火墙：只开放必要的端口启用SELinux：sudo setenforce 1禁用root远程登录：PermitRootLogin no使用SSH密钥认证：PasswordAuthentication no安装fail2ban防止暴力破解
2. 始终保持系统更新：sudo dnf update -y
3. 配置防火墙：只开放必要的端口
4. 启用SELinux：sudo setenforce 1
5. 禁用root远程登录：PermitRootLogin no
6. 使用SSH密钥认证：PasswordAuthentication no
7. 安装fail2ban防止暴力破解
8. 系统性能根据服务器用途调整内核参数优化文件系统：使用noatime选项配置适当的资源限制使用性能分析工具监控系统状态定期清理日志和临时文件
9. 根据服务器用途调整内核参数
10. 优化文件系统：使用noatime选项
11. 配置适当的资源限制
12. 使用性能分析工具监控系统状态
13. 定期清理日志和临时文件
14. 服务配置使用最小化安装原则只安装必要的服务和软件包为每个服务创建专用用户配置适当的资源限制定期备份配置文件
15. 使用最小化安装原则
16. 只安装必要的服务和软件包
17. 为每个服务创建专用用户
18. 配置适当的资源限制
19. 定期备份配置文件
20. 监控与维护部署监控系统（如Zabbix、Prometheus）配置日志轮转设置告警机制定期检查系统健康状态制定灾难恢复计划
21. 部署监控系统（如Zabbix、Prometheus）
22. 配置日志轮转
23. 设置告警机制
24. 定期检查系统健康状态
25. 制定灾难恢复计划
26. 高可用与扩展使用负载均衡器分发流量配置高可用集群实施自动扩展策略使用容器化技术简化部署实施CI/CD流程自动化部署
27. 使用负载均衡器分发流量
28. 配置高可用集群
29. 实施自动扩展策略
30. 使用容器化技术简化部署
31. 实施CI/CD流程自动化部署

系统安全

• 始终保持系统更新：sudo dnf update -y
• 配置防火墙：只开放必要的端口
• 启用SELinux：sudo setenforce 1
• 禁用root远程登录：PermitRootLogin no
• 使用SSH密钥认证：PasswordAuthentication no
• 安装fail2ban防止暴力破解

系统性能

• 根据服务器用途调整内核参数
• 优化文件系统：使用noatime选项
• 配置适当的资源限制
• 使用性能分析工具监控系统状态
• 定期清理日志和临时文件

服务配置

• 使用最小化安装原则
• 只安装必要的服务和软件包
• 为每个服务创建专用用户
• 配置适当的资源限制
• 定期备份配置文件

监控与维护

• 部署监控系统（如Zabbix、Prometheus）
• 配置日志轮转
• 设置告警机制
• 定期检查系统健康状态
• 制定灾难恢复计划

高可用与扩展

• 使用负载均衡器分发流量
• 配置高可用集群
• 实施自动扩展策略
• 使用容器化技术简化部署
• 实施CI/CD流程自动化部署

11.2 常见问题解决方案

1. 系统更新失败“`bash清理DNF缓存sudo dnf clean all

系统更新失败“`bash

sudo dnf clean all

# 重建RPM数据库
   sudo rpm –rebuilddb

# 尝试再次更新
   sudo dnf update -y

2. 2. **磁盘空间不足**
3.    ```bash
4.    # 查找大文件
5.    sudo find / -type f -size +100M -exec ls -lh {} \;
6.    
7.    # 清理软件包缓存
8.    sudo dnf clean all
9.    
10.    # 清理日志文件
11.    sudo journalctl --vacuum-size=100M

复制代码

1. 服务无法启动“`bash检查服务状态sudo systemctl status service_name

服务无法启动“`bash

sudo systemctl status service_name

# 查看服务日志
   sudo journalctl -u service_name

# 检查配置文件语法
   sudo service_name configtest

2. 4. **网络连接问题**
3.    ```bash
4.    # 检查网络接口
5.    ip addr show
6.    
7.    # 检查路由表
8.    ip route show
9.    
10.    # 检查DNS解析
11.    nslookup example.com
12.    
13.    # 检查防火墙规则
14.    sudo firewall-cmd --list-all

复制代码

1. 性能问题“`bash查看系统负载uptime

性能问题“`bash

uptime

# 查看CPU使用率
   top

# 查看内存使用情况
   free -h

# 查看磁盘I/O
   iostat -xz 1
   “`

11.3 未来发展趋势

1. 云原生技术容器化部署将成为主流Kubernetes将成为容器编排的标准微服务架构将更加普及无服务器计算（Serverless）将得到更广泛应用
2. 容器化部署将成为主流
3. Kubernetes将成为容器编排的标准
4. 微服务架构将更加普及
5. 无服务器计算（Serverless）将得到更广泛应用
6. 自动化与智能化AI驱动的运维自动化智能故障预测与自愈系统自动化安全防护智能资源调度与优化
7. AI驱动的运维自动化
8. 智能故障预测与自愈系统
9. 自动化安全防护
10. 智能资源调度与优化
11. 安全与合规零信任安全模型自动化合规检查增强的数据保护机制更严格的访问控制
12. 零信任安全模型
13. 自动化合规检查
14. 增强的数据保护机制
15. 更严格的访问控制
16. 边缘计算分布式云架构边缘节点部署低延迟应用优化边缘-云协同计算
17. 分布式云架构
18. 边缘节点部署
19. 低延迟应用优化
20. 边缘-云协同计算

云原生技术

• 容器化部署将成为主流
• Kubernetes将成为容器编排的标准
• 微服务架构将更加普及
• 无服务器计算（Serverless）将得到更广泛应用

自动化与智能化

• AI驱动的运维自动化
• 智能故障预测与自愈系统
• 自动化安全防护
• 智能资源调度与优化

安全与合规

• 零信任安全模型
• 自动化合规检查
• 增强的数据保护机制
• 更严格的访问控制

边缘计算

• 分布式云架构
• 边缘节点部署
• 低延迟应用优化
• 边缘-云协同计算

通过本文的详细介绍，您应该已经掌握了Rocky Linux云服务搭建的完整流程与实用技巧。从基础知识到高级主题，从系统安装到性能优化，从单机部署到集群架构，我们全面覆盖了Rocky Linux在云端部署的各个方面。希望这些内容能够帮助您在实际应用中解决问题，提升系统稳定性与安全性，为企业级应用提供可靠的基础设施支持。