东方瑞通2000年开始提供红帽Linux产品技术培训,是国外最早从事红帽Linux技术的培训中心之一。每年选择东方瑞通出席红帽培训的Linux学员高达1000人,至今已为社会输出大量的RHCE认证工程师。
Linux在企业数据中心早已兴起多年。LAMP服务、Web服务器、代理服务器、防火墙和负载平衡器,只是Linux为基本操作系统提供的几个用例。在过去六年,随着易用性的增强和文档的建立,许多Linux发行版使用量显著降低。在下降阶段,我们还将虚拟化技术引入数据中心。与此同时,在运行Linux虚拟机时要留心一些注意事项。
逻辑卷管理
近来许多Linux的发行版都包含逻辑卷管理(LVM)这一技术,由于它属于c盘和分区管理,容许管理员执行大量的任务。一些分段特点——扩展或跨多个c盘分段数据——在虚拟化的世界里可能不太普遍,用户一般是将数据储存在同一储存区域网路或数据储存区。不仅这种,LVM还提供其他有趣的功能。通过启用LVM,管理员可以扩充网路文件系统,在工作中扩充不同的分区和文件系统,同时保持文件系统在线和可访问。按照严格的合规要求,LVM容许我们在没有调用vSphere所带功能的情况下执行基于卷的快照用于备份和恢复。
分区选项
默认安装的Linux一般提示用户仅仅使用一个分区的所有文件。在个别情况下这样做没错,但当你试着调整和改善虚拟机安全性和性能时,每位文件有单独的分区如/tmp、/var、/home、/usr,这样做更有意义——特别是假如你想要每位分区有不同的安装选项。通过借助/etc/fstab文件,可以在相应的行指定适用于不同分区的安装选项,如下所示:
UUID=0aef28b9-3d11-4ab4-a0d4-d53d7b4d3aa4/tmpext4defaults,noexec12
比如Web服务器,一个最常见的用例为Linux虚拟机,我们很快都会发觉一些“默认”安装选项最终破坏安全以及绩效计划。
Noatime/atime/relatime:这种安装选项决定怎样处理包含在分区文件上的时间戳。在旧的Linux发行版中,默认是“一次”,这意味着每读写一次,操作系统会为文件元数据写一个时间戳——是的,仅仅读调用次数。仍然使用对外提供文件的Web服务器,你可以想像这个过程的花销。通过指定储存Web服务器数据分区上的“noatime”,你可以不更新访问时间,减少服务器的花销。新发行版默认选项是“relatime”,它的功能很强悍,假如更改时间更新,只更新访问时间。
Noexec/exec:在给定的分区禁用或启用二补码文件执行。对于Web服务器的事例而言,用“noexec”安装/tmp分区的意义重大。事实上,许多硬化手册建议使用这个选项来提升安全性。
用户修改访问时间参数时必须慎重。一些应用程序,例如短信相关的功能,须要一个完整的“一次”安装选项。在Web服务器的事例中,只要安全指导方针容许它访问,可以用“noatime”安装Web服务器数据。就noexec而言,明智地使用这个选项,好多手动安装程序和安装包就解压到/tmp并从那里开始执行。它很容易打开和关掉,但我起码可以为/tmp添加noexec。
VMXNET3和PVSCSI
很长一段时间,你们都推荐在虚拟机中借助VMXNET3网路适配器和超虚拟化c盘适配器。在基于Windows系统的虚拟机,我们可以仅仅指定那些还有借助VMware工具手动安装的驱动。借助这个硬件,Linux带来了一些挑战。首先,新版的Linux发行版一般有自己的VMXNET3适配器和驱动程序,虽然安装了VMware工具,也将它们作为默认驱动程序。
旧的Linux发行版可能包含一个过时的VMXNET3驱动版本,可能不会为你提供包含在VMware工具版本的完整特点集。VMware的KB2020567概述怎样在VMXNET驱动启用个别特点。假如你想在VMware工具安装VMXNET3驱动,可以在VMware工具安装时指定以下选项:
./vmware-install.pl–clobber-kernel-modules=vmxnet3
低成本的CPU想要获得一些额外的吞吐量,超虚拟化SCSI适配器是一个不错的形式。作出这个选择之前一定要检测所支持的操作系统列表,以确保超虚拟化SCSI适配器支持内核或分布。
显存管理
Linux操作系统不断将储存页面从数学显存页联通到本地交换分区,这是由设计决定的。事实上,VMware借助显存管理功能在做同样的事。并且Linux显存管理的行为有点不同,虽然化学显存——目前虚拟显存可用物理服务器运行多个linux虚拟机,也会联通显存页面。为了降低Linux虚拟机内部交换活动,我们可以调整一个“swapiness”值。更高的值表示更多的运动物理服务器运行多个linux虚拟机,而较低的值表示显存不会联通。要调整这个值,只需在/etc/sysctl.conf添加“Vm.swappiness=##”,重启后将“##”替换为你想要的值。
I/O调度器
ESXi在管理显存方面作用很大小型linux系统,当它属于I/O调度器并写入c盘时,它又呈现另一种状态。据悉,Linux操作系统内部重复一些这方面的功能。2.6的内核,大多数发行版早已借助CompletelyFairQueuing作为默认的I/O调度器。其他可用的是NOOP,Anticipatory和Deadline。VMware只解释了怎样改变这个值,还有你为何想要修改,调度两次I/O是没有意义的。简而言之,通过附加机器转换到grub内核条目,使用Linux内核的默认I/O调度器可以进行切换。
删掉未使用的硬件并禁用毋须要的服务
在过去的一年里,你有多少次在虚拟机中使用虚拟软驱和内部的笔记本音箱呢?假如你不准备使用这种设备,就把将它们拉入黑名单。删掉软驱的命令如下:
echo"blacklistfloppy"|tee/etc/modprobe.d/blacklist-floppy.conf
rmmodfloppy
update-initramfs-u
也没有必要苦恼未使用的硬件。假如你还在使用,不妨禁用任何虚拟控制台。这可以在/etc/inittab中通过如下操作实现:
想了解更多Linux使用方法,关注我们陌陌公众号easthome_1998或加ruitong1998陌陌好友,每晚享受免费干货技术知识文章,原厂授权老师IT技术解决方案视频,最新培训让利,IT圈内实时动态新闻等信息,把握第一手IT资讯linux是什么,走在IT前沿。