标准化是大规模环境下高效运维和高质量运维的关键核心

主机标准化

主机命名标准

方式1: 通过主机名能看出这个主机的核心业务, 少量主机推荐
方式2: 命名与业务解耦, 大量设备时推荐

1. FQDN 方式, 其实不太推荐
2. 静态命名:
   • 少量主机: 按功能分, db1 web2 cache3
   • 中量主机:
     环境区分: dev-db1, pro-db2
     项目区分: abc-web1
     区域划分: bj-web1
   • 全功能命名:
     省份 + 机房名 + 机柜号 + 编号+基础功能+序号
     gd-a1-f3-04-db-01
3. 与业务解耦
   • 按内网 ip 地址命名; ser-192-168-10-100
   • 区域+ip命名: bj-192-168-10-100, 推荐
   • 规格+ip命名: 不推荐, 因为规格可能会动态改变

时间标准化

1. 少量主机直连外部ntp源
2. IDC设备较多时应该有ntp内部源
3. 纯国内业务, 可以统一用 UTC+8 时区
4. 设计国外业务, 统一用 UTC+0 时区

用户管理

审计等保较严的传统运维场合:

• root只限特殊运维时期使用,
• 运维独立账户
• 程序和业务独立账户

现代运维体系

• 基本杜绝人员线上直接操作服务器, 所有操作走gitops或cicd或运维平台
• 特殊情况才允许直连服务器操作

密码口令管理

传统方式: 密码

• 普通用户定期轮换+自己控制密码变更
• 非常核心的主机, 密码+二阶段认证

中等模式: 密钥

• 拒绝密码登录, 平台定义更换密钥, 或每次只生成短期临时密钥

高安全性: 引入或参考 Vault 的方式

• 普通登录使用临时密钥
• root登录需要二阶段认证

主机其它标准化

字符集

1
2

LANG=en_US.UTF-8
LC_CTYPE="en_US.UTF-8"

主机防火墙

• 要么就都不开, 利用云防火墙和IDC物理防火墙
• 要么就都开, 通过 Iac严格限制每个节点开放的策略

软件源管理

• 统一用公网可信源
• 全部使用内网源: yum, apt, s3等存放可信包