ISV系統(tǒng)部署規(guī)范

文件編號(hào):SA-ISV-系統(tǒng)部署標(biāo)準(zhǔn)-V1.0.docISV版本號(hào)V1.7山大版本修訂記錄版本修改日期修改修訂說明編號(hào)者1.02023-02-26全部山大創(chuàng)立文檔1.12023-03-03大部山大爭(zhēng)論，更改1.22023-03-08應(yīng)用部署參踏空nginx，squid考1.32023-03-11全部山大，踏修改名目等空1.42023-3-23局部山大修改分區(qū)，增加安全設(shè)置，增加shterm1.52023-4-22局部山大php1.62023-5-12局部山大mysql1.72023-6-10局部山大更改shterm治理及上傳版權(quán)說明本文件中消滅的任何文字表達(dá)、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬淘寶公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)淘寶公司的書面授權(quán)許可，不得復(fù)制、引用或傳播本文件的任何片斷，無論通過電子形式或非電子形式。ISV系統(tǒng)部署標(biāo)準(zhǔn)草案名目文檔目的：ISV系統(tǒng)商定 RHCE4update7，RHCE5update2，以上6432必需使用32位系統(tǒng)的，內(nèi)存最多安排4G，原則不使用Windows系統(tǒng)，特別需要請(qǐng)通過PM申請(qǐng)。Mysql，不能使用MSSQL和ORACLE系統(tǒng)分區(qū)默認(rèn)物理機(jī)(300G硬盤)分五個(gè)區(qū)/boot100M啟動(dòng)分區(qū)/ 10G根分區(qū)，/opt/usr15G系統(tǒng)應(yīng)用分區(qū)/var20G系統(tǒng)日志分區(qū)/home默認(rèn)虛擬機(jī)(80G硬盤)分兩個(gè)區(qū)/boot100M啟動(dòng)分區(qū)/根分區(qū) 剩余大小Ext3,有特別需要分區(qū)請(qǐng)和淘寶運(yùn)維聯(lián)系系統(tǒng)名目說明：/home用戶數(shù)據(jù)和web/根一般不放用戶文件/usr一般系統(tǒng)程序存放/var系統(tǒng)的日志，一般不放用戶的日志/opt一些下載的源文件可以放這里系統(tǒng)名目商定RPM源碼包編譯安裝位置(prefix)腳本以及維護(hù)程序存放位置備份文件用戶腳本的輸出日志CrontabCrontab日志輸出用戶臨時(shí)文件MySQL程序安裝位置MySQLbinlog,errlogApache程序臨時(shí)文件JbossJbossHomeTomcatTomcatNginxNginx

/opt/taobao/install/home/admin/apps/home/admin/bin/home/admin/backup/home/admin/logs/日志/home/admin/bin/crontab/home/admin/logs/crontab/home/admin/tmp/home/mysql/home/mysql/var/home/admin/apps/d/home/admin/域名或應(yīng)用名/home/admin/tmp//home/admin/apps/jboss/home/admin/應(yīng)用名/home/admin/apps/tomcat/home/admin/apps/tomcat/ROOT/home/admin/apps/nginx//home/admin/域名或應(yīng)用名留意：應(yīng)用要安裝在/home/admin/apps/下面，應(yīng)用的程序文件要在/home/admin/”應(yīng)用名”/下賬戶商定特權(quán)賬號(hào)Root帳號(hào)是效勞器的最高權(quán)限擁有者，只有在涉及到系統(tǒng)維護(hù)治理的時(shí)候才需使用，因此作出下述規(guī)定：root〔必要已經(jīng)審批工具除外〕；/root/不允許用root運(yùn)行任何非系統(tǒng)必需的程序(特別效勞除外)。工作帳號(hào)商定使用admin：admin,gid和uid500是生產(chǎn)效勞運(yùn)行所使用的帳號(hào)，此帳號(hào)的動(dòng)作將影響到生產(chǎn)效勞運(yùn)行的穩(wěn)定性，因此在工作帳號(hào)的名目?jī)?nèi)，只允許存放以下條件所允許的程序、配置文件、數(shù)據(jù)文件、日志、腳本、備份文件、crontab；線上效勞所必需的，應(yīng)用端口盡量不要用1024一下端口，用admin部署。運(yùn)行維護(hù)所必需的。部署時(shí)可以擁有ROOT權(quán)限,部署完之后應(yīng)當(dāng)收回ROOT添加賬戶groupadd-g500adminuseradd-g500-u500admin進(jìn)程商定生產(chǎn)效勞的進(jìn)程需要以admin賬戶來啟動(dòng)1024以下端口，不需要root特別進(jìn)程請(qǐng)必需告知淘寶運(yùn)維7.端口商定應(yīng)用apache80備注80端口，使用admin起來，賜予d4755mysql33063306端口，使用mysqlmemcache11211jboss9001tomcat8080假設(shè)需要直接對(duì)外，在LB80Nginx8080假設(shè)需要直接對(duì)外，在LB80squidNfs,portmap8080假設(shè)需要直接對(duì)外，在LB80Php-cgi10080snmp161有其他需要的請(qǐng)補(bǔ)充給淘寶運(yùn)維。文件和名目線上效勞環(huán)境的干凈、環(huán)保與安全；性。留意點(diǎn)：一個(gè)名目下面不允很多達(dá)6000個(gè)文件以上,假設(shè)文件數(shù)量很多,想方法承受多級(jí)名目解決。/home/admin/home/admin//home/admin/││├APPS/│├(d)/│└──bin/│ ├─logs/│ ├─lib/│ ├─conf/│ └─htdocs/└─taobao.abc/……網(wǎng)站數(shù)據(jù)請(qǐng)獨(dú)立出來│└─bin/│└─crontab│├─logs/│├─crontab│└─backup/││└─tmp/程序文件或域名作為名目數(shù)據(jù)安全和備份程序文件備份ISVsvn效勞器上有條件的保存7日的滾動(dòng)備份，配置文件做7天的滾動(dòng)備份數(shù)據(jù)庫備份需要熱備，mysqlmasterslavedump10G,承受增量備份附件等重要數(shù)據(jù)文件設(shè)計(jì)上最好能夠分布式機(jī)制，保存保存2份，最好3份數(shù)據(jù)。Nfs，用Rsynciv.日志備份盡量壓縮保存文件沒必要的日志不需要備份a)b)c)d)e)f)g)h)a)b)c)d)e)

安全留意acls,源地址必需做限制acls應(yīng)用層：防注入和跨站，掃描后臺(tái)治理地址，也需要列出來，告知淘寶運(yùn)維，測(cè)試安全性部署安全crontab腳本當(dāng)中應(yīng)當(dāng)輸出到具體日志中>/dev/null2>&1腳本放在/home/admin/bin/crontab##addbyshandaforupdatemonitor20230222*/50****/home/admin/bin/crontab/update.sh>/dev/null2>&1#updatebyshanda20230226##addbyshandaforupdatemonitor20230222*/50****/home/admin/bin/crontab/update.sh>/dev/null2>&1#updatebyshanda20230226請(qǐng)向淘寶運(yùn)維申請(qǐng)效勞器登陸賬號(hào)需要通過登陸效勞器登陸登陸設(shè)置如下：

登陸效勞器IP地址做ACLSSecureCRT—終端-仿真終端改成Xterm.假設(shè)用了一段時(shí)間突然覺察無法登陸，報(bào)密碼錯(cuò)誤或者帳號(hào)被鎖定：這是由于系統(tǒng)默認(rèn)3個(gè)月會(huì)自動(dòng)更改一次密碼，到期前系統(tǒng)會(huì)發(fā)一封密碼郵件給你，假設(shè)沒有留意，連續(xù)錯(cuò)誤5次會(huì)賬號(hào)會(huì)自動(dòng)鎖定，鎖定后請(qǐng)聯(lián)系Shterm的治理員來更改密碼。感謝！假設(shè)手動(dòng)修改自己的密碼：通過s://5用自己的帳號(hào)登陸，進(jìn)入賬戶設(shè)置，再輸入一次密碼，留意密碼更改規(guī)章：密碼長(zhǎng)度不應(yīng)小于8個(gè)字符，不能與前5次的設(shè)置一樣；最少要包含1個(gè)數(shù)字字符，1個(gè)大寫字母，1個(gè)小寫字母，1個(gè)其他字符；CrackLib，請(qǐng)勿設(shè)置簡(jiǎn)潔密碼。a)b)c)

文件上傳80協(xié)議wgetShtermrz,sz,上傳可以通過sftp上傳設(shè)置：登陸效勞器地址，端口22，用你自己的賬號(hào)，登陸后選擇內(nèi)部效勞器和賬號(hào)工具可以使用FlashFXP,Filezilla,Winscp,SecureFX等d) Linux機(jī)器可以直接scpScpyourname@5://admin/home/admin/www/default.css/home/admin/www/new.cssScp/home/admin/www/new.tgzyourname@5://admin/home/admin/www/new.tgz備注：你的賬號(hào)@登陸效勞器目標(biāo)效勞器目標(biāo)賬號(hào)目標(biāo)名目

外部訪問外部訪問需要通過負(fù)載均衡設(shè)備的VIP訪問需要供給應(yīng)淘寶運(yùn)維要訪問的域名，映射到的效勞器以及開放的端口經(jīng)過安全審核和運(yùn)維審核之后才能開通外部訪問。時(shí)間同步目前已默認(rèn)配置時(shí)間效勞器/etc/ntp.conf 請(qǐng)不要更改。snmp/etc/snmp/snmpd.conf目前系統(tǒng)安裝已經(jīng)配置系統(tǒng)監(jiān)控：效勞器的網(wǎng)卡流量，磁盤空間，內(nèi)存，cpu,load必需監(jiān)控應(yīng)用監(jiān)控：必要的應(yīng)用監(jiān)控請(qǐng)?zhí)峤恍枨笳?qǐng)不要更改snmpd.conf，有需要更改，請(qǐng)和淘寶聯(lián)系，感謝！系統(tǒng)參數(shù)優(yōu)化Web效勞器優(yōu)化請(qǐng)把需要優(yōu)化的參數(shù)供給應(yīng)淘寶。域名的使用ISV應(yīng)用原則不能使用淘寶域名域名必需要經(jīng)過備案還能啟用Sendmail1sendmail2.不允許利用效勞器發(fā)送垃圾郵件3sendmail/var/spool/mqueue應(yīng)用部署參考〔等待補(bǔ)充〕Apache安裝，配置文件，啟動(dòng)，日志輪詢，維護(hù)，常見問題，優(yōu)化安裝：直接拷貝編譯好的文件程序文件/home/admin/apps/d配置文件/home/admin/apps/d/conf/啟動(dòng)文件/home/admin/apps/d/bin/日志文件/home/admin/apps/d/logsWeb文件/home/admin/taobao.abc/日志請(qǐng)安裝cronolog按年月日分日志隱蔽banner,conf/d.conf里添加:ServerTokensProductOnlyServerSignatureOffmod_evasive20CC品的具體狀況調(diào)整:mod_evasive20mod_evasive20<IfModulemod_evasive20.c>DOSHashTableSize10000DOSCount300DOSSiteCount60DOSInterval10DOSSiteInterval10DOSBlockingPeriod300DOSEmailNotify“mailto:shanda@taobao“shanda@taobaoDOSSystemCommand“sudo/sbin/iptables-AINPUT-s%s-jDROP“DOSLogDir“/tmp“DOSWhiteList192.168.*.*</IfModule>Mysql安裝，配置文件，啟動(dòng)，日志輪詢，維護(hù)，常見問題，優(yōu)化安裝：直接拷貝編譯好的文件安裝：直接拷貝編譯好的文件.64位5.1版本mysql程序文件/home/mysql已經(jīng)安裝好選擇mysql用戶。首先需要安裝用mysql用戶登錄數(shù)據(jù)庫機(jī)器，adminsshmysql@localhostMysql賬戶或直接選擇或者通過登錄的效勞器的adminsshmysql@目標(biāo)地址。cp/home/mysql/share/mysql/mysql.server/etc/init.d/mydqldchownmysql:mysql/etc/f配置文件改成mysql用戶停頓腳本：/etc/init.d/mysqldstop啟動(dòng)腳本:/etc/init.d/mysqldstart數(shù)據(jù)文件,binlog,errlog/home/mysql/var/設(shè)定強(qiáng)密碼mysqladmin password 強(qiáng)密碼口令至少8位，必需包含字母(大小寫)、數(shù)字、特別字符(#$%^&等)編譯參數(shù)參考:./configure--prefix=/home/mysql/--enable-assembler--with-extra-charsets=complex--enable-thread-safe-client--with-big-tables--with-readline--with-ssl--with-embedded-server--enable-local-infile--with-plugins=innobase&&make&&makeinstall授權(quán)參考：GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP,ALERTON dbname.*IDENTIFIEDBY”dbpassword”WITHGRANTOPTION;配置參考[mysqld]skip-networking #制止遠(yuǎn)程連接數(shù)據(jù)庫TO username@”ip/netmask”local-infile=0 #制止MySQL對(duì)本地文件存取刪除默認(rèn)數(shù)據(jù)庫和數(shù)據(jù)庫用戶test;mysql>usemysql;mysql>deletefromdb;mysql>deletefromuserwherenot(host=“l(fā)ocalhost“anduser=“root“);mysql>flushprivileges;Mysql的配置Mysql的讀寫復(fù)制Mysql的備份Mysql配置：Mysql的配置/etc/f ;owner是mysql：chownmysql/etc/f[mysqld]user=mysqlskip-name-resolveold_passwords=1slow_query_log=/home/mysql/slowquery.loglong_query_time=2log-bin=mysql-binexpire_logs_days=7max_connections=10000default-character-set=utf8key_buffer=32Mmax_allowed_packet=4Mtable_cache=2048ksort_buffer_size=512Mnet_buffer_length=64K#myisam_sort_buffer_size=128Mjoin_buffer_size=64Mread_buffer_size=128Minnodb_max_dirty_s_pct=20innodb_flush_log_at_trx_commit=2innodb_buffer_pool_size=4096Minnodb_additional_mem_pool_size=512Minnodb_log_buffer_size=4Minnodb_log_file_size=500Minnodb_log_files_in_group=4innodb_file_per_tableset-variable=wait_timeout=30set-variable=interactive_timeout=30max_connect_errors=1000thread_cache=24thread_stack=256kopen-files-limit=28196query_cache_type=2query_cache_size=32M#back_log=1000tmp_table_size=1024M[mysqld_safe]log-error=/home/mysql/mysqld.logpid-file=/home/mysql/mysqld.pid~Mysql的備份Mysql讀寫復(fù)制：mysql讀寫復(fù)制設(shè)置設(shè)置主數(shù)據(jù)庫 從數(shù)據(jù)庫1。在主數(shù)據(jù)庫上開設(shè)一個(gè)同步賬號(hào)GRANTREPLICATIONSLAVEON*.*to“mailto:%27slaveuser%27@“”slaveuser”@identifiedby”slave******”WITHGRANTOPTION;2。主效勞器f設(shè)置設(shè)置配置server-id =1binlog-do-db =wp_cs #多個(gè)數(shù)據(jù)庫分開行寫binlog-ignore-db =mysqllog-bin=mysql-binmaster-connect-retry=60expire_logs_days7 #設(shè)置binlog7天從效勞器配置fserver-id=2#設(shè)置從機(jī)id標(biāo)識(shí),假設(shè)有多個(gè)從機(jī)，可以挨次增加ID3,4...master-host=#主機(jī)地址master-user =slaveuser #主機(jī)mysql數(shù)據(jù)庫用戶master-password =slave****** #主機(jī)mysql數(shù)據(jù)庫密碼replicate-do-db =wp_cs #多個(gè)數(shù)據(jù)庫分開行寫binlog-ignore-db =mysql#replicate-ignore-db=mysql #不同步的數(shù)據(jù)庫，假設(shè)有多個(gè)數(shù)據(jù)庫，每個(gè)數(shù)據(jù)庫一行l(wèi)og-bin =mysql-bin #日志log-slave-updates #同步方式master-connect-retry=60expire_logs_days7 #設(shè)置binlog7天把主數(shù)據(jù)庫導(dǎo)入到從數(shù)據(jù)庫，并設(shè)置mysqldump --quick--flush-logs--lock-all-tables-A--default-character-set=utf8-uroot-p”******”>/tmp/mysql.back.sql導(dǎo)入到從數(shù)據(jù)庫/home/mysql/bin/mysql--default-character-set=utf8-uroot-p””</tmp/mysql.back.sql查看主數(shù)據(jù)庫最的binlog,譬如是mysql-bin.000004在從數(shù)據(jù)庫上設(shè)置stopslave;changemastertomaster_log_file=“mysql-bin.000004“,master_log_pos=0;startslave;showslavestatus\G; 查看狀態(tài)有問題留意查看mysql的錯(cuò)誤日志，同時(shí)檢查一下同步狀態(tài)文件，是否和f里面配置全都。======================================================Mysql的備份：mysql7天輪訓(xùn)備份，最好在從數(shù)據(jù)庫每天凌晨執(zhí)行/home/mysql/bin/mysqldump --quick--flush-logs--lock-all-tablesyourdatabasename--default-character-set=utf8-uroot-p”******”>/home/admin/backup/mysqlbak/mysql.all.sql.$(date+%w)把命令放到腳本/home/admin/bin/crontab_bin/mysql.backup.shcrontab設(shè)置01***/home/admin/bin/crontab_bin/mysql.backup.sh>/dev/null2>&1Php,apache程序/home/admin/apps/php配置/home/admin/apps/php/etc/安全留意：apache建議用nobody起來，不要使用admin起來，避開用戶通過apache獲得太多的權(quán)限web名目建議使用admin755，不允許nobody的用戶寫入和更改文件，只允許admin更改文件；允許上傳的名目，盡量放到一個(gè)特定的名目，譬如uploads,attachments,名目權(quán)限可以設(shè)定為777,同時(shí)需要再apache里面設(shè)定這個(gè)名目不允許執(zhí)行php,具體設(shè)置，避開用戶上傳執(zhí)行php文件<Directory“/home/admin/apps/apache/htdocs/uploads“>OptionsFollowSymLinksMultiViewsAllowOverrideNoneOrderallow,denyAllowfromall</Directory>4.php.ini設(shè)置disable_functions=exec,passthru,popen,proc_open,shell_exec,system,phpinfo,assertsafe_modeon ;假設(shè)影響多可以設(shè)成Off,必需告知淘寶緣由。safe_mode_gidoffopen_basedir=[WEBSITE] ;譬如/home/admin/apps/apache/htdocs 可允許apache訪問的php的文件名目safe_mode_include_dir=[WEBSITE] ;譬如/home/admin/apps/apache/htdocs/includes可允許包含的文件名目safe_mode_exec_dir=[WEBSITE] ;譬如/home/admin/apps/apache/htdocs/exec可允許執(zhí)行制止的php函數(shù)register_globals=Off;關(guān)閉全局變量display_errors=Off;關(guān)閉錯(cuò)誤信息提示enable_dl=Off;不允許調(diào)用dlallow_url_fopen=Off ;關(guān)閉遠(yuǎn)程文件allow_url_include=Off;關(guān)閉遠(yuǎn)程文件session.cookie_only1；only開啟，防止script跨站讀取session.cookie_secure=0;ssecure開啟，假設(shè)需要s可以翻開log_errorsOn ;error_log=/home/admin/logs/php.err.log ;錯(cuò)誤日志的路徑,譬如/home/admin/apps/php/logsmagic_quotes_gpc=On;set_magic_quotes_gpc(0);JbossJDK安裝：直接拷貝編譯好的文件JDK /home/admin/apps/jdk程序文件/home/admin/apps/jboss配置文件/home/admin/apps/jboss/conf/啟動(dòng)文件nohup/home/admin/apps/jboss/bin/run.shb& 在啟動(dòng)文件里面指定Javahome停頓命令：/home/admin/apps/jboss/bin/shutdown.sh-S日志文件/home/admin/apps/jboss/logsWeb文件/home/admin/apps/jboss/.default/deploy/taobao.abc//home/admin/apps/jboss/.default/deploy/taobao2.abc/Jboss虛擬主機(jī)配置：建立應(yīng)用yourname.war,war下面建立WEB-INF,里面，建jboss-web.xml，里面添加<Host“://yourdomain/“name=“yourdomain“><DefaultContextcookies=“true“crossContext=“true“override=“true“/></Host>JDKTomcat-apache下載:從isvconsole同步相應(yīng)的版本端口:8080啟動(dòng)和停頓使用admin啟動(dòng)/home/admin/apps/tomcat/bin/startup.sh 在啟動(dòng)文件當(dāng)中指定Javahome,停頓/home/admin/apps/tomcat/bin/shutdown.shexportPATHUSERLOGNAMEMAILHOSTNAMEHISTSIZEINPUTRCCLASS_PATHJAVA_HOMETOMCAT_HOMEC配置web 更改conf/server.xml<Hostname=““://yourdomain/“yourdomain“appBase=“/home/admin/apps/tomcat/webapps“unpackWARs=“true“autoDeploy=“true“ xmlValidation=“false“xmlNamespaceAware=“false“><ValveclassName=“org.apache.catalina.valves.AccessLogValve“directory=“l(fā)ogs“ suffix=“.txt“pattern=“common“resolveHosts=“false“/><LoggerclassName=“org.apache.catalina.logger.FileLogger“</Host>

directory=“l(fā)ogs“timestamp=“true“/>

prefix=“yourdomain_log.“su