上一篇
物理机用linux
物理机搭载Linux系统,凭借其开源特性与高度可定制性,实现高效资源管控与稳定运行,适配多元开发及生产场景,为企业级
前期准备与规划
1 硬件兼容性验证
| 组件 | 检查要点 | 风险提示 |
|---|---|---|
| CPU | 确认指令集架构(x86_64/ARMv8)、虚拟化扩展(VT-x/AMD-V) | 老旧型号可能导致内核崩溃 |
| 主板 | BIOS/UEFI固件版本、Secure Boot状态、PCIe设备数量 | 部分服务器主板需禁用CSM |
| 内存 | ECC校验功能开关状态(服务器平台必开)、最大支持容量 | 消费级主板禁用ECC会报错 |
| 存储 | SATA/NVMe控制器驱动支持度、RAID卡兼容性 | Linux原生仅支持软件RAID |
| 外设 | 独立显卡型号(N卡/A卡/Intel核显)、声卡芯片组 | 闭源驱动需手动安装 |
2 操作系统选型矩阵
| 发行版 | 适用场景 | 优势 | 劣势 |
|---|---|---|---|
| Ubuntu Server | 桌面+轻量级服务器 | 社区活跃/文档完善/Snap包管理 | 默认启用Snap影响纯净度 |
| Rocky Linux | 生产环境替代RHEL | 完全兼容RHEL生态/免费 | 新特性跟进较慢 |
| Debian Stable | 高稳定性需求 | 严格的包管理/长期支持周期 | 缺少最新软件版本 |
| Arch Linux | DIY爱好者/极客 | Rolling Update滚动更新 | 手动配置复杂度极高 |
| OpenEuler | 国产化/ARM架构适配 | 华为全栈技术支持/麒麟芯片优化 | 非主流软件适配较少 |
安装实施关键步骤
1 磁盘分区方案设计(以500GB为例)
| 分区 | 容量 | 文件系统 | 挂载点 | 备注 |
|---|---|---|---|---|
/boot |
512MB | ext4 | /boot | EFI系统保留分区 |
| 30GB | ext4 (LVM) | 基础系统+可在线扩容 | ||
/home |
剩余 | btrfs | /home | 支持快照/克隆/数据校验 |
swap |
16GB | swap | none | 根据内存大小动态调整 |
/var |
10GB | ext4 | /var | 分离日志/缓存防止爆盘 |
/tmp |
8GB | tmpfs | /tmp | 内存临时文件加速 |
️ 注意:采用LVM逻辑卷管理可实现动态扩容,btrfs文件系统提供更强的数据保护能力。
2 安装介质制作规范
- 镜像下载:通过官方校验码验证ISO完整性(
sha256sum命令) - U盘启动盘:使用
dd命令写入时添加oflag=sync参数确保数据同步 - 网络安装:PXE+NFS方式适用于批量部署,需提前配置DHCP Option 66/67
3 引导加载器配置
# 修改GRUB超时时间(单位:秒) sudo nano /etc/default/grub GRUB_TIMEOUT=5 # 更新GRUB配置 sudo update-grub
特殊场景处理:双系统共存时,建议将Linux引导项置于Windows之后,避免误操作覆盖。
硬件驱动适配指南
1 显卡驱动方案对比
| 类型 | NVIDIA | AMD | Intel |
|---|---|---|---|
| 开源驱动 | Nouveau | Amdgpu | i915 |
| 专有驱动 | proprietory | pro-drivers | |
| 推荐方案 | CUDA用户用官方驱动 | Wayland用户用开源驱动 | 默认即可 |
典型问题解决:黑屏时尝试nomodeset内核参数,或安装mesa-utils补充依赖。
2 网卡绑定与冗余
# 创建bond0接口(主备模式) nmcli connection add type bond con-name bond0 ifname bond0 bond.mode active-backup bond.slaves enp3s0 enp4s0 ipv4.method manual ipv4.addresses 192.168.1.10/24 gateway 192.168.1.1 # 启用RSTP生成树协议防环路 echo "core/current/base" > /sys/class/net/bond0/queue_discipline
系统安全加固策略
1 基础安全配置清单
| 项目 | 配置示例 | 作用 |
|---|---|---|
| SSH端口变更 | Port 2222 | 降低自动化扫描概率 |
| root登录限制 | PermitRootLogin no | 强制普通用户sudo |
| PAM认证机制 | pam_tally2.so onerr=fail deny=5 | 暴力破解自动封禁 |
| AppArmor/SELinux | ComplainMode → EnforceMode | 强制进程权限控制 |
| Systemd服务精简 | mask所有非必要服务 | 减少攻击面 |
2 防火墙规则示例(nftables)
# 允许SSH连接
nft add rule ip filter input tcp dport 2222 accept
# 拒绝ICMP请求
nft add rule ip filter input icmp type echo request reject
# 放行HTTP/HTTPS(如有Web服务)
nft add rule ip filter input tcp dport {80,443} accept
性能优化实践
1 内核参数调优(/etc/sysctl.conf)
# TCP连接追踪优化 net.ipv4.tcp_tw_reuse = 1 # 文件句柄数上限 fs.file-max = 2097152 # 脏页刷新频率(SSD可设为15-30) vm.dirty_ratio = 15 vm.dirty_background_ratio = 5 # 巨大页分配(数据库场景适用) vm.nr_hugepages = 512
2 Swap性能监控
# 查看Swap使用率 free -h # 调整swappiness倾向性(0=永不使用,100=积极使用) cat >> /etc/sysctl.conf <<EOF vm.swappiness=10 EOF sysctl -p
运维管理规范
1 日志监控系统搭建
| 组件 | 用途 | 推荐工具 |
|---|---|---|
| Journalctl | 实时查看系统日志 | journalctl -u httpd |
| Loki | 分布式日志聚合 | Grafana+Promtail组合 |
| Auditd | 记录用户操作审计日志 | ausearch -i |
2 定时任务管理
# 每周日凌晨2点执行日志清理 0 2 0 /usr/local/bin/logrotate --force /etc/logrotate.conf # 每日备份重要配置文件 @daily tar -zcf /backup/config_$(date +%F).tar.gz /etc/.conf
相关问答FAQs
Q1: 物理机安装Linux后无法引导怎么办?
A: 按以下顺序排查:
- 检查BIOS/UEFI启动顺序是否正确指向安装介质
- 进入救援模式(Rescue Mode)检查
/boot/vmlinuz是否存在 - 使用
boot-repair工具自动修复引导(需联网):sudo boot-repair - 若使用GPT分区表,确认EFI分区已分配且挂载正确
- 对于NVMe硬盘,尝试添加
nvme_load=YES内核参数
Q2: 如何解决Linux下硬件性能未完全释放的问题?
A: 分场景处理:
- CPU频率锁定:在
/etc/default/grub中添加intel_pstate=disable并更新GRUB - 磁盘IO瓶颈:对机械硬盘启用
deadline调度算法:echo deadline > /sys/block/sda/queue/scheduler - 网络吞吐量不足:调整网卡中断亲和性:
ethtool -K enp0s3 interruptAffinity on - 显卡计算加速:安装ROCM驱动(AMD卡)或CUDA Toolkit(N卡),并通过
nvidia-smi
