服务器配置是每个运维工程师和技术开发者都必须掌握的核心技能,它直接决定了应用系统的稳定性、安全性和性能表现。无论是部署一个简单的个人博客,还是支撑千万级用户的企业级应用,合理的服务器配置都能让硬件资源发挥最大价值,同时避免因配置不当导致的宕机、数据泄露或性能瓶颈。在实际工作中,我见过太多因为服务器配置草率而引发的线上事故,也总结出了一些经过反复验证的实战技巧。本文将围绕系统初始化、安全加固、性能调优和监控告警四个维度,分享我在服务器配置方面的最佳实践,希望能帮你少走弯路。
系统初始化与基础配置
服务器配置的第一步往往是操作系统层面的初始化,这一步如果做得不扎实,后续的优化工作都会事倍功半。很多新手拿到一台新服务器后,直接就开始安装应用,结果后面遇到时区不对、swap分区不足、内核参数不合理等问题,排查起来非常痛苦。
标准化初始脚本的编写
我强烈建议为服务器配置编写一个标准化的初始化脚本,无论是使用Shell还是Ansible,都能确保每台服务器的基础环境一致。以下是一个精简的初始化脚本示例,包含了常见的配置项:
#!/bin/bash
timedatectl set-timezone Asia/Shanghai
setenforce 0
sed -i 's/^SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
cat >> /etc/security/limits.conf <<EOF
* soft nofile 655360
* hard nofile 655360
* soft nproc 655360
* hard nproc 655360
EOF
cat >> /etc/sysctl.conf <<EOF
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 30
net.core.somaxconn = 65535
vm.swappiness = 10
EOF
sysctl -p
yum install -y vim wget curl git net-tools lsof这段脚本覆盖了时区同步、安全模块关闭、文件句柄限制和网络内核参数四个关键点。其中vm.swappiness设置为10,能减少不必要的swap使用,提升内存密集型应用的性能。在实际的服务器配置中,你还可以根据业务需求增加防火墙规则、SSH端口修改等步骤。
磁盘分区与挂载策略
磁盘分区是服务器配置中容易忽视但影响深远的环节。我建议将系统盘和数据盘分离,系统盘只存放操作系统和基础软件,数据盘则用于存放应用日志、数据库文件等。这样做的好处是,当系统盘故障或需要重装系统时,数据不会丢失。分区时,/boot分区建议分配1GB,swap分区建议为物理内存的1-2倍(但不超过16GB),剩余空间全部给根分区或数据分区。
对于云服务器,如果使用了云盘,记得在挂载后检查文件系统是否对齐。使用fdisk -l查看分区起始扇区,确保是8的倍数,否则磁盘性能会下降10%-20%。此外,建议对重要数据盘开启TRIM功能,尤其是SSD磁盘,可以延长使用寿命:
lsblk -D /dev/vdb
systemctl enable fstrim.timer
systemctl start fstrim.timer安全加固与访问控制
服务器配置中安全永远是最重要的主题之一。我见过很多服务器被入侵,根本原因都是基础的安全配置没有做好。安全不是一蹴而就的,而是一个持续优化的过程。
SSH安全配置
SSH是服务器配置中最常见的攻击入口。默认的22端口和密码登录方式是最大的安全隐患。我建议按以下步骤加固:
- 修改SSH端口为高位端口(如2222),避免被自动化扫描工具轻易发现。
- 禁用root用户直接登录,使用普通用户通过sudo提权。
- 仅允许密钥认证,禁用密码认证。
在
/etc/ssh/sshd_config中配置:Port 2222 PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys修改后记得重启sshd服务,并先保持一个已有连接,测试新端口能登录后再断开旧连接,避免把自己锁在外面。这是新手最容易犯的错误,务必谨慎。
防火墙与入侵检测
使用iptables或firewalld配置最小化规则,只放行业务所需的端口。例如,一个Web服务器只需要开放80、443和SSH端口:
firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --zone=public --add-port=443/tcp --permanent firewall-cmd --zone=public --add-port=2222/tcp --permanent firewall-cmd --reload此外,安装Fail2ban可以自动封禁多次尝试登录失败的IP,对暴力破解有很好的防御效果。配置
/etc/fail2ban/jail.local:[sshd] enabled = true port = 2222 filter = sshd logpath = /var/log/secure maxretry = 3 bantime = 3600性能调优与资源管理
服务器配置的核心目标之一就是让硬件资源发挥最大效能。性能调优不是盲目改参数,而是要基于实际业务场景进行针对性优化。
Web服务器与数据库的协同优化
以最常见的LNMP架构为例,Nginx和PHP-FPM的配置需要协同调整。Nginx的
worker_processes建议设置为CPU核心数,worker_connections根据内存大小调整(一般设为1024-4096)。PHP-FPM的pm.max_children则需要根据每个PHP进程的内存占用计算,避免内存溢出。 一个常见的错误是,服务器配置了很大的内存,但PHP-FPM的进程数设得过高,导致内存耗尽。建议通过以下方式估算:ps -ylC php-fpm --sort:rss | awk '{sum+=$8} END {print sum/NR/1024 " MB"}'假设每个进程占用30MB,服务器可用内存为8GB,保留1GB给系统,则
max_children建议设为(8-1)*1024/30 ≈ 238,实际可保守设为200。缓存与日志的合理配置
缓存是提升服务器配置性能的利器。对于Web应用,建议启用Nginx的FastCGI缓存或使用Redis做页面缓存。同时,日志的配置也直接影响磁盘I/O。生产环境中,建议将访问日志和错误日志分开存储,并设置日志轮转:
access_log /var/log/nginx/access.log main buffer=32k flush=5s; error_log /var/log/nginx/error.log warn;使用
buffer和flush参数可以合并多次写入,减少磁盘I/O。对于日志轮转,配置/etc/logrotate.d/nginx:/var/log/nginx/*.log { daily rotate 30 compress delaycompress missingok notifempty sharedscripts postrotate [ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid` endscript }监控告警与自动化运维
服务器配置的最后一个关键环节是监控。没有监控的服务器就像没有仪表盘的汽车,出了问题你只能靠猜。
核心指标的监控方案
我推荐使用Prometheus + Node Exporter + Grafana的组合,这是目前最流行的开源监控方案。Node Exporter可以采集CPU、内存、磁盘、网络等系统指标,Grafana负责可视化展示。关键指标包括:
- CPU使用率:重点关注iowait和steal值,iowait过高说明磁盘有瓶颈,steal过高说明宿主机超分严重。
- 内存使用率:关注available内存而非free内存,因为Linux会使用空闲内存做缓存。
- 磁盘空间:建议对根分区、数据分区分别设置告警阈值,如剩余空间低于20%时告警。
- 网络流量:监控入站和出站带宽,防止流量突增导致服务不可用。
告警规则的设置技巧
告警不是越多越好,过多的告警会导致“告警疲劳”,反而忽略真正重要的问题。我建议按严重程度分级:
- P0级(紧急):服务完全不可用,如Nginx进程挂掉、磁盘空间满。需要立即响应。
- P1级(重要):性能严重下降,如CPU持续超过90%、内存不足触发OOM。需要15分钟内处理。
- P2级(一般):资源使用率
评论框