AIXV71操作系统安装配置规范.docx
《AIXV71操作系统安装配置规范.docx》由会员分享,可在线阅读,更多相关《AIXV71操作系统安装配置规范.docx(51页珍藏版)》请在冰豆网上搜索。
AIXV71操作系统安装配置规范
AIX7.1操作系统安装配置规范
文档信息
项目名称:
AIX7.1操作系统安装配置规范
文档版本号:
1.0
文档作者:
环境保障二处
生成日期:
2015年7月
文档审核者:
环境保障二处
审核日期:
文档维护记录
版本号
维护日期
作者/维护人
描述
1.0
2015-7-7
环境保障二处
根据中心内部相关处室讨论意见及部门会商意见修订,形成正式文档
2015年7月
信息科技部
适用范围
本安装配置规范适用于AIXV7.1版。
除条文中特别规定适用范围的,本安装配置规范条文适用于总分行的生产、研发和测试等环境。
鉴于AIX7.1操作系统小版本在不断变化中,且还分为express、standard、enterprise三个版本,本文档根据standard版安装过程截取步骤及截图,若安装其他版本操作系统,文档中所涉及的步骤或截图可能与实际环境有所差异,请注意结合实际情况做出判断。
一、硬件配置要求(生产环境必须满足,研发测试环境供参考)
AIX操作系统适用于IBM小型机和刀片式基于Power系列芯片开发的机型,相应的硬件要求建议如下:
Ø双电源模块冗余配置(拷机过程中需进行电源冗余测试工作)。
Ø
Ø生产系统小型机原则上应至少配置四块内置硬盘,其中两块建立rootvg用于安装操作系统,另外两块建立datavg用于存储应用程序和数据。
Ø
Ø生产系统小型机原则上应配置两张SCSI卡冗余配置(每个VG至少由位于不同SCSI卡两块硬盘进行镜像)。
Ø
Ø一个生产用IP地址需要配备两块网卡互相冗余,以实现双网卡的负载均衡、热备份或者冷备份;生产IP地址优先使用PCI插槽网卡,将主板上网卡作为备用网卡。
Ø
二、操作系统安装过程
(一)准备工作
(二)
1.检查终端、键盘是否与主机正确连接。
2.
3.打开外设及主机电源开关(先外设后主机)。
4.
5.把安装介质(操作系统光盘第一张)放入驱动器。
6.
(三)安装过程
(四)
1.主机加电后,当系统发出两次蜂鸣声时,屏幕上将不断显示硬件启动代码信息,几分钟后出现画面,需要用户选择“1=SMSMenu”进入SMS菜单进行相关设置,使得系统从光盘引导。
2.根据机型不同,有的机型会出现选择语言和修改密码的菜单,可选择修改admin密码为admin
3.
4.设置小型机启动参数。
5.
选择“5.SelectBootOptions”。
选择“1.SelectInstall/BootDevice”
选择“7.ListallDevices”
选择“1.IDECD-ROM”
根据机型不同该菜单有所不同,可翻页选择CD-ROM,新机型选择SATACD-ROM
6.选择“2.NormalModeBoot”正常模式引导,而后选择“YES”退出SMS菜单(图略)。
7.稍等几分钟。
8.
9.显示器(终端)显示:
要求用户选择控制台。
键入“1”并回车(注意:
键入的“1”不回显)定义当前设备为主控台。
10.
11.要求用户选择安装语言环境,键入“1”后回车,选择语言环境为English.
12.
13.此后屏幕出现系统安装和维护的主菜单,需要改变一些设置选项再进行BOS(基本操作系统)的安装.
14.
15.改变安装设置:
16.
在上面菜单中,键入“2”并回车,屏幕出现“InstallandSetting”画面:
这是系统安装的默认设置,用户应该根据需要进行修改。
选择:
完全覆盖安装(NewandCompleteOverwrite),键入“1”:
(进入菜单更改安装方式)
17.安装方式的更改:
如图所示:
键入“1”将安装方式改为NewandCompleteOverwrite.
18.选择安装操作系统的目的硬盘:
此处为选择安装系统到哪一块(或几块)硬盘。
键入“1”,安装到hdisk0.
此时会在hdisk0前出现>>>来表明系统将安装至该硬盘。
选好后选择:
“0”继续。
19.选择完毕后应显示如下:
20.键入5将SelectEdition从express更改为standard。
一般机器购置时配套的AIX7.1光盘均为standard版,所以这里选择更改为standard。
如果机器购置时配套的AIX7.1光盘为enterprise版,则选择enterprise。
关于AIX7.1上述三个edition的说明,请参考IBM官网如下链接说明。
21.设置完毕选择0,会出现“OverwriteInstallationSummary”,列出当前覆盖安装设置的小结,选择1。
22.开始安装BOS,屏幕将不断显示安装的进度。
当BOS安装完毕,系统将自动重启。
23.系统重启后进入如下界面,选择终端类型为vt100
24.
25.接受软件许可协议
选择AcceptLicenseAgreements,回车,运行OK后,Esc+0退出,进入如下界面。
26.软件维护协议
选择AcceptSoftwareMaintenanceTermsandConditions,回车,运行ok后,按Esc+0退出,进入到InstallationAssistant界面。
27.安装助手界面
选择TasksCompleted-ExittoLogin,回车,进入登录操作系统界面。
(五)其他软件包的安装
(六)
选择安装如下软件包,这些软件包用于系统性能监控和分析:
bos.adt,bos.cifs_fs,bos.clvm,pat,bos.content_list,bos.cpr,bos.dlc,bos.dosutil,bos.installers,bos.lrn,bos.mls,,bos.perf.gtools,bos.svpkg,bos.sysmgt,bos.data,安装完毕后,使用如下命令检查软件包的一致性
#lppchk-v
#lppchk-l
三、操作系统的配置步骤
(一)修改时区
(二)
#smit--SystemEnvironments--Change/ShowDateandTime--ChangeTimeZoneUsingSystemDefinedValues
选择Asia/Shanghai,时区修改后需重启系统使修改生效。
最终结果如下图。
(三)修正操作系统时间
(四)
#smitdate
(五)修改root用户的密码
(六)
以root登录,直接输入passwd
手动输入新密码。
(七)修改机器名
(八)
#smithostname
在HOSTNAME输入对应的主机名。
(九)修改操作系统属性参数
(十)
#smitchgsys
单用户最大进程数:
MaximumnumberofPROCESSESallowedperuser:
128->8192;
启用磁盘IO历史记录:
ContinuouslymaintianDISKI/Ohistory:
false->true;
打开fullcoredump设置:
EnablefullCOREdump:
false->true;
(十一)设置系统dump
(十二)
#smitdump
AlwaysALLOWSystemDump:
false->true;
执行ShowEstimagedDumpSize,根据估算的dump大小调整主dump设备大小,保证主dump设备大小要高于估算的dump大小,AIX7.1中主dump设备为/dev/lg_dumplv。
(十三)VG创建及配置
(十四)
VG创建
以创建datavg为例,一般情况下,卷组类型选择为ScalableVG(三种卷组类型参数比较附后),datavg选择创建在两张不同SCSI卡上的硬盘上(hdisk1、hdisk3),卷组上的PP大小设置为512M。
三种卷组类型比较
卷组类型
MAXPPsperVG
MAXPPsperPV
MAXPVs
OriginalVolumeGroup
32512
1016
32
BigVolumeGroup
130048
1016
128
ScalableVolumeGroup
32768
1024
注:
只有ScalableVolumeGroup可以更改MAXPPsperVG
#smitmkvg->选择AddaScalableVolumeGroup->VolumeGROUPname[datavg]->PhysicalpartitionSIZEinmegabytes[512]->PHYSICALVOLUMEnames[hdisk1hdisk3],截图如下所示。
关闭datavg的QUORUM
#smitchvg->选择datavg->AQUORUMofdisksrequiredtokeepthevolumegrouponline选择no
rootvg配置镜像
一般情况下,rootvg选择位于另一张不同SCSI卡上的hdisk2给hdisk0做镜像,先把hdisk2加入rootvg,再执行镜像操作
#extendvg-frootvghdisk2
#smitmirrorvg
如下图所示:
rootvg镜像做完后,刷新引导映像
#bosboot-ad/dev/hdisk2
#bootlist-mnormalhdisk0hdisk2
另外,此时lg_dumplv不会自动镜像,需要通过smitmklvcopy菜单来为这个lg_dumplv来做镜像,copy数指定为2,并指定synchronizethedata为yes,如下图所示:
做完后可以看到PP的数量已为LP的两倍,即copy数为2
datavg配置镜像
注意确保该VG中jfs2log所在lv需做镜像。
通常datavg的镜像是由创建lv时选择copy数为2来指定,而第一次创建文件系统时自动产生的jfs2log(通常名为loglv0X)是不带镜像的,故需要通过smitmklvcopy菜单来为这个loglv00来做镜像,copy数指定为2,并指定synchronizethedata为yes,如下图所示:
做完后可以看到PP的数量已为LP的两倍,即copy数为2
(十五)修改系统交换空间
(十六)
查看系统内存:
#lsattr-Elmem0,
查看系统原有的交换空间:
#lsps-a
虚拟内存设置大小设置规则建议如下,具体可以根据应用程序运行情况来进一步调整优化。
2G以下内存,交换空间配置为2G或2G以上;
2G-8G内存,交换空间配置为内存的一半或与内存一样大;
8G以上内存,交换空间配置内存的一半到内存同样大小;
#smitpgsp
(十七)激活串口
(十八)
#smittty
修改机器上的各串口tty(vty)*都设置成Available和EnableLOGIN:
(十九)修改IP地址和路由设置
(二十)
#smitinet
设置IP地址、掩码,更改状态为UP。
#smitroute
(二十一)建立逻辑卷worklv
(二十二)
在rootvg上创建worklv,用于创建/work文件系统,用来存放安装介质。
#lsvgrootvg(查询1PP的大小),这里1PP=256MB
在这里我们分配给worklv1GB空间,也就是4PP。
实际工作中可以根据需要来创建更大的逻辑卷。
#smitmklv
(二十三)创建文件系统
(二十四)
创建文件系统原则:
当一级文件系统未设置为自动挂载时,只能创建并使用一级文件系统,不允许在该一级文件系统下创建二级文件系统,以避免因挂载文件系统的先后顺序导致文件系统内容被覆盖。
创建文件系统步骤:
#smitjfs2
建立文件系统(worklv逻辑卷已预建)
挂载文件系统
#mount/work
扩大操作系统类文件系统/,/var,/tmp,/home文件系统空间
严格规定应用数据或应用日志不能写到这四个文件系统空间内,尤其是/tmp文件系统空间。
/,/var,/tmp和/home文件系统空间至少扩大到2G以上(含2G)。
(二十五)系统内核参数调优
(二十六)
#smittuning->TuningNetworkOptionParameters->Change/ShowCurrentParameters->
somaxconn:
1024调整为4096
clean_partial_conns:
0调整为1
使用下列命令查看并确认已经修改:
#no-a|grepsomaxconn
#no-aclean_partial_conns
#smittuning->TuningNetworkOptionParameters->SaveCurrent
ParametersforNextBoot
内存参数调整:
除文件服务器外,建议将文件系统(JFS/JFS2)使用内存比例都限制在50%以下。
参数
缺省值
目标值
更改参数命令行
参数说明
maxperm%
90%
50%
vmo-p-omaxperm%=50
限制JFS文件系统使用内存比例
maxclient%
90%
50%
vmo-p-omaxclient%=50
限制JFS2文件系统使用内存比例
注意执行上面表格中vmo命令时先改maxclient%,再改maxperm%。
(二十七)系统资源参数调整
(二十八)
#vi/etc/security/limits
fsize=2097151->-1
data=262144->2097152
rss=65536->1048576
stack=65536->1048576
nofiles=2000->80000
(二十九)配置安全连接软件ssh
(三十)
1.安装OpenSSH软件,要求版本6.0.0.6200或以上,Openssl版本为1.0.1.512或以上,有的AIX7.1补丁级别光盘可能会在安装系统时默认安装OpenSSH。
系统自带的版本不满足需求,需手动另行安装,可到ftp:
//168.1.6.23/software/system/aix/tools/openssh/AIX71/下载该版本的openssh和openssl,按照先装Openssl再装Openssh的顺序进行安装。
软件包装完后用lslpp-l查看类似如下:
2.
3.sshd服务的启动和关闭
4.
#lssrc-ssshd查看sshd服务进程的状态
#startsrc-ssshd启动sshd服务进程
#stopsrc-ssshd关闭sshd服务进程
5.配置只能使用安全性更高的sshv2来连接
6.
修改系统/etc/ssh/sshd_configprotocal权限设置为2,重启sshd服务#stopsrc-ssshd
#startsrc-ssshd
7.安装完成后,就可使用ssh和sftp命令了,命令格式为
8.
#ssh[options]host[command]
其中,options可使用-lusername参数以及-pport参数,username为远程主机用户名,port为端口。
#sftpusername@host,其中username为远程主机用户名,host为远程主机IP地址。
(三十一)部署NTP服务(生产环境必须设置,研发测试环境供参考)
(三十二)
1.ftp至该网段的综合管理服务器,在/home/xtjk/ntp目录下获取配置文件/etc/rc.d/rc2.d/Sntpd,/etc/ntp.conf,ntp_aix.sh的tar包(不同机构,sh文件内SERVER_IP时间服务器地址可能不同),例如至12网段综合管理服务器上取得ntp_aix_12client.tar,并在本机上解tar。
2.
3.ps-ef|grep-vroot确认无应用和数据库后,使用ntp_aix.sh进行NTP部署
4.
5.启动服务后可以用以下命令查看同步状态:
6.
ntpq-cpe,查看IP地址前是否有*,有这个标记后表示已经锁定时间源。
ntpq-crv,查看stratum是否为2,为2代表已经锁定时间服务器,查看rootdispersion是否慢慢收敛,小于10(ms)就收敛的很好了,同步一天后可能会收敛到1(ms)以下,不过收敛的程度和网络状况相关。
(三十三)部署生产系统操作系统自动备份脚本(生产环境必须设置,研发测试环境供参考)
(三十四)
在客户端上部署操作系统自动备份,定期进行操作系统备份,并统一上传至该网段的综合管理服务器,对于该网段没有综合管理服务器的客户端,则要求定期使用磁带或其它方式进行操作系统备份。
当客户端的操作系统需使用备份恢复安装时,使用NIMSERVER从该网段的综合管理服务器恢复安装。
1.在本地datavg上建立20G的系统备份空间/xtbf
2.
#lsvgdatavg,查看本机datavg剩余空间大小,以及每PP的大小
#smitlv->AddaLogicalVolume->
VOLUMEGROUPname[datavg],
LogicalvolumeNAME[xtbflv];,
NumberofLOGICALPARTITIONS[160](根据各服务器PP大小而定),
PHYSICALVOLUMEnames[hdisk1,hdisk3],
LogicalvolumeTYPE[jfs2],
NumberofCOPIESofeachlogicalpartition2.
#smitfs->Add/Change/Show/DeleteFileSystems->EnhancedJournaledFileSystems->AddanEnhancedJournaledFileSystemonaPreviouslyDefinedLogicalVolume->
LOGICALVOLUMEname[xtbflv],
MOUNTPOINT[/xtbf],
MountAUTOMATICALLYatsystemrestart?
[yes]
#mount/xtbf
#chownroot:
system/xtbf
#chmod755/xtbf
3.从该生产网段综合管理服务器上用xtjk用户到/xtbf/bin目录上传自动备份脚本xtbfcli.sh到本机的/xtbf/bin目录.
4.
#cd/xtbf
#mkdirbin
#chownroot:
system/xtbf/bin
#chownroot:
systemxtbfcli.sh
#chmodu+xxtbfcli.sh
5.用root用户,配置自动备份crontab
6.
#crontab-e
01223,6,9,12*nohupsh/xtbf/bin/xtbfcli.sh&(每季度最后一个月的22号执行自动备份脚本,备份具体时间选择在应用低峰期进行)
四、操作系统的安全设置步骤
(一)关闭所有不必要的系统服务进程
(二)
操作系统的安全设置原则是:
关闭所有不必要的系统服务进程,仅保留应用上需要并且经过安全认证的服务进程。
1.设置inetd超级服务进程配置文件/etc/inetd.conf,停止所以不需要的服务,
注释所有的行项,如ftp、telnet、shell、kshell、login、klogin、exec、ntalk、daytime、time、wsmserver、xmquery,dtspcd,cmsd,ttdbserver等服务。
如果有安装PowerHA7.1,则caa_cfg服务必须打开。
修改inetd.conf文件后,刷新inetd服务进程。
#refresh-sinetd
#lssrc-lsinetd
2.同时编辑/etc/inittab文件,注释掉qdaemon、writesrv、platform_agent、hrd、aso、pconsole、cas_agent(使用:
进行注释),系统重启时就不再启动qdaemon、writesrv等服务进程。
3.
4.除了syslogd,inetd这两个服务进程外,关闭sendmailportmapsnmpddpid2hostmibdsnmpmibdaixmibd等所有服务和tcpip类服务进程,在/etc/rc.tcpip文件中注释掉启动这些服务的行。
5.
#vi/etc/rc.tcpip
注释掉除了syslogd,inetd行以外的所有服务进程。
手工关闭snmp服务
#stopsrc-ssnmpd
6.关闭nfs(网络文件服务)类服务进程,并设置为现在和重启后都关闭该服务进程。
7.
#smitrmnfs
stopnfsSTOPNFSnow,systemrestartorboth选择both
8.关闭spooler打印服务类进程。
9.
执行stopsrc-gspooler
10.例如ctrmc,clcomd,clconfd等这些服务是较新版本操作系统上的CAA资源子系统的daemon,PowerHA/SSA/虚拟化管理等需要用到这些服务,不建议关闭。
用于机器资源管理rsct_rm类进程不建议关闭。
11.
12.如果有安装PowerHA7.1,确认/etc/inittab文件中的clcomd服务已打开,以及/etc/inetd.conf文件中caa_cfg服务已打开。
若未打开,需手动开启。
13.
#lssrc-gcaa查看CAA状态
#starsrc-gcaa,进行手工启动
修改inetd.conf文件后,刷新inetd服务进程
#refresh-sinetd
#lssrc-lsinetd查看caa_cfg服务状态
14.在启用CDE环境的服务器上必须启动portmap服务,在配置NFS服务时,portmap服务也会自动启动。
15.
16.以上设置完成后,进行严格检查工作,如发现还有开放的端口,应该查明是否为应用上需要开放的端口,否则一律进行关闭处理。
(stopsrc-swritesrv,lpd,sendm