BCLinux Spacewalk 2.6 Release Notes

安装

有关 Spacewalk 2.6 服务器安装的信息可查阅： 《Spacewalk 安装说明》。
有关 Spacewalk 2.6 客户端安装的信息可查阅： 《Spacewalk 客户端安装说明》。

Spacewalk 服务端仓库位置：

• http://mirrors.bclinux.org/bclinux/spacewalk/6
• http://mirrors.bclinux.org/bclinux/spacewalk/7

Spacewalk 客户端仓库位置：

• http://mirrors.bclinux.org/bclinux/spacewalk-client/6
• http://mirrors.bclinux.org/bclinux/spacewalk-client/7

主要功能

Spacewalk 的功能包括：

• 系统清单（ 硬件和软件信息 ）
• 在你的系统上安装和更新软件
• 安全更新提醒（邮件和页面公告）
• 收集和发布自定义软件包到管理组
• 准备（ 通过 kickstart ）你的系统
• 管理和部署配置文件到你的系统
• 准备和启动/停止/配置虚拟客户机
• 跨多个地理位置高效地分发内容

API 总览

• actionchain
• activationkey
• api
• auth
• channel
• channel.access
• channel.org
• channel.software
• configchannel
• distchannel
• errata
• kickstart
• kickstart.filepreservation
• kickstart.keys
• kickstart.profile
• kickstart.profile.keys
• kickstart.profile.software
• kickstart.profile.system
• kickstart.snippet
• kickstart.tree
• org
• org.trusts
• packages
• packages.provider
• packages.search
• preferences.locale
• proxy
• satellite
• schedule
• sync.master
• sync.slave
• system
• system.config
• system.crash
• system.custominfo
• system.provisioning.snapshot
• system.scap
• system.search
• systemgroup
• user
• user.external

1. 频道管理

频道是一系列软件包的集合，它可以包含 BCLinux 发行版的软件包，也可以包含一些应用程序的软件包。用户也可以根据需求自定义一个包含特定软件包的频道。
客户端可以订阅某个频道来下载、更新和安装软件包，获取相应的安全更新提醒。频道链接到上游的服务器（正常的 YUM 仓库）。
一个频道可以链接到多个仓库，可以被克隆、同步以及自定义。
频道的类型有两种：

1. 基础频道
2. 子频道

基础频道包含基于特定架构的软件包。子频道是与基础频道相关联、包含额外软件包的频道。
一个客户端只能订阅一个基础频道，但是可以订阅某个基础频道的多个子频道。

1.1 新建频道

登录 Spacewalk 的管理页面，如下顺序新建：

频道 -> 管理软件频道 -> 创建频道

本例中新建频道，用于BCLinux 7 系统的软件更新：

其中父频道为“无”表示新建的为基础频道。

1.2 新建库

新建的频道是空的，没有任何软件包，可为频道添加库。
如下顺序新建库：

频道 -> 管理软件频道 -> 管理软件包 -> 创建存储库

举例，添加 BCLinux 7 的在线库：

1.3 为频道添加库

为了在 Spacewalk 上使用库，需要将库添加到频道中，可以根据需要为一个频道添加多个库。
选择你要管理的软件频道，有两种方式添加库：

1. 新建库（方法见1.2节）
2. 选择添加已有的库

1.4 库同步

源存储库会根据升级、安全及bug修复进行更改或者更新，因此 spacewalk 的库要定期进行同步，以确保当前的软件包是最新的。

1.4.1 手动同步

添加库后可进行同步，将库中的软件同步到现有的频道中：

也可以在服务器端使用命令进行同步更新：

~]# spacewalk-repo-sync --channel bclinux7 --type yum

一般第一次同步的时候时间按比较长，可点击以下图标查看更新日志：

也可以查看进程是否包含：

~]# ps -ef | grep sync
root      20208  16376 49 19:07 ?        00:11:16 /usr/bin/python -u /usr/bin/spacewalk-repo-sync --channel bclinux7 --type yum
root      22946   2103  0 19:30 pts/0    00:00:00 grep --color=auto sync

同步完成后，查看频道软件包情况：

1.4.2 自动化同步

可以选择调度进行自动化的同步：

2. 创建激活码

激活码是用来注册系统的,其他系统可使用该激活码注册到指定机构。

创建激活码顺序如下：
系统 -> 激活码 -> 创建密钥

选择该激活码允许系统注册的频道：

注：任何使用该激活码注册的系统将自动订阅上面选择的基本频道。

点击“生成激活码” 后，可查看秘钥（ 该秘钥用于后面客户端注册 ）：

3. 管理组

Spacewalk 可以以组的形式管理系统，可以对系统进行批量的更新。

3.1 创建组

点击新建：

填写新建组的组名和描述：

新建的组的信息如下：

3.2 添加系统到组

可以在组中添加目的系统：

也可以为系统选择要加入的组群：

3.3 批量管理

点击 System Set Manager - > 系统查看所选系统：

3.3.1 升级软件包

查看可升级的软件包列表，选择需要升级的软件包：

确认升级：

查看软件包升级完成情况：

3.3.2 安装软件包

选择需要安装的软件包：

确认安装：

查看软件包安装完成情况：

4. OSAD(即时执行更新)

• osa-dispatcher

这是服务器端的服务，用于决定哪个运行 osad 实例的客户端需要被 ping 到或运行 rhn_check ，由此把消息传送到客户端。

• osad

这是客户端的服务，用于响应服务器的 ping 请求，收到 osa-dispatcher 发来的消息时，自动运行 rhn_check 以响应服务器端的事件。

• jabberd

osad 和 osa-dispatcher 都连接到这个守护进程进行消息交互，该进程同时处理鉴权。

安装部署

服务器端安装：

SpaceWalk 服务器端默认已经安装并启动了 osa-dispatcher 和 jabberd 。
​
可查看状态：

~]# systemctl status osa-dispatcher
● osa-dispatcher.service - OSA Dispatcher daemon
   Loaded: loaded (/usr/lib/systemd/system/osa-dispatcher.service; enabled; vendor preset: disabled)
   Active: active (running) since Wed 2017-03-15 10:49:08 CST; 6h ago
  Process: 25894 ExecStart=/usr/sbin/osa-dispatcher --pid-file /var/run/osa-dispatcher.pid (code=exited, status=0/SUCCESS)
  Process: 25891 ExecStartPre=/bin/rm -f /var/run/osa-dispatcher.pid (code=exited, status=0/SUCCESS)
 Main PID: 25896 (osa-dispatcher)
   CGroup: /system.slice/osa-dispatcher.service
           └─25896 /usr/bin/python -s /usr/sbin/osa-dispatcher --pid-file /var/run/osa-dispatcher.pid

Mar 15 10:49:08 node001-dev-bclinux.novalocal systemd[1]: Starting OSA Dispatcher daemon...
Mar 15 10:49:08 node001-dev-bclinux.novalocal systemd[1]: Started OSA Dispatcher daemon.

~]# systemctl status jabberd
● jabberd.service - Jabber Server
   Loaded: loaded (/usr/lib/systemd/system/jabberd.service; enabled; vendor preset: disabled)
   Active: active (exited) since Wed 2017-03-15 10:48:17 CST; 6h ago
  Process: 25620 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
 Main PID: 25620 (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/jabberd.service

Mar 15 10:48:17 node001-dev-bclinux.novalocal systemd[1]: Starting Jabber Server...
Mar 15 10:48:17 node001-dev-bclinux.novalocal systemd[1]: Started Jabber Server.

需保证 osa-dispatcher 和 jabberd 在 Spacewalk 服务器中已安装并且启动。

客户端安装：

安装 osad：

~]# yum install -y osad

~]# sed -i 's:osa_ssl_cert =:osa_ssl_cert = /usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT:' /etc/sysconfig/rhn/osad.conf
~]# yum install -y python-hashlib

启动 osad 并设置开启启动：

~]# systemctl start osad
~]# systemctl enable osad

启动后在管理页面查看客户端：

状态更新：

5. 远程命令

Spacewalk 支持远程在客户端执行命令，选择目标系统查看：

根据以上提示在目标系统中安装软件包：

~]# yum install -y rhncfg-actions

允许远程执行脚本：

~]# rhn-actions-control --enable-run

如果不执行该命令远程执行命令会出错：

关于以上命令的查看相关帮助：

~]#  rhn-actions-control --help
Usage: rhn-actions-control [options]

Options:
  --enable-deploy       Allow rhncfg-client to deploy files.
  --enable-diff         Allow rhncfg-client to diff files.
  --enable-upload       Allow rhncfg-client to upload files.
  --enable-mtime-upload
                        Allow rhncfg-client to upload mtime.
  --enable-run          Allow rhncfg-client the ability to execute remote
                        scripts.
  --enable-all          Allow rhncfg-client to do everything.
  --disable-deploy      Disable deployment.
  --disable-diff        Disable diff.
  --disable-upload      Disable upload.
  --disable-mtime-upload
                        Disable mtime upload.
  --disable-run         Disable remote script execution.
  --disable-all         Disable all options.
  -f, --force           Force the operation without confirmation
  --report              Report the status of the mode settings (enabled or
                        disabled)
  -h, --help            show this help message and exit

在目标系统中安装完后，输入远程要执行的脚本：

查看事件显示调度成功：

登录到目标系统中查看是否正确：

 ~]# cat /tmp/test 
 Hello BCLinux  

6. OpenSCAP

安装：

~]# yum install -y spacewalk-oscap
~]# yum install -y openscap-utils scap-security-guide

配置一个调度：

查看调度成功：

查看详情：

7. 系统配置

Spacewalk 可以用对各节点机器进行配置。

7.1 新建管理频道

新建配置频道：

填写频道信息：

创建配置文件：

7.2 系统订阅管理频道

选择要订阅的频道，继续：

7.3 部署文件

选择要部署的文件：

调度：

查看调度结果：

到目标系统查看：

~]#  cat /tmp/test.conf 
Hello BCLinux !

配置成功。

8. 勘误管理

勘误是发行版厂商（RHEL、BCLinux 等）发布的关于安全更新、bug 修复等的修复方案，可以被引入到Spacewalk 中，并以 email 、 页面公告的方式表明哪些系统/软件包收到了影响。

如果使用 BCLinux 的源，用户可通过管理平台查看所有系统的安全更新：

可以查看某个安全更新的详细信息：

查看受影响的软件包：

还可以查看受影响的系统，并可以批量地应用安全更新至目的系统进行更新修复：

用户还可以查看所有的安全更新，比如查看 BCLinux 7 系统至今为止发布的所有安全更新：

除此之外，用户可以查看与某个系统相关的所有安全更新，自主选择应用安全更新到当前系统进行修复：

9. 基于角色的访问控制

集群管理平台账户分为机构管理员和普通用户，机构管理员拥有所有系统分组的权限，并可设置普通用户对系统分组的访问权限。

机构管理员登录管理页面，为普通用户分配系统组群的访问权限：

普通用户登录页面，只显示有访问权限的系统组群：

基于角色的控制，确保用户只能管理他们拥有访问权限的系统组中的系统。

10. 软件包管理

系统在注册的时候需订阅一个基础频道，这个频道的作用相当于我们平时系统中使用的 yum 源，用户可通过管理平台对订阅的频道中所有的软件进行管理，并可批量地安装软件包至目的系统。

例如，查看 BCLinux 7 中所有的软件包：

查看某个软件的信息：

批量安装该软件：

用户可对某个系统的软件包进行管理，操作包括：查看、删除、安装、升级、验证等。

1. 用户管理

1.1 创建、停用和删除用户

管理员可通过管理页面的“用户”分页来管理所有用户。

• 创建用户

点击创建用户，填写信息：

账号创建成功后，在用户列表中选择相应用户，可修改该用户的信息、权限等（具体参阅 1.2 节）：

• 停用和重新激活用户

在用户列表中选择要停用的用户并取消激活：

如果想重新激活该用户，在取消激活的列表中找到想激活的用户并激活：

• 删除用户

在用户列表中选择要删除的用户并删除：

已删除的用户无法重新激活。

1.2 用户管理

管理员可在用户列表中选择用户修改其信息、权限等：

用户角色可用来代表代表用户的职责，Spacewalk 中主要分为两类：

管理角色

• 机构管理员：拥有其机构的管理权限，例如管理用户、系统及频道。
• Spacewalk 管理员：权限包括管理机构、管理订阅、配置全域的设置。该角色不能在用户的“细节”中进行指定。

角色

• 激活码管理员：拥有激活码的管理权限，例如新建、修改和删除激活码。
• 配置管理员：拥有管理频道的管理权限，可以执行组织中的频道和管理配置工作。
• 频道管理员：拥有软件频道的管理权限，例如新建、管理频道中软件等。
• 系统组管理员：拥有系统和系统组的管理权限，例如新建、删除系统组群，新增系统至组群等。

2. 机构

Spacewalk 管理员可以新建新的机构，为机构创建一个新的登录。机构管理员可指定群组、系统及其机构的用户。

2.1 新建机构

按照管理 -> 机构顺序，选择“创建机构”新建：

新建成功后，可在“机构”中查看到该机构。

2.2 建立机构信托关系

机构可通过建立机构信托关系来共享资源。
机构信托关系是由 Spacewalk 管理员来定义的。一旦两个或者更多机构之间建立了信托关系，各机构的管理员便可根据需求共享资源。各机构管理员必须决定共享哪些资源。

Spacewalk 管理员在依次点击管理 -> 机构，在机构列表中选择要修改的机构，在“信托”中选择该机构信任的组织，并更新：

这样BC-Linux 和 CMSS 这两个机构就建立了信托关系，BC-Linux机构管理员登录页面，查看共享频道 ：

可看到其信任机构提供的频道。

需要注意的是并不是每个频道都是可以共享的，频道有三种机构共享设置供选择：

1. 专用：表明任何其他机构不能访问
2. 受保护：表明只能由特定可信的机构访问
3. 公用：表明该机构信托的可信机构都可以访问

机构管理员可顺序点击频道 -> 管理软件频道，选择需要设置的频道，在“细节”中修改以上设置。

Spacewalk 客户端注册说明

设置 Spacewalk Client 仓库

项目的 RPM 包可在 BCLinux 的镜像网站下载：

• http://mirrors.bclinux.org/

可通过如下方式简单设置使用 BCLinux 的 Spacewalk Client 仓库：

BCLinux 6 (x86_64)

~]# vi /etc/yum.repos.d/spacewalk.repo 
[spacewalk]
name=Spacewalk
baseurl=http://mirrors.bclinux.org/bclinux/spacewalk-client/6/x86_64/
enabled=1
gpgcheck=0

BCLinux 7 (x86_64)

~]# vi /etc/yum.repos.d/spacewalk.repo 
[spacewalk]
name=Spacewalk
baseurl=http://mirrors.bclinux.org/bclinux/spacewalk-client/7/x86_64/
enabled=1
gpgcheck=0

另外，Spacewalk 客户端安装过程需要额外的软件包，可通过使用 BCLinux 的 EPEL 仓库来获取这些软件包：

BCLinux 6 (x86_64)

 ~]# vi /etc/yum.repos.d/EPEL.repo
[epel]
name=Extra Packages for Enterprise Linux 6 - $basearch
baseurl=http://mirrors.bclinux.org/fedora/fedora-epel/$releasever/$basearch
failovermethod=priority
enabled=1
gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-6

BCLinux 7 (x86_64)

 ~]# vi /etc/yum.repos.d/EPEL.repo
[epel]
name=Extra Packages for Enterprise Linux 7 - $basearch
baseurl=http://mirrors.bclinux.org/fedora/fedora-epel/$releasever/$basearch
failovermethod=priority
enabled=1
gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7

安装 Spacewalk 客户端所需的软件包:

~]# yum --enablerepo=epel -y install rhn-client-tools rhn-check rhn-setup rhnsd m2crypto yum-rhn-plugin

安装 Spacewalk 服务器上的 CA 签名，这样客户端可使用 SSL 与服务器进行联系：

~]# yum -y install http://node001-dev-bclinux.novalocal/pub/rhn-org-trusted-ssl-cert-1.0-1.noarch.rpm

注册系统到 Spacewalk 服务器：

~]# rhnreg_ks --serverUrl=https://node001-dev-bclinux.novalocal/XMLRPC --sslCACert=/usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT --activationkey=1-bclinux7

其中 activationkey 要与之前生成的激活码保持一致。

注册成功后可查看管理页面是否注册成功：

Spacewalk 安装说明

基础环境准备

• 开放 80 和 443 端口，如果需要推送操作到客户端，开放 5222 端口，如果使用 tftp 则开放 69/udp 端口；
• 数据库存储：每个客户端为 250KiB 、每个频道为 500KiB、 频道中每个包为 230KiB；
• 包存储（默认存放于/var/satellite）：取决于存储的内容，推荐每个频道为 6 GB；
• 最低 2GB 内存，推荐 4GB；
• 保证你的底层操作系统是最新的

设置 Spacewalk 仓库

项目的 RPM 包可在 BCLinux 的镜像网站下载：

• http://mirrors.bclinux.org/

可通过如下方式简单设置使用 BCLinux 的 Spacewalk 仓库：

BCLinux 6 (x86_64)

~]# vi /etc/yum.repos.d/spacewalk.repo 
[spacewalk]
name=Spacewalk
baseurl=http://mirrors.bclinux.org/bclinux/spacewalk/6/x86_64/
enabled=1
gpgcheck=0

BCLinux 7 (x86_64)

~]# vi /etc/yum.repos.d/spacewalk.repo 
[spacewalk]
name=Spacewalk
baseurl=http://mirrors.bclinux.org/bclinux/spacewalk/7/x86_64/
enabled=1
gpgcheck=0

另外，Spacewalk 需要 JVM 1.6.0 或更高版本，可通过使用 BCLinux 的 EPEL 仓库来获取额外的软件包：

BCLinux 6 (x86_64)

 ~]# vi /etc/yum.repos.d/EPEL.repo
[epel]
name=Extra Packages for Enterprise Linux 6 - $basearch
baseurl=http://mirrors.bclinux.org/fedora/fedora-epel/$releasever/$basearch
failovermethod=priority
enabled=1
gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-6

BCLinux 7 (x86_64)

 ~]# vi /etc/yum.repos.d/EPEL.repo
[epel]
name=Extra Packages for Enterprise Linux 7 - $basearch
baseurl=http://mirrors.bclinux.org/fedora/fedora-epel/$releasever/$basearch
failovermethod=priority
enabled=1
gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7

数据库服务器

Spacewalk 使用数据库服务器存储主数据。它支持 PostgreSQL（8.4 及更高版本）和 Oracle RDBMS（10g 及更高版本）。

PostgreSQL

PostgreSQL 可由 Spacewalk 设置，用户无需通过手动干预即可让 Spacewalk 在机器上安装设置 PostgreSQL：

~]# yum -y install spacewalk-setup-postgresql

你也可以自行安装设置 PostgreSQL。

Oracle

为了让 Spacewalk 后端运行 Oracle 数据库，需要满足：

• Spacewalk 机器上需要安装即时客户端 11.2.0.4.0
• Oracle 数据库服务器版本为 10g 和 11g

可以到 Oracle 官网下载免费的 Oracle 11g XE 数据库服务器进行安装。

安装 Spacewalk

如果使用 PostgreSQL 数据库服务器，安装如下：

~]# yum -y install spacewalk-postgresql 

如果使用 Oracle 数据库服务器，安装如下：

~]# yum -y install spacewalk-oracle 

防火墙配置

Spacewalk 需要开启多个流入端口，如果当前 Spacewalk 服务器上防火墙是开启的，需要使用 firewall-cmd 或者编辑 /etc/sysconfig/iptables 添加开放 80 和 443 端口。
如果需要推送操作到客户端，开放 5222 端口，如果使用 tftp ，则开放 69/udp 端口。

Spacewalk 服务器配置

Spacewalk 服务器应具有可解析的完全合格域名（FQDN），如 manager.bclinux.org。

安装了 Spacewalk RPM 后，你需要对应用程序进行配置，可以手动或者通过应答文件来配置。

手动配置

如果已经安装了 spacewalk-setup-postgresql，并且希望 Spacewalk 使用 PostgreSQL，运行：

~]# spacewalk-setup

如果你自行安装设置了 PostgreSQL，运行：

~]# spacewalk-setup --external-postgresql

如果你自行安装设置了 Oracle，运行：

~]# spacewalk-setup --external-oracle

如果使用 PostgreSQL，初始化设置示例如下：

~]# spacewalk-setup
* Setting up SELinux..
** Database: Setting up database connection for PostgreSQL backend.
** Database: Installing the database:
** Database: This is a long process that is logged in:
** Database:   /var/log/rhn/install_db.log
*** Progress: ####
** Database: Installation complete.
** Database: Populating database.
*** Progress: ###########################
* Configuring tomcat.
* Setting up users and groups.
** GPG: Initializing GPG and importing key.
** GPG: Creating /root/.gnupg directory
You must enter an email address.
Admin Email Address? root@localhost
* Performing initial configuration.
* Configuring apache SSL virtual host.
Should setup configure apache's default ssl server for you (saves original ssl.conf) [Y]? Y
** /etc/httpd/conf.d/ssl.conf has been backed up to ssl.conf-swsave
* Configuring jabberd.
* Creating SSL certificates.
CA certificate password? 
Re-enter CA certificate password? 
Organization? cmss
Organization Unit [manager.bclinux.org]? 
Email Address [root@localhost]? 
City? suzhou
State? china
Country code (Examples: "US", "JP", "IN", or type "?" to see a list)? CH
** SSL: Generating CA certificate.
** SSL: Deploying CA certificate.
** SSL: Generating server certificate.
** SSL: Storing SSL certificates.
* Deploying configuration files.
* Update configuration in database.
* Setting up Cobbler..
Cobbler requires tftp and xinetd services be turned on for PXE provisioning functionality. Enable these services [Y]? Y
* Restarting services.
Installation complete.
Visit https://manager.bclinux.org to create the Spacewalk administrator account.

如果 spacewalk-setup 过程失败，根据错误提示进行检查，也可以查看 /var/log/rhn 目录下、数据库、 Http 服务器、Tomcat 的日志进行排查。

通过应答文件配置

同样，可以通过应答文件来进行配置，命令如下：

spacewalk-setup --answer-file=<FILENAME>

如果使用 PostgreSQ，应答文件内容示例如下：

admin-email = root@localhost
ssl-set-org = Spacewalk Org
ssl-set-org-unit = spacewalk
ssl-set-city = My City
ssl-set-state = My State
ssl-set-country = US
ssl-password = spacewalk
ssl-set-email = root@localhost
ssl-config-sslvhost = Y
db-backend=postgresql
db-name=spaceschema
db-user=spaceuser
db-password=spacepw
db-host=localhost
db-port=5432
enable-tftp=Y

spacewalk-setup 完成后，浏览器打开 http://Spacewalk 创建管理员用户：

管理 Spacewalk 服务

Spacewalk 由几项服务组成，它们每个都有自己的 init.d 脚本来停止/启动/重新启动。如果想要同时管理这些服务，可使用以下命令：

spacewalk-service {start|stop|status|reload|restart|enable|disable}

BCLinux 容器应用镜像-Nginx

nginx 是什么?

nginx ("engine x") 是一个开源的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器。

• 作为 web 服务器：相比较于 Apache，nginx 使用更少的资源，支持更多的并发连接，体现更高的效率，这点使 nginx 尤为受到虚拟主机提供商的欢迎，能够支持高达 50000 个并发的连接数的响应。

• 作为负载均衡服务器：nginx 既可以在内部直接支持 Rails 和 PHP,也可以支持作为 HTTP 代理服务器对外惊醒服务，nginx 用 C 语言编写，不论是系统资源开销还是 CPU 使用效率都比 Perlbal 要好的多。

• 作为邮件代理服务器：nginx同时也是一个非常优秀的邮件代理服务器。（最早开发这个产品的目的之一也是作为邮件代理服务器）。

• Nginx安装非常简单，配置文件非常简介（还能够支持perl语法 ），Bugs非常少的服务器，Nginx启动特别容易，并且几乎可以做到7*24不间断运行，即使运行数月也不需要重新启动。

• 能够在不间断服务的情况下进行软件版本平滑升级。

安装

• 从BCLinux提供的镜像仓库拉取最新的 nginx 容器镜像：

    docker pull bclinux/nginx:latest
  

• 也可以通过docker build本地建立nginx镜像：

    docker build -t bclinux/nginx:latest git@gitlab.cmss.com:linux/bclinux-docker-nginx.git
  

运行

• Docker

    docker run --name nginx bclinux/nginx:latest
  

• Docker Compose

  version: '2'
  
    services:
      nginx:
      image: 'bclinux/nginx:latest'
      ports:
        - '80:80'
  

主机上访问服务器

如果要从主机访问 web 服务器，用户可以使用 docker 将容器中暴露的 80 及 443 端口映射到主机上的随机端口：

# docker run -d --name nginx -P bclinux/nginx:latest

运行 docker port 查看随机分配的端口：

# docker port nginx
443/tcp -> 0.0.0.0:32776
80/tcp -> 0.0.0.0:32777

用户也可以指定映射的端口：

# docker run -d -p 80:80 -p 8443:443  bclinux/nginx:latest

这样就可以通过本机的 80 端口访问 nginx (http://YOUR-HOST-IP:80)：

数据持久化

默认情况下如果删除容器，该容器中 nginx 配置和部署文件都将丢失，为了避免这种情况发生，本镜像可以通过映射数据卷的方式来保证数据的不丢失。

nginx 镜像中的 /usr/share/nginx/html 目录用于存放部署文件。
配置文件 nginx.conf 默认包含了 /etc/nginx/conf.d 目录中所有 *.conf。
用户可以挂载本地目录(分别包含自定义虚拟主机配置文件和部署文件)到容器的/etc/nginx/conf.d 和 /usr/share/nginx/html：

# docker run -d \
 -v /path/to/nginx-persistence/conf.d:/etc/nginx/conf.d \
 -v /path/to/nginx-persistence/html:/usr/share/nginx/html \
 bclinux/nginx:latest

或者使用 Docker Compose:

version: '2'

services:
  nginx:
    image: 'bclinux/nginx:latest'
    ports:
      - '8080:80'
      - '8443:443'
    volumes:
      - /path/to/nginx-persistence/conf.d:/etc/nginx/conf.d
      - /path/to/nginx-persistence/html:/usr/share/nginx/html

添加配置文件后，需要重启 nginx 容器使配置生效：

# docker restart nginx

或者使用 Docker Compose：

# docker-compose restart nginx

使用 Docker Compose

Docker Compose 是一个用来定义和运行复杂应用的 Docker 工具。使用 Compose，你可以在一个文件中定义一个多容器应用，然后使用一条命令来启动你的应用，完成一切准备工作。
例如，可以通过本镜像启动一个 ngin 容器，首先创建 Docker Compose 配置文件 docker-compose.yml，内容如下：

version: '2'

services:
  nginx:
    restart: always
    image: 'bclinux/nginx:latest'
    ports:
      - '80'
      - '443'

通过容器就可以直接启动容器：

docker-compose up -d

通过scale参数可以弹性增加/减少容器的数量，例如下面命令将数量增加到3个：

# docker-compose scale nginx=3
Creating nginx_nginx_1 ... 
Creating nginx_nginx_2 ... 
Creating nginx_nginx_3 ... 
Creating nginx_nginx_1 ... done
Creating nginx_nginx_2 ... done
Creating nginx_nginx_3 ... done

查看：

# docker ps
CONTAINER ID        IMAGE                   COMMAND                  CREATED             STATUS              PORTS                                           NAMES
d539dd4cc27d        bclinux/nginx:latest    "/bin/sh -c 'nginx..."   33 seconds ago      Up 32 seconds       0.0.0.0:32776->80/tcp, 0.0.0.0:32775->443/tcp   nginx_nginx_3
08e9ad306dbf        bclinux/nginx:latest    "/bin/sh -c 'nginx..."   33 seconds ago      Up 32 seconds       0.0.0.0:32774->80/tcp, 0.0.0.0:32773->443/tcp   nginx_nginx_2
05f84280d807        bclinux/nginx:latest    "/bin/sh -c 'nginx..."   34 seconds ago      Up 31 seconds       0.0.0.0:32778->80/tcp, 0.0.0.0:32777->443/tcp   nginx_nginx_1

查看日志

nginx 容器镜像将容器的日志发送到 stdout，查看日志：

# docker logs nginx

或者使用 Docker Compose:

# docker-compose logs nginx

用户也可以使用 --log-driver 选项配置容器的日志驱动，默认情况下，--log-driver 配置值为 json-file 。

BCLinux 容器应用镜像-Tomcat

Tomcat 是什么？

Tomcat 是由 Apache 软件基金会下属的Jakarta项目开发的一个开源的 web 应用服务器和 Servlet 容器,实现了对 Servlet 和 JavaServer Page（JSP）的支持，可提供纯 java HTTP Web 服务器环境，并提供了作为 Web 服务器的一些特有功能，如 Tomcat 管理和控制平台、安全域管理和Tomcat阀等。

安装

• 从 BCLinux 提供的镜像仓库拉取最新的 Tomcat 容器镜像：

    docker pull bclinux/tomcat:latest
  

• 也可以通过 docker build 本地建立 Tomcat 镜像：

    docker build -t bclinux/tomcat:latest git@gitlab.cmss.com:linux/bclinux-docker-tomcat.git
  

运行

• Docker

    docker run --name tomcat bclinux/tomcat:latest
  

• Docker Compose

  version: '2'
  
  services:
    tomcat:
      image: 'bclinux/tomcat:latest'
      ports:
        - '8080:8080'
  

主机访问 Tomcat 服务器

如果要从主机访问 web 服务器，用户可以使用 docker 将容器中的 8080 端口映射到主机上的随机端口：

docker run -d --name tomcat -P bclinux/tomcat:latest

运行 docker port 查看随机分配的端口：

# docker port tomcat
8080/tcp -> 0.0.0.0:32768

用户也可以指定映射的端口：

# docker run -p 8080:8080 bclinux/tomcat:latest

这样就可以通过本机的8080 端口访问 tomcat (http://YOUR-HOST-IP:8080)：

Tomcat 上部署 web 应用

/var/lib/tomcat/webapps 目录是 Tomcat 的 webapps 部署目录，用户可以拷贝非压缩的 web 应用程序，也可以拷贝应用程序的压缩包(.war),Tomcat 会自动解压部署。

拷贝本地应用程序到 tomcat 容器中：

# docker cp /path/to/app.war tomcat:/var/lib/tomcat/webapps

Tomcat 数据持久化

默认情况下如果删除容器，该容器中 Tomcat 配置和部署文件都将丢失，为了避免这种情况发生，本镜像可以通过映射数据卷的方式来保证数据的不丢失。

Tomcat 镜像中/etc/tomcat 和 /var/lib/tomcat/webapps 数据卷分别对 Tomcat 配置和部署应用。为了持久化数据，用户可以将 Tomcat 容器中相应路径映射至宿主机某个目录：

 # docker run -d --name tomcat \
   -p 8080:8080 /
   -v /path/to/tomcat-conf-persistence:/etc/tomcat \
   -v /path/to/tomcat-web-persistence:/var/lib/tomcat/webapps \
   bclinux/tomcat

或者使用 Docker Compose 方式:

version: '2'

services:
  tomcat:
    image: 'bclinux/tomcat:latest'
    ports:
      - '8080:8080'
    volumes:
      - /path/to/tomcat-conf-persistence:/etc/tomcat
      - /path/to/tomcat-web-persistence:/var/lib/tomcat/webapps

使用 Docker Compose

Docker Compose 是一个用来定义和运行复杂应用的 Docker 工具。使用 Compose，你可以在一个文件中定义一个多容器应用，然后使用一条命令来启动你的应用，完成一切准备工作。
例如，可以通过本镜像启动一个 Tomcat 容器，首先创建 Docker Compose 配置文件 docker-compose.yml，内容如下：

version: '2'

services:
  tomcat:
    restart: always
    image: 'bclinux/tomcat:latest'
    ports:
      - '8080'
    environment:
      - TOMCAT_USERNAME=username
      - TOMCAT_PASSWORD=password
      - TOMCAT_ALLOW_REMOTE_MANAGEMENT=1

通过容器就可以直接启动容器：

docker-compose up -d

通过scale参数可以弹性增加/减少容器的数量，例如下面命令将数量增加到3个：

# docker-compose scale tomcat=3
Starting tomcat_tomcat_1 ... done
Creating tomcat_tomcat_2 ... 
Creating tomcat_tomcat_3 ... 
Creating tomcat_tomcat_2 ... done
Creating tomcat_tomcat_3 ... done

查看：

# docker ps
CONTAINER ID        IMAGE                   COMMAND             CREATED             STATUS              PORTS                               NAMES
63514224eda6        bclinux/tomcat:latest   "/sbin/tomcat.sh"   9 seconds ago       Up 7 seconds        8009/tcp, 0.0.0.0:32770->8080/tcp   tomcat_tomcat_3
c2f74f4864dd        bclinux/tomcat:latest   "/sbin/tomcat.sh"   9 seconds ago       Up 7 seconds        8009/tcp, 0.0.0.0:32769->8080/tcp   tomcat_tomcat_2
62d48fb09d07        bclinux/tomcat:latest   "/sbin/tomcat.sh"   22 seconds ago      Up 21 seconds       8009/tcp, 0.0.0.0:32768->8080/tcp   tomcat_tomcat_1

参数配置

Tomcat 镜像提供以下环境变量给用户自定义配置：

• TOMCAT_AJP_PORT ： AJP 端口，默认为 8009。
• TOMCAT_HTTP_PORT ： HTTP 端口，默认为 8080。
• TOMCAT_SHUTDOWN_PORT ：关闭端口服务，默认为 8005。
• TOMCAT_USERNAME ： 管理用户名。
• TOMCAT_PASSWORD ： 管理用户密码。
• TOMCAT_ALLOW_REMOTE_MANAGEMENT ：是否允许远程管理（0：禁止，1：允许），默认为允许。
• CATALINA_OPTS ：tomcat 环境变量（设置堆大小、gc日志等）。

例如，默认情况下镜像不会创建管理用户，用户可以在首次运行镜像时设置 TOMCAT_USERNAME 和 TOMCAT_PASSWORD 变量值,为管理员用户指定用户名和密码：

# docker run -d -p 8080:8080 \
  -e TOMCAT_USERNAME=your_username  \
  -e TOMCAT_PASSWORD=your_password  \
  bclinux/tomcat:latest

或者使用 Docker Compose 方式:

version: '2'

services:
  tomcat:
    image: 'bclinux/tomcat:latest'
    ports:
      - '8080:8080'
    environment:
      - TOMCAT_USERNAME=your_username
      - TOMCAT_PASSWORD=your_password

查看日志

Tomcat 容器镜像将容器的日志发送到 stdout，查看方式如下：

# docker logs tomcat

Java virtual machine used: /usr/lib/jvm/jre/bin/java
classpath used: /usr/share/tomcat/bin/bootstrap.jar:/usr/share/tomcat/bin/tomcat-juli.jar:/usr/share/java/commons-daemon.jar
main class used: org.apache.catalina.startup.Bootstrap
..
INFO: Starting ProtocolHandler ["http-bio-8080"]
May 26, 2017 4:15:09 PM org.apache.coyote.AbstractProtocol start
INFO: Starting ProtocolHandler ["ajp-bio-8009"]
May 26, 2017 4:15:09 PM org.apache.catalina.startup.Catalina start
INFO: Server startup in 3901 ms

或者使用 Docker Compose 方式：

# docker-compose logs tomcat

Attaching to tomcat
tomcat    | Java virtual machine used: /usr/lib/jvm/jre/bin/java
tomcat    | classpath used: /usr/share/tomcat/bin/bootstrap.jar:/usr/share/tomcat/bin/tomcat-juli.jar:/usr/share/java/commons-daemon.jar
tomcat    | main class used: org.apache.catalina.startup.Bootstrap
...
tomcat    | INFO: Starting ProtocolHandler ["http-bio-8080"]
tomcat    | May 26, 2017 3:55:18 PM org.apache.coyote.AbstractProtocol start
tomcat    | INFO: Starting ProtocolHandler ["ajp-bio-8009"]
tomcat    | May 26, 2017 3:55:18 PM org.apache.catalina.startup.Catalina start
tomcat    | INFO: Server startup in 3533 ms

Sentry 是一个实时的事件日志记录和聚合的平台，其专注于错误的监控。
Sentry Server 端是使用 python 语言开发的，源码开放，项目地址如下：
https://github.com/getsentry/sentry

安装

官方提供了两种方式：python 和 docker，但是最新官方已经弃用 python 方式，下面采用 docker 方式进行安装部署。
注：docker 版本需要 1.10+

安装 docker

# yum install docker

安装完成后，运行 docker --version 查看版本号并确认是否安装成功。

启动 docker 服务：

# systemctl start docker

常用 docker 命令：

• 查看 docker 版本： docker version
• 显示 docker 系统的信息： docker info
• 搜索镜像：docker search image_name
• 下载镜像： docker pull image_name
• 查看已下载的镜像： docker images
• 删除镜像： docker rmi image_name
• 启动容器： docker run image_name

安装 Sentry

运行 sentry 之前需要安装一些基本的服务进行通信，即 PostgreSQL 和 Redis。

• 启动一个 Redis 容器，命名为 sentry-redis：

  #  docker run -d --name sentry-redis redis
  

• 启动一个 Postgres 容器，命名为 sentry-postgres：

  # docker run -d --name sentry-postgres -e POSTGRES_PASSWORD=secret -e POSTGRES_USER=sentry postgres
  

• 生成一个 secret key:

  # docker run --rm sentry config generate-secret-key
  

生成的 key 用于下面配置和启动（ 替换下面 docker 命令中的 <secret-key> ）。

• 配置 Sentry：

  # docker run -it --rm -e SENTRY_SECRET_KEY='<secret-key>' --link sentry-postgres:postgres --link sentry-redis:redis sentry upgrade
  

过程中会让创建管理员账户：

• 启动 sentry(对外暴露 9000 端口)：

  # docker run -d --name my-sentry -e SENTRY_SECRET_KEY='<secret-key>' --link sentry-redis:redis --link sentry-postgres:postgres -p 9000:9000 sentry
  

• 启动 Celery cron 和 Celery workers：

  # docker run -d --name sentry-cron -e SENTRY_SECRET_KEY='<secret-key>' --link sentry-postgres:postgres --link sentry-redis:redis sentry run cron
  # docker run -d --name sentry-worker-1 -e SENTRY_SECRET_KEY='<secret-key>' --link sentry-postgres:postgres --link sentry-redis:redis sentry run worker 
  

浏览器打开：http://your_host_ip:9000，输入配置 Sentry 时设置的邮箱和密码：

示例

新建项目

首先在 sentry 的主界面上新建项目（ New Project ）：

创建成功后，进入 Configure your application 页面，选择你要使用的框架或者语言：

Sentry 不但支持多种语言，还直接支持大量的日志框架，比如 java 的 log4j ，logback 。这就意味着不需要修改之前的代码，仅仅加一点配置即可。

这里选择 Flask 为示例，sentry 会给出相关的配置方法:

项目新建完成后，会得到一个客户端 key（DSN），在工程中使用这个 key，就可以让程序运行中产生的错误提交到 sentry 平台。
查看项目的 DSN：

客户端测试

安装 pip：

# yum install python-pip 

安装依赖库：

# pip install raven[flask]

新建 app.py 文件：

#!/usr/bin/env python
# -*- coding:utf-8 -*-

from flask import Flask
from raven.contrib.flask import Sentry
app = Flask(__name__)

sentry = Sentry(
    app,
    dsn='http://e98b06b33a3b4bc4b68472fd3b90de4e:3a9594a4862949d494e6aa5897d85e65@10.139.7.3:9000/5'
)

@app.route('/')
def hello():
    # 变量
    a = 1
    b = 0

    try:
        a / b
    except Exception:
        sentry.captureException()
    return 'hello world !'

if __name__ == '__main__':
    app.run(port=9999)

运行该测试程序 ：

# python app.py    
* Running on http://127.0.0.1:9999/ (Press CTRL+C to quit)     

本地访问：

# links http://127.0.0.1:9999/

访问后错误信息会发送给 sentry，查看 sentry 面板，有提示：

同样的错误sentry 会进行归类，例如上图中 ZeroDivisionEroor有6个EVENTS。

点击查看错误详情：

其中出错的代码会高亮。

sentry 还有许多功能，例如，显示出错的频率柱状图、将错误指派给组织中的某个用户、给错误添加标签、查看这类错误事件的历史、标记错误为已解决、在错误下发表评论、警报等。

更多使用请查看： https://docs.sentry.io/

---

name: 基于BCLinux7.1搭建PXE网络安装环境

1. PXE介绍

PXE(Pre-boot Execution Environment)是由Intel公司开发的技术，支持主机（客户机）通过 远程主机提供的安装服务 安装操作系统。

1.1 PXE的基本工作原理

1. PXE客户机从 支持PXE功能的网卡 启动，向本网络中的DHCP服务器获取IP地址。
2. DHCP服务器返回分配给客户机的IP地址以及pxelinux.0文件的存放位置。
3. PXE客户机向本网络中的TFTP服务器索取pxelinux.0文件，并执行。
4. 从TFTP服务器获取pxelinux的配置文件pxelinux.cfg。
5. 客户机选择启动项，从TFTP服务器下载内核文件和initrd。
6. 加载内核，并启动安装过程。

为了提供PXE安装服务，需要在本地网络中开启如下服务：

1. DHCP服务
   为待安装机器分配IP地址，以及提供PXE安装所需要的其他信息。
2. TFTP服务
   用于提供PXE安装所需要的bootloader，内核镜像等文件。
3. HTTP(S)、NFS、FTP服务
   提供安装过程中所使用的安装源，支持HTTP(S)、NFS和FTP多种协议，本文以HTTP服务为例。

1.2 kickatart基本知识介绍

1、 红帽创建了kickstart安装方法，kickstart是一个利用Anconda工具实现服务器自动化安装的方法（对于anconda工具本文将不展开介绍，它其实就是RedHat、CentOS、Fedora等Linux系统的安装管理程序，大家在安装系统时进行的配置操作都是anconda工具提供的，请大家建立这个概念，不要与本文的内容相混淆）。

2、 通过生成的kickstart配置文件ks.cfg，服务器安装可以实现从裸机到全功能服务的的非交互式（无人值守式）安装配置；

3、 要开始kickstart安装,必须从制作的 引导介质 中引导系统,并输入在引导提示下 输入特殊的引导命令 。例如适用光盘安装系统（ks文件已在光盘中），在引导系统时的提示下输入：linux ks=cdrom:/ks.cfg 或者 修改 光盘启动引导配置文件 /isolinux/isolinux.cfg，实现光盘启动后自动安装，配置后的isolinux.cfg 文件如下。

label linux
menu label ^Install or upgrade an existing system
menu default
kernel vmlinuz
append initrd=initrd.img ks=ftp://192.168.1.8/ks.cfg //ks.cfg是kickstart安装配置文件，系统是按照ks.cfg来安装

4、 kickstart配置文件适用的场景众多，常用的主要包括以下2中情况：

（1） 基于网络的文件服务器（网络服务器），支持HTTP、FTP、NFS方式获取文件；例：

ks=ftp://192.168.0.254/pub/kistart/ks.cfg

ks=http:// 192.168.0.254/pub/kistart/ks.cfg

ks=nfs:ip_addr:/path/to/ks.cfg

（2） 基于本地的安装方式，需要依次指定设备名，路径，文件名等；例如：

文件在光盘中：ks=cdrom:/ks.cfg

文件在软盘中： ks=floppy:/filedirectory/ks.cfg

文件在硬盘中：ks=hd:/sdb1/myfile/ks.cfg

文件也可被打包进initrd根文件系统中：ks=file:/ks.cfg

5、 只有当ks命令行参数被传递给内核，安装程序才会主动去寻找kickstart文件，并按照kickstart给出的参数来自动化安装系统。 如果需要读取ks的配置，一般是在isolinux、pxelinux、extlinux等引导介质（bootloader）中进行设置，设置的内容如上述第4点中所阐述。

1.3 PXE+Kickstart 无人值守安装操作系统完整过程

简单来讲，PXE实现了网络化安装操作系统功能，kickstart配置文件提供了安装系统时所需的配置信息，二者结合，即实现了网络自动化安装系统。具体的PXE+kickstart环境实现过程请见下文。

2. PXE服务的搭建

下面将在基于VMware Workstation 12 Pro 创建的 BCLinux7.1的虚拟机 上搭建pxe安装操作系统环境（kickstart无人值守自动化安装功能的设置将在第3节讲述）。考虑到一般机房物理机资源紧张的情况，本次将dhcp、tftp及http都安装在同一台虚拟机上。

同时请注意，在搭建pxe环境时，请先关闭host机上的SELINUX和防火墙，以免相关服务不能正常运行。

# systemctl stop firewalld.service  #关闭防火墙

# setenforce 0 	
# vi /etc/selinux/config  	
SELINUX=disabled     #设置此行如左

2.1 HTTP服务搭建与配置

在使用PXE安装目标系统时，目标系统的ISO安装源文件的 提供方式 可以选择HTTP、FTP、 NFS，我们这里以HTTP方式为例来介绍。

2.1.1 安装HTTP软件包

[root@bclinux71 ~]# yum install httpd -y

2.1.2 配置HTTP服务

[root@bclinux71 ~]# systemctl start httpd   #运行http服务
[root@bclinux71 ~]# systemctl enable httpd  #开机自启动
ln -s '/usr/lib/systemd/system/httpd.service' '/etc/systemd/system/multi-user.target.wants/httpd.service'   

2.1.2 准备待安装的系统的ISO镜像文件

将目标系统的安装iso文件挂载至/mnt/cdrom，并复制光盘全部内容至http 的根目录/var/www/html/bclinux7.1 下：

 [root@bclinux71 ~]# cp -r /mnt/cdrom/ /var/www/html/bclinux7.1

2.2 TFTP服务的搭建与配置

本文将TFTP服务作为提供 PXE安装方式的引导介质 和 目标系统启动文件 的服务，相关安装配置过程如下。

2.2.1 安装TFTP软件包

因为tftp服务是挂载在超级进程xinetd下的，故需要安装xinetd、tftp-server这两个软件包。

[root@bclinux71 ~]# yum install tftp-server xinetd -y

2.2.2 配置TFTP服务

[root@bclinux71 ~]# vi /etc/xinetd.d/tftp
	disable    = no  #设置此行如左

[root@bclinux71 ~]# systemctl restart xinetd.service #重新启动xinet服务，从而重启tftp
[root@bclinux71 ~]# systemctl enable xinetd.service #设置xinet开机启动，从而是tftp开机启动

2.2.3 准备PXE安装引导介质

1、为了获得PXE安装引导介质，此处我们选择安装syslinux工具，此工具包含了isolinux、pxelinux、floppylinux等引导介质，关于syslinux的信息请参考这里。

[root@bclinux71 ~]# yum install syslinux -y	
省略的信息...	
Installed:
  syslinux.x86_64 0:4.05-12.el7                                                                                                                  

Dependency Installed:
  mtools.x86_64 0:4.0.18-5.el7                                                                                                                   

Complete!

完成syslinux的安装后，将 pxelinux.0 （即pxe安装时使用的引导介质）复制到tftp服务目录/var/lib/tftpboot/下：

[root@bclinux71 ~]# cp /usr/share/syslinux/pxelinux.0 /var/lib/tftpboot/

**说明：**syslinux是一个功能强大的引导加载程序，而且兼容各种介质。更加确切地说：SYSLINUX是一个小型的Linux操作系统，它的目的是简化首次安装Linux的时间，并建立修护或其它特殊用途的启动盘。

2.2.4 准备目标安装系统的initrd.img、vmlinux等相关文件

复制目标安装系统的iso文件中的/image/pxeboot/initrd.img 和 vmlinux 至/var/lib/tftpboot/ 文件夹

[root@bclinux71 ~]# cp /var/www/html/bclinux7.1/images/pxeboot/{initrd.img,vmlinuz} /var/lib/tftpboot/ #取得Linux系统驱动和内核文件

[root@bclinux71 ~]# cp /var/www/html/bclinux7.1/isolinux/*.msg /var/lib/tftpboot/ #取得boot.msg文件，此文件用于显示“Press the <Enter> key to begin installation process.”启动提示信息。

2.2.5 创建pxe引导程序的配置文件

在/var/lib/tftpboot目录下创建一个pxelinux.cfg目录（/var/lib/tftpboot目录下的网络引导程序 pexelinux.0 默认是会进入pxelinux.cfg这个目录来加载配置文件）。

[root@bclinux71 ~]# mkdir /var/lib/tftpboot/pxelinux.cfg  

在/var/lib/tftpboot/pxelinux.cfg目录下创建pxe的引导配置文件，以下是一个典型的pxe配置文件，需要注意的是，其中引入了ks=http://192.168.19.132/ks.cfg选项，用于加载存放在前文搭建的http服务下的ks配置文件（对于ks文件的内容，将在第3节描述）。

[root@bclinux71 ~]# vi /var/lib/tftpboot/pxelinux.cfg/default
	default ks  
	prompt 1      
	timeout 60 　　　　 
	display boot.msg  

	label text
		kernel vmlinuz
		append initrd=initrd.img text
	label ks
		kernel vmlinuz
		append initrd=initrd.img ks=http://192.168.19.132/ks.cfg 
	label local
		localboot 1
		label memtest86
		kernel memtest
		append -

到此TFTP提供的相关服务搭建完毕，其目录结构如下：

[root@bclinux71 ~]# cd /var/lib/tftpboot/
[root@bclinux71 tftpboot]# ll
total 42680
-r--r--r--. 1 root root       84 Mar 17 20:15 boot.msg
-r--r--r--. 1 root root 38508192 Mar 17 20:14 initrd.img
-rw-r--r--. 1 root root    26771 Mar 17 20:12 pxelinux.0
drwxr-xr-x. 2 root root     4096 Apr  7 19:52 pxelinux.cfg
-r-xr-xr-x. 1 root root  5156528 Mar 17 20:14 vmlinuz

2.3 DHCP服务的搭建与配置

DHCP服务用于给当前的局域网机器分配IP地址，以便于PXE安装的进行。

2.3.1 安装DHCP服务

[root@bclinux71 ~]# yum -y install dhcp
省略的信息....
Installed:
  dhcp.x86_64 12:4.2.5-42.el7.centos                                                                                                             

Dependency Updated:
  dhclient.x86_64 12:4.2.5-42.el7.centos        dhcp-common.x86_64 12:4.2.5-42.el7.centos        dhcp-libs.x86_64 12:4.2.5-42.el7.centos       

Complete!

2.3.2 配置DHCP服务

修改/etc/dhcp/dhcpd.conf 配置文件，内容如下：

ddns-update-style interim;
ignore client-updates;
subnet 192.168.19.0 netmask 255.255.255.0 {
option routers 192.168.19.132;
option subnet-mask 255.255.255.0;
range 192.168.19.2 192.168.19.253; #可以动态获取的地址范围 
next-server 192.168.19.132;		   # tftp服务器的地址
filename "pxelinux.0";			   #网络引导程序
allow booting;
allow bootp;
}

2.3.3 启动DHCP服务

[root@bclinux71 ~]# systemctl start dhcpd.service
[root@bclinux71 ~]# ss -uln | grep 67  #查看dhcp服务是否开启

3. kickstart自动化安装

按照前面的步骤，在本地局域网内搭建上述PXE服务后，将客户机重启并从网卡启动，就会启动PXE安装。在安装过程中，需要对待安装系统做一些配置，例如时区、磁盘分区等。为了实现这部分的自动化，可以使用kickstart安装方式。

kickstart可以解析配置文件，其中可以给出了安装过程中所有需要回答的问题。安装程序解析这个配置文件，就可以实现完全的自动化安装。

为了实现kickstart安装，需要完成以下步骤。

3.1 创建kickstart文件

kickstart文件是一个文本文件，通过关键字指定了安装过程中需要配置的选项。可以使用图形化的工具Kickstart Configurator生成kickstart文件，也可以手动写。在系统安装结束后，安装程序也会创建一个kickstart文件在/root/目录下，文件名是anaconda-ks.cfg，这个文件保存的是安装系统时的配置参数。

由于kickstart支持的选项非常多，这里就不一一列举，可以参考kickstart选项说明。

[root@bclinux71 ~]# vi /var/www/ks.cfg
	#platform=x86, AMD64, or Intel EM64T
	#version=DEVEL
	# System authorization information
	auth --enableshadow --passalgo=sha512
	# Install OS instead of upgrade
	install
	# Use network installation
	url --url=http://192.168.1.250/cdrom
	# Use text mode install
	text
	# Run the Setup Agent on first boot
	firstboot --enable
	# Keyboard layouts
	keyboard --vckeymap=us --xlayouts='us'
	# System language
	lang en_US.UTF-8
	# Firewall configuration
	firewall --disabled
	# SELinux configuration
	selinux --disabled
	# Do not configure the X Window System
	skipx
	# Network information
	network  --bootproto=dhcp --device=eth0
	network  --hostname=localhost.localdomain
	
	# Root password
	rootpw --iscrypted $1$cvFfAjvk$aeLfyXCKeZBkZrkD4lPxZ1
	#rootpw --plaintext cmss#1
	
	# System timezone
	timezone Asia/Shanghai --isUtc    #此时钟配置有待确认（全通反映，最小化安装时若采用此种设置，则系统时间会比当前时间慢半个小时，增加两条命令即可：hwlock –x  localtime   hwlock –w localtime）
	
	# System bootloader configuration
	bootloader --location=mbr
	# Clear the Master Boot Record
	zerombr
	# Partition clearing information
	clearpart --all --initlabel
	# Disk partitioning information
	part /boot --fstype="ext4" --size=500
	part / --fstype="ext4" --size=51200
	part /home --fstype="ext4" --size=10240
	part swap --fstype="swap" --size=16384
	part /var --fstype="ext4" --grow --size=1
	
	%packages
	@^minimal
	@core
	@security-tools
	kexec-tools
	
	%end
	
	%addon com_redhat_kdump --enable --reserve-mb='auto'
	
	%end

3.2 使得安装源可以被访问

无论使用kickstart安装还是其他方式安装，都必须访问安装源。安装源可以在光盘上，也可以在磁盘和网络上，其内容包含了待安装的软件包，一般是从安装光盘中复制而来的。

3.3 使得kickstart文件可以被访问

在使用PXE安装时，为了使用自动化安装，需要访问kickstart文件。此时需要将kickstart文件放置在网络服务器上，在安装过程中通过网络获取文件，开启自动化安装。

现在支持三种形式的网络服务：nfs、http、https，分别需要在启动参数中添加如下配置项：

ks=nfs:<server>:/<path>

ks=http://<server>/<path>

ks=https://<server>/<path>

对于PXE安装，启动的配置文件是pxelinux.cfg/default。假设ks文件被放置HTTP服务上的根目录下，pxelinux.cfg/default文件需要被修改为2.2.5节中所示。

4. 测试PXE+kickstart环境

以上PXE+Kickstart 无人值守安装操作系统环境已经搭建完毕。

接下来可以在VMware Workstation中新建虚拟机（选择NAT网络模式），建好后启动虚拟机，选择从网卡启动测试自动安装操作系统，如果上述配置正确，其将自动开始安装操作系统。

5. 外部引用

<span id="ks">1. kickstart选项</span>

Munin

Munin 是一个网络和系统监控工具，可以帮你分析服务器资源趋势。它是一个即插即用的解决方案。默认的安装方式提供了很多的报告。

Munin 默认已经有了磁盘 IO、流量统计、进程、Sendmail、CPU、内存等情况统计，从 Munin 自动绘制的图表中，你可以看到这些项目每天、每周、每月和每年的使用变化情况。

Munin 分为 munin 主程序和 munin-node 两部分,Munin 为数据中心,Munin-node 为节点中心,向 munin 提供数据，munin 将数据汇总并进行分析。

munin 主程序只需安装在一台服务器上即可,它每 5 分钟去各个 node 采集信息,并使用 RRD 格式记录数据,绘制成图表

node 安装在各个被监控的服务器上,node 上可以配置许多 plugin,每个 plugin 有不同的职责,负责获取服务器各种不同的信息。

服务器端

安装 apache:

~]# yum install httpd
~]# systemctl start httpd 
~]# systemctl enable httpd 

安装 munin 和 munin Node：

~]# yum --enablerepo=epel -y install munin munin-node 

首先配置 munin，编辑 /etc/munin/munin.conf：
第 98 行修改成自己的 hostname
[localhost]
address 127.0.0.1
use_node_name yes

接着编辑 /etc/httpd/conf.d/munin.conf：

第 16 行可根据需要修改访问权限
Order Deny,Allow
Deny from all
Allow from 127.0.0.1 10.133.17.0/24

重启 apache:

~]# systemctl restart httpd 

添加一个用户，如 bclinux：

~]# htpasswd -c /etc/munin/munin-htpasswd bclinux

修改 /etc/munin/munin-node.conf 配置文件：

第 37 行修改为自己的 hostname
host_name localhost.localdomain

启动 munion 并设置为开启启动：

~]# systemctl start munin-node
~]# systemctl enable munin-node 

在允许的客户端用浏览器打开 http://(hostname or IP address)/munin/，输入上面设置的用户名和密码：

可以在左侧选择查看相应项目的图表（ apache、disk 、network 等 ），d、 w、 m、 y 分别表示天、周、月和年。

添加监控主机

在需要监控的主机上安装 munin-node：

~]# yum --enablerepo=epel -y install munin-node 

编辑 /etc/munin/munin-node.conf：

第37行修改成该主机的hostname
host_name node01

依照 46 行的格式添加 munin 服务器的地址	
allow ^127\.0\.0\.1$
allow ^::1$
allow ^10\.133\.17\.141$

启动munin-node 并设置开机启动：

~]# systemctl start munin-node
~]# systemctl enable munin-node 

在 munin 配置文件中添加如下配置：

[node01]
address 10.133.17.207
use_node_name yes 

添加监控项

munin 提供了丰富的插件来监控主机指定项，可使用的插件位于 /etc/munin/plugins 目录下，已经安装的插件位于 /usr/share/munin/plugins 目录下。

如果要使用 apache_accesses 插件：

~]# ln -s /usr/share/munin/plugins/apache_accesses /etc/munin/plugins/apache_accesses 

编辑 /etc/httpd/conf.d/server_status.conf 配置文件，添加如下配置：

ExtendedStatus On

<Location /server-status>
    SetHandler server-status
    Require local
</Location>

修改后重启 apache 和 munin-node:

~]# systemctl restart httpd 
~]# systemctl restart munin-node