其他分享
首页 > 其他分享> > Jumpserver集群部署笔记:(一)系统基础环境配置

Jumpserver集群部署笔记:(一)系统基础环境配置

作者:互联网

1、集群组网信息

序号 主机名 IP地址 操作系统版本
1 devops01 10.255.200.1 CentOS 7.8.2003
2 devops02 10.255.200.2 CentOS 7.8.2003
3 devops03 10.255.200.3 CentOS 7.8.2003

各模块高可用方案如下:

以下基础环境配置,无特殊说明的情况下表示集群中3台主机均需执行相同配置

2、安装操作系统

操作系统安装主要包括UEFI启动配置,磁盘冗余配置,系统时区配置,系统磁盘分区等配置。

序号 挂载点 主要用途
1 /sas 安装软件
2 /ssd 保存数据库数据

3、配置网卡聚合

3.1 交换机端使用动态聚合配置,服务器端使用mode 4 (802.3ad),实现链路负载分担。
# 交换机端配置示例(H3C)
interface Bridge-Aggregation10
 port access vlan 100
 link-aggregation mode dynamic

interface Ten-GigabitEthernet1/1/10
 port link-mode bridge
 port access vlan 100
 port link-aggregation group 10

interface Ten-GigabitEthernet2/1/10
 port link-mode bridge
 port access vlan 100
 port link-aggregation group 10

# 操作系统端配置命令
nmcli connection add type bond ifname app mode 4 
nmcli connection add type bond-slave ifname eno49 master app
nmcli connection add type bond-slave ifname ens4f0 master app
systemctl restart network 

# 设置IP地址,需补充填写 Monitoring frequency :100 , Link up delay: 0 , Link down delay: 0 三个参数。
nmtui
3.2 冗余测试
# 使用另一个终端Ping目标主机,并交替停用聚合的2张网卡,观察网络是否中断
ping 10.255.200.1

ifdown eno49
ifup eno49
ifdown ens4f0
ifup ens4f0

4、更新操作系统补丁

ping www.baidu.com

yum update –y
reboot

5、升级Openssh至最新版本

Centos7 发行版自带的openssh版本为7.4p1,存在己知漏洞,需升级至最新版本。具体操作参考:https://segmentfault.com/a/1190000022756834

yum install -y gcc epel-release wget

# 下载最新版本软件包并解压
cd /sas/src/
wget https://ftp.openssl.org/source/openssl-1.1.1h.tar.gz
tar –xzf openssl-1.1.1h.tar.gz
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.4p1.tar.gz
tar –xzf openssh-8.4p1.tar.gz

# 备份并编译安装openssl
mv /usr/bin/openssl /usr/bin/openssl_old
cd openssl-1.1.1h
./config shared && make && make install

# 创建软链接修复运行错误
# openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory

ln -s /usr/local/bin/openssl /usr/bin/openssl
ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/
ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/

# 查看版本验证openssl可正常运行
openssl version

# 安装openssh相关依赖
yum install zlib-devel openssl-devel pam-devel –y

# 备份openssh 相关配置
mkdir /etc/ssh_old
mv /etc/ssh/* /etc/ssh_old/

# 编译安装
cd ../ openssh-8.4p1
./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/lib64/ --with-zlib --with-pam --with-md5-password --with-ssl-engine --with-selinux
make && make install
# 验证版本
ssh –V

# 修改sshd_config 配置root登录
vim /etc/ssh/sshd_config
PermitRootLogin yes

# 启动新版openssh
# 移走以前的ssh服务, 防止与新的冲突
mv /usr/lib/systemd/system/sshd.service /etc/ssh_old/sshd.service
mv /usr/lib/systemd/system/sshd.socket /etc/ssh_old/sshd.socket

# 从解压包中拷贝一些文件
cp -a contrib/redhat/sshd.init /etc/init.d/sshd

# 重新启动
systemctl daemon-reload
/etc/init.d/sshd restart

# 添加自启动
chkconfig --add sshd
chkconfig sshd on

6、修改主机名并配置hosts信息

# 查看主机名
hostname
hostnamectl
# 修改主机名
hostnamectl set-hostname devops01

# 将主机名与IP关系写入hosts文件
vi /etc/hosts

10.255.200.1  devops01
10.255.200.2  devops02
10.255.200.3  devops03

7、关闭Selinux

Jumpserver官方推荐生产环境不要关闭Selinux,但由于此集群还需要部署其它服务,所以未遵守安全建议。

# 查看当前Selinux状态
getenforce
sestatus -v

# 临时关闭Selinux,重启失效,重启后会依配置文件状态运行
setenforce 0
# 永久关闭Selinux,重启后生效
vi /etc/selinux/config

SELINUX=disabled

8、配置NTP时钟同步

由于数据库集群、MFA双因子认证等均依赖时间的准确性,因此建议配置NTP时钟同步。

# 安装时钟同步软件
yum install -y chrony

# 修改时钟同步源,将centos官方源换成国内阿里云时钟源
vi /etc/chrony.conf

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
# server 0.centos.pool.ntp.org iburst
# server 1.centos.pool.ntp.org iburst
# server 2.centos.pool.ntp.org iburst
# server 3.centos.pool.ntp.org iburst

server ntp1.aliyun.com iburst
server ntp2.aliyun.com iburst
server ntp3.aliyun.com iburst
server ntp4.aliyun.com iburst
server ntp5.aliyun.com iburst
server ntp6.aliyun.com iburst

# 启动时钟同步服务并设置自启动
systemctl start chronyd
systemctl enable chronyd
systemctl status chronyd

9、配置集群主机间SSH互信

在每台主机上生成ssh证书,并拷备至集群内其它2台主机。

# 生成证书
ssh-keygen -t rsa 

# 拷备至除本机以外的其它2台集群主机
ssh-copy-id -i /root/.ssh/id_rsa.pub root@10.255.200.2
ssh-copy-id -i /root/.ssh/id_rsa.pub root@10.255.200.3

标签:sshd,openssl,笔记,Jumpserver,etc,iburst,集群,usr,ssh
来源: https://blog.51cto.com/dusthunter/2542365