GaussDB-主机管理标准化检查项
| 检查项 | 检查说明 | 参考命令 | 是否强制校验 | 建议 | ||||
|---|---|---|---|---|---|---|---|---|
| CPU | vCPU核数 | cat /proc/cpuinfo | grep "physical id" | sort | uniq | wc -l | 否 | 最低规格8U |
| CPU型号 | lscpu | grep "Model name" | 否 | 推荐CPU型号:Intel Xeon Gold 6248RIntel Xeon Gold 5318YHygon 7280Kunpeng 920 | ||||
| 内存 | 服务器内存 | dmidecode --type memory | grep '^\s*Size' | grep -v 'No Module Installed' | 否 | 最低内存64GB | ||
| CPU内存比 | CPU内存比 | CPU核数:内存(单位G) | 否 | 最佳内存比为1:8 | ||||
| 磁盘类型 | 磁盘类型 | lsblk -d -o name,rota | 否 | 推荐使用:SAS/SATA/NVMe SSD | ||||
| 数据盘 | 检查数据盘是否满足安装实例要求 | pvcreate /dev/{数据盘名称} | 是 | 安装实例会将系统盘之外的所有磁盘作为数据盘,请确保数据盘无分区无挂载,保持干净可用。 | ||||
| 操作系统版本 | 操作系统版本 | cat /etc/os-release | 是 | 麒麟V10 SP1麒麟V10 SP2统信V20 | ||||
| 防火墙 | 检查服务器防火墙是否关闭 | systemctl is-active firewalld.service | 否 | 关闭 | ||||
| 时间同步 | 是否配置时间同步服务 | chronyc sources / ntpq -p | 是 | 配置时间同步,并且时间同步在1s内 | ||||
| 字符集参数 | 服务器字符集 | echo $LANG | 是 | en_US.UTF-8 | ||||
| 设置网卡MTU值 | 万兆网卡需设置MTU | ifconfig | 否 | MTU推荐值:X86:1500ARM:8192 | ||||
| HISTORY记录 | 检查/etc/profile中的HISTSIZE | cat /etc/profile | 否 | 回显值为0。 | ||||
| Python3版本 | Python3 | python3 -V | 是 | 麒麟(X86):Python 3.7.9麒麟(ARM):SP1 Python 3.7.9麒麟(ARM):SP2 Python 3.7.9统信(X86/ARM):Python 3.7.9 | ||||
| Cgroup | Cgroup版本 | stat -fc %T /sys/fs/cgroup/回显值:tmpfs为cgroup V1cgroup2fs为cgroup V2 | 是 | 支持Cgroup V1和V2。 | ||||
| 操作系统参数 | net.ipv4.tcp_max_tw_buckets | cat /etc/sysctl.conf | 否 | 要求同时保持TIME_WAIT状态的TCP/IP连接最大数量为10000。 | ||||
| net.ipv4.tcp_tw_reuse | 否 | 要求TIME-WAIT状态的sockets重新用于新的TCP连接,1表示启用。 | ||||||
| net.ipv4.tcp_tw_recycle | 否 | 要求开启TCP连接中TIME-WAIT状态sockets的快速回收,1表示启用。 | ||||||
| net.ipv4.tcp_keepalive_time | 否 | 要求当keepalive启用的时候,TCP发送keepalive消息的频度为30秒一次。 | ||||||
| net.ipv4.tcp_keepalive_probes | 否 | 要求在认定连接失效之前,发送TCP的keepalive探测包数量为9。 | ||||||
| net.ipv4.tcp_keepalive_intvl | 否 | 要求当探测没有确认时,重新发送探测的频度为30。 | ||||||
| net.ipv4.tcp_retries1 | 否 | 要求在连接建立过程中TCP协议最大重试次数为5。 | ||||||
| net.ipv4.tcp_syn_retries | 否 | 要求TCP协议SYN报文最大重试次数为5。 | ||||||
| net.ipv4.tcp_synack_retries | 否 | 要求TCP协议SYN应答报文最大重试次数为5。 | ||||||
| net.ipv4.tcp_retries2 | 否 | 要求向已经建立连接的远程主机重新发送数据的次数为12。 | ||||||
| vm.overcommit_memory | 否 | 要求控制在做内存分配的时候,内核的检查方式为0(表示系统会尽量精确计算当前可用的内存)。 | ||||||
| net.ipv4.tcp_rmem | 否 | TCP协议接收端缓冲区的可用内存大小。分无压力,有压力,和压力大三个区间的值为8192 250000 16777216。 | ||||||
| net.ipv4.tcp_wmem | 否 | TCP协议发送端缓冲区的可用内存大小。分无压力,有压力,和压力大三个区的值为8192 250000 16777216。 | ||||||
| net.core.wmem_max | 否 | 要求socket发送端缓冲区大小的最大值为21299200。 | ||||||
| net.core.rmem_max | 否 | 要求socket接收端缓冲区大小的最大值为21299200。 | ||||||
| net.core.wmem_default | 否 | 要求socket发送端缓冲区大小的默认值为21299200。 | ||||||
| net.core.rmem_default | 否 | 要求socket接收端缓冲区大小的默认值为21299200。 | ||||||
| net.ipv4.ip_local_port_range | 否 | 要求物理机可用临时端口范围为26000-65535。 | ||||||
| kernel.sem | 否 | 内核信号量参数设置大小为250 6400000 1000 25600。 | ||||||
| vm.min_free_kbytes | 否 | 保证物理内存有足够空闲空间,防止突发性换页,要求至少有5%的空闲空间。 | ||||||
| net.core.somaxconn | 否 | 要求系统中每一个端口最大的侦听队列的长度为65535。 | ||||||
| net.ipv4.tcp_syncookies | 否 | 要求启用cookies来处理出现SYN等待队列溢出问题,1表示启用。 | ||||||
| net.core.netdev_max_backlog | 否 | 在每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目为65535。 | ||||||
| net.ipv4.tcp_max_syn_backlog | 否 | 记录的那些尚未收到客户端确认信息的连接请求的最大值为65535。 | ||||||
| net.ipv4.tcp_fin_timeout | 否 | 系统默认的超时时间为60。 | ||||||
| kernel.shmall | 否 | 内核可用的共享内存总量为1152921504606846720。 | ||||||
| kernel.shmmax | 否 | 内核参数定义单个共享内存段的最大值为18446744073709551615。 | ||||||
| net.ipv4.tcp_sack | 否 | 启用有选择的应答,1表示启用。 | ||||||
| net.ipv4.tcp_timestamps | 否 | TCP时间戳(会在TCP包头增加12节),以一种比重发超时更精确的方式(参考RFC 1323)来启用对RTT的计算,启用可以实现更好的性能,1表示启用。 | ||||||
| vm.extfrag_threshold | 否 | 系统内存不够用时,linux会为当前系统内存碎片情况打分,如果超过vm.extfrag_threshold的值,kswapd就会触发memory compaction。要求该值设置为500。 | ||||||
| vm.overcommit_ratio | 否 | 系统使用绝不过量使用内存的算法时,系统整个内存地址空间不得超过swap+RAM值的此参数百分比,当vm.overcommit_memory=2时此参数生效。要求该值为90。 | ||||||
| 文件系统参数 | 软限制 | /etc/security/limits.conf/或/etc/security/limits.d/90-nofile.conf中的Ruby soft nofile值 | 否 | soft nofile表示软限制,用户使用的文件句柄数量可以超过该限制,但是如果超过会有告警信息,要求该值为1000000。 | ||||
| 硬限制 | /etc/security/limits.conf或/etc/security/limits.d/90-nofile.conf中的Ruby hard nofile值 | 否 | hard nofile表示硬限制,是一个严格的限制,用户使用的文件句柄数量一定不能超过该设置,要求该值为1000000。 | |||||
| 线程堆栈大小 | ulimit -a回显中的stack size | 否 | 推荐线程堆栈大小为3072。 | |||||
| 硬件时钟配置 | 检查硬件时钟配置 | timedatectl status | 否 | 配置系统时间同步。 | ||||
| Expect | 检查是否安装Expect | expect -v | 是 | 要求安装Expect。 | ||||
| SFTP | 检查是否安装SFTP | sftp -v | 是 | 要求安装SFTP。 | ||||
| 沙箱目录 | 检查沙箱目录是否为空 | ls -Al /var/chroot | 是 | 沙箱目录/var/chroot不存在或为空。 | ||||
| umask | 检查权限掩码umask | umask | 是 | umask回显小于等于0022。 |
更多详情请参考GaussDB 文档中心:doc.hcs.huawei.com/db/zh-cn/ga…
