緯育 2026-0420

出自頂極製作所

Linux 系統建置伺服器

本系列講座旨在指導學員如何利用Linux(NIS)建構企業中從無到有的伺服器架構,涵蓋基礎網路設施、網路安全、儲存備份、高可用性、伺服器監控及雲端應用等多個層面。課程強調實作與解決問題的能力,將引導學員從零開始,透過親手架設防火牆、DHCP、DNS、Web伺服器、NAS等完整網路環境,模擬真實工作場景,從而在操作中學習並培養獨立的伺服器管理與維護技能。講師亦探討了從傳統硬體到軟體定義(SDN)、虛擬化、容器化(Docker)及雲端運算(OpenStack)的現代IT架構演進趨勢,並說明了課程的評分方式與作業要求。

課程結構與規劃

  • 課程內容安排
    • 課程將以半天為一個議題單位進行。
    • Day 1: 課程大綱介紹、網路架構說明,並安裝設定防火牆 (pfSense)。
    • Day 2: 自行架設DHCP與DNS伺服器,取代防火牆內建功能。
    • 後續課程: 架設三台Web伺服器、NAS儲存、伺服器監控系統、入侵偵測與防禦、備份機制,並介紹OpenStack雲端平台。
  • 教學材料與工具
    • 講義: 提供一之一、一之二等章節。
    • 備援方案: 提供主菜單檔案 (.tar檔),供學員在設定遇到問題時覆蓋使用。
    • Webmin (選修): 在第五之一章節介紹的圖形化管理工具,提供網頁介面以滑鼠點擊方式管理Linux,適合不熟悉指令的學員。
  • 教學模式與學習方法
    • 核心目標: 培養學員從零建構、管理、觀察並獨立解決伺服器問題的能力。
    • 學習心態: 鼓勵從錯誤中學習,並觀察他人遇到的問題以吸收間接經驗。
    • 教學流程: 老師操作一次,學員跟著做一次。

實作環境與網路架構

  • 虛擬化環境
    • 使用虛擬機器(VMware Workstation)進行實作,可同時開啟11到13台機器。
    • 為節省時間,將先安裝一台無人值守的Ubuntu母機(作業系統範本),再以複製(clone)方式快速生成其他虛擬機。
  • 模擬情境
    • 模擬公司從申請網路線路開始,逐步架設防火牆、DHCP、DNS,最後到Web伺服器的完整過程。
  • 硬體規劃考量
    • 管理核心轉變: 現代管理從注重硬體規格轉變為以軟體和功能為核心。
    • 機房與機櫃規劃: 強調規劃時需考慮未來擴充性,如機櫃的U數(標準高度單位)、散熱空間、架高地板下的走線等。

伺服器建置詳情

  • 防火牆 (pfSense)
    • 使用整合作業系統與防火牆功能的pfSense套件。
    • 介紹基本概念,如阻擋連線、設定連接埠轉發(Port Forwarding)讓外部使用者連線至內部伺服器,並實現遠端喚醒電腦(Wake-on-LAN, WOL)。
  • DHCP 伺服器
    • 學習手動安裝並設定獨立的DHCP伺服器,並關閉防火牆內建的DHCP功能,讓自建伺服器接管IP分配。
  • DNS 伺服器
    • 模擬從查詢、申請網域(除實際付費外)到架設DNS伺服器的完整流程。
    • 使用的工具為市佔率極高的Bind軟體,目標是架設出類似Google 8.8.8.8的服務。
  • Web 伺服器
    • 課程計畫建置三台Web伺服器,證明其能正常執行HTML網頁。
    • 使用Nginx作為Web Server軟體,並與Apache進行比較。
  • 儲存與NAS (Network Attached Storage)
    • 介紹儲存技術並架設一台NAS。
    • 使用如XigmaNAS等開源軟體,其功能與市售NAS相同,主要用於檔案儲存與分享。

網站安全、監控與備份

  • 入侵偵測與防禦 (3-2)
    • 由於Nginx預設無防火牆,需額外建置防禦方案。
    • 使用Fail2ban工具,它能根據行為模式(而非已知特徵)偵測並阻擋攻擊,但設定上較為複雜。
    • IDS/IPS: 強調入侵偵測/防禦系統會依據公司性質定義何種行為屬於攻擊。
  • 網站日誌分析
    • 使用GoAccess工具分析Nginx日誌,將存取記錄視覺化,產生訪客來源、熱門時段等分析報表。
  • 網路設備監控 (4-2)
    • 使用LibreNMS工具進行伺服器監視,可顯示機器存活狀態、運作服務、作業系統類型,並在伺服器離線時自動發送Email通知。
  • 備份機制 (5-1)
    • 營運持續性: 追求服務不中斷,實現「不停機更新」與自動修復。
    • 資料安全: 強調異地備份的重要性,備份點地理位置需相距夠遠。
    • 備份類型: 介紹「完整備份」與「差異備份」的策略與關聯性。
    • 補充工具: 提及Clonezilla可作為系統備份的研究選項。

新興技術與雲端應用

  • 軟體定義網路 (SDN)
    • 透過軟體介面取代傳統手動插拔線路來設定網路,提升管理靈活性。
  • 伺服器虛擬化與VDI
    • 虛擬化: 將實體伺服器轉換為多個虛擬機器(VM),已是業界普遍技術。
    • 虛擬工作站 (VDI): 將個人桌面雲端化,但因使用者已有足夠效能的電腦而未普及。微軟Azure為其較好的應用範例。
  • 容器化 (Containerization) 與 Docker
    • 容器是比VM更輕量的部署方式,啟動速度極快。
    • Docker解決了開發與維運環境不一致的問題,開發者可用指令快速建立標準化執行環境,並打包成Image分享。
    • 資安疑慮: 主要風險在於容器與主機共用核心(Kernel)。
  • 雲端運算
    • 公有雲 vs. 私有雲: 前者為付費公開服務,後者為企業內建自用。
    • 優勢: 免管理硬體、高穩定性、降低技術門檻。
    • 風險: 過度依賴單一雲端服務商,若其機房連線中斷將導致服務停擺。
  • OpenStack
    • 一個開源的私有雲平台解決方案,架構複雜,安裝設定難度高。
    • 掌握OpenStack與商業雲(AWS、GCP)將極具競爭力。
    • 幾乎所有IT大廠皆參與此專案,目前中國在其中貢獻比例很高。

2026-0420-01.png

硬體與網路設備規劃與採購

  • 明確功能與目標需求,列出功能等級清單作為採購與評估依據;遵循公司多家報價與內部流程。
  • 設備選型與品牌須依情境決策,避免刻板偏好;到貨後完成物理安裝與安全固定,關閉不必要功能、開啟必要功能,建立設定基線。
  • 合約中附材料清單、品牌與規格頁(Datasheet),以 POP/配線標示與檢核表落實實收;明確保固範圍與年限,區分硬體與 OS 責任。

外包施工與合約風險

  • 線材等級與標示不一致(如 K6/K5)易致品質落差;管線偏細、彎折多會影響拉線與測試值。
  • 以合約明定工期、材料品牌/等級、驗收標準(含頻寬與認證報告)與違約處分;施工過程需稽核進度與品質,避免受制於廠商。

平台與檔案系統相容性

  • 新軟硬體的等級與平台限制可能導致無法運行(如 64 位元不支援 32 位元、CPU 世代要求);蘋果平台架構更迭頻繁、舊平台支援窗口短,長期服務需審慎評估生命週期;Intel 相容模式利於歷史資產延續。
  • 生態封閉與周邊認證(如 USB 認證)影響整合;NTFS 等檔案系統跨平台互通需事先規劃或安裝相容驅動。

伺服器規劃、安裝與設定

  • 規劃作業系統與服務、軟體搭配與整合;可先瀏覽 IBM/Dell/HG 廠商規格與文件(拆裝說明)以預先了解升級複雜度。
  • 安裝不難但設定需嚴謹:關閉不必要服務、調整必要參數,建立準則與文件;服務整併或分離視負載、隔離需求與管理能力決定。

資源監控與故障徵兆

  • 建立 CPU/記憶體 loading 與可用量的基線與趨勢認知;持續偏高或突增即啟動調查。
  • 日常觀測指示燈、溫度、風扇聲音與灰塵;「過度安靜」可能是風扇停轉,長期忽略易致過熱停機。以量化紀錄做預防性維護。

維運現場挑戰與管理策略

  • 通報常由使用者先發現且描述模糊,若缺乏平時監看(服務狀態、日誌、記憶體變化、重啟事件),故障定位困難且修復時間拉長,管理層期待不切實際易增壓。
  • 管理策略:教育正確使用習慣;限制高風險站點與端口;監控行為並適時告知;定期維護設備與機房環境;方法依企業文化與風險容忍度彈性組合。

建置前規劃與採購實務

  • 需求建議書同時描述現況與未來擴充藍圖、品牌與等級門檻、預算區間;線材與管線隱性成本需納入;驗收以測試與認證報告為交付項目。

虛擬化環境與網路拓撲實作

  • 在單機虛擬化平台建立兩網段:內部 Host-Only(建議 192.168.100.0/24,LAN 閘道 192.168.100.254)與外部 NAT;安裝階段使用 NAT 完成更新與套件抓取,安裝後切換 Host-Only 以隔離。
  • 關閉虛擬網路 DHCP,改由防火牆控管;匯出/匯入 VN 設定備份避免誤用預設還原導致自訂配置遺失。
  • 規劃防火牆雙網卡串接內網與 NAT,實作存取控制、Port Forward 與 WOL;外部連線經防火牆轉發至內部 Web 服務。

服務架構、安全與監控

  • 前端 Web Server僅作反向代理/轉發;內部兩台 Web Server(如 192.168.100.31/32)同步內容以提升可用性。
  • 佈署 IDS/IPS 於 Web 前端,持續滲透測試與規則調整;設定 DNS(t8me.com 範例)之 A 記錄,確保正確解析與導引。
  • 規劃 NAS 作為集中儲存與備援;建置流量分析與監控系統(如 Zabbix)監控存活、資源與告警。

Ubuntu Server 安裝與系統調校

  • 虛擬機配額:2 vCPU、2–4G RAM、20G Disk;掛載 Ubuntu 24.04 Live Server ISO;安裝流程(語言、更新、基本安裝、OpenSSH、使用者/密碼、套件、Ubuntu Pro)。
  • 磁碟採 LVM,Boot/Root 分離;安裝後立即更新系統、調整編輯器設定(如 vim)、建立快照與範本(Golden Image)以快速複製與回復。
  • SSH/SSHD 設定與驗證,服務重啟與訊息檢視;匯出/封裝與上傳前移除光碟片以避免保險機制併入造成風險。

協力廠商整合與交付管理

  • 完成需求列表並明確目標,避免不可比較的方案;要求整合相容性與完整手冊(拆裝、操作),確認交機是否含使用教學或僅維護約支援。
  • 明確維護年限與叫修 SLA(回應與到場時間),機房環境相較個人電腦維修更嚴格需契約化。

專案類型與能力評估

  • 不建議承接與課程重點不一致之專案;現有能力可支援存取控制、網路線佈建與備份(含重複備份導出),不足處需安排補強。

2026-0420-02.png

取自「https://www.acmex.cc/index.php?title=緯育_2026-0420&oldid=7110