云服务器
在云服务器上安装 CentOS、Ubuntu 或 Debian 等 Linux 发行版时,需特别注意云环境与物理机/虚拟机的差异。以下是关键注意事项,按类别归纳,兼顾安全性、可用性、合规性与运维效率:
一、安装前:选型与准备
-
发行版选择需谨慎
- ✅ Ubuntu LTS(如 22.04/24.04):推荐首选,社区活跃、云镜像优化好、长期支持(5年)、默认启用
cloud-init,对主流云平台(阿里云、腾讯云、AWS、Azure)兼容性最佳。 - ✅ Debian(12 "Bookworm"):稳定、轻量、安全更新及时;但需确认云平台是否提供官方优化镜像(部分厂商镜像较旧或未预装
cloud-init)。 - ⚠️ CentOS:
- ❌ CentOS 8 已于 2021-12 终止维护,绝对不可用于生产环境;
- ❌ CentOS Stream 是滚动开发流(非稳定版),不建议生产使用;
- ✅ 替代方案:Rocky Linux 9 / AlmaLinux 9(RHEL 兼容、免费、10年支持),或 CentOS Stream 9(仅限开发测试)。
- ✅ Ubuntu LTS(如 22.04/24.04):推荐首选,社区活跃、云镜像优化好、长期支持(5年)、默认启用
-
务必使用云平台提供的「官方优化镜像」
- 避免上传自定义 ISO 或手动重装(易丢失云平台特有功能);
- 官方镜像已预装:
cloud-init(自动配置网络、SSH密钥、主机名、用户数据等);- 云厂商 Agent(如阿里云
aliyun-service、腾讯云qcloud-monitor-agent,用于监控、安全加固、实例元数据访问); - 适配的内核与网卡/存储驱动(如
virtio-net,nvme)。
-
磁盘规划建议
- 系统盘:≥40GB(Ubuntu/Debian 建议 ≥60GB,避免
/var/log或apt缓存占满); - 数据盘:独立挂载(如
/data),格式化为xfs(高并发写入友好)或ext4(通用稳定); - ⚠️ 避免将数据库、网站目录直接放在系统盘(无快照保护、扩容困难)。
- 系统盘:≥40GB(Ubuntu/Debian 建议 ≥60GB,避免
二、安装中:关键操作要点
-
SSH 密钥认证是唯一推荐方式
- 创建实例时必须绑定 SSH 公钥,禁用密码登录(云平台控制台通常强制支持);
- 安装后立即检查
/etc/ssh/sshd_config:PasswordAuthentication no PermitRootLogin no # 禁用 root 登录(除非必要且强管控) PubkeyAuthentication yes
-
网络配置交由 cloud-init 管理
- ❌ 不要手动修改
/etc/network/interfaces(Debian/Ubuntu)或/etc/sysconfig/network-scripts/ifcfg-eth0(RHEL系); - ✅ 所有网络参数(IP、DNS、路由)应通过云平台控制台或用户数据(User Data)注入,由
cloud-init自动应用。
- ❌ 不要手动修改
-
时区与时间同步
- 安装时设置正确时区(如
Asia/Shanghai); - 确保
systemd-timesyncd或chrony(推荐)已启用并指向云平台 NTP 服务(如阿里云ntp1.aliyun.com):sudo timedatectl set-timezone Asia/Shanghai sudo systemctl enable chrony && sudo systemctl start chrony
- 安装时设置正确时区(如
三、安装后:必做安全与优化项
| 类别 | 操作 | 命令/说明 |
|---|---|---|
| 🔐 基础安全 | 更新系统 + 升级内核 | sudo apt update && sudo apt upgrade -y(Ubuntu/Debian)sudo dnf update -y(Rocky/Alma) |
| 配置防火墙 | Ubuntu/Debian:sudo ufw allow OpenSSH && sudo ufw enableRHEL系: sudo firewall-cmd --permanent --add-service=ssh && sudo firewall-cmd --reload |
|
| 禁用 root 远程登录 | sudo sed -i 's/^PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config && sudo systemctl restart sshd |
|
| 🛠️ 云平台集成 | 启用云监控Agent | 阿里云:sudo /usr/local/share/aliyun/cloudmonitor/cloudmonitor.sh start腾讯云: sudo /usr/local/qcloud/YunJing/uninst.sh && sudo /usr/local/qcloud/YunJing/install.sh(按文档操作) |
| 验证 cloud-init 状态 | sudo cloud-init status --long(应显示 status: done) |
|
| 💾 存储与备份 | 挂载数据盘(若未自动挂载) | sudo mkfs.xfs /dev/vdb && sudo mkdir /data && echo '/dev/vdb /data xfs defaults 0 0' | sudo tee -a /etc/fstab && sudo mount -a |
| 📦 软件源优化 | 切换国内镜像源 | Ubuntu:sudo sed -i 's/archive.ubuntu.com/mirrors.aliyun.com/g' /etc/apt/sources.listDebian:替换为 mirrors.ustc.edu.cn 或 mirrors.tuna.tsinghua.edu.cnRHEL系: sudo dnf install -y epel-release && sudo dnf config-manager --set-enabled powertools |
四、特别提醒(避坑指南)
- 🚫 不要关闭 SELinux(RHEL系)或 AppArmor(Ubuntu):云环境常依赖其增强安全,禁用可能导致监控Agent异常或安全策略失效;如需调试,用
setenforce 0临时切换,而非永久禁用。 - 🚫 避免使用
dd或rsync克隆系统盘作为备份:云平台快照(Snapshot)才是可靠、一致、可回滚的备份方式。 - 🚫 勿随意卸载
cloud-init:它是云服务器初始化的核心,卸载将导致后续扩容、重置密码、注入用户数据等功能失效。 - 📈 资源监控前置:安装后立即配置基础监控(CPU/内存/磁盘/网络),云平台控制台或 Prometheus+Node Exporter 均可。
- 🌐 IPv6 注意:若无需 IPv6,可在
/etc/default/grub中添加ipv6.disable=1并sudo update-grub && reboot,避免潜在 DNS 解析延迟。
五、合规与运维建议
- ✅ 记录实例信息:操作系统版本、内核、云平台Agent版本、初始快照ID;
- ✅ 配置集中日志(如
rsyslog发送到 ELK/Splunk 或云日志服务); - ✅ 使用配置管理工具(Ansible/Puppet)固化基线(如安全加固模板、软件源配置);
- ✅ 生产环境遵循最小权限原则:新建普通用户(
sudo adduser deploy),授予必要sudo权限,禁用密码登录。
✅ 总结一句话:
“用云厂商官方镜像 + cloud-init 初始化 + SSH密钥认证 + 及时更新 + 快照备份” 是云服务器 Linux 系统稳定运行的黄金法则。
如需具体某云平台(如阿里云/腾讯云/AWS)的详细部署脚本或安全加固 checklist,我可为您定制生成。欢迎继续提问!