蓝鲸云CMDB硬件要求

(单机部署最低要求8c16g)
image.png

环境准备

系统版本: 要求 CentOS-7.0 以上版本,推荐 CentOS-7.5。

  1. 关闭 SELinux

    1. # 检查 SELinux 的状态,如果它已经禁用,可以跳过后面的命令
    2. sestatus

    可以使用以下命令禁用 SELinux,或者修改配置文件。

    1. # 通过命令临时禁用 SELinux
    2. setenforce 0
    3. # 或者修改配置文件
    4. sed -i 's/^SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

    接着,重启机器:

    1. reboot

  2. 关闭默认防火墙(firewalld)

安装和运行蓝鲸时,模块之间互相访问的端口策略较多,建议对蓝鲸后台服务器之间关闭防火墙。

  1. # 检查默认防火墙状态,如果返回 not running,可以跳过后面的命令
  2. firewall-cmd --state

停止并禁用 firewalld

  1. systemctl stop firewalld    # 停止 firewalld
  2. systemctl disable firewalld # 禁用 firewall 开机启动
  1. 安装 rsync 命令

安装脚本依赖 rsync 分发同步文件。

  1. # 安装 rsync
  2. yum -y install rsync

  1. 停止并禁用 NetWorkManager

    1. systemctl stop NetworkManager
    2. systemctl disable NetworkManager

  2. 调整最大文件打开数

    1. # 检查当前 root 账号下的 max open files 值
    2. ulimit -n

    如果为默认的 1024,建议通过修改配置文件调整为 102400 或更大。
    注意: limits.conf 初始文件的备份。

    1. cat << EOF >> /etc/security/limits.conf
    2. root soft nofile 102400
    3. root hard nofile 102400
    4. EOF

    修改后,重新使用 root 登录检查是否生效。

  3. 确认服务器时间同步

服务器后台时间不同步会对时间敏感的服务带来不可预见的后果。务必在安装和使用蓝鲸时保证时间同步。

  1. # 检查每台机器当前时间和时区是否一致,若相互之间差别大于3s(考虑批量执行时的时差),建议校时。
  2. date -R
  3. # 查看和ntp server的时间差异(需要外网访问,如果内网有ntpd服务器,自行替换域名为该服务的地址)
  4. ntpdate -d cn.pool.ntp.org

如果输出的最后一行 offset 大于 1s 建议校时。

  1. # 和 ntp 服务器同步时间
  2. ntpdate cn.pool.ntp.org

更可靠的方式包括通过运行 ntpd 或者 chrony 等服务在后台保持时间同步。

  1. 检查是否存在全局 HTTP 代理

蓝鲸服务器之间会有的 HTTP 请求,如果存在 HTTP 代理,且未能正确代理这些请求,会发生不可预见的错误。

  1. # 检查 http_proxy https_proxy 变量是否设置,若为空可以跳过后面的操作。
  2. echo "$http_proxy" "$https_proxy"

对于本机配置 http_proxy 变量的方式,请依次查找文件 /etc/profile、/etc/bashrc、$HOME/.bashrc 等是否有设置。 或者咨询网络管理员/IT 部门协助处理。
在这些主机中,选择任意一台机器作为蓝鲸的运维中控机。之后的安装命令执行,如果没有特别说明,均在这台中控机上执行。
社区版包下载地址 https://bk.tencent.com/download/
将下载的蓝鲸社区版完整包上传到中控机,并解压到 同级 目录下。以解压到 /data 目录为例:

  1. tar xf bkce_src-5.0.3.tar.gz  -C /data

解压之后,得到两个目录:src,install

  • src:存放蓝鲸产品软件,以及依赖的开源组件

  • install:存放安装部署脚本、安装时的参数配置、日常运维脚本等

    配置文件

    在 install 目录下,共有三个配置:

  • install.config

  • globals.env

  • ports.env

    install.config

    install.config 是模块和服务器对应关系的配置文件,描述在哪些机器上安装哪些模块。 每行两列,第一列是 IP 地址;第二列是以英文逗号分隔的模块名称。 详情参考install.config.3IP.sample文件(可将 install.config.3IP.sample 复制为 install.config)。

    1. [bkce-basic]
    2. 192.168.3.222 nginx,rabbitmq,kafka(config),zk(config),es,appt,fta,consul,bkdata(databus)
    3. 192.168.3.222 mongodb,appo,kafka(config),zk(config),es,mysql,consul,bkdata(dataapi),beanstalk
    4. 192.168.3.222 paas,cmdb,job,gse,license,kafka(config),zk(config),es,redis,influxdb,consul,bkdata(monitor)

    globals.env

    该文件定义了各类组件的账号密码信息。 功能开关控制选项等。可根据实际情况进行修改。 配置项含义,请查看文件中的注释。

  • 该文件含密码信息,请保证除了 root 用户外,其他用户不可读。

  • 各类账号密码建议修改,注意设置的各类密码不能有 / $ ` < > & 等特殊字符。
  • 配置 HTTP 代理:若公司不能访问外网,但有自己的 proxy,在该配置文件的 BK_PROXY 选项中指定代理地址。
  • 若需要跨云管理功能(服务器在不同的 IDC,内网不互通的情况):
  • 需要将 gse 所在机器的外网 IP 填到该文件中 GSE_WAN_IP 配置项中的括号里 如:export GSE_WAN_IP=(1.2.3.4),若没有外网 IP 则留空。
  • HAS_DNS_SERVER 配置默认为 0,表示配置的蓝鲸域名需要通过 /etc/hosts 来解析,此时部署脚本会自动修改每台机器的 /etc/hosts 添加相关域名。如果想走自己的 dns 配置,改为非 0 即可。
  • HTTP_SCHEMA=http 默 认 HTTP_SCHEMA 设置为 HTTP 即蓝鲸软件全站为 HTTP,若设置为 HTTPS 则蓝鲸软件全站为 HTTPS,可支持 HTTP 和 HTTPS 的切换。
  • 该配置文件中提供了访问蓝鲸三大平台的域名配置,需要提前准备好。
    1. export BK_DOMAIN="situdata.com"                # 根域名(不含主机名)
    2. export PAAS_FQDN="paas.$BK_DOMAIN"       # PAAS 完整域名
    3. export CMDB_FQDN="cmdb.$BK_DOMAIN"       # CMDB 完整域名
    4. export JOB_FQDN="job.$BK_DOMAIN"         # JOB 完整域名

    获取证书

  1. 通过 ifconfig 或者 ip addr 命令获取 install.config 文件中,license 和 gse 模块所在服务器的第一个内网网卡的 MAC 地址。如果分别属于两台服务器,那么两个的 MAC 地址以英文;分隔。
  2. 在官网 证书生成页面 根据输入框提示填入 MAC 地址,生成并下载证书。
  3. 上传证书到中控机,并解压到 src/cert 目录下。
    1. tar xf ssl_certificates.tar.gz -C /data/src/cert/

    配置 SSH 免密登陆

    登录到中控机,执行以下操作:
    1. cd /data/install
    2. bash configure_ssh_without_pass  # 根据提示输入各主机的 root 密码完成免密登陆配置

    安装前校验环境是否满足

    按文档要求做完环境和部署的配置后,准备开始安装前,请运行以下脚本,来校验是否满足:
    1. cd /data/install
    2. bash precheck.sh
    正常输出如下图所示:
    1. start <<check_ssh_nopass>> ... [OK]
    2. start <<check_password>> ... [OK]
    3. start <<check_cert_mac>> ... [OK]
    4. start <<check_get_lan_ip>> ... [OK]
    5. start <<check_install_config>> ... [OK]
    6. start <<check_selinux>> ... [OK]
    7. start <<check_umask>> ... [OK]
    8. start <<check_rabbitmq_version>> ... [OK]
    9. start <<check_http_proxy>> ... [OK]
    10. start <<check_open_files_limit>> ... [OK]
    11. start <<check_domain>> ... [OK]
    12. start <<check_rsync>> ... [OK]
    13. start <<check_service_dir>> ... [OK]
    14. start <<check_networkmanager>> ... [OK]
    15. start <<check_firewalld>> ... [OK]
    如果发现有 [FAIL] 的报错,按照错误提示和本文档修复。修复后,可继续跑 precheck.sh 脚本,直到不再出现 [FAIL]。如果需要从头开始检查,请使用 precheck.sh -r 参数。

    执行安装

    如果部署全部组件,请执行:
    1. cd /data/install
    2. ./install_minibk -y

    访问蓝鲸