linux运维体系化建设核心在于配置收敛、异常可预期、状态可追溯;需以声明式代码统一管理配置并经CI流水线部署,强化可观测性、结构化日志与变更审计闭环。
Linux 运维体系化建设不是堆工具、不是写一堆脚本就完事,核心在于让重复操作可收敛、异常响应可预期、系统状态可追溯。没建立配置基线和变更闭环前,所谓“自动化”只是把人工失误批量放大。
配置管理必须统一入口,ansible 或 puppet 不能只当临时执行器
很多人用 ansible 跑一次命令就扔一边,结果每台机器的 /etc/hosts、sysctl.conf、ulimit 实际值五花八门。体系化第一步是把所有主机配置抽象成声明式代码,存进 git,并强制通过 CI 流水线触发部署。
- 所有
ansible-playbook必须带--check和--diff预检,禁止直接-C跳过校验 -
group_vars按环境(prod/staging)和角色(mysql-server/nginx-edge)分层,不混写 - 敏感变量(如数据库密码)走
ansible-vault加密,且解密密钥不进仓库,由运维人员本地持有
监控告警要区分信号与噪音,node_exporter + prometheus 默认指标不够用
只采集 cpu_usage 和 load1 等基础指标,等于靠体温计判断重症——等告警响了,服务早挂了。必须补全业务链路可观测性,比如:
- 对 MySQL 实例,除
mysql_up外,必采mysql_global_status_threads_connected、mysql_global_status_slow_queries、mysql_info_schema_innodb_row_lock_time_avg - 对 Nginx,不能只看
nginx_http_requests_total,要结合nginx_http_request_duration_seconds_bucket的 P95 延迟和nginx_http_response_size_bytes_sum判断是否出现大文件拖垮连接池 - 所有告警规则加
for:时长(至少 2m),并设置annotations.summary包含排查指令,例如:"检查 /var/log/nginx/Error.log 最近10行:tail -n 10 /var/log/nginx/error.log"
日志归集必须结构化,rsyslog 直转发或 filebeat 无解析等于白做
把日志塞进 elasticsearch 却搜 "error" 出几千条,说明字段没拆解。关键不是“有没有日志”,而是“能不能按 service_name、trace_id、level、duration_ms 精准下钻”。
- 应用日志强制 jsON 格式输出(如 python 用
python-json-logger),避免filebeat用 grok 解析失败 -
rsyslog不直接发原始文本到远端,先用mmjsonparse提取字段,再用template重构成标准字段集 - 所有日志流必须打上
host_ip、app_version、env三个标签,缺失任一即丢弃,不进存储
最常被跳过的其实是变更审计闭环:每次 ansible-playbook 执行、kubectl apply 提交、甚至 systemctl restart,都得自动记录操作人、时间、变更前后哈希、关联工单号。没有这个,故障复盘永远停留在“好像谁改过什么”的模糊地带。