遠端管控#
遠端管控讓管理員無需進入機房即可操作伺服器,是日常維運的基本能力。
常見遠端管控方式#
| 方式 | 協定/工具 | 適用場景 |
|---|---|---|
| SSH | TCP 22 | Linux/Unix 命令列管理 |
| RDP | TCP 3389 | Windows 圖形介面遠端桌面 |
| IPMI/iLO/iDRAC | 帶外管理 | 硬體層級管控(含開關機) |
| VNC | TCP 5900+ | 跨平台圖形介面 |
SSH 安全連線#
SSH(Secure Shell) 透過加密通道提供安全的遠端命令列存取。
sequenceDiagram
participant C as 管理員
participant S as 伺服器
C->>S: 連線請求(TCP 22)
S->>C: 伺服器公鑰
C->>C: 驗證伺服器身分
C->>S: 加密的認證資訊
Note over C,S: 加密通道建立完成
C->>S: 執行管理指令技巧: 建議停用 SSH 密碼認證,改用金鑰認證,並將預設連接埠從 22 改為其他埠號,降低暴力破解風險。
系統更新及 Bug 修復#
WSUS 伺服器#
WSUS(Windows Server Update Services) 集中管理 Windows 更新的下載與派送。
graph LR
MS[Microsoft Update] -->|下載更新| WSUS[WSUS 伺服器]
WSUS -->|審核後派送| PC1[用戶端 1]
WSUS --> PC2[用戶端 2]
WSUS --> PC3[用戶端 3]| 功能 | 說明 |
|---|---|
| 集中下載 | 僅需下載一次更新,節省對外頻寬 |
| 審核控制 | 管理員可選擇性核准更新再派送 |
| 合規報告 | 追蹤各電腦的更新安裝狀態 |
| 排程管理 | 設定非上班時間自動安裝更新 |
注意: 更新前應先在測試環境驗證,避免更新導致既有應用程式相容性問題。建議建立測試群組 → 先導群組 → 全面部署的分階段派送流程。
備份與還原#
備份策略類型#
| 策略 | 說明 | 備份時間 | 還原時間 | 儲存空間 |
|---|---|---|---|---|
| 完整備份 | 備份所有資料 | 最長 | 最短 | 最大 |
| 差異備份 | 備份自上次完整備份後變更的資料 | 中 | 中 | 中 |
| 增量備份 | 備份自上次任何備份後變更的資料 | 最短 | 最長 | 最小 |
常見備份輪替策略#
graph LR
subgraph "GFS 備份策略"
D[每日增量<br/>保留 7 天] --> W[每週完整<br/>保留 4 週]
W --> M[每月完整<br/>保留 12 個月]
end重點: 備份的可靠性取決於還原測試。定期執行還原演練,確認備份資料確實可用,否則備份等同虛設。
常用網路指令#
| 指令 | 功能 | 範例 |
|---|---|---|
ipconfig / ip addr | 顯示網路介面設定 | ipconfig /all |
ping | 測試網路連通性 | ping 192.168.1.1 |
tracert / traceroute | 追蹤封包路由路徑 | tracert www.example.com |
nslookup / dig | 查詢 DNS 解析結果 | nslookup www.example.com |
netstat / ss | 顯示網路連線與連接埠狀態 | netstat -an |
arp -a | 顯示 ARP 快取表 | arp -a |
技巧: 排除網路故障時,建議依序使用:
ipconfig(確認本機設定)→ping(測試連通)→tracert(定位斷點)→nslookup(驗證 DNS)。
NTP 伺服器#
NTP(Network Time Protocol) 確保網路中所有設備的時間同步。
| 項目 | 說明 |
|---|---|
| 用途 | 統一所有伺服器與設備的系統時間 |
| 連接埠 | UDP 123 |
| 精確度 | 毫秒等級 |
| 階層架構 | Stratum 0(原子鐘)→ Stratum 1 → Stratum 2 → … |
注意: 時間不同步可能導致 Kerberos 認證失敗(容許誤差僅 5 分鐘)、日誌時間錯亂、憑證驗證異常等嚴重問題。
Syslog 伺服器#
Syslog 提供標準化的日誌收集與集中管理機制。
graph LR
S1[伺服器] -->|Syslog| CS[Syslog 伺服器]
S2[交換器] -->|Syslog| CS
S3[防火牆] -->|Syslog| CS
S4[路由器] -->|Syslog| CS
CS --> Dashboard[日誌分析<br/>與告警]Syslog 嚴重等級#
| 等級 | 名稱 | 說明 |
|---|---|---|
| 0 | Emergency | 系統無法使用 |
| 1 | Alert | 需立即處理 |
| 2 | Critical | 嚴重狀況 |
| 3 | Error | 錯誤狀況 |
| 4 | Warning | 警告 |
| 5 | Notice | 正常但重要 |
| 6 | Informational | 一般資訊 |
| 7 | Debug | 除錯訊息 |
SNMP 伺服器#
SNMP(Simple Network Management Protocol) 用於監控與管理網路設備的狀態與效能。
SNMP 架構#
graph TB
NMS[SNMP 管理站<br/>NMS] -->|Get / Set 請求| A1[Agent<br/>伺服器]
NMS -->|Get / Set 請求| A2[Agent<br/>交換器]
NMS -->|Get / Set 請求| A3[Agent<br/>路由器]
A1 -->|Trap 告警| NMS
A2 -->|Trap 告警| NMS
A3 -->|Trap 告警| NMSSNMP 運作方式#
| 操作 | 方向 | 說明 |
|---|---|---|
| Get | 管理站 → Agent | 查詢設備狀態(CPU、記憶體、流量) |
| Set | 管理站 → Agent | 修改設備設定 |
| Trap | Agent → 管理站 | 設備主動通報異常事件 |
SNMP 版本比較#
| 版本 | 認證方式 | 加密 | 安全性 |
|---|---|---|---|
| v1 | Community String(明文) | 無 | 低 |
| v2c | Community String(明文) | 無 | 低 |
| v3 | 使用者名稱 + 密碼 | 支援 | 高 |
重點: 正式環境應使用 SNMPv3,v1/v2c 的 Community String 以明文傳輸,極易被竊聽。