1. 锁定管理员访问权限
第一个典型错误是在系统访问范围过于广泛的情况下部署应用程序。在上线之前,如有必要,请更改 root 密码,禁用弱身份验证,并创建单独的管理用户。
尽可能限制 SSH 对密钥的访问。
安装应用程序之前关闭未使用的端口。
记录谁有权访问以及如何续订。
2. 应用更新并准备备份
干净的服务器从已知的系统基础开始。在安装业务数据之前,更新关键软件包、记下系统版本并测试备份机制。未经测试的备份只是一个假设。
检查内核、OpenSSH、SQL 引擎和防火墙。
提供应用程序文件和数据库转储的副本。
保持恢复程序可供他人阅读。
3. 在流量之前安装最小可观测性
考虑日志和警报的正确时间是在第一次事件发生之前。启用日志轮转、监视磁盘空间、记录 CPU 负载并检查服务出现故障时应向您发出哪些警报。
有一个简单的信号来了解应用程序是否仍在响应。
在饱和发生之前测量磁盘空间和内存。
如果第一个部署者降低了机器的性能,请准备回滚计划。