IP地址还在用Excel管,一改就乱套,谁来收拾这烂摊子?
最近公司IP越用越乱,上次服务器上线漏填表格,结果两个系统抢了同一个IP,网络直接断了半小时。运维老张骂骂咧咧重配了三遍,最后发现是隔壁组改了Excel但没发新版——不是不想用工具,是真没找到一个装上就能用、不折腾、还不怕被厂商卡脖子的。
phpIPAM就是这时候被我扒出来的。没买商业软件,也没搞什么云服务,就一台旧服务器装Rocky Linux 8.8,从头到尾自己搭。中间踩了七八个坑,比如PHP版本一高就报错,MySQL连不上说是密码插件不对,还有SELinux死活不放行,页面一刷就500。不是文档写得不好,是它默认按“老手”写的,而我连`chcon`命令都是第一次敲。
装的时候特意选了Nginx而不是Apache,因为看了几篇实测,说Nginx配HTTPS更干净,而且和php-fpm用Unix socket跑得快一点。PHP硬锁在7.4,官网写着1.5.x只稳支持这个版本,我试过8.0,登录页能出来,点进子网就白屏,查日志才看到是json_decode不兼容——这种细节没人提前告诉你,只能自己试错。
数据库那块最吓人。默认装MySQL 8.0后,`mysql_secure_installation`里有个密码强度插件,勾了就完蛋,phpIPAM连不上,报错还特别含糊。最后删掉插件、建用户、只给phpipam库的增删改查权限,连远程访问都关了,只认localhost。用户名密码没存配置文件里,是手动在Web安装向导里输的,输完立刻改admin密码,不然心里发毛。
Nginx配置写了三遍。第一遍直接拷别人博客的,结果API接口全404;第二遍发现`location /api/`没单独写,请求全被重写到index.php;第三遍才看懂`fastcgi_pass`要指向`/run/php-fpm/www.sock`,还得确认php-fpm服务确实跑着,socket文件权限是nginx能读的。`ls -l /run/php-fpm/`敲了不下五次,就为看那个sock文件属主对不对。
SELinux那段最崩溃。网上清一色说`chcon -R -t httpd_sys_content_t /var/www/phpipam`,照做之后上传logo还是失败。后来翻Red Hat文档才发现,上传目录得是`httpd_sys_rw_content_t`,执行脚本目录得加`httpd_exec_script_exec_t`——少加一个,点“扫描子网”就500。不是不会,是根本没人告诉你得这么细。
LDAP连公司AD也卡了一下午。一开始用plain LDAP,连不上,改成LDAPS,证书又报错。最后是先把DC服务器的CA证书拷到Linux,放进`/etc/pki/tls/certs/`,再用`update-ca-trust`刷新,`ldapsearch`命令测通了,才敢去phpIPAM后台填。AD组映射填的是“Domain Admins”,但实际同步后发现要手动点“同步用户”,不然组里人根本登不进来。
备份现在是每天凌晨两点自动mysqldump,压缩完推到内网NAS,脚本就六行,放在`/etc/cron.daily/`里,没用什么高级工具。API调用写了个Python小脚本,接了IT工单系统,提交申请就自动分IP、写备注、发邮件——不是为了炫技,是实在不想再接电话问“XX服务器用哪个IP”。
有次扫描子网,发现一个/24段里有20多个IP显示“offline”,但ping不通、SSH连不上,也没人在用。顺手在phpIPAM里标成“reserved”,加了备注“旧测试机残留,待回收”。两天后真有人来找,说那台机器早就下线了,只是忘了回收IP。
现在新同事入职,IP分配这事不用开会,不用传Excel,直接发链接让他看子网树、查使用率、点两下就能申请。不神秘,不复杂,就是把该关的关了,该开的开了,每步都试一遍,错了就查日志,别怕重装。
今天把旧服务器迁完,配置文件备份了三份,一份U盘,一份NAS,一份邮箱里。
