跳到内容跳到页面导航:上一页 [access key p]/下一页 [access key n]
documentation.suse.com / SUSE Linux Enterprise Server 文档 / 部署指南 / 安装过程 / 安装步骤
适用范围 SUSE Linux Enterprise Server 15 SP6

9 安装步骤

本章介绍将 SUSE Linux Enterprise Server 的数据复制到目标设备的过程。在此过程中,将会设置新安装的系统的某些基本配置参数。会有一个图形用户界面引导您完成整个安装过程。下面所述的过程同样适用于第 12 章 “远程安装中所述的远程安装过程。文本模式安装的步骤与此相同,只是形式上有所不同。有关执行非交互式自动安装的信息,请参见AutoYaST 指南

运行安装程序之前,请阅读第 I 部分 “安装准备”。该部分根据您系统的体系结构,介绍了开始安装前需要执行的步骤。

如果您是第一次使用 SUSE Linux Enterprise Server,多数情况下应该遵循默认的 YaST 提议操作,但也可以根据自己的偏好,按本章所述调整设置,以便优化您的系统。单击帮助可以获得每个安装步骤的帮助。

提示
提示:无鼠标安装

如果安装程序没有正确检测到您的鼠标,请用 →| 键进行导航,滚动箭头键并按 Enter 键确认选择。不同的按钮或选择字段包含带下划线的字母。使用 Alt字母 可选择按钮或不使用 →| 键导航而改为直接选择。

9.1 概述

本节概述了所有安装步骤。每个步骤包含更为详细的说明的链接。

  1. 在开始安装之前,安装程序可能会自我更新。有关详细信息,请参见第 9.2 节 “安装程序自我更新”

  2. 选择语言和产品后,将真正开始安装。有关详细信息,请参见第 9.3 节 “ 语言、键盘和产品选择

  3. 接受许可协议。有关详细信息,请参见第 9.4 节 “许可协议”

  4. IBM Z 计算机需要激活磁盘。有关详细信息,请参见第 9.5 节 “IBM Z:磁盘激活”

  5. 配置网络。仅当您在安装期间需要访问网络,而通过 DHCP 自动配置网络失败时,才需要执行此操作。如果自动配置网络成功,则可以跳过此步骤。有关详细信息,请参见第 9.6 节 “网络设置”

  6. 配置了有效的网络连接后,您可以在 SUSE Customer Center 或 RMT 服务器中注册计算机。有关详细信息,请参见第 9.7 节 “注册”

  7. 选择要为计算机启用的模块。这会影响下一步骤中所述系统角色的可用性以及后文所述的包。有关详细信息,请参见第 9.8 节 “扩展和模块选择”

  8. 您可以手动添加储存库。有关详细信息,请参见第 9.9 节 “附加产品”

  9. 选择系统的角色。这会定义要安装的默认软件包列表,并提出有关硬盘分区的建议。有关详细信息,请参见第 9.10 节 “系统角色”

  10. 将系统硬盘分区。有关详细信息,请参见第 9.11 节 “分区”

  11. 选择时区。有关详细信息,请参见第 9.12 节 “时钟和时区”

  12. 创建用户。有关详细信息,请参见第 9.13 节 “创建新用户”

  13. (可选) (可选)为系统管理员 root 设置不同的口令。有关详细信息,请参见第 9.14 节 “系统管理员 root 的身份验证”

  14. 在最后一步中,安装程序会显示所有设置的概览。您可以根据需要更改设置。有关详细信息,请参见第 9.15 节 “安装设置”

  15. 安装程序复制全部所需的数据,并告知进度。有关详细信息,请参见第 9.16 节 “执行安装”

9.2 安装程序自我更新

在安装和升级期间,YaST 可能会自我更新,以解决发布后在安装程序中发现的 Bug。此功能默认处于启用状态;要禁用此功能,请将引导参数 self_update 设置为 0。有关详细信息,请参见第 8.4.6 节 “启用安装程序自我更新”

重要
重要:每季度媒体更新:已禁用自我更新

仅当您使用统一安装程序的 GM 映像和软件包 ISO 时,才能使用安装程序自我更新。如果您从作为每季度更新发布的 ISO(可以根据名称中的字符串 QU 来识别)进行安装,则安装程序无法自我更新,因为此功能在更新媒体中已禁用。

重要
重要:自我更新期间的网络

要下载安装程序更新,YaST 需要访问网络。YaST 默认在所有网络接口上都尝试使用 DHCP。如果网络中存在 DHCP 服务器,该服务器即会自动工作。

如果您需要静态 IP 设置,可以使用 ifcfg 引导参数。有关更多细节,请参见 https://en.opensuse.org/Linuxrc 上的 linuxrc 文档。

提示
提示:语言选择

安装程序自我更新的运行时间先于语言选择步骤。这意味着安装进度以及此过程中发生的错误默认以英语显示。

要在安装程序的此部分使用其他语言,请使用 language 引导参数(如果适用于您的体系结构),例如 language=de_DE。或者,在配有传统 BIOS 的计算机上,在引导菜单中按 F2,并从列表中选择语言。

虽然此功能的运行无需用户干预,但了解它的工作原理会对您有所帮助。若不感兴趣,您可以跳过本节的其余内容,直接跳到第 9.3 节 “ 语言、键盘和产品选择

9.2.1 自我更新过程

自我更新过程可分为两个不同部分:

  1. 确定更新储存库位置。

  2. 下载更新并将更新应用到安装系统。

9.2.1.1 确定更新储存库位置

安装程序自我更新通过专用储存库以普通 RPM 软件包的形式分发,因此第一步就是查找储存库 URL。

重要
重要:仅指定安装程序自我更新储存库

无论您使用以下哪个选项,请只提供安装程序自我更新储存库 URL,例如:

self_update=https://www.example.com/my_installer_updates/

不要提供任何其他储存库 URL,例如软件更新储存库 URL。

YaST 将尝试使用以下信息来源:

  1. self_update 引导参数。(有关细节,请参见第 8.4.6 节 “启用安装程序自我更新”)。如果您指定了 URL,则该 URL 将优先于任何其他方法。

  2. /general/self_update_url 配置文件元素(如果您使用的是 AutoYaST)。

  3. 注册服务器。YaST 会向注册服务器查询 URL。要使用的服务器将按以下顺序来确定:

    1. 评估 regurl 引导参数(第 8.4.1 节 “提供数据以访问 Repository Mirroring Tool 服务器”)。

    2. 评估 /suse_register/reg_server 配置文件元素(如果您使用的是 AutoYaST)。

    3. 执行 SLP 查找。如果找到了 SLP 服务器,YaST 将询问您是否应使用该服务器,因为其不要求进行身份验证,且本地网络上的任何人都可以广播注册服务器。

    4. 查询 SUSE Customer Center。

  4. 如果之前的任何尝试都不起作用,则会使用回退 URL(已在安装媒体中定义)。

9.2.1.2 下载并应用更新

确定更新储存库后,YaST 会检查是否有可用更新。如果有可用更新,则会下载并应用所有更新。

最后,YaST 将重启动并显示欢迎屏幕。如果没有可用更新,则会继续安装而不重启动 YaST。

注意
注意:更新完整性

系统会检查更新签名以确保完整性和著作权。签名缺失或无效时,将会询问您是否要应用更新。

9.2.1.3 临时自我更新附加储存库

自我更新储存库中分发的某些软件包为安装程序提供附加的数据,例如安装默认值、系统角色定义,等等。如果安装程序在自我更新储存库中找到此类软件包,则会创建一个本地的临时储存库,这些软件包将会复制到其中。在安装期间会使用这些软件包。安装完成后,将去除临时本地储存库。该储存库中的软件包不会安装到目标系统。

此附加储存库不会显示在附加产品列表中,但在安装过程中,它仍可能作为 SelfUpdate0 储存库显示在软件包管理中。

9.2.2 自定义自我更新储存库

YaST 可以使用用户定义的储存库取代官方储存库,只需通过 self_update 引导参数指定相应 URL 即可。

  • 支持 HTTP/HTTPS 和 FTP 储存库。

  • yast2-installation-4.4.30 开始,支持使用 relurl:// 纲要作为引导参数或在 AutoYaST 配置文件中使用该纲要。该 URL 是主安装储存库的相对网址,您可以使用常用的 ../ 表示法(例如 relurl://../self_update)导航文件树。通过本地安装服务器提供软件包时,或者构建包含自我更新储存库的自定义安装媒体时,这种方式很有用。

    以下示例假设安装储存库位于媒体根目录 (/) 中,自我更新储存库位于 self_update 子目录中。此结构使 relurl:// 可移植,并且无需进行任何更改,该架构在任何位置都能正常运行,无论是作为引导参数,还是复制到 USB 记忆棒、硬盘、网络服务器或 AutoYaST 配置文件中都是如此。

    自定义 DVD/USB 媒体

    self_update=relurl://self_update 引导选项直接添加到默认引导参数中。即使将媒体复制到 USB 记忆棒、硬盘或网络服务器中,该架构也能正常运行。

    安装服务器

    假设通过 http://example.com/repo 提供安装软件包,并通过 http://example.com/self_update 提供自我更新储存库。

    那么,您可以使用 http://example.com/repohttp://example.com/self_update 引导参数,当储存库移至其他位置时,您无需更改 self_update 参数。

  • 仅支持 RPM-MD 储存库(RMT 需要)。

  • 包的安装方式与常规方式不同:只会解压缩包,而不会执行脚本.

  • 不会执行依赖项检查。将按字母顺序安装软件包。

  • 软件包中的文件会覆盖来自原始安装媒体的文件。也就是说,更新软件包可能不需要包含所有文件,仅包含发生更改的文件即可。将会省略未发生更改的文件,以节约内存和下载带宽。

注意
注意:仅可使用一个储存库

目前不能使用一个以上储存库作为安装程序自我更新源。

9.3 语言、键盘和产品选择

语言、键盘和产品选择
图 9.1︰ 语言、键盘和产品选择

语言键盘布局设置会根据您在引导屏幕上选择的语言进行初始化。如果您之前未更改默认设置,则语言为“英语(美国)”。如果需要,可在此处更改设置。

更改语言会自动选择相应的键盘布局。可以通过从下拉框中选择其他键盘布局来覆盖此建议。使用键盘测试文本框可测试布局。所选语言还确定了系统时钟的时区。稍后可按第 5 章 “使用 YaST 更改语言和国家/地区设置中所述修改此设置。

使用统一安装程序可以安装所有 SUSE Linux Enterprise 基础产品:

选择要安装的产品。您需有相应产品的注册码。本文档假设您已选择 SUSE Linux Enterprise Server。单击下一步继续。

提示
提示:浅色主题和高对比度主题

如果您难以看清安装程序中的标签,可以更改挂件颜色和主题。

单击 Change the widget theme 按钮或按 ShiftF3 键打开主题选择对话框。从列表中选择一个主题,然后关闭对话框。

ShiftF4 可切换到适合视力受损用户的颜色方案。再按一下按钮可切换回默认方案。

9.4 许可协议

许可证协议
图 9.2︰ 许可协议

阅读许可协议。此内容以您在引导屏幕上选择的语言显示。可以通过许可证语言下拉框获取翻译。如果您接受条款,请选择我接受许可条款,然后单击下一步继续安装。如果不接受许可协议,您将无法安装 SUSE Linux Enterprise Server。单击中止可终止安装。

9.5 IBM Z:磁盘激活

在 IBM Z 平台上安装时,在语言选择对话框之后出现的是一个用来配置所挂接硬盘的对话框。

磁盘激活
图 9.3︰ 磁盘激活

选择 DASD、光纤通道挂接式 SCSI 磁盘 (zFCP) 或 iSCSI 来安装 SUSE Linux Enterprise Server。DASD 和 zFCP 配置按钮仅在挂接了相应设备时方可使用。有关如何配置 iSCSI 磁盘的指导,请参见第 15.3 节 “配置 iSCSI 发起端”

您还可以在此屏幕中启动网络设置对话框来更改网络配置。在列表中选择一个网络接口,然后单击编辑更改其设置。使用相应的选项卡配置 DNS 和路由。有关详细信息,请参见第 23.4 节 “使用 YaST 配置网络连接”

9.5.1 配置 DASD 磁盘

如果不是在 IBM Z 硬件上安装,请跳过此步骤。

DASD 磁盘管理
图 9.4︰ DASD 磁盘管理

选择配置 DASD 磁盘后,概述列出了所有可用的 DASD。要获得更详细的可用设备信息,可使用列表上方的文本框指定要显示的通道范围。要根据这一范围过滤此列表,请选择过滤器

通过在列表中选择相应的条目,指定要用于安装的 DASD。使用全选可选择当前显示的所有 DASD。选择执行操作 › 激活来激活所选 DASD 并使其可用于安装。要格式化 DASD,请选择执行操作 › 格式化。也可以稍后使用 YaST 分区程序,如第 11.1 节 “使用专家分区程序中所述。

9.5.2 配置 zFCP 磁盘

如果不是在 IBM Z 硬件上安装,请跳过此步骤。

配置的 zFCP 设备
图 9.5︰ 配置的 zFCP 设备

选择配置 zFCP 磁盘后,一个对话框即会打开,列出系统上可用的 zFCP 磁盘。在此对话框中,选择添加打开另一个对话框,然后在该对话框中输入 zFCP 参数。

要使 zFCP 磁盘可用于 SUSE Linux Enterprise Server 安装,请从下拉框中选择一个可用的通道号获取 WWPN(全球端口号)和获取 LUN(逻辑单元号)分别返回可用 WWPN 和 FCP-LUN 的列表,以供选择。只有启用了 NPIV 时,自动 LUN 扫描才能正常工作。

完成后,选择下一步退出 zFCP 对话框,然后选择完成退出常规硬盘配置对话框,接下来继续进行其他配置。

9.6 网络设置

引导到安装后,系统会设置安装例程。在此设置期间,系统会尝试使用 DHCP 来至少配置一个网络接口。如果此尝试失败,网络设置对话框会立即启动。

网络设置
图 9.6︰ 网络设置

在列表中选择一个网络接口,然后单击编辑更改其设置。使用相应的选项卡配置 DNS 和路由。有关详细信息,请参见第 23.4 节 “使用 YaST 配置网络连接”在 IBM Z 上,此对话框不会自动启动。在磁盘激活步骤可以启动该对话框。

如果安装设置期间成功配置了 DHCP,您也可以在 SUSE Customer Center 注册安装设置步骤中单击网络配置来访问此对话框。它可让您更改自动提供的设置。

注意
注意:使用引导参数的网络配置

如果通过引导参数至少配置了一个网络接口(请参见第 8.3.2 节 “配置网络接口”),则会禁用自动 DHCP 配置,并导入和使用引导参数配置。

提示
提示:访问网络存储区或本地 RAID

要在安装期间访问 SAN 或本地 RAID,可以使用 libstorage 命令行客户端来实现此目的:

  1. CtrlAltF2 切换到控制台。

  2. 运行 extend libstoragemgmt 安装 libstoragemgmt 扩展。

  3. 现在,您便可访问 lsmcli 命令了。有关详细信息,请运行 lsmcli --help

  4. 要返回安装程序,请按 AltF7

支持此功能的包括 Netapp Ontap、所有符合 SMI-S 要求的 SAN 提供商产品,以及 LSI MegaRAID。

9.7 注册

要获取技术支持和产品更新,需要在 SUSE Customer Center 或本地注册服务器中注册并激活 SUSE Linux Enterprise Server。在此阶段注册产品还可让您立即获得访问更新储存库的权限。如此,您便可以将最新的更新和可用补丁随系统一起安装。

在注册时,将从注册服务器加载模块和扩展的储存库和依赖项。

在此对话框中,可以单击网络配置切换到 YaST 网络设置模块。有关详细信息,请参见第 23.4 节 “使用 YaST 配置网络连接”

如果您处于脱机状态,或想跳过注册,请激活跳过注册。有关指导,请参见第 9.7.3 节 “安装但不注册”

9.7.1 手动注册

要在 SUSE Customer Center 中注册,请提供与您的 SCC 帐户关联的电子邮件地址,以及 SUSE Linux Enterprise Server注册码

如果您的组织提供了本地注册服务器,您也可以在该服务器中注册。激活通过本地 SMT 服务器注册系统,然后从下拉框中选择 URL,或者键入地址。单击下一步继续。

要注册到 SUSE Customer Center,请输入 SUSE Linux Enterprise Server注册码。如果您的组织提供了本地注册服务器,您也可以在该服务器中注册。激活通过本地 RMT 服务器注册系统,然后从下拉框中选择 URL,或者键入地址。

单击下一步启动注册过程。

SUSE Customer Center 注册
图 9.7︰ SUSE Customer Center 注册
提示
提示:在安装时安装产品补丁

成功注册 SUSE Linux Enterprise Server 后,系统会在安装期间询问您是否安装最新的可用联机更新。如果您选择,最新的软件包将随系统一起安装,如此便不必在安装后应用更新。建议启用此选项。

注意
注意:用于接收更新的防火墙设置

SUSE Linux Enterprise Server 上的防火墙默认只阻止传入连接。如果系统受到会阻止传出流量的另一个防火墙的保护,请确保允许通过端口 80 和 443 连接至 https://scc.suse.com/https://updates.suse.com,以便接收更新。

如果系统在安装期间已成功注册,YaST 将会在安装完成后禁用本地安装媒体(例如 CD/DVD 或闪存盘)中的储存库。这可以防止因缺少安装源而出现问题,并确保您始终从联机储存库获取最新更新。

9.7.2 从 USB 存储设备加载注册码

为了使注册过程更便捷,您还可以将注册码存储到闪存盘等 USB 存储设备中。YaST 会自动预填相应的文本框。当测试安装或需要注册许多系统或扩展时,此功能特别有用。

在 USB 磁盘上创建名为 regcodes.txtregcodes.xml 的文件。如果这两个文件都存在,XML 的优先级更高。

在该文件中,使用 zypper search --type product 返回的名称识别产品,并按以下方式为其指派一个注册码:

例 9.1︰ regcodes.txt
SLES    cc36aae1
SLED    309105d4

sle-we  5eedd26a
sle-live-patching 8c541494
例 9.2︰ regcodes.xml
<?xml version="1.0"?>
<profile xmlns="http://www.suse.com/1.0/yast2ns"
 xmlns:config="http://www.suse.com/1.0/configns">
  <suse_register>
    <addons config:type="list">
      <addon>
<name>SLES</name>
<reg_code>cc36aae1</reg_code>
      </addon>
      <addon>
<name>SLED</name>
<reg_code>309105d4</reg_code>
      </addon>
      <addon>
<name>sle-we</name>
<reg_code>5eedd26a</reg_code>
      </addon>
      <addon>
<name>sle-live-patching</name>
<reg_code>8c541494</reg_code>
      </addon>
    </addons>
  </suse_register>
</profile>

请注意 SLESSLED 都不是扩展,但将它们列为附加产品可将多个基础产品注册码合并到一份文件中。有关详细信息,请参见第 4.3.1 节 “扩展”

注意
注意:限制

目前,只有在安装或升级期间会扫描闪存盘,注册运行中的系统时不会扫描。

9.7.3 安装但不注册

如果您处于脱机状态,或想跳过注册,请激活跳过注册。单击确定接受警告,然后单击下一步继续。

重要
重要:跳过注册

需要注册您的系统和扩展才能检索更新以及获得支持资格。仅当从 SLE-15-SP6-Full-ARCH-GM-media1.iso 映像安装时,才能跳过注册。

安装但不注册
图 9.8︰ 安装但不注册
注意
注意:注册 SUSE Linux Enterprise Server

需要注册您的系统和扩展才能检索更新以及获得支持资格。如果在安装期间未注册,以后随时可以从运行中的系统上注册。要进行此操作,请运行 YaST › 产品注册

提示
提示: 将安装媒体映像复制到可卸闪存盘

使用以下命令将安装映像的内容复制到可卸闪存盘。

> sudo dd if=IMAGE of=FLASH_DISK bs=4M && sync

需将 IMAGE 替换为 SLE-15-SP6-Online-ARCH-GM-media1.isoSLE-15-SP6-Full-ARCH-GM-media1.iso 映像文件的路径。需将 FLASH_DISK 替换为闪存设备。要识别设备,请插入该设备并运行:

# grep -Ff <(hwinfo --disk --short) <(hwinfo --usb --short)
     disk:
     /dev/sdc             General USB Flash Disk

确保设备的大小足以容纳所需的映像。可使用以下命令检查设备的大小:

# fdisk -l /dev/sdc | grep -e "^/dev"
     /dev/sdc1  *     2048 31490047 31488000  15G 83 Linux

在此示例中,设备的容量为 15 GB。对于 SLE-15-SP6-Full-ARCH-GM-media1.iso 使用的命令是:

dd if=SLE-15-SP6-Full-ARCH-GM-media1.iso of=/dev/sdc bs=4M && sync

在运行 dd 命令时,不得挂载该设备。请注意,分区中的所有数据都将被删除!

9.8 扩展和模块选择

在此对话框中,安装程序会列出适用于 SUSE Linux Enterprise Server 的模块和扩展。模块是用于根据需要定制产品的组件。它们包含在 SUSE Linux Enterprise Server 订阅中。扩展可在产品中添加功能。扩展只能单独购买。

有哪些模块或扩展可用取决于在安装的第一步中选择的产品。有关模块及其生命周期的说明,请选择一个模块查看附带的文本。Modules and Extensions Quick Start中提供了更多详细信息。

模块的选择会间接影响安装范围,因为该选择定义了哪些软件源(储存库)可用于安装,以及可用于运行中的系统。

扩展和模块选择
图 9.9︰ 扩展和模块选择

以下模块和扩展适用于 SUSE Linux Enterprise Server

Basesystem Module

此模块在统一安装程序的基础上添加一个基本系统。其他所有模块和扩展都需要此模块。只包含基础系统的安装范围相当于旧版 SUSE Linux Enterprise Serverminimal system安装软件集。系统默认已选择安装此模块,不应将其取消选择。

依赖项:

Certifications Module

包含 FIPS 认证软件包。

依赖项:Server Applications

Confidential Computing Technical Preview

包含与机密计算相关的软件包。

依赖项:Basesystem

Containers Module

包含容器的支持和工具。

依赖项:Basesystem

Desktop Applications Module

向系统添加图形用户界面和最基本的桌面应用程序。

依赖项:Basesystem

Development Tools Module

包含编译及调试应用程序所需的编译器(包括 gcc)和库。取代了以前的 Software Development Kit (SDK)。

依赖项:Basesystem、Desktop Applications

High Performance Computing (HPC) Module

提供常用于高性能计算密集型工作负载的特定工具。

依赖项:Basesystem

Legacy Module

通过提供 SUSE Linux Enterprise 中已停产的软件包,帮助您将应用程序从 SUSE Linux Enterprise Server 早期版本和其他系统迁移到 SLES 15 SP6。此模块中的软件包是根据迁移要求和配置复杂程度选择的。

从旧版产品迁移时,建议使用此模块。

依赖项:Basesystem、Server Applications

NVIDIA Compute Module

包含 NVIDIA CUDA(Compute Unified Device Architecture,统一计算设备架构)驱动程序。

此模块中的软件由 NVIDIA 按照 CUDA End User License Agreement 提供,SUSE 不提供其相关支持。

依赖项:Basesystem

Public Cloud Module

包含创建映像所需的全部工具,这些映像用于在云环境(例如 Amazon Web Services (AWS)、Microsoft Azure、Google Compute Platform 或 OpenStack)中部署 SUSE Linux Enterprise Server

依赖项:Basesystem、Server Applications

Python 3 Module

此模块包含选定 Python 3 软件包的最新版本。

依赖项:Basesystem

SAP Business One Server

此模块包含专用于 SAP Business One Server 的软件包和系统配置。通过 SUSE Linux Enterprise Server 产品订阅来对该模块提供维护和支持。

依赖项:Basesystem、Server Applications、Desktop Applications、Development Tools

Server Applications Module

通过提供 DHCP 服务器、名称服务器或 Web 服务器等网络服务来添加服务器功能。系统默认已选择安装此模块;不建议将其取消选择。

依赖项:Basesystem

SUSE Linux Enterprise High Availability

SUSE Linux Enterprise Server 添加任务关键型设置的群集支持。此扩展需要单独的许可证密钥。

依赖项:Basesystem、Server Applications

SUSE Linux Enterprise Live Patching

添加无需关闭系统即可执行关键修补的支持。此扩展需要单独的许可证密钥。

依赖项:Basesystem、Server Applications

SUSE Linux Enterprise Workstation Extension

使用 SUSE Linux Enterprise Desktop 中与其他桌面应用程序(如办公套件、电子邮件客户端、图形编辑器等)类似的软件包和库,扩展 SUSE Linux Enterprise Server 的功能。使用该扩展可以将这两个产品相结合来打造功能完备的工作站。此扩展需要单独的许可证密钥。

依赖项:Basesystem、Desktop Applications

SUSE Package Hub

用于访问 openSUSE 社区维护的各个 SUSE Linux Enterprise Server 软件包。提供的这些包没有 L3 支持,且不影响 SUSE Linux Enterprise Server 的支持。有关详细信息,请参见 https://packagehub.suse.com/

依赖项:Basesystem

Transactional Server Module

添加了对事务更新的支持。更新将以单个事务的形式统一应用到系统,或者不应用。这种方式不会影响正在运行的系统。如果某项更新失败,或者成功应用的更新被视为不兼容或者存在其他错误,可以丢弃该更新,使系统立即恢复到以前的正常运行状态。

依赖项:Basesystem

Web and Scripting 模块

包含用于运行中 Web 服务器的软件包。

依赖项:Basesystem、Server Applications

某些模块需要已安装其他模块。因此,在选择某个模块时,可能会自动选择其他模块来满足依赖关系。

根据具体的产品,注册服务器可能会将模块和扩展标记为建议安装。系统会将建议的模块和扩展预先选为要加以注册和安装。如要避免安装这些建议的项目,请手动取消选择。

选择要安装的模块和扩展,然后单击下一步继续。如果您选择了一个或多个扩展,系统会提示您提供相应的注册码。根据所做的选择,您可能还需要接受附加的许可协议。

重要
重要:脱机安装默认选择的模块

使用 SLE-15-SP6-Full-ARCH-GM-media1.iso 执行脱机安装时,默认只会选择 Basesystem Module要安装 SUSE Linux Enterprise Server 的完整默认软件包集,另外还需选择 Server Applications Module

9.9 附加产品

附加产品对话框可让您向 SUSE Linux Enterprise Server 添加不是由 SUSE Customer Center 提供的其他软件源(即储存库)。此类附加产品可以包括第三方产品和驱动程序,或适用于您系统的其他软件。

附加产品
图 9.10︰ 附加产品

在此对话框中,可以单击网络配置切换到 YaST 网络设置模块。有关详细信息,请参见第 23.4 节 “使用 YaST 配置网络连接”

提示
提示:在安装期间添加驱动程序

您还可以通过附加产品对话框添加驱动程序更新储存库。https://drivers.suse.com/ 上会提供 SUSE Linux Enterprise 的驱动程序更新。这些驱动程序已通过 SUSE SolidDriver Program 创建。

如果不想安装附加产品,请单击下一步继续。否则,请激活我要安装其他附加产品。选择 CD、DVD、硬盘、USB 大容量存储设备、本地目录或本地 LSO 映像中的一个指定媒体类型。如果已配置网络访问途径,您可以选择其他远程源,例如 HTTP、SLP、FTP 等。或者,您也可以直接指定一个 URL。选中下载储存库说明文件可立即下载用于描述储存库的文件。如果不激活,系统将在安装启动后下载它们。单击下一步继续,并插入 CD 或 DVD(如果需要)。

根据外接式附件内容的不同,您可能必须接受附加许可协议。

9.10 系统角色

为简化安装,安装程序提供了一些预定义的用例,这些用例会根据选定的方案定制系统。

系统角色
图 9.11︰ 系统角色

选择最符合您要求的系统角色。可用的系统角色取决于所选的模块和扩展。在以下情况下,不会显示该对话框:

  • 基础产品和模块的组合不允许选择角色。

  • 基础产品和模块的组合只允许选择一个角色。

使用默认选择时,可以使用以下系统角色:

文本方式

此选项会安装不带桌面环境、但包含多种命令行工具的基本 SLES。

依赖项:Basesystem

极简

如果您只希望安装基本的命令行工具以尽量精简安装,请选择此选项。

依赖项:

KVM 虚拟化主机

在应充当可运行其他虚拟机的 KVM 主机的计算机上安装时,请选择此方案。/var/lib/libvirt 将放置在单独的分区中,并且防火墙和 Kdump 将处于禁用状态。

依赖项:Basesystem、Server Applications

Xen 虚拟化主机

在应充当可运行其他虚拟机的 Xen 主机的计算机上安装时,请选择此方案。/var/lib/libvirt 将放置在单独的分区中,并且防火墙和 Kdump 将处于禁用状态。

依赖项:Basesystem、Server Applications

9.11 分区

9.11.1 重要信息

警告
警告:请仔细阅读本节内容

在继续第 9.11.2 节 “建议的分区”之前,请认真阅读本节。

在 UEFI 计算机上自定义分区

UEFI 计算机需要一个 EFI 系统分区,且该分区必须挂载到 /boot/efi。此分区必须格式化为 FAT32 文件系统。

如果您的系统上已存在 EFI 系统分区(例如源自以前安装的 Windows),可以将其挂载到 /boot/efi 加以利用,并不需要格式化。

如果您的 UEFI 计算机上没有 EFI 系统分区,请务必创建该分区。EFI 系统分区必须是物理分区或 RAID 1。不支持其他 RAID 级别、LVM 和其他技术。需要使用 FAT32 文件系统将其格式化。

自定义分区和 Snapper

如果根分区大于 16 GB,SUSE Linux Enterprise Server 默认会启用文件系统快照。

SUSE Linux Enterprise Server 将 Snapper 与 Btrfs 结合使用来实现此功能。Btrfs 需设置为对根分区启用快照。

如果磁盘小于 16 GB,则会禁用所有 Snapper 功能和自动快照,以防系统分区 / 出现空间不足情况。

要创建支持回滚的系统快照,需将重要系统目录(例如 /usr/var)挂载到单个分区。只有从快照中排除的目录(例如 /usr/local/var/log/tmp)才能驻留在单独的分区中。

如果启用了快照,安装程序将在安装期间以及安装之后立即自动创建 single 快照。

有关详细信息,请参见第 10 章 “使用 Snapper 进行系统恢复和快照管理

重要
重要:Btrfs 快照和根分区大小

快照可能会需要相当多的存储空间。一般而言,快照越旧或涉及的变更集越大,快照所需的存储空间就越多。另外,保留的快照越多,所需的磁盘空间也越多。

为了防止快照数据填满根分区,需确保根分区足够大。如果您要经常执行更新或其他安装,请考虑至少为根分区提供 30 GB 空间。如果您打算保留激活的快照用于系统升级或服务包迁移(以便能够回滚),请考虑提供 40 GB 或更多空间。

Btrfs 数据卷

SUSE Linux Enterprise Server 15 SP6 支持对数据卷使用 Btrfs。对于需要将 Btrfs 用作数据卷的应用程序,请考虑创建单独的文件系统并禁用定额组。非根文件系统默认已使用此设置。

加密的根分区上的 Btrfs

默认的分区设置建议使用根分区作为 Btrfs。要加密根分区,请务必使用 GPT 分区表类型,而不要使用 MSDOS 类型。否则,GRUB2 引导加载程序可能没有足够的空间供第二阶段的加载程序使用。

IBM Z:使用 z/VM 中的迷你磁盘

如果 SUSE Linux Enterprise Server 安装在 z/VM 中驻留在同一物理磁盘上的几个迷你磁盘中,则迷你磁盘的访问路径 (/dev/disk/by-id/) 将不唯一。这是因为,该路径代表物理磁盘的 ID。如果同一物理磁盘上有两个或更多迷你磁盘,它们的 ID 都相同。

要避免在挂载迷你磁盘时发生问题,请始终按路径按 UUID 挂载它们。

IBM Z:使用 z/VM 中的 FBA DASD

如果 SUSE Linux Enterprise Server 安装在 z/VM 中的 FBA DASD 上,则无法提供建议的分区方案。相反,请选择专家分区程序 › 从现有分区开始

FBA DASD 附带一个隐式分区,用户不得删除该分区,而是应在不进行任何更改的情况下重复使用。切勿对 FBA DASD 重新分区。

IBM Z:LVM 根文件系统

如果您将系统的根文件系统配置在 LVM 或软件 RAID 阵列上,则必须将 /boot 置于单独的非 LVM 或非 RAID 分区上,否则系统将无法引导。此类分区的建议大小为 500 MB,建议的文件系统为 Ext4。

IBM POWER:在包含多个光纤通道磁盘的系统上安装

如果有多个可用磁盘,在安装期间建议的分区模式会将 PReP 和 BOOT 分区放置到不同的磁盘上。如果这些磁盘是光纤通道磁盘,GRUB 引导加载程序将无法找到 BOOT 分区,系统也就无法引导。

在安装期间当系统提示您选择分区模式时,请选择指导设置,并确认是否仅选择了一个磁盘进行安装。或者,运行专家分区程序,然后手动设置在单个磁盘上配置 PReP 和 BOOT 的分区方案。

支持的软件 RAID 卷

磁盘数据格式 (DDF) 卷和 Intel Matrix Storage Manager (IMSM) 卷支持安装到现有软件 RAID 卷以及从该现有卷进行引导。IMSM 也称为:

适用于 FCoE 和 iSCSI 设备的挂载点

引导期间,FCoE 和 iSCSI 设备将异步显示。虽然 initrd 可确保为根文件系统正确设置这些设备,但对于任何其他文件系统或挂载点(例如 /usr),并无此类保证。因此,任何系统挂载点(例如 /usr/var)都不受支持。要使用这些设备,请确保正确同步相应的服务和设备。

9.11.2 建议的分区

在此步骤定义 SUSE Linux Enterprise Server 的分区设置。

建议的分区
图 9.12︰ 建议的分区

根据系统角色的不同,安装程序会创建针对其中一个可用磁盘的建议。所有建议都包含一个格式化为 Btrfs 的根分区(启用了快照)和一个交换分区。GNOME 桌面和文本模式建议将在大于 20 GB 的磁盘上创建单独的主分区。虚拟化主机的系统角色将为 /var/lib/libvirt(默认托管映像文件的目录)创建单独的分区。如果在可用硬盘上检测到一个或多个交换分区,将会使用这些现有分区(而不是建议一个新的交换分区)。您有以下几种选择来继续后面的步骤:

下一步

要接受建议而不做任何变动,请单击下一步继续安装工作流程。

引导性配置

要调整建议,请选择引导性配置。首先,选择要使用的硬盘和分区。在分区方案屏幕中,可以启用逻辑卷管理 (LVM) 并激活磁盘加密。然后指定文件系统选项。您可以调整根分区的文件系统,并创建单独的主分区和交换分区。如果您打算挂起计算机,请务必创建一个单独的交换分区,并选中增大用于挂起的内存大小。如果根文件系统格式为 Btrfs,您还可以在此处启用或禁用 Btrfs 快照。

专家分区程序

要创建自定义分区设置,请单击专家分区程序。如果您想从建议的磁盘布局开始,请选择从当前提案开始;要忽略建议的布局并从磁盘上的现有布局开始,请选择从现有分区开始。您可对分区执行添加编辑调整大小删除操作。

借助专家分区程序,还可以设置逻辑卷管理 (LVM)、配置软件 RAID 和设备映射 (DM)、加密分区、挂载 NFS 共享,以及管理 tmpfs 卷。要微调每个 Btrfs 分区的子卷和快照处理等设置,请选择 Btrfs。关于自定义分区和配置高级功能的更多信息,请参见第 11.1 节 “使用专家分区程序

警告
警告:磁盘空间单位

请注意,在分区时,磁盘空间的计量单位是二进制而不是十进制。例如,如果您输入 1GB1GiB1G 作为大小,这些数字全部表示 1 GiB(千兆二进制字节),而不是 1 GB(千兆字节)。

二进制

1 GiB = 1 073 741 824 字节。

十进制

1 GB = 1 000 000 000 字节。

差异

1 GiB ≈ 1.07 GB。

9.12 时钟和时区

在此对话框中,请选择区域和时区。这两项会根据安装语言预先选定。

时钟和时区
图 9.13︰ 时钟和时区

要更改预先选定的值,请使用地图或区域时区下拉框。使用地图时,请将光标指向区域的大概方向,并单击左键进行缩放。现在请单击左键选择您的国家/地区或区域。单击右键以返回到世界地图。

要设置时钟,请选择是否将硬件时钟设置为 UTC。如果在计算机上运行其他操作系统,如 Microsoft Windows,您的系统可能会改为使用本地时间。如果在计算机上运行 Linux,请将硬件时钟设置为 UTC,并让系统自动在标准时间与夏令时之间切换。

重要
重要:将硬件时钟设置为 UTC

如果要从标准时间自动切换到夏令时(反之亦然),则前提条件是硬件时钟(CMOS 时钟)设置为 UTC。这同样适用于借助 NTP 使用自动时间同步的情况,因为系统只有在硬件与系统时钟之间的时差少于 15 分钟时才会执行自动同步。

由于错误的系统时间可能会导致严重的问题(错过备份、丢弃邮件、在远程文件系统上挂载失败等),因此强烈建议您始终将硬件时钟设置为 UTC。

POWER, AMD/Intel 如果已配置网络,您可以配置与 NTP 服务器的时间同步。单击其他设置改变 NTP 设置或手动设置时间。有关配置 NTP 服务的更多信息,请参见第 38 章 “使用 NTP 同步时间。完成后,请单击接受继续安装。

POWER, AMD/Intel 如果在未配置 NTP 的情况下运行,请考虑设置 SYSTOHC=nosysconfig 变量),以免将未同步的时间保存到硬件时钟。

注意
注意:在 IBM Z 上无法更改时间

由于操作系统不能直接更改时间和日期,其他设置选项在 IBM Z 上不可用。

9.13 创建新用户

在此步骤中创建本地用户。

创建新用户
图 9.14︰ 创建新用户

输入姓氏和名字后,请接受建议或指定将用于登录的新用户名。请仅使用小写字母 (a-z)、数字 (0-9) 和以下字符:.(点)、-(连字符)和 _(下划线)。不允许使用特殊字符、元音变音符和重音字符。

最后,输入此用户的密码。再次输入以进行确认(目的是确保您的输入无误)。要提供有效的安全性,口令应至少由 6 个字符组成,并且需包含大小写字母、数字和特殊字符(7 位 ASCII 码)。不允许使用元音符或重音符。将检查所输入密码的强度。如果输入的密码很容易猜出(如字典单词或名称),系统会显示一则警告。确保安全的好做法是使用强密码。

重要
重要:用户名和口令

请牢记您的用户名和口令,因为每次登录系统时都需要使用它们。

如果在已经装有一个或多个 Linux 系统的计算机上安装 SUSE Linux Enterprise Server,YaST 允许您导入用户名和口令等用户数据。依次选择从先前的安装导入用户数据选择用户导入数据。

如果您不想配置任何本地用户(例如,在集中进行用户身份验证的网络上设置客户端时),请选择下一步并确认警告跳过此步骤。以后,您可随时在安装好的系统中配置网络用户身份验证,相关指导,请参见第 6 章 “使用 YaST 管理用户

有两个附加选项可用:

对系统管理员使用此口令

如果选中此选项,则系统管理员 root 将使用您为该用户输入的相同密码。此选项适用于独立工作站或由单个用户管理的家庭网络中的计算机。如果没有选中此选项,系统将在安装工作流程的下一步骤中提示您输入系统管理员密码(请参阅第 9.14 节 “系统管理员 root 的身份验证”)。

自动登录

此选项可在启动时自动将当前用户登录到系统。如果计算机只由一个用户操作,此选项很有用。为了能够自动登录,必须明确启用此选项。

警告
警告:自动登录

启用自动登录后,系统在引导时不进行身份验证就直接进入桌面。当您在系统上存储敏感数据时,如果其他用户也可以访问此计算机,则不应启用此选项。

在集中管理用户的环境中(例如,通过 NIS 或 LDAP 进行管理),应跳过本地用户的创建过程。在这种情况下,请选择跳过用户创建

9.14 系统管理员 root 的身份验证

如果您在上一步中未选择对系统管理员使用此口令,此时会提示您输入系统管理员 root 的口令或提供公共 SSH 密钥。否则将跳过此配置步骤。

系统管理员的身份验证 - root
图 9.15︰ 系统管理员 root 的身份验证

输入系统管理员 root 的口令。为了进行校验,您必须输入 root 的口令两次。切勿忘记该口令,因为以后无法找回该口令。

提示
提示:口令和键盘布局

建议仅使用 US ASCII 字符。如果发生系统错误,或者您需要在救援模式下启动系统时,键盘可能不会本地化。

日后如果要在安装的系统中更改 root 口令,请运行 YaST 并启动安全和用户 › 用户和组管理

重要
重要:root 用户

root 是系统管理员或超级用户的用户名。其用户 ID (uid) 为 0。与普通用户不同,root 帐户拥有不受限制的特权。

切勿忘记 root 的口令

只有 root 有权更改系统配置、安装程序、管理用户以及设置新硬件。要执行这样的任务,需要提供 root 口令。切勿忘记该口令,因为以后无法找回该口令。

切勿以 root 用户身份处理日常工作

root 用户身份登录来处理日常工作非常危险:root 发出的命令通常无需额外确认即会执行,因此只要犯了一个错误,就可能导致系统文件丢失,而且无法挽回。请仅使用 root 帐户进行系统管理、维护和修复工作。

切勿重命名 root 用户帐户。

YaST 一律将系统管理员命名为 root。虽然从技术上来说可以对 root 帐户重命名,但特定应用程序、脚本或第三方产品可能需要名为 root 的用户存在才能正常运行。虽然这样的配置始终针对的是个别环境,但供应商更新可能会覆盖必要的调整,因此这变成了一项需要持续执行的任务,而不是一次性设置。在涉及到第三方应用程序的极复杂设置中更是如此。在这些设置中,需要向涉及的每个供应商校验是否支持重命名 root 帐户。

由于无法预见重命名 root 帐户造成的后果,SUSE 不支持重命名 root 帐户。

通常,重命名 root 帐户背后的理念是隐藏该帐户或使其不可预测。但是,/etc/passwd 要求普通用户具有 644 权限,因此系统的任何用户都能获得用户 ID 0 的登录名。如果要使用更好的方法来保护 root 帐户的安全,请参见第 14.5 节 “限制 root 登录”第 14.5.3 节 “限制 SSH 登录”

如果您要使用公共密钥通过 SSH 远程访问系统,请从可卸存储设备或现有分区导入密钥。安装完成后,您可以使用提供的 SSH 密钥通过 SSH 登录。

过程 9.1︰ 添加 root 用户的 SSH 公共密钥

要从媒体分区导入 SSH 公共密钥,请执行以下步骤:

  1. SSH 公共密钥位于 ~/.ssh 目录中,其文件扩展名为 .pub。请将其复制到可卸存储设备或安装期间未格式化的现有分区中。

  2. 如果您的密钥存放在可卸存储设备中,请将设备插入您的计算机并单击刷新导入公共密钥下面的下拉框中应该会显示该设备。

  3. 单击浏览,选择 SSH 公共密钥,然后单击打开确认。

  4. 单击下一步继续。

如果您设置了口令并添加了 SSH 公共密钥,且需要在安装后立即进行远程访问,请不要忘记在安装设置摘要的安全部分打开 SSH 端口。如果您未设置口令,只添加了密钥,该端口将自动打开,以防止您被锁定在新安装的系统之外。

9.15 安装设置

在实际安装开始前的最后一步,您可以改变安装程序建议的安装设置。要修改建议的设置,请单击相应的标题。对特定设置进行更改后,您始终都会返回到“安装设置”窗口,其中的内容会相应更改。

如果您已按过程 9.1中所述为 root 添加了 SSH 密钥,请务必在安全设置中打开 SSH 端口。

安装设置
图 9.16︰ 安装设置

9.15.1 软件

SUSE Linux Enterprise Server 中包含多个可满足各种应用目的的软件集。可选择的模式和包取决于所选的模块和扩展。

单击软件打开软件选择和系统任务屏幕,您可以在此处根据需要修改所做的模式选择。从列表中选择模式,并在窗口右侧查看说明。

每个模式都包含特定功能(例如,Web 和 LAMP 服务器或打印服务器)所需的几个软件包。如果想查看要安装软件包的更为详细的选择,请选择细节切换到 YaST 软件管理器。

软件选择和系统任务
图 9.17︰ 软件选择和系统任务

以后,您也可以随时使用 YaST 软件管理器安装其他软件包或从系统中去除软件包。有关详细信息,请参见第 8 章 “安装或去除软件

如果您选择安装 GNOME,则 X.org 显示服务器会随 SUSE Linux Enterprise Server 一起安装。可以安装轻量级窗口管理器 IceWM 来替代 GNOME。在软件选择和系统任务屏幕中选择细节,然后搜索 icewm

提示
提示:IBM Z:硬件加密支持

默认情况下不会安装硬件加密堆栈。要安装该堆栈,请在软件选择和系统任务屏幕中选择 System z HW crypto 支持

提示
提示:添加次要语言

您在安装过程的第一步中选择的语言将作为系统的主要(默认)语言。您可以在软件对话框中选择细节 ›  查看 ›  语言来添加次要语言。

9.15.2 引导

安装程序会针对您的系统提供引导配置建议。将自动检测在计算机上找到的其他操作系统(如 Microsoft Windows 或其他 Linux 安装),并将其添加到引导加载程序。但 SUSE Linux Enterprise Server 会按默认设置引导。通常,您可以保持这些设置不变。如果您需要自定义设置,请根据需要修改建议。有关信息,请参见第 18.3 节 “使用 YaST 配置引导加载程序”

重要
重要:软件 RAID 1

系统支持引导 /boot 驻留在软件 RAID 1 设备上的配置,但这需要将引导加载程序安装到 MBR 中(引导加载程序位置 › 从主引导记录引导)。不支持在非 RAID 1 级别的软件 RAID 设备上存放 /boot另请参见第 8 章 “为根分区配置软件 RAID

9.15.3 安全

CPU 缓解策略是指为防御 CPU 边信道攻击而部署的软件缓解策略对应的内核引导命令行参数。单击选定的项可选择其他选项。有关详细信息,请参见CPU 缓解措施

系统默认会对配置的所有网络接口都启用防火墙。要完全禁用 firewalld,请单击禁用(不建议如此)。

注意
注意:防火墙设置

如果激活了防火墙,则所有接口都指派到public区域,在该区域中,所有端口默认都处于关闭状态,以确保提供最高的安全性。安装期间,您可以打开的唯一一个端口是端口 22 (SSH),它用于允许远程访问。其他需要网络访问权限的服务(例如 FTP、Samba、Web 服务器等)只有在防火墙设置调整后才能正常运行。有关配置细节,请参见第 23 章 “伪装和防火墙

注意
注意:用于接收更新的防火墙设置

SUSE Linux Enterprise Server 上的防火墙默认只阻止传入连接。如果系统受到会阻止传出流量的另一个防火墙的保护,请确保允许通过端口 80 和 443 连接至 https://scc.suse.com/https://updates.suse.com,以便接收更新。

SSH 服务默认处于启用状态,但在防火墙中其端口 (22) 是关闭的。单击打开将该端口打开,或单击禁用将该服务禁用。请注意,如果禁用了 SSH,将无法进行远程登录。有关更多信息,请参考第 22 章 “使用 OpenSSH 保护网络操作

提示
提示:现有的 SSH 主机密钥

如果您在已装有 Linux 的计算机上安装 SUSE Linux Enterprise Server,安装例程会导入 SSH 主机密钥。它默认会选择访问时间最近的主机密钥。另请参见第 9.15.9 节 “导入 SSH 主机密钥和配置

如果您要通过 VNC 进行远程管理,则还可以指定在安装后是否可通过 VNC 访问计算机。请注意,要启用 VNC,您需要将默认 systemd 目标设置为图形

默认的主要 Linux 安全模块AppAmpor。要禁用该模块,请在安全设置中为模块选择。这样,您便可以在软件设置中取消选择 AppAmor 软件集(第 9.15.1 节 “软件)。

9.15.4 安全配置文件

重要
重要:在 SUSE Linux Enterprise 15 SP4 中的可用性

可以通过安装程序自我更新或 QU2 媒体在 SUSE Linux Enterprise 15 SP4 GM 中使用此功能。

使用此类别可以通过 OpenSCAP 安全策略强化您的系统。实施的第一项策略为Security Technical Implementation Guide (STIG),其制定者为国防信息系统局(DISA)。

单击以启用安全策略。不合规的安装设置将与它们所违反的规则一起列出。单击修复规则可自动调整某些设置。对于需要提供用户输入的设置,请单击修改设置打开相应的设置屏幕。

提示
提示:在安装期间检查策略合规性

如果您不想要等待出现安装设置屏幕,而是希望安装程序从安装过程一开始就检查设置,请使用引导参数 YAST_SECURITY_POLICY=POLICY 引导系统。要检查是否符合 DISA STIG,请使用 YAST_SECURITY_POLICY=stig。有关引导参数的详细信息,请参见第 8 章 “引导参数

安装程序不会检查配置文件的所有规则,而只会检查安装时所需的规则,或者以后难以修复的规则。要应用其余规则,需在首次引导时执行完整的 SCAP 修正。您也可以选择仅扫描不执行任何操作,稍后再使用 OpenSCAP 手动修正系统。有关详细信息,请参见文章 Hardening SUSE Linux Enterprise with STIGHardening SUSE Linux Enterprise with OpenSCAP

9.15.5 网络配置

此类别显示当前的网络设置,该设置是在系统引导进入安装过程后自动配置的(请参见第 9.6 节),或是在安装期间手动配置的。默认情况下,wicked 用于安装的服务器,NetworkManager 用于桌面工作负载。

如果您想查看或调整网络设置,请单击网络配置。随后您会转到 YaST 网络设置模块。有关详细信息,请参见第 23.4 节 “使用 YaST 配置网络连接”

重要
重要:对 NetworkManager 的支持

只有安装了 SLED 扩展或 Workstation 扩展的 SUSE 桌面工作负载支持 NetworkManager。所有服务器认证都通过网络配置工具 wicked 来完成,使用 NetworkManager 可能会使它们失效。SUSE 服务器工作负载不支持 NetworkManager。

9.15.6 Kdump

使用 Kdump,您可以在发生崩溃的情况下保存内核的转储,以分析问题出在哪里。使用此对话框可启用和配置 Kdump。有关详细信息,请参见第 19 章 “Kexec 和 Kdump

9.15.7 IBM Z:将设备加入黑名单

为了节省内存,系统默认会将所有当前不使用的设备通道列入黑名单(未列入黑名单的每个通道大约会占用 50 KB 的内存)。要在安装好的系统中配置其他使用当前列入黑名单的通道的硬件,请先运行相应的 YaST 模块启用相应的通道。

要禁用黑名单,请单击禁用

9.15.8 默认 systemd 目标

SUSE Linux Enterprise Server 可以引导至两个不同的目标(以前称为运行级别)。图形目标会启动一个显示管理器,而多用户目标会启动命令行界面。

默认目标是图形。如果您尚未安装 X Window System 软件集,则需要将其更改为多用户。如果系统应当可以通过 VNC 访问,您需要选择图形

9.15.9 导入 SSH 主机密钥和配置

如果检测到计算机上已经装有 Linux 系统,YaST 默认会导入在 /etc/ssh 中找到的最新 SSH 主机密钥,您还可以选择包含该目录中的其他文件。如此,您可以重用现有安装的 SSH 身份,以免在首次连接时出现REMOTE HOST IDENTIFICATION HAS CHANGED警告。请注意,如果 YaST 未发现任何其他安装,则此项不会显示在安装摘要中。您有以下选择:

我要从先前的安装导入 SSH 密钥:

选择此选项可以导入已安装系统的 SSH 主机密钥和配置(可选)。您可以在下面的选项列表中选择要从中导入密钥的安装。

导入 SSH 配置

启用此项还会将 /etc/ssh 中主机密钥以外的其他文件复制到已安装的系统。

9.15.10 系统

此屏幕列出了安装程序可以获得的有关您计算机的所有硬件信息。该屏幕第一次打开时,系统会启动硬件检测。根据系统情况,可能需要一些时间。可在列表中选择任意项,然后单击详细信息以查看关于所选项的详细信息。单击保存到文件可将详细的列表保存到本地文件系统或可移动设备中。

高级用户还可通过选择内核设置来更改 PCI ID 设置和内核设置。一个含有两个选项卡的屏幕即会打开:

PCI ID 设置

所有内核驱动器支持的设备 ID 列表包含在该驱动器内。一个不在驱动程序数据库中的新设备,即使能用现有某个驱动程序,也不被视为对该设备的支持。您可以在此处为设备驱动程序添加 PCI ID。只有高级用户才可尝试这么做。

要添加 ID,请单击添加并选择是要手动输入数据,还是从列表中选择。输入必需的数据。SysFS 目录/sys/bus/pci/drivers 的目录名称;如果该字段为空,则驱动程序名称会用作目录名称。现有的项可使用编辑删除来管理。

内核设置

在此处更改全局 I/O 调度程序。如果选择未配置,将会使用相应体系结构的默认设置。以后,您也可随时在安装好的系统中更改此设置。有关调节 I/O 的详细信息,请参见第 13 章 “微调 I/O 性能

另外,在此处激活启用 SysRq 键。这些键可让您在系统崩溃时发出基本命令(例如重引导系统或写入内核转储)。建议您在进行内核开发时启用这些键。有关细节,请参见 https://www.kernel.org/doc/html/latest/admin-guide/sysrq.html

9.16 执行安装

在配置所有安装设置后,在“安装设置”窗口中单击安装开始安装。某些软件可能需要许可证确认。如果您选择的软件包括此类软件,则将显示许可证确认对话框。单击接受以安装软件包。如果不同意许可证,则单击我不同意,将不会安装软件包。在随后的对话框中,选择安装再次确认。

根据系统性能和所选的软件范围,安装通常需要 15 到 30 分钟。准备好硬盘并且保存和恢复用户设置后,软件安装开始。选择细节可切换到安装日志,选择发行说明可读取最新的重要信息,这些信息在手册印刷之时尚未提供。

软件安装完成后,系统会重引导至新安装,您可以在此处登录。要自定义系统配置或安装其他软件包,请启动 YaST。

9.16.1 IBM Z:对安装的系统执行 IPL

YaST 通常会重引导至 IBM Z 平台上的已安装系统。例外情况是在计算机上 LPAR 版本早于 z196 或 z/VM 版本早于 5.4 的环境中进行的安装,其中的引导加载程序位于 FCP 设备上。对于这种情况,引导加载程序会写入作为 /boot/zipl/ 挂载的单独分区。

如果无法进行自动重引导,YaST 将显示一个对话框,其中包含关于从哪个设备进行 IPL 的信息。接受关机选项,并在关机后执行 IPL。此过程将随安装类型的不同而有所不同:

LPAR 安装

在 IBM Z HMC 中,依次选择加载清除,然后输入加载地址(包含引导加载程序的 /boot/zipl 目录所在设备的地址)。如果使用 zFCP 磁盘作为引导设备,请选择从 SCSI 加载,并指定 FCP 适配器的加载地址,以及引导设备的 WWPN 和 LUN。现在启动加载进程。

z/VM 安装

LINUX1 身份登录到 VM Guest(关于配置,请参见例 5.1 “z/VM 目录的配置”),然后继续对安装好的系统执行 IPL:

IPL 151 CLEAR

151 是 DASD 引导设备的地址示例,请用正确的地址替换该值。

如果将 zFCP 磁盘用作引导设备,请在启动 IPL 之前指定引导设备的 zFCP WWPN 和 LUN。参数长度不得超过 8 个字符。较长的数字必须用空格隔开:

SET LOADDEV PORT 50050763 00C590A9 LUN 50010000 00000000

最后,启动初始程序加载:

IPL FC00

FC00 是 zFCP 适配器的地址示例,请用正确的地址替换该值。

KVM Guest 安装

安装完成后,虚拟机将会关闭。此时,请登录 KVM 主机,编辑虚拟机的说明文件,然后将虚拟机重启动,以执行 IPL 加载到已安装系统:

  1. 登录 KVM 主机。

  2. 运行以下命令编辑域 XML 文件

    > sudo virsh edit s12-1

    并去除下面几行:

      <!-- Boot kernel - remove 3 lines after successfull installation -->
      <kernel>/var/lib/libvirt/images/s12-kernel.boot</kernel>
      <initrd>/var/lib/libvirt/images/s12-initrd.boot</initrd>
      <cmdline>linuxrcstderr=/dev/console</cmdline>
  3. 重启动 VM Guest 以执行 IPL 加载到已安装系统:

    > sudo virsh start s12-1 --console
注意
注意:cio_ignore 已对 KVM 安装禁用

内核参数 cio_ignore 会阻止内核查看所有可用的硬件设备。不过,对于 KVM Guest,超级管理程序已注意仅提供对正确的设备的访问权限。因此,在安装 KVM Guest 时,cio_ignore 默认处于禁用状态(对于 z/VM 和 LPAR 安装,默认处于激活状态)。

9.16.2 IBM Z:连接安装的系统

对系统执行 IPL 后,通过 VNC、SSH 或 X 建立连接以登录安装好的系统。建议使用 VNC 或 SSH。要自定义系统配置或安装其他软件包,请启动 YaST。

9.16.2.1 使用 VNC 连接

3270 终端中有一条消息要求您使用 VNC 客户端连接到 Linux 系统。但您很容易忽略此讯息,因为它与内核消息混杂在一起,而且终端进程可能在您注意到此消息前就已退出。如果在 5 分钟内无任何反应,请尝试使用 VNC 查看器来启动与 Linux 系统的连接。

如果使用支持 JavaScript 的浏览器进行连接,请采用以下格式输入完整的 URL,其中包括已安装系统的 IP 地址和端口号:

http://IP_OF_INSTALLED_SYSTEM:5801/

9.16.2.2 使用 SSH 连接

3270 终端中有一条消息要求您使用 SSH 客户端连接到 Linux 系统。但您很容易忽略此消息,因为它与内核消息混杂在一起,而且在您注意到此消息时终端进程可能已退出。

一旦出现该消息,请以 root 身份使用 SSH 登录 Linux 系统。如果连接被拒绝或超时,请在超过登录超时时限后重试(此时间因服务器设置而异)。

9.16.2.3 使用 X 连接

对已安装系统执行 IPL 时,请确保在安装第一阶段使用的 X 服务器已启动,并在从 DASD 引导之前仍然可用。YaST 会在此 X 服务器上打开以完成安装。如果系统已引导但无法及时连接到 X 服务器,情况就比较复杂。