银河麒麟V10高级服务器版部署实战应用

银河麒麟V10服务器需部署Redis集群、OpenGauss、HighGoDB、Docker及SSH安全加固五类应用：分别实现高可用缓存、信创数据库、等保三级合规、容器化验证与远程安全管控。

如果您已成功安装银河麒麟v10高级服务器操作系统，但尚未完成典型企业级应用的部署与集成，则可能面临服务不可用、组件不兼容或安全策略未生效等问题。以下是针对该系统开展实战应用部署的关键路径：

一、部署Redis集群（主从+哨兵模式）

该方法适用于需高可用缓存能力的国产化业务场景，通过主从复制保障数据冗余，哨兵机制实现自动故障转移，适配银河麒麟V10 SP3 ARM64/x86_64双架构环境。

1、确认系统架构：执行uname -m命令，输出为aarch64或x86_64后，选择对应架构的RPM包。

2、卸载残留版本：运行rpm -e --nodeps $(rpm -qa | grep redis)清除旧版残留。

3、安装官方RPM包：使用rpm -ivh redis-4.0.14-5.p01.ky10.aarch64.rpm（ARM）或对应x86_64包。

4、配置主节点：编辑/etc/redis.conf，设置bind 0.0.0.0、protected-mode no、requirepass ky1!及appendonly yes。

5、配置从节点：在从机配置中追加slaveof 192.168.0.1 6379和masterauth ky1!。

6、配置哨兵：修改/etc/redis-sentinel.conf，启用sentinel monitor mymaster 192.168.0.1 6379 2与sentinel auth-pass mymaster ky1!。

7、启动服务：分别执行redis-server /etc/redis.conf与redis-sentinel /etc/redis-sentinel.conf &。

二、部署OpenGauss数据库极简版

该方案面向信创环境中对事务一致性与国产内核强依赖的场景，采用极简安装包降低资源占用，适配银河麒麟V10默认的openEuler20.03兼容基线。

1、创建安装目录：执行mkdir -p /usr/local/openGauss。

2、解压安装包：运行tar -jxf openGauss-Server-x.x.x-openEuler20.03-x86_64.tar.bz2 -C /usr/local/openGauss。

3、安装依赖：执行yum -y install gcc gcc-c++ make cmake bison flex libtool-ltdl-devel numactl-devel openssl-devel libtirpc-devel libaio-devel readline-devel expect。

4、关闭SELinux：将/etc/selinux/config中SELINUX=enforcing改为SELINUX=disabled，并重启系统生效。

5、初始化数据库：以普通用户身份执行/usr/local/openGauss/bin/initdb -D /usr/local/openGauss/data，按提示设置密码。

三、部署瀚高HighGoDB 4.5数据库

该方式满足等保三级对数据库审计、角色分离与国密算法支持的要求，利用systemd原生托管服务，适配银河麒麟V10 SP3默认的systemd 239版本。

1、上传RPM包：将hgdb-4.5-e94b212-20250227.x86_64.rpm上传至/home目录。

2、执行安装：运行rpm -ivh hgdb-4.5-e94b212-20250227.x86_64.rpm，自动注册hgdb-4.5.service。

塔猫ChatPPT

塔猫官网提供AI一键生成 PPT的智能工具，帮助您快速制作出专业的PPT。塔猫ChatPPT让您的PPT制作更加简单高效。

下载

3、初始化实例：进入/opt/highgo/hgdb-4.5/bin，执行./initdb -D ../data -A scram-sha-256，依次输入sysdba、syssao、syssso三类用户密码。

4、生成SSL证书：运行./hg_sslkeygen.sh /opt/highgo/hgdb-4.5/data启用传输加密。

5、加载环境变量：拷贝模板文件cp /opt/highgo/hgdb-4.5/etc/hgdbenv.sample /opt/highgo/hgdb-4.5/etc/hgdb.env，编辑后执行source /opt/highgo/hgdb-4.5/etc/hgdb.env。

四、部署Docker容器化运行环境

该路径用于快速验证国产软件兼容性或构建轻量测试沙箱，规避虚拟机开销，依托银河麒麟V10内核原生支持cgroup v2与overlayfs存储驱动。

1、启用cgroup v2：编辑/etc/default/grub，在GRUB_CMDLINE_LINUX中添加systemd.unified_cgroup_hierarchy=1，运行grub2-mkconfig -o /boot/grub2/grub.cfg并重启。

2、安装Docker CE：配置华为云镜像源，执行dnf config-manager --add-repo https://mirrors.huaweicloud.com/docker-ce/linux/centos/docker-ce.repo，再运行dnf install docker-ce docker-ce-cli containerd.io。

3、拉取银河麒麟镜像：执行docker pull macrosan/kylin:v10-sp3-amd64（x86）或docker pull macrosan/kylin:v10-sp3-arm64（ARM）。

4、启动容器：运行docker run -it --rm --name kylin-test macrosan/kylin:v10-sp3-amd64 /bin/bash进入交互环境。

5、验证架构匹配：容器内执行cat /proc/sys/kernel/osrelease与uname -m，确认内核版本与CPU架构一致。

五、部署SSH服务并实施安全加固

该操作确保远程管理通道符合等保2.0三级要求，禁用弱协议、限制认证方式、启用强制访问控制，适配银河麒麟V10默认启用的auditd与kysec模块。

1、备份原始配置：执行cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak。

2、禁用不安全选项：在/etc/ssh/sshd_config中设置Protocol 2、PermitRootLogin no、PasswordAuthentication no、KerberosAuthentication no。

3、启用密钥认证：生成ed25519密钥对，命令为ssh-keygen -t ed25519 -C "admin@kylin-server"，公钥写入/root/.ssh/authorized_keys。

4、配置PAM模块：在/etc/pam.d/sshd顶部添加auth [success=done default=ignore] pam_succeed_if.so user ingroup kysec_admin，限定可登录组。

5、重载服务：执行systemctl restart sshd && systemctl enable sshd，验证端口监听状态。