GCP企業帳號認證 谷歌雲CentOS系統配置

谷歌云CentOS实例创建步骤

创建实例前的准备工作

登录谷歌云控制台，进入Compute Engine > 實例。選擇區域時別選太遠的，比如亞洲區的東京或新加坡，這樣國內訪問速度快。鏡像選擇CentOS 7或8，新手建議CentOS 7，因為文檔多，社區支持好。實例類型別貪便宜選e2-micro，跑個網站可能卡成PPT，e2-medium起步比較穩妥。系統磁盤選SSD，50GB足夠用，後面再擴容也行。

實例配置詳解

點擊"創建實例"後，填好實例名稱，選擇區域（比如asia-east1-a），機器類型選e2-medium（2vCPU, 4GB內存）。系統盤選"固態硬盤"，大小根據需求，50GB起步。網絡部分，VPC網絡默認就行，子網選自動分配。公網IP選"靜態IP"，這樣以後改配置不用重新配DNS。啟動選項裡記得勾選"允許HTTP和HTTPS流量"，這樣後續裝網站更省事。最後點擊"創建"，幾分鐘後實例就跑起來了，比等外賣還快！

網絡與防火牆設置

網絡部分，VPC默認就行，子網選自動分配的。公網IP可以選臨時，但建議申請靜態IP，這樣IP不會變，省得後面配置麻煩。防火牆規則這裡最容易栽跟頭！記得開放22端口（SSH），80和443端口（HTTP/HTTPS），否則連不上服務器。有個小技巧：在防火牆規則裡限制來源IP，比如只允許你的辦公室IP訪問SSH，這樣更安全。別學某些人把0.0.0.0/0全開放，這等於把家門鑰匙扔大街上，小心黑客上門"拜訪"。

GCP企業帳號認證 系統初始化配置

SSH密鑰與用戶權限

GCP企業帳號認證 連接服務器前，先搞定SSH密鑰。用ssh-keygen生成一對鑰匙（別用默認路徑，避免覆蓋現有密鑰），把公鑰上傳到谷歌雲控制台的元數據裡，或者直接在創建實例時粘貼進去。切記！別用root直接登錄，這是最危險的操作。創建一個新用戶，比如admin：

useradd admin
passwd admin  # 設置密碼
usermod -aG wheel admin  # 加入sudo組

然後編輯/etc/ssh/sshd_config，把PermitRootLogin設為no，重啟SSH服務。這樣即使密碼洩露，黑客也進不了root，只能先攻破普通用戶，難度大增。有個冷知識：密碼長度至少12位，包含大小寫字母、數字和符號，比如"7&K#p9$Lx@2q"這種，比"password123"安全一萬倍——雖然可能自己都記不住，但安全第一啊！

更新系統與軟件源

剛建好的CentOS系統，先別急著裝東西，先更新！執行

sudo yum update -y

或者CentOS 8用dnf update -y。但國內用戶可能遇到更新慢的問題，因為默認源在國外。這時候趕緊換成國內鏡像源，比如阿里雲或者清華大學的源。操作步驟：先備份原配置，再替換源地址。

sudo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo

（CentOS 8的話用CentOS-Base-8.repo）更新完記得清緩存：sudo yum clean all && sudo yum makecache。這一步很重要，否則你可能會在下載軟件時等得花兒都謝了，甚至遇到404錯誤——畢竟國內網絡和國外出源的"時差"可不是一般的大。

基礎安全加固

更新完系統，趕緊加固！安裝fail2ban防止暴力破解：

sudo yum install epel-release -y
sudo yum install fail2ban -y
sudo systemctl start fail2ban
sudo systemctl enable fail2ban

再改SSH端口，比如從22改成22222（記得在防火牆規則裡也改），編輯/etc/ssh/sshd_config，把Port 22改成Port 22222，重啟服務。這樣黑客掃端口時會少很多麻煩。另外，關閉SELinux或者設為permissive模式（編輯/etc/selinux/config，設置SELINUX=permissive），雖然有點風險，但對新手友好，避免權限問題卡住。最後，記得定期備份重要數據，畢竟雲服務器不是保險箱，硬體故障、誤刪都有可能發生。

高級配置與優化

磁盤掛載與分區調整

如果系統盤不夠用，可以掛載額外磁盤。先在谷歌雲控制台添加新磁盤（比如100GB的SSD），然後登錄服務器，用lsblk查看新磁盤設備名（通常是vdb）。接著用fdisk分區：

sudo fdisk /dev/vdb
# 輸入n創建新分區，w保存
sudo mkfs.xfs /dev/vdb1  # 或ext4
sudo mkdir /data
sudo mount /dev/vdb1 /data

最後編輯/etc/fstab，添加掛載項，避免重啟後丟失。命令：

echo '/dev/vdb1 /data xfs defaults 0 0' | sudo tee -a /etc/fstab

這步很關鍵！沒配fstab的話，重啟後磁盤就"失蹤"了，數據還在但没法用，簡直像把錢藏在冰箱裡卻忘了冰箱在哪——急死人！

性能調優參數

調整內核參數提升性能。編輯/etc/sysctl.conf，添加：

net.ipv4.tcp_tw_reuse = 1
net.core.somaxconn = 1024
vm.swappiness = 10

然後執行sysctl -p生效。swappiness設為10，讓系統少用swap，多用內存，對性能有幫助。另外，調整文件描述符限制：

echo "* soft nofile 65535" | sudo tee -a /etc/security/limits.conf
echo "* hard nofile 65535" | sudo tee -a /etc/security/limits.conf

這些參數能有效提升並發處理能力，特別是跑Web服務器時，避免"連接數滿載"的尷尬。不過別亂改，建議先查文檔，或者用現成的優化腳本，比如Tuning System Parameters for High Performance on CentOS，免得把自己搞暈。

實戰案例：部署Web服務器

安裝Nginx與PHP

現在來搞個實際例子——部署一個簡單的Web服務器。先安裝Nginx和PHP：

sudo yum install nginx php-fpm -y
sudo systemctl start nginx
sudo systemctl enable nginx

配置Nginx站點，編輯/etc/nginx/conf.d/default.conf，把root改成/var/www/html，server_name設為你的域名。然後創建測試頁面：

echo '<h1>Hello, Google Cloud!</h1>' > /var/www/html/index.html

重啟Nginx後，用瀏覽器訪問公網IP，應該能看到Hello頁面。如果打不開？檢查防火牆是否開放80端口，或者SELinux是否阻止了——用setenforce 0臨時關閉SELinux測試，確認問題後再調整策略。

配置SSL證書

現在加上SSL加密。安裝certbot：

sudo yum install certbot python2-certbot-nginx -y
sudo certbot --nginx -d yourdomain.com

跟著提示操作，certbot會自動申請Let's Encrypt證書並配置Nginx。完成後，用https://yourdomain.com訪問，應該顯示小綠鎖。記得設置自動續期：

sudo certbot renew --dry-run

這個命令可以測試續期是否正常，建議加到cron任務裡每月自動執行。SSL證書雖然好，但別忘了定期檢查，過期了網站會顯示"不安全"，用戶體驗直接掉線。

測試與驗證

最後測試一下：用curl -I https://yourdomain.com看響應頭是否有SSL相關信息，或者用在線工具如SSL Labs測試安全性。性能方面可以用ab命令壓測：

ab -n 1000 -c 100 https://yourdomain.com/

觀察響應時間，如果QPS太低，可能需要調整Nginx worker_processes或者PHP-FPM配置。記住，配置不是一勞永逸的，隨著流量增長要持續優化。比如發現CPU過高，可以加實例規格，或者用負載均衡分散壓力——畢竟雲服務器的彈性，就是用來應對這種"意外驚喜"的！