新手必读 香港的cn2服务器 从配置到监控一步到位

1. 选择与购买：如何确认是“CN2”线路

1) 联系商家确认：购买前明确要求“CN2 GIA/中国电信CN2”并索要最近一次到中国大陆目标 IP 的 traceroute。

2) 验证方法：拿到 IP 后在本地或用在线工具执行 traceroute/mtr（例如：mtr -rwzbc100 223.5.5.5）看第一跳经过是否含有 CN2 节点或运营商 ASN（AS4134/AS9808 等常见电信 ASN）。

3) 测试带宽承诺：使用 iperf3（服务器端运行 iperf3 -s），本地运行 iperf3 -c server_ip -P 4 -t 30 测试 TCP 带宽。

2. 系统选择与基础准备（Ubuntu/CentOS）

1) 系统选择：推荐 Ubuntu LTS（如 20.04/22.04）或 CentOS Stream，根据熟悉度选定。

2) 基础更新：登录后执行（Ubuntu）apt update && apt upgrade -y；（CentOS）yum update -y。

3) 建议创建普通管理员账号并禁用 root 登录：adduser youruser；usermod -aG sudo youruser；编辑 /etc/ssh/sshd_config，PermitRootLogin no，PasswordAuthentication no（配置好密钥后重启 sshd）。

3. SSH 安全与防护实操

1) 上传公钥：在本地 ssh-keygen 后把 ~/.ssh/id_rsa.pub 内容追加到服务器 ~youruser/.ssh/authorized_keys，并设置权限 chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys。

2) 修改 SSH 端口：在 /etc/ssh/sshd_config 修改 Port 22 -> 变更为如 2222，然后 systemctl restart sshd。

3) 安装 fail2ban：Ubuntu 上 apt install fail2ban -y，启用并配置 /etc/fail2ban/jail.local，限制频繁登录尝试。

4. 防火墙与基本端口策略

1) 使用 ufw（Ubuntu）：ufw default deny incoming；ufw allow 2222/tcp；ufw allow 80,443/tcp；ufw enable。

2) 或用 firewalld（CentOS）：firewall-cmd --permanent --add-port=2222/tcp；reload。

3) 开放监控端口（若使用外部监控）：仅允许监控平台 IP 入站或使用 agent 主动上报，避免直接暴露监控端口。

5. 网络与 TCP 调优（实用配置步骤）

1) 启用 BBR（提升拥塞控制表现）：在 /etc/sysctl.conf 添加：net.core.default_qdisc=fq；net.ipv4.tcp_congestion_control=bbr；然后运行 sysctl -p。验证：sysctl net.ipv4.tcp_congestion_control -> 应显示 bbr；lsmod | grep bbr。

2) 调整内核参数（示例，可按需微调）：在 sysctl.conf 中添加 net.core.rmem_max=16777216 net.core.wmem_max=16777216 net.ipv4.tcp_rmem=4096 87380 16777216 net.ipv4.tcp_wmem=4096 65536 16777216 net.ipv4.tcp_window_scaling=1 然后 sysctl -p。

3) MTU 与 MSS：若发现到某些国内网站存在丢包/分片，尝试调整 MTU（ip link set dev eth0 mtu 1500），或在 nginx/v2ray 等软件里设置 TCP MSS 以避免分片问题。

6. 常用网络诊断命令与实战流程

1) traceroute/mtr： traceroute -n target_ip；mtr -rw target_ip，观察丢包在哪一跳开始。

2) ping：连续 ping (ping -c 100 target) 观察丢包与抖动。

3) iperf3：测试端到端带宽（服务器：iperf3 -s；客户端：iperf3 -c server_ip -P 4 -t 30）。

7. 部署监控：从简单到完整的可视化方案

1) 轻量级（推荐新手）：安装 Netdata —— 一行命令：bash <(curl -Ss https://my-netdata.io/kickstart.sh)。安装后访问 http://server_ip:19999 可实时查看 CPU/网卡/磁盘/进程。

2) 企业级：部署 Prometheus + node_exporter + Grafana。步骤要点：在服务器上安装 node_exporter（下载并运行：./node_exporter &），在 Prometheus 的 targets 添加该节点；在 Grafana 导入服务器监控 Dashboard。

3) 带告警：使用 Netdata 自带告警或在 Prometheus 配置 alertmanager，设置告警规则（如 net.if.in/out 带宽阈值、丢包率、load 高于 2 等）。

8. 日常运维与备份建议

1) 自动化备份：对关键数据使用 rsync + cron 定期同步到异地（例如本地 NAS 或其他云存储），示例：rsync -az --delete /var/www/ backup@backup_server:/data/web_backup/。

2) 快照与镜像：若使用 VPS 面板，开启每日快照或至少在大改前手动创建快照。

3) 日志与 logrotate：确保 /etc/logrotate.d 配置正确，避免日志占满磁盘；设置邮件或监控告警通知磁盘使用异常。

9. 问：如何确认我买到的真正是 CN2 路由？

答：拿到 IP 后做 traceroute/mtr 到中国大陆目标（例如 223.5.5.5/119.29.29.29/域名服务），观察路由跳次与 ASN，如果经过运营商带有 CN2 字样或 ASN 属于电信（AS4134/AS9808）且中间节点延迟低且丢包少，基本可以确认。必要时索要商家 LGA/looking glass 路由表或向商家索取到大陆的具体测试 IP 的历史路由截图。

10. 问：部署监控后如何设置合理的告警阈值？

答：先观测 7-14 天正常峰值，再基于历史数据设置阈值。例如：CPU 90% 持续 5 分钟触发；内存使用率 85%（注意缓存清理）；磁盘使用 80% 警告、90% 严重；网络丢包率 >2% 持续 3 分钟告警。带宽阈值按业务峰值的 1.2 倍设置。避免过低阈值导致告警风暴。

11. 问：遇到中国方向突然丢包或延迟升高第一步怎么排查？

答：第一步：用 mtr -rwzbc100 目标_ip 观察是哪一跳开始丢包；第二步：在不同时间段多次测试以排除瞬时拥堵；第三步：测试其他目标（运营商 DNS、常用网站）判断是否为特定目标问题；第四步：向 VPS 商家提交带有 mtr/traceroute/iperf3 的证据要求排查，必要时请求换节点或路由优化。

来源：新手必读 香港的cn2服务器 从配置到监控一步到位