企业官网建设流程全解析

1. 项目概述：为什么今天还要折腾裸金属网络装机？

裸金属（Bare Metal）这个词听起来像在说服务器机柜里摆着几块没贴标签的钢板，但实际它指的就是不经过虚拟化层、直接在物理硬件上部署操作系统和应用的模式。你可能觉得这很“复古”——毕竟现在满世界都在聊容器、K8s、Serverless，谁还天天对着网线插拔装系统？可现实是：金融核心交易系统要低延迟，AI训练集群要榨干每一块GPU的PCIe带宽，边缘工控设备要确定性启动时间，这些场景下，虚拟化带来的毫秒级开销、内存复用不确定性、驱动兼容黑洞，全都是不能碰的红线。裸金属不是退步，而是回归本质的精准控制。

PXE（Preboot eXecution Environment）就是这套控制体系的“神经中枢”。它让一台空硬盘、没装任何系统的机器，在按下电源键的第3秒内，就通过网卡芯片内置的ROM代码，向局域网广播一个DHCP请求：“我是谁？我该找谁要启动文件？”——这个过程完全不依赖本地存储，连BIOS/UEFI固件都不需要加载硬盘驱动。而iPXE，则是PXE的“超频版”：它把原本只能读TFTP协议、只支持IPv4、路径写死的原始PXE固件，升级成能跑脚本、支持HTTP/HTTPS/iSCSI、兼容IPv6、还能动态判断硬件型号的轻量级Linux内核。你见过用U盘装系统，但你见过用一行curl命令从GitHub拉取最新版国产操作系统ISO、实时解压进内存并启动安装界面的吗？iPXE就能干这事。

我去年在给某省电力调度中心做边缘计算节点交付时，200台国产飞腾+麒麟服务器分散在37个变电站。如果每台都插U盘手动装系统，光物流和人工成本就超预算40%；用传统PXE，遇到不同批次网卡ROM版本不一致，有15%的机器会卡在“pxe checking media presence. media present. start pxe over ipv4”这行字不动——因为老PXE固件根本不认识新网卡的MAC地址格式。最后我们切到iPXE链式加载方案，用一个通用启动镜像兜底，再根据dhcp-server-identifier自动跳转到对应厂商的定制化安装流，200台机器从通电到完成基础系统部署，全程无人值守，总耗时不到93分钟。这不是炫技，是运维SLA的硬性要求。

所以这篇指南不讲虚的。它面向三类人：第一类是刚接手IDC运维的新人，看到机房里一堆亮着蓝灯却没IP的服务器发懵；第二类是DevOps工程师，想把CI/CD流水线延伸到物理机纳管环节；第三类是信创项目实施人员，手握飞腾、鲲鹏、海光CPU和统信、麒麟OS，急需一套绕过Windows生态依赖、纯国产协议栈的批量部署方案。接下来所有步骤，我都按真实机房环境实测过，参数值精确到小数点后两位，报错信息截图存档，连网卡ROM升级的坑都给你标好位置。

2. 整体架构设计与技术选型逻辑

2.1 为什么放弃传统PXE，必须上iPXE？

先说结论：原生PXE是功能受限的“哑终端”，iPXE是可编程的“智能网卡”。这个判断不是凭空而来，而是踩过三次重大生产事故后总结的。

第一次是某银行核心数据库迁移。我们用标准PXE+TFTP部署CentOS 7，一切顺利。但当切换到RHEL 8.5时，发现TFTP传输大文件（>32MB）时丢包率飙升——因为PXE固件的TFTP实现基于UDP，没有滑动窗口和重传机制，而RHEL 8.5的initrd镜像压缩后刚好38MB。尝试调大TFTP blocksize到1468字节，结果部分Intel I350网卡直接返回“TFTP Timeout”错误。查Intel官方文档才发现，其I350网卡ROM v1.1.1以下版本对非标准blocksize支持存在硬件级bug。这就是PXE的致命伤：协议栈固化在网卡芯片里，无法热更新，出问题只能换硬件或等厂商发新ROM。

第二次是信创项目。客户要求所有节点必须预装统信UOS V20。我们按常规流程编译了PXE启动菜单，结果在海光C86平台启动时黑屏。抓取串口日志发现，原生PXE根本无法识别海光网卡的PCIe配置空间，连MAC地址都读不出来。后来查海光《固件兼容性白皮书》才明白，其自研网卡ROM仅实现了iPXE标准接口的70%，对PXE的UNDI（Universal Network Device Interface）规范支持不完整。

第三次最致命：某AI训练集群上线前压力测试。20台A100服务器同时PXE启动，DHCP服务器瞬间被SYN Flood攻击——不是黑客干的，是PXE客户端在获取IP失败后，以指数退避方式疯狂重试，单台机器每秒发12个DHCP Discover包，20台叠加就是240次/秒。而标准DHCP服务（如dnsmasq）默认连接队列只有10，直接拒绝后续请求。iPXE则完全不同：它内置DHCP客户端可配置retry-timeout和max-retry，我们设为retry-timeout 3000 max-retry 3，把重试间隔拉长到3秒，最大重试3次，集群启动风暴瞬间平息。

所以iPXE的核心价值不是“多几个功能”，而是把启动过程从固件层解放出来，交还给软件定义。它用C语言写的开源固件（https://github.com/ipxe/ipxe），编译时可裁剪功能模块，运行时可通过脚本动态决策。比如下面这段iPXE脚本：

#!ipxe dhcp && chain http://pxe-server/boot.ipxe || goto failed :failed echo "DHCP failed, falling back to static config" set net0/ip 192.168.10.100 set net0/netmask 255.255.255.0 set net0/gateway 192.168.10.1 set dns 192.168.10.2 ifopen net0 chain http://pxe-server/fallback.ipxe

这段代码实现了三层容灾：先尝试DHCP自动获取网络参数；失败则切静态IP；最后还预留了降级到离线镜像的入口。这种逻辑，原生PXE固件连if语句都没有，根本不可能实现。

2.2 架构分层：五层解耦设计

我们最终采用的架构不是“一个服务器搞定所有”，而是严格分层，每层职责单一、可独立替换。这是保障信创项目长期演进的关键。

第一层：网络基础设施层

• 核心设备：华为S5735-L24P交换机（国产化型号）
• 关键配置：启用DHCP Snooping + Option 60（Vendor Class Identifier）识别iPXE客户端
• 为什么不用普通交换机？因为iPXE启动时需发送DHCP请求，若交换机未开启DHCP Snooping，某些安全策略会丢弃无ARP表项的DHCP包。Option 60用于区分PXE和iPXE客户端，避免旧设备误入新流程。

第二层：DHCP/DNS服务层

• 软件选型：dnsmasq 2.89（非ISC DHCPd）
• 理由：dnsmasq轻量（<2MB内存占用）、支持PXE/iPXE双模式、可单进程管理DHCP+TFTP+DNS，且对国产CPU（飞腾FT-2000+/鲲鹏920）编译零报错。ISC DHCPd虽功能强，但在ARM64平台编译需额外打patch，生产环境不敢赌。

第三层：启动文件服务层

• HTTP服务：nginx 1.22.1（非Apache）
• TFTP服务：tftpd-hpa 5.2（仅作iPXE固件下发，非系统镜像）
• 关键决策：系统镜像全部走HTTP，禁用TFTP传大文件。因为HTTP支持Range请求、断点续传、gzip压缩，而TFTP在千兆网络下理论极限仅8MB/s（受UDP包大小限制），实测RHEL 8.5镜像传输耗时比HTTP慢3.7倍。

第四层：镜像管理层

• 工具链：使用mkisofs生成ISO，7z分卷压缩initrd，sha256sum校验完整性
• 国产化适配：统信UOS镜像需额外注入uos-kernel-modules驱动包，通过dracut --force --regenerate-all重建initrd，否则飞腾平台无法识别NVMe SSD。

第五层：自动化编排层

• 核心工具：Ansible 2.14 + 自研Python脚本pxe-gen.py
• pxe-gen.py功能：自动解析硬件清单CSV，生成iPXE菜单项，按CPU型号（AMD/Intel/海光/飞腾）分组，为每组分配专属内核参数（如飞腾需iommu=off，海光需amd_iommu=off）

这种分层不是炫技。去年某次紧急漏洞修复，我们只需替换第四层的镜像包，重启nginx服务，200台机器下次启动自动加载新版，全程不影响DHCP和网络层。如果是单体PXE服务器，改一行配置都要停服，SLA直接违约。

2.3 信创环境特殊考量：国产CPU与操作系统的启动握手

信创项目最常被忽略的，是CPU微架构与启动协议的底层耦合。这里展开三个真实案例：

案例1：飞腾D2000平台的UEFI Secure Boot冲突
飞腾D2000默认启用UEFI Secure Boot，但iPXE官方固件未签名。强行启动会报错Security Violation: iPXE not signed。解决方案不是关Secure Boot（违反等保要求），而是用飞腾提供的ftsign工具，用自己的私钥对iPXE二进制签名。命令如下：

# 生成飞腾专用签名密钥 ftsign -g -k ft_sign.key -c ft_sign.crt # 对iPXE固件签名 ftsign -s -k ft_sign.key -i ipxe.efi -o ipxe-signed.efi

注意：ftsign工具仅支持飞腾自有格式，OpenSSL生成的证书无效。

案例2：海光C86的iPXE网卡驱动缺失
海光C86板载网卡型号为HYGON Gxnet，iPXE主线代码库直到v1.21.1才加入支持。我们实测v1.20.0启动时卡在Initializing devices...。解决方案是打补丁：

# 在src/drivers/net/hygon.c中添加 static struct pci_id hygon_nic_ids[] = { PCI_ID (0x147b, 0x0001), // HYGON Gxnet PCI_ID (0x147b, 0x0002), // HYGON Gxnet Pro };

然后重新编译：make bin-x86_64-efi/ipxe.efi EMBED=boot.ipxe。

案例3：统信UOS V20的initrd解压失败
统信UOS V20 initrd采用lz4压缩，而标准iPXE只支持gzip和xz。启动时内核报错Unknown compression type。解决方法是在iPXE脚本中强制指定解压器：

initrd --name initrd.lz4 http://pxe-server/images/uos-v20/initrd.lz4 || goto fail kernel http://pxe-server/images/uos-v20/vmlinuz initrd=initrd.lz4

并在内核参数中添加rd.lz4=on。

这些细节，官方文档不会写，但线上故障时就是生死线。后面实操章节，我会把每个补丁、每行命令、每个参数的来龙去脉都拆解清楚。

3. 核心组件部署与实操要点

3.1 基础环境准备：服务器选型与系统初始化

别急着敲命令，先确认你的“地基”是否牢靠。我们用一台戴尔R650（Intel Xeon Silver 4310 + 64GB RAM + 2TB NVMe）作为PXE服务器，但关键不是硬件多强，而是系统初始化的五个反直觉操作。

第一，禁用NetworkManager，启用systemd-networkd
很多教程教你在Ubuntu上装dnsmasq，结果启动后发现DHCP不响应。查日志journalctl -u dnsmasq全是Failed to bind DHCP server socket。原因在于NetworkManager默认接管所有网卡，与dnsmasq的DHCP监听端口冲突。正确操作是：

# 彻底卸载NetworkManager（Ubuntu 22.04） sudo apt purge network-manager -y sudo systemctl disable NetworkManager # 启用systemd-networkd echo '[Match] Name=ens1f0 [Network] Address=192.168.10.1/24 DHCPServer=yes' | sudo tee /etc/systemd/network/10-pxe.network sudo systemctl restart systemd-networkd

注意：ens1f0是你的物理网卡名，用ip link show确认。DHCPServer=yes是systemd-networkd的隐藏功能，它会自动启动内置DHCP服务，但仅限测试，生产环境仍需dnsmasq。

第二，关闭SELinux/AppArmor，但保留防火墙规则
信创环境常用CentOS Stream 9或统信UOS Server，它们默认启用SELinux。dnsmasq启动时若SELinux处于enforcing模式，会因avc: denied { name_bind }拒绝绑定53/67端口。简单粗暴关SELinux风险大，正确做法是：

# 临时设为permissive（排查用） sudo setenforce 0 # 永久修改配置文件 sudo sed -i 's/SELINUX=enforcing/SELINUX=permissive/' /etc/selinux/config # 但防火墙必须开：允许DHCP(67/68)、TFTP(69)、HTTP(80) sudo firewall-cmd --permanent --add-port=67/udp sudo firewall-cmd --permanent --add-port=68/udp sudo firewall-cmd --permanent --add-port=69/udp sudo firewall-cmd --permanent --add-port=80/tcp sudo firewall-cmd --reload

第三，磁盘分区必须用LVM，且根分区≥100GB
PXE服务器的镜像仓库会持续增长。RHEL 8.5单个镜像约4.2GB，统信UOS V20约5.8GB，加上initrd、内核、驱动包，10个版本就超50GB。若用传统ext4分区，扩容需停机。LVM方案：

# 创建物理卷 sudo pvcreate /dev/nvme0n1p1 # 创建卷组（名称必须为vg_pxe，后续脚本依赖） sudo vgcreate vg_pxe /dev/nvme0n1p1 # 创建逻辑卷（初始50GB，可在线扩容） sudo lvcreate -L 50G -n lv_images vg_pxe # 格式化并挂载 sudo mkfs.xfs /dev/vg_pxe/lv_images sudo mkdir -p /var/lib/tftpboot/images sudo mount /dev/vg_pxe/lv_images /var/lib/tftpboot/images # 开机自动挂载 echo '/dev/vg_pxe/lv_images /var/lib/tftpboot/images xfs defaults 0 0' | sudo tee -a /etc/fstab

第四，时间同步必须用chrony，且指向内网NTP源
PXE启动过程中，客户端和服务器时间差超过5分钟，会导致HTTPS证书校验失败（iPXE加载HTTPS资源时）。systemd-timesyncd精度不够，必须用chrony：

sudo apt install chrony -y # Ubuntu # 或 sudo dnf install chrony -y # CentOS/RHEL # 编辑配置 sudo tee /etc/chrony.conf << 'EOF' pool 192.168.1.100 iburst # 内网NTP服务器IP keyfile /etc/chrony.keys driftfile /var/lib/chrony/drift rtcsync makestep 1 3 logdir /var/log/chrony EOF sudo systemctl restart chronyd

第五，创建专用用户pxeadmin，禁止shell登录
安全基线要求：所有服务账户必须无交互式shell。dnsmasq默认以dnsmasq用户运行，但镜像管理需更高权限：

sudo useradd -r -s /bin/false -d /var/lib/tftpboot pxeadmin sudo chown -R pxeadmin:pxeadmin /var/lib/tftpboot # 验证：su - pxeadmin -c 'whoami' 应返回"pxeadmin"，且无shell提示符

这五步做完，你的服务器才真正准备好承载PXE流量。少一步，后面都可能莫名其妙失败。

3.2 iPXE固件编译与网卡ROM烧录

iPXE不是下载即用的软件，它需要针对你的网卡型号定制编译。网上流传的“万能iPXE镜像”在信创环境90%失效，原因在此。

第一步：确认网卡芯片型号
别信lspci输出的“Ethernet controller”，要看实际芯片。在目标服务器（待装机的裸金属节点）上执行：

# 查看PCI设备详细信息 sudo lspci -vv -s 0000:01:00.0 | grep -A 10 "Subsystem" # 输出示例： # Subsystem: Intel Corporation Ethernet Connection X722 for 10GbE SFP+ # Physical Slot: 1 # Capabilities: [c8] Power Budgeting <?> # Kernel driver in use: i40e # Kernel modules: i40e

关键看Kernel driver in use，这里是i40e，对应Intel X722网卡。若显示hns3，则是华为鲲鹏网卡；hygon_gxnet是海光网卡。

第二步：下载对应iPXE源码分支
iPXE主线不支持所有国产网卡，必须用厂商维护的分支：

• 飞腾平台：git clone https://github.com/phytium-ipxe/ipxe.git
• 海光平台：git clone https://github.com/HygonTech/ipxe.git
• 鲲鹏平台：git clone https://github.com/openEuler/ipxe.git

进入源码目录后，检查是否有对应驱动：

ls src/drivers/net/ | grep -E "(phytium|hygon|hns)" # 应输出 phytium.c, hygon.c, hns3.c 等

第三步：编译iPXE固件
以飞腾平台为例（ARM64架构）：

# 安装交叉编译工具链 sudo apt install gcc-aarch64-linux-gnu -y # 进入源码目录 cd ipxe/src # 清理旧编译 make distclean # 编译ARM64 EFI固件（支持UEFI启动） make bin-arm64-efi/ipxe.efi EMBED=../boot.ipxe # 编译x86_64 BIOS固件（兼容Legacy BIOS） make bin-x86_64-pcbios/ipxe.pxe EMBED=../boot.ipxe

注意EMBED参数：它把启动脚本boot.ipxe直接编译进固件，避免网络加载脚本的单点故障。boot.ipxe内容如下：

#!ipxe # 飞腾平台专用启动脚本 cpuid --ext 29 && set arch arm64 || set arch x86_64 set base-url http://192.168.10.1/images/${arch} dhcp isset ${filename} || goto nofilename # 根据DHCP选项60识别客户端类型 iseq ${platform} pcbios && goto legacy || goto uefi :legacy kernel ${base-url}/vmlinuz-${arch} inst.ks=http://192.168.10.1/ks/ft2000.cfg initrd ${base-url}/initrd-${arch}.img boot :uefi kernel ${base-url}/vmlinuz-${arch} inst.ks=http://192.168.10.1/ks/ft2000-uefi.cfg initrd ${base-url}/initrd-${arch}.img boot :nofilename echo "No boot filename provided by DHCP"

第四步：网卡ROM烧录（高危操作！）
烧录ROM是唯一可能变砖的操作，必须严格按步骤：

1. 备份原厂ROM：sudo ./flashrom -p internal -r backup.rom
2. 验证备份完整性：sha256sum backup.rom记录哈希值
3. 烧录iPXE：sudo ./flashrom -p internal -w ipxe.rom
4. 重启验证：开机按Ctrl+B进入iPXE命令行，输入info查看版本

提示：飞腾平台烧录前必须关闭CSM（Compatibility Support Module），否则UEFI无法识别iPXE。进入BIOS，找到Boot Mode设为UEFI Only，CSM Support设为Disabled。

3.3 dnsmasq服务深度配置

dnsmasq是PXE的灵魂，但默认配置连基本需求都满足不了。以下是生产环境必须修改的12个参数，每个都有血泪教训。

配置文件路径：/etc/dnsmasq.conf
核心配置段（删除所有默认注释，只保留以下内容）：

# 基础网络 interface=ens1f0 bind-interfaces except-interface=lo # DHCP服务 dhcp-range=192.168.10.100,192.168.10.200,12h dhcp-option=option:router,192.168.10.1 dhcp-option=option:dns-server,192.168.10.1 # PXE/iPXE关键配置 # 启用PXE服务，但仅响应iPXE客户端（Option 60 = "iPXE"） dhcp-match=set:ipxe,60,"iPXE" # 为iPXE客户端提供HTTP启动（非TFTP） dhcp-boot=tag:ipxe,http://192.168.10.1/boot.ipxe # 为传统PXE客户端提供TFTP启动（兼容旧设备） dhcp-boot=tag:!ipxe,undionly.kpxe # TFTP服务（仅用于下发iPXE固件） enable-tftp tftp-root=/var/lib/tftpboot # DNS服务（加速镜像域名解析） address=/pxe-server/192.168.10.1 # 安全加固 dhcp-ignore=tag:known # 为已知MAC地址设备分配固定IP（用于管理节点） dhcp-host=00:11:22:33:44:55,pxe-master,192.168.10.10 dhcp-host=aa:bb:cc:dd:ee:ff,pxe-slave,192.168.10.11 # 日志级别调高，便于排错 log-dhcp log-queries # 性能优化：增大DHCP租约池，避免启动风暴 dhcp-lease-max=200 # 禁用DNS缓存（PXE环境DNS查询极少，缓存反而占内存） no-resolv # 强制所有DHCP响应包含Option 67（启动文件名），避免客户端忽略 dhcp-option-force=67,"undionly.kpxe"

关键参数解析：

• dhcp-match=set:ipxe,60,"iPXE"：这是区分PXE和iPXE的核心。传统PXE客户端DHCP Option 60值为PXEClient，iPXE为iPXE。此行将iPXE客户端打上ipxe标签，后续dhcp-boot=tag:ipxe才生效。
• dhcp-boot=tag:ipxe,http://...：告诉iPXE客户端“你的启动文件在HTTP服务器上”，绕过TFTP瓶颈。
• dhcp-boot=tag:!ipxe,undionly.kpxe：!ipxe表示非iPXE客户端，给它们下发undionly.kpxe（iPXE的PXE兼容模式），实现无缝降级。
• dhcp-ignore=tag:known：对已知MAC地址设备（如管理节点）不分配DHCP IP，避免IP冲突。

启动服务并验证：

sudo systemctl restart dnsmasq sudo systemctl status dnsmasq # 确认active (running) # 检查端口监听 sudo ss -tuln | grep -E ":67|:53" # 应看到 udp 0.0.0.0:67 和 tcp 0.0.0.0:53 # 抓包验证DHCP交互 sudo tcpdump -i ens1f0 port 67 -w dhcp.pcap # 在客户端开机，等待10秒后Ctrl+C，用Wireshark打开pcap，过滤bootp，确认有DHCPOFFER且option67为"http://192.168.10.1/boot.ipxe"

3.4 nginx镜像服务与国产系统适配

HTTP服务看似简单，但镜像组织结构直接影响部署成功率。我们采用“四层目录结构”，经200台机器实测，启动失败率从12%降至0.3%。

目录结构：

/var/lib/tftpboot/ ├── boot.ipxe # 主启动脚本（全局） ├── undionly.kpxe # iPXE兼容PXE固件 ├── images/ │ ├── x86_64/ # x86_64架构镜像 │ │ ├── vmlinuz # 内核 │ │ ├── initrd.img # 初始内存盘 │ │ └── ks.cfg # Kickstart自动安装脚本 │ ├── arm64/ # ARM64架构镜像（飞腾/鲲鹏） │ │ ├── vmlinuz # 飞腾专用内核 │ │ ├── initrd.img # 注入飞腾驱动的initrd │ │ └── ks.cfg # 飞腾KS脚本 │ └── hygon/ # 海光架构镜像 ├── ks/ # 所有KS脚本集中存放 │ ├── ft2000.cfg # 飞腾KS │ ├── hygon.cfg # 海光KS │ └── generic.cfg # 通用KS └── logs/ # 启动日志收集目录（可选）

nginx核心配置（/etc/nginx/sites-available/pxe）：

server { listen 80; server_name pxe-server; root /var/lib/tftpboot; index boot.ipxe; # 禁用所有动态脚本，只服务静态文件 location ~ \.(php|pl|py|sh|rb|lua)$ { deny all; } # 启用gzip压缩，减少initrd传输时间 gzip on; gzip_types application/x-initrd; gzip_vary on; # 设置长连接，避免iPXE频繁建连 keepalive_timeout 65; # 添加跨域头，方便前端监控页面调用 add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, OPTIONS'; # 关键：为initrd文件设置超长缓存，避免重复下载 location ~* \.(img|initrd|vmlinuz)$ { expires 1h; add_header Cache-Control "public, immutable"; } # 日志格式定制，记录客户端IP和User-Agent log_format pxe '$remote_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/pxe-access.log pxe; }

国产系统镜像处理实操：
以统信UOS V20为例，其ISO镜像不能直接用，必须解包重构：

# 1. 挂载原ISO sudo mkdir /mnt/uos-iso sudo mount -o loop uos-desktop-v20-2203.iso /mnt/uos-iso # 2. 复制内核和initrd（注意路径） sudo cp /mnt/uos-iso/isolinux/vmlinuz /var/lib/tftpboot/images/arm64/vmlinuz sudo cp /mnt/uos-iso/isolinux/initrd.img /var/lib/tftpboot/images/arm64/initrd.img # 3. 注入飞腾驱动（关键！） # 下载飞腾驱动包 uos-ft-driver.tar.gz sudo tar -xzf uos-ft-driver.tar.gz -C /tmp/ft-drivers # 重建initrd，注入驱动 sudo dracut --force --regenerate-all \ --force-drivers "phytium_i2c phytium_sata phytium_nvme" \ --include /tmp/ft-drivers /lib/firmware \ --kmoddir /lib/modules/$(uname -r) # 4. 验证驱动是否注入 sudo lsinitrd /boot/initramfs-$(uname -r).img | grep -E "(phytium|ft)" # 应输出 phytium_i2c.ko, phytium_nvme.ko 等 # 5. 替换initrd sudo cp /boot/initramfs-$(uname -r).img /var/lib/tftpboot/images/arm64/initrd.img

Kickstart脚本国产化改造：
/var/lib/tftpboot/ks/ft2000.cfg内容：

#version=RHEL8 install url --url="http://192.168.10.1/images/arm64/" text keyboard --vckeymap=us --xlayouts='us' rootpw --iscrypted $6$rounds=656000$... firewall --disabled selinux --disabled timezone Asia/Shanghai --isUtc # 磁盘分区（飞腾平台NVMe SSD） bootloader --location=mbr --boot-drive=nvme0n1 zerombr clearpart --all --initlabel --drives=nvme0n1 part /boot/efi --fstype="efi" --ondisk=nvme0n1 --size=200 --fsoptions="umask=0077,shortname=winnt" part / --fstype="xfs" --ondisk=nvme0n1 --size=102400 --grow # 飞腾专用内核参数 %pre # 检测CPU型号，写入内核参数 if [ "$(cat /proc/cpuinfo | grep 'model name' | head -1 | grep -c 'Phytium')" -eq 1 ]; then echo 'iommu=off' > /tmp/kernel-args else echo '' > /tmp/kernel-args fi %end %packages @^minimal-environment %end %post # 安装后执行飞腾优化 echo "Installing Phytium optimizations..." yum install -y phytium-tools %end

4. 实操全流程与关键环节详解

4.1 从零开始：第一台飞腾服务器全自动装机

现在把所有组件串联起来，完成一次真实的裸金属装机。目标：一台飞腾D2000服务器，从断电状态到运行统信UOS V20，全程无人值守。

前置检查清单：

• ✅ 飞腾服务器BIOS中CSM Support设为Disabled，Boot Mode为UEFI Only
• ✅ 服务器网线接入PXE服务器所在交换机端口（VLAN 10）
• ✅ PXE服务器dnsmasq、nginx服务均active (running)
• ✅/var/lib/tftpboot/images/arm64/下存在vmlinuz、initrd.img、ks.cfg
• ✅/var/lib/tftpboot/ks/ft2000.cfg已存在且语法正确

步骤1：服务器加电，进入iPXE启动流程
按下电源键，观察屏幕：

• 第1秒：BIOS自检，显示飞腾Logo
• 第3秒：出现iPXE (http://ipxe.org) 1.21.1+（版本号应与你编译的一致）
• 第5秒：显示DHCP (net0 00:11:22:33:44:55)...... ok
• 第7秒：显示http://192.168.10.1/boot.ipxe... ok
• 第8秒：执行boot.ipxe脚本，自动跳转到arm64目录

注意：若卡在DHCP...，用手机热点连服务器WiFi，ping `192.168