一、PXE装机技术原理与优势

PXE（预启动执行环境）通过网卡实现无盘启动，其核心机制基于DHCP+TFTP协议组合。当客户端BIOS启用PXE功能后，会向网络发送DHCP Discover广播包，服务器响应包含IP地址、TFTP服务器地址及启动文件名的DHCP Offer包。客户端通过TFTP协议下载启动镜像（如pxelinux.0），进而加载内核和初始化内存盘（initrd），最终完成操作系统安装。

相较于传统U盘/光盘安装，PXE装机具有显著优势：支持批量部署（单服务器可同时响应数百客户端）、实现自动化安装（通过kickstart/preseed文件）、降低硬件依赖（无需本地存储设备）。某互联网公司采用PXE方案后，将1000台服务器的部署时间从72小时压缩至8小时，故障率降低92%。

二、环境准备与组件安装

2.1 服务器端组件

• DHCP服务：分配IP地址及启动参数

  # Ubuntu安装配置示例
  sudo apt install isc-dhcp-server
  # 配置文件示例（/etc/dhcp/dhcpd.conf）
  subnet 192.168.1.0 netmask 255.255.255.0 {
    range 192.168.1.100 192.168.1.200;
    option routers 192.168.1.1;
    filename "pxelinux.0";
    next-server 192.168.1.5; # TFTP服务器IP
  }

• TFTP服务：传输启动文件

  sudo apt install tftpd-hpa
  # 配置文件（/etc/default/tftpd-hpa）
  TFTP_USERNAME="tftp"
  TFTP_DIRECTORY="/var/lib/tftpboot"
  TFTP_ADDRESS="0.0.0.0:69"
  TFTP_OPTIONS="--secure"

• 文件服务：存储系统镜像（NFS/HTTP）

  # NFS共享配置示例
  sudo apt install nfs-kernel-server
  # /etc/exports添加
  /opt/iso *(ro,sync,no_subtree_check)

2.2 客户端BIOS设置

需在BIOS中启用：

• PXE Boot选项（通常位于Boot Priority菜单）
• 网络栈功能（Network Stack/LAN Boot）
• 关闭Secure Boot（部分新硬件需此操作）

三、PXE启动文件配置

3.1 启动菜单定制

在TFTP根目录创建pxelinux.cfg/default文件：

DEFAULT menu.c32
PROMPT 0
MENU TITLE PXE安装菜单
TIMEOUT 30
LABEL centos7
  MENU LABEL CentOS 7安装
  KERNEL vmlinuz
  APPEND initrd=initrd.img inst.repo=nfs://192.168.1.5/opt/iso/CentOS7 ks=http://192.168.1.5/ks.cfg
LABEL ubuntu20
  MENU LABEL Ubuntu 20.04安装
  KERNEL ubuntu/vmlinuz
  APPEND initrd=ubuntu/initrd.gz auto=true url=http://192.168.1.5/ubuntu/preseed.cfg

3.2 自动化安装脚本

CentOS Kickstart示例（ks.cfg）

# 基础配置
lang en_US.UTF-8
keyboard us
timezone --utc Asia/Shanghai
rootpw --plaintext password123
# 分区方案
clearpart --all --initlabel
autopart
# 软件包选择
%packages
@base
@core
-kdump
# 安装后命令
%post
echo "PXE部署完成" > /root/deploy.log

Ubuntu Preseed示例

# 网络配置
d-i netcfg/choose_interface select auto
d-i netcfg/get_hostname string ubuntu-server
# 磁盘分区
d-i partman-auto/method string lvm
d-i partman-auto/choose_recipe select atomic
# 用户创建
d-i passwd/user-fullname string Admin User
d-i passwd/username string admin
d-i passwd/user-password password insecure
d-i passwd/user-password-again password insecure

四、多系统支持与高级配置

4.1 菜单逻辑控制

通过MENU PASSWORD实现权限控制，使用ONTIMEOUT设置默认选项：

ONTIMEOUT local
LABEL local
  MENU LABEL 本地硬盘启动
  LOCALBOOT 0

4.2 内存盘优化

对于大文件传输场景，建议调整initrd大小：

# 重新打包initrd时增加模块
dracut -f --add-drivers "e1000e" --include /custom/modules /lib/modules initrd.img $(uname -r)

4.3 日志与调试

启用TFTP详细日志：

# 在/etc/xinetd.d/tftp中添加
-l --verbose

客户端调试可通过ipmitool或sol（Serial Over LAN）功能获取控制台输出。

五、安全加固与最佳实践

1. IP白名单：在DHCP配置中限制允许的MAC地址

   host client1 {
     hardware ethernet 00:11:22:33:44:55;
     fixed-address 192.168.1.101;
   }

2. TLS加密：使用HTTPS传输安装文件（需配置Nginx/Apache）
3. 镜像完整性：定期校验SHA256值

   sha256sum /opt/iso/CentOS7.iso | grep "预期哈希值"

4. 日志轮转：配置logrotate管理TFTP/DHCP日志

六、故障排查指南

现象	可能原因	解决方案
PXE-E53: No boot filename received	DHCP未返回filename参数	检查dhcpd.conf配置
TFTP: File not found	文件权限错误	确保/var/lib/tftpboot权限为755
安装过程卡在”Waiting for disk”	存储驱动缺失	在initrd中添加对应驱动模块
Kickstart未生效	语法错误	使用ksvalidator工具校验脚本

七、扩展应用场景

1. 云环境集成：与OpenStack Ironic结合实现裸金属部署
2. 容器化部署：通过PXE启动容器主机并自动加入K8s集群
3. 固件更新：传输UEFI固件包实现批量升级
4. 救援模式：提供网络修复环境用于故障恢复

某金融机构采用分层PXE架构，将生产环境与测试环境隔离，通过子菜单选择实现：

LABEL production
  MENU LABEL 生产环境部署
  KERNEL prod/vmlinuz
  APPEND initrd=prod/initrd.img ks=http://pxe/prod.ks
LABEL testing
  MENU LABEL 测试环境部署
  KERNEL test/vmlinuz
  APPEND initrd=test/initrd.img ks=http://pxe/test.ks

通过系统化的PXE装机方案，企业可实现从单台到数千台设备的标准化部署，显著提升运维效率并降低人为错误风险。建议定期更新启动镜像和自动化脚本，以适应操作系统和硬件的迭代更新。