一、引言：为何需要自动化无人值守网络装机？

在云计算、大数据及边缘计算快速发展的今天，企业IT架构的规模与复杂度呈指数级增长。传统手动装机方式（如U盘、光盘安装）存在效率低、易出错、难以规模化等痛点。以一家拥有500台服务器的数据中心为例，若采用人工逐台安装，单台设备耗时约30分钟，总耗时将超过250小时，且存在配置不一致的风险。

PXE（Preboot Execution Environment）网络装机技术通过网络协议实现客户端设备的远程启动与系统安装，结合自动化脚本与配置管理工具，可实现零接触部署（Zero-Touch Provisioning），将单台设备装机时间缩短至5分钟以内，且支持批量并发操作。本文将从技术原理、配置流程、自动化脚本设计及实践案例四个维度，系统阐述PXE网络装机的实现方法。

二、PXE网络装机技术原理

1. PXE协议工作机制

PXE基于DHCP与TFTP协议，通过以下步骤完成系统加载：

1. 客户端启动：设备开机后，BIOS/UEFI固件通过PXE ROM初始化网络接口，发送DHCP Discovery请求。
2. DHCP响应：DHCP服务器分配IP地址，并通过Option 66（TFTP服务器地址）与Option 67（启动文件路径）告知客户端PXE引导文件位置。
3. TFTP传输：客户端从TFTP服务器下载引导文件（如pxelinux.0或ipxe.efi），加载内存中的微型操作系统（如Linux内核与initramfs）。
4. 系统安装：引导程序通过HTTP/NFS等协议获取安装镜像与配置文件，执行自动化安装流程。

2. 关键组件

• DHCP服务器：分配IP地址并传递PXE引导参数。
• TFTP服务器：存储引导文件（如pxelinux.0、内核镜像）。
• HTTP/NFS服务器：提供系统安装镜像与自动化脚本。
• 自动化脚本：定义分区方案、软件包安装列表及后配置任务。

三、PXE网络装机配置流程

1. 环境准备

硬件要求

• 支持PXE启动的客户端设备（需主板集成PXE ROM）。
• 服务端需具备静态IP地址，并开放UDP 67/68（DHCP）、UDP 69（TFTP）、TCP 80/443（HTTP）端口。

软件安装

以Ubuntu Server为例，安装必要服务：

# 安装DHCP与TFTP服务
sudo apt update
sudo apt install isc-dhcp-server tftpd-hpa
# 安装HTTP服务（用于存储安装镜像）
sudo apt install apache2

2. DHCP服务器配置

编辑/etc/dhcp/dhcpd.conf，添加以下内容：

subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.100 192.168.1.200;
  option routers 192.168.1.1;
  option subnet-mask 255.255.255.0;
  filename "pxelinux.0";  # 指定引导文件
  next-server 192.168.1.5;  # TFTP服务器IP
}

3. TFTP服务器配置

编辑/etc/default/tftpd-hpa，启用服务并指定根目录：

TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/var/lib/tftpboot"
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="--secure -l"

将引导文件（如pxelinux.0）与内核镜像（vmlinuz、initrd.img）放入/var/lib/tftpboot目录。

4. 自动化安装脚本设计

脚本结构

• preseed文件：定义Debian/Ubuntu的无人值守安装参数（如分区方案、用户创建）。
• Kickstart文件：适用于RHEL/CentOS的自动化配置脚本。
• 后配置脚本：安装完成后执行的自定义任务（如加入域、配置SSH密钥）。

示例：Ubuntu Preseed文件

# /var/www/html/preseed.cfg
d-i partman/confirm_write_change boolean true
d-i partman/choose_partition select finish
d-i partman/confirm boolean true
d-i passwd/user-fullname Admin User
d-i passwd/username admin
d-i passwd/user-password password insecure
d-i passwd/user-password-again password insecure
d-i pkgsel/include string openssh-server vim

引导配置（SYSLINUX）

编辑/var/lib/tftpboot/pxelinux.cfg/default：

DEFAULT install
LABEL install
  MENU LABEL Install Ubuntu
  KERNEL vmlinuz
  APPEND initrd=initrd.img auto=true priority=critical url=http://192.168.1.5/preseed.cfg

四、实践案例：企业级PXE部署方案

1. 场景描述

某金融企业需在300台物理服务器上部署CentOS 8，要求：

• 支持UEFI与Legacy双模式启动。
• 自动化分区（LVM逻辑卷）。
• 安装后自动加入LDAP目录服务。

2. 解决方案

步骤1：配置iPXE引导（支持UEFI）

使用iPXE替代传统PXE，支持HTTP引导与更灵活的脚本控制：

# 编译iPXE（需在服务端执行）
git clone git://git.ipxe.org/ipxe.git
cd ipxe/src
make bin/ipxe.efi EFI_ARCH=x64

将ipxe.efi放入TFTP目录，并配置DHCP返回ipxe.efi作为启动文件。

步骤2：设计Kickstart脚本

# /var/www/html/ks.cfg
lang en_US.UTF-8
keyboard us
timezone --utc Asia/Shanghai
rootpw --plaintext insecure
bootloader --location=mbr
autopart --type=lvm
%packages
  @core
  vim
  openssh-server
%end
%post
  echo "192.168.1.1 ldap.example.com" >> /etc/hosts
  ldapadduser -H ldap://ldap.example.com -D "cn=admin,dc=example,dc=com" -w admin_pass admin
%end

步骤3：客户端启动测试

1. 客户端进入BIOS，设置PXE为第一启动项。
2. 启动后自动获取IP，下载iPXE引导程序。
3. iPXE通过HTTP加载Kickstart脚本，执行全自动化安装。

五、优化与扩展

1. 安全性增强

• 启用TFTP/HTTP的访问控制（如基于IP的白名单）。
• 使用HTTPS传输Kickstart/Preseed文件，避免明文密码泄露。
• 结合TLS证书验证客户端身份。

2. 多系统支持

通过菜单选择实现多操作系统部署：

# /var/lib/tftpboot/pxelinux.cfg/default
DEFAULT menu
PROMPT 0
MENU TITLE PXE Boot Menu
LABEL ubuntu
  MENU LABEL Install Ubuntu 22.04
  KERNEL ubuntu/vmlinuz
  APPEND initrd=ubuntu/initrd.img auto=true url=http://192.168.1.5/ubuntu_preseed.cfg
LABEL centos
  MENU LABEL Install CentOS 8
  KERNEL centos/vmlinuz
  APPEND initrd=centos/initrd.img inst.ks=http://192.168.1.5/centos_ks.cfg

3. 日志与监控

• 通过TFTP/HTTP服务器的访问日志追踪装机进度。
• 集成Zabbix/Prometheus监控装机任务完成率。

六、总结与建议

PXE网络装机技术通过标准化、自动化的流程，显著提升了大规模IT基础设施的部署效率。对于企业用户，建议：

1. 分阶段实施：先在测试环境验证配置，再逐步推广至生产环境。
2. 结合配置管理工具：如Ansible、Puppet，实现装机后的自动化配置。
3. 定期更新模板：根据业务需求调整分区方案、软件包列表。

通过PXE网络装机，企业可实现“一键部署”的愿景，将IT运维团队从重复劳动中解放，聚焦于更高价值的业务创新。