一、PXE装机技术原理与核心优势

PXE（Preboot Execution Environment）是由Intel开发的网络引导协议，允许计算机通过网卡直接从网络服务器加载操作系统，无需本地存储设备。其技术核心基于DHCP+TFTP+NFS/HTTP协议栈，工作流程分为三个阶段：

1. 网络发现阶段：客户端网卡通过DHCP协议获取IP地址、子网掩码、默认网关及TFTP服务器地址。此阶段需配置DHCP的next-server和filename参数，例如：

   # DHCP配置示例（ISC DHCP Server）
   subnet 192.168.1.0 netmask 255.255.255.0 {
   range 192.168.1.100 192.168.1.200;
   option routers 192.168.1.1;
   next-server 192.168.1.5;  # TFTP服务器地址
   filename "pxelinux.0";     # 引导文件路径
   }

2. 引导加载阶段：客户端通过TFTP协议下载引导文件（如pxelinux.0），该文件包含菜单配置和内核加载参数。典型配置文件pxelinux.cfg/default示例：

   DEFAULT menu.c32
   PROMPT 0
   MENU TITLE PXE Boot Menu
   TIMEOUT 30
   LABEL linux
   MENU LABEL Install CentOS 7
   KERNEL vmlinuz
   APPEND initrd=initrd.img inst.repo=nfs://192.168.1.5/os/centos7

3. 系统安装阶段：客户端根据配置加载内核和initrd，通过NFS/HTTP协议访问安装源，完成自动化安装。此阶段支持Kickstart（RHEL系）或Preseed（Debian系）无人值守脚本。

技术优势：相比传统光盘/U盘安装，PXE装机可实现：

• 批量部署效率提升80%以上（测试数据：200台服务器部署时间从72小时缩短至12小时）
• 降低硬件依赖（支持无盘工作站）
• 统一管理安装镜像和配置
• 远程维护能力（通过PXE重启修复故障节点）

二、企业级PXE环境搭建实战

1. 服务端组件部署

（1）TFTP服务配置

使用tftp-hpa包搭建TFTP服务器：

# 安装服务
sudo apt install tftp-hpa tftpd-hpa
# 配置文件/etc/default/tftpd-hpa
TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/var/lib/tftpboot"
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="--secure --verbose"
# 重启服务
sudo systemctl restart tftpd-hpa

需将引导文件（pxelinux.0、ldlinux.c32等）和内核镜像放入TFTP目录，文件来源可从syslinux包获取：

sudo apt install syslinux-common
sudo cp /usr/lib/syslinux/modules/bios/{pxelinux.0,ldlinux.c32} /var/lib/tftpboot/

（2）NFS安装源准备

创建共享目录并设置权限：

sudo mkdir -p /os/centos7
sudo chown nobody:nogroup /os/centos7
# 编辑/etc/exports
/os/centos7 192.168.1.0/24(ro,sync,no_root_squash)
# 启动服务
sudo systemctl start nfs-kernel-server

将CentOS ISO内容解压至该目录，确保images/子目录包含pxeboot/下的vmlinuz和initrd.img。

2. 客户端BIOS设置要点

• 启用网络引导（Network Boot/PXE Boot）
• 调整启动顺序：Network > HDD > Optical
• 对于UEFI机型，需额外配置：
  • 启用Secure Boot（可选）
  • 设置UEFI PXE模式（而非传统BIOS模式）
  • 确保服务器提供efi/bootx64.efi引导文件

3. 自动化安装脚本设计

以CentOS Kickstart为例，核心脚本ks.cfg结构：

# 基础配置
lang en_US.UTF-8
keyboard us
timezone Asia/Shanghai
rootpw --iscrypted $6$salt...
# 分区方案
clearpart --all --initlabel
part /boot --fstype=xfs --size=1024
part swap --size=4096
part / --fstype=xfs --size=102400 --grow
# 软件包选择
%packages
@base
@core
vim
wget
%end
# 安装后配置
%post
echo "192.168.1.1 server.example.com" >> /etc/hosts
%end

需通过inst.ks=参数指定脚本位置，例如：

APPEND initrd=initrd.img inst.repo=nfs://192.168.1.5/os/centos7 inst.ks=http://192.168.1.5/ks/centos7.cfg

三、高级场景与故障排查

1. 多架构混合部署方案

针对x86_64和ARM架构共存环境，需在TFTP目录创建子目录结构：

/var/lib/tftpboot/
├── x86_64/
│   ├── pxelinux.0
│   └── centos7/
└── aarch64/
    ├── grubaa64.efi
    └── ubuntu20/

在DHCP配置中通过option vendor-class-identifier区分架构：

class "arm-clients" {
  match if substring (option vendor-class-identifier, 0, 9) = "PXEClient:Arch:00007";
  next-server 192.168.1.5;
  filename "aarch64/grubaa64.efi";
}

2. 常见问题解决方案

问题现象	可能原因	排查步骤
客户端卡在”PXE-E53: No boot filename received”	DHCP未正确配置filename	检查DHCP日志journalctl -u isc-dhcp-server
下载内核时报错”TFTP Error: Access violation”	TFTP目录权限错误	执行chmod -R 755 /var/lib/tftpboot
安装过程提示”NFS server not responding”	防火墙拦截NFS端口	开放2049/tcp端口sudo ufw allow 2049/tcp
Kickstart执行后系统未配置	脚本语法错误	检查/root/anaconda-ks.cfg生成情况

3. 性能优化策略

• TFTP加速：启用tftp-hpa的块传输模式（添加--blocksize 1468参数）
• NFS优化：在/etc/exports中添加wdelay和no_subtree_check选项
• 并行安装：通过DNS轮询实现多TFTP服务器负载均衡
• 缓存机制：使用squid代理缓存安装包（适用于跨网段部署）

四、安全加固最佳实践

1. 认证控制：通过dnsmasq的dhcp-auth或tftp-hpa的--user参数限制访问
2. 传输加密：对TFTP使用atftp的TLS扩展，或改用HTTPS传输安装源
3. 镜像签名：对Kickstart脚本和ISO文件进行GPG签名验证
4. 日志审计：集中收集TFTP/NFS访问日志至ELK系统

五、扩展应用场景

1. 云环境集成：在OpenStack中通过ironic服务实现PXE+IPMI的裸金属管理
2. 容器化部署：使用dnsmasq容器提供PXE服务，结合httpd容器托管安装源
3. 物联网场景：为嵌入式设备定制轻量级PXE引导程序（如U-Boot的netboot功能）

通过系统化的PXE装机方案实施，企业IT部门可将单台设备部署时间从45分钟压缩至8分钟，年维护成本降低60%以上。实际部署时建议先在小规模环境（5-10台）验证配置，再通过Ansible等工具实现全量推送。