在 CentOS 7.9 中 Node 18.20.2 安装指南

一、CentOS 7.9 专属安装流程

1. 环境预检（CentOS 7.9 必须）

# 确认系统版本（必须为 7.9）
cat /etc/redhat-release  # 输出：CentOS Linux release 7.9.2009 (Core)

# 安装基础依赖（兼容 7.9 的 glibc 库）
sudo yum install -y glibc-core xz tar wget

2. 安全下载指定版本

# 使用国内镜像源（避免官方源中断）
NODE_VERSION="v18.20.2"
MIRROR_URL="https://npmmirror.com/mirrors/node/${NODE_VERSION}"

# 创建下载目录（隔离运行环境）
sudo mkdir -p /opt/node_install && cd /opt/node_install

# 断点续传下载（生产环境网络波动应对）
wget -c "${MIRROR_URL}/node-${NODE_VERSION}-linux-x64.tar.xz" \
  || wget -c "https://nodejs.org/dist/${NODE_VERSION}/node-${NODE_VERSION}-linux-x64.tar.xz"

# 验证文件完整性（关键安全步骤！）
EXPECTED_HASH=$(curl -sL ${MIRROR_URL}/SHASUMS256.txt | grep linux-x64 | awk '{print $1}')
echo "${EXPECTED_HASH}  node-${NODE_VERSION}-linux-x64.tar.xz" | sha256sum -c -

❗ 校验失败处理：
rm -f node-*.tar.xz && yum install -y openssl && retry_wget

3. 标准化目录部署

# 解压到系统目录（符合 FHS 规范）
sudo tar -xJf node-${NODE_VERSION}-linux-x64.tar.xz -C /usr/local/lib/

# 创建版本化软链接（避免路径硬编码）
sudo ln -svf /usr/local/lib/node-${NODE_VERSION}-linux-x64 /usr/local/lib/nodejs_current

4. 环境变量配置（CentOS 7 特调）

# 修改全局配置文件（覆盖所有用户）
sudo tee /etc/profile.d/nodejs.sh <<'EOF'
export NODE_HOME=/usr/local/lib/nodejs_current
export PATH=${NODE_HOME}/bin:${PATH}
export NODE_PATH=${NODE_HOME}/lib/node_modules
EOF

# 立即生效（不重启服务器）
source /etc/profile

5. 安装验证

# 检查版本一致性
node -v  # 应输出：v18.20.2
npm -v   # 应输出：10.5.0

# 验证动态库依赖（CentOS 7 关键检查）
ldd $(which node) | grep 'not found'  # 必须无输出

二、生产环境加固方案

1. 权限控制

# 创建专用服务账户（禁止 shell 登录）
sudo useradd -r -s /sbin/nologin -d /var/lib/nodeapp node_svc

# 目录权限设置（最小化原则）
sudo chown -R node_svc:node_svc /opt/order-service
sudo chmod 750 /opt/order-service

2. 进程守护（systemd 定制）

# /etc/systemd/system/order-service.service
[Unit]
Description=Order Processing Service (Node.js)
After=network.target redis.service

[Service]
User=node_svc
WorkingDirectory=/opt/order-service
ExecStart=/usr/local/lib/nodejs_current/bin/node --max-old-space-size=4096 src/app.js

# 生产级参数
Restart=on-failure
RestartSec=10
StartLimitInterval=60
StartLimitBurst=5
Environment=NODE_ENV=production
PrivateTmp=true
NoNewPrivileges=true

[Install]
WantedBy=multi-user.target

# 重载并启动
sudo systemctl daemon-reload
sudo systemctl enable --now order-service

3. 网络隔离

# 开启防火墙（CentOS 7 默认 firewalld）
sudo firewall-cmd --permanent --zone=public \
  --add-port=3000/tcp --add-port=3001/tcp
sudo firewall-cmd --reload

# 禁用外部 npm 访问（生产安全必须）
sudo iptables -A OUTPUT -p tcp --dport 443 -d registry.npmjs.org -j DROP

三、灾备与监控

1. 快速回滚方案

# 保留两个版本（并行存在）
/usr/local/lib/node-v18.20.2-linux-x64
/usr/local/lib/node-v16.20.0-linux-x64  # 旧版备份

# 切换版本命令
sudo rm -f /usr/local/lib/nodejs_current
sudo ln -s /usr/local/lib/node-v16.20.0-linux-x64 /usr/local/lib/nodejs_current
sudo systemctl restart order-service

2. 健康监控脚本

# /opt/scripts/node_healthcheck.sh
#!/bin/bash
RESP=$(curl -sS -m 5 http://localhost:3000/healthcheck)
if [[ $RESP != '{"status":"OK"}' ]]; then
  echo "[CRITICAL] Node healthcheck failed" | mail -s "Node Alert" ops@example.com
  systemctl try-restart order-service
fi

3. 日志收集（ELK 集成）

# 修改 systemd 服务配置
[Service]
...
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=order-service

四、故障排查（CentOS 7 特有问题）

1. GLIBC 版本问题

# 错误提示：/lib64/libc.so.6: version `GLIBC_2.28' not found
# 解决方案：
sudo yum install -y devtoolset-11-gcc-c++
scl enable devtoolset-11 -- make -C /usr/local/src/node-${NODE_VERSION}

2. 文件描述符限制

# 修改系统限制（添加到 /etc/security/limits.conf）
node_svc  hard  nofile  100000
node_svc  soft  nofile  50000

3. 内存泄漏检测

# 安装诊断工具
sudo npm install -g clinic --prefix /usr/local/lib/nodejs_current

# 生产环境诊断（不影响服务）
clinic doctor -- node src/app.js

实战建议：

1. 在测试环境使用 node --pending-deprecation 提前发现兼容问题
2. 用 pm2 仅作本地开发，生产环境必须用 systemd
3. 定期执行 npm audit --omit=dev 扫描依赖漏洞