保姆级教程：在Ubuntu 22.04上搞定UEFI PXE服务器，批量装系统不求人

企业级UEFI PXE服务器搭建实战：Ubuntu 22.04批量部署指南

当机房里摆着三十台需要安装系统的电脑时，你会选择挨个插U盘还是喝杯咖啡等系统自动装完？去年我接手公司办公区迁移项目时，正是PXE技术让我在两天内完成了两百台工作站的系统部署。今天要分享的这套方案，不仅能处理UEFI安全启动等现代硬件特性，还能通过定制菜单实现不同部门系统的自动区分安装。

1. 环境准备与架构设计

在开始敲命令之前，我们需要理解现代PXE服务器的核心组件协作关系。与传统BIOS环境不同，UEFI架构下的网络启动有着更复杂的信任链验证过程。下图展示了各服务组件的数据流向：

客户端 → DHCP(获取IP和引导信息) → TFTP(下载引导文件) → HTTP(下载系统镜像)

硬件准备清单：

• 服务器：至少4核CPU/8GB内存/100GB存储（实际需求取决于并发安装量）
• 网络：千兆交换机（建议使用独立物理网段避免广播风暴）
• 测试客户端：支持UEFI网络启动的任意x86设备

软件依赖安装（Ubuntu 22.04 LTS）：

sudo apt update && sudo apt install -y \ apache2 \ isc-dhcp-server \ tftpd-hpa \ xinetd \ grub-efi-amd64-signed \ shim-signed

关键提示：生产环境建议将TFTP目录放在高速SSD上，大并发时能显著提升文件传输速度。我曾遇到过机械硬盘导致客户端超时的情况，换成NVMe SSD后问题立即消失。

2. 网络服务配置详解

2.1 DHCP服务定制化配置

现代网络环境需要同时兼容Legacy BIOS和UEFI客户端，这要求DHCP配置能智能返回不同的引导文件名。编辑/etc/dhcp/dhcpd.conf时要注意架构检测代码：

option arch code 93 = unsigned integer 16; subnet 192.168.2.0 netmask 255.255.255.0 { range 192.168.2.100 192.168.2.200; option routers 192.168.2.1; next-server 192.168.2.10; # 指向TFTP服务器IP if option arch = 00:07 { # UEFI x86-64 filename "/UEFI/bootx64.efi"; } elsif option arch = 00:09 { # UEFI x86-32 filename "/UEFI/bootia32.efi"; } else { # Legacy BIOS filename "/Legacy/pxelinux.0"; } }

常见问题排查表：

2.2 TFTP服务优化技巧

默认的TFTP配置需要调整以满足UEFI启动的特殊要求。首先修改/etc/default/tftpd-hpa：

TFTP_USERNAME="tftp" TFTP_DIRECTORY="/srv/tftp" TFTP_ADDRESS=":69" TFTP_OPTIONS="--secure --create --blocksize 4096"

区块大小(blocksize)设置为4096字节能提升大文件传输效率。部署引导文件时要注意签名链的完整性：

# 部署UEFI启动文件 sudo cp /usr/lib/shim/shimx64.efi.signed /srv/tftp/UEFI/bootx64.efi sudo cp /usr/lib/grub/x86_64-efi-signed/grubnetx64.efi.signed /srv/tftp/UEFI/grubx64.efi # 内核文件从ISO提取 mkdir /mnt/iso mount -o loop ubuntu-22.04-desktop-amd64.iso /mnt/iso cp /mnt/iso/casper/{vmlinuz,initrd} /srv/tftp/UEFI/

3. 系统镜像与菜单定制

3.1 HTTP文件服务器配置

Apache需要特别配置以支持大文件传输和断点续传。创建虚拟主机配置文件/etc/apache2/sites-available/pxe.conf：

<VirtualHost *:80> ServerAdmin admin@example.com DocumentRoot /var/www/html <Directory /var/www/html> Options Indexes FollowSymLinks AllowOverride None Require all granted EnableSendfile on SendFileBufferSize 512kb </Directory> ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined </VirtualHost>

启用配置并优化传输参数：

sudo a2ensite pxe.conf sudo echo "Timeout 600" >> /etc/apache2/apache2.conf sudo systemctl restart apache2

3.2 智能GRUB菜单设计

高级部署场景需要根据客户端MAC地址自动选择安装配置。示例/srv/tftp/grub/grub.cfg：

if [ "${net_default_mac}" == "00:11:22:33:44:55" ]; then set preseed_url=http://192.168.2.10/preseed/developer.cfg elif [ "${net_default_mac}" == "00:11:22:33:44:56" ]; then set preseed_url=http://192.168.2.10/preseed/finance.cfg fi menuentry "Ubuntu 22.04 Desktop" { linux /UEFI/vmlinuz autoinstall \ ds=nocloud-net;s=http://192.168.2.10/cloud-init/ \ ip=dhcp \ console=ttyS0,115200n8 initrd /UEFI/initrd }

菜单功能扩展技巧：

• 使用grub-mknetdir生成多语言支持文件
• 添加背景图片提升用户体验（需配置gfxterm）
• 集成Memtest86+等实用工具

4. 生产环境运维实践

4.1 安全加固措施

PXE环境天然存在安全风险，建议采取以下防护手段：

1. 网络隔离：

   # 使用iptables限制访问 sudo iptables -A INPUT -p udp --dport 69 -m conntrack --ctstate NEW -m recent --set sudo iptables -A INPUT -p udp --dport 69 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 5 -j DROP

2. 安全启动兼容方案：

   • 在Microsoft UEFI CA证书库注册自定义签名密钥
   • 或使用已签名的shim+grub组合

3. 日志监控：

   # 实时监控DHCP租约 tail -f /var/lib/dhcp/dhcpd.leases

4.2 性能调优经验

在大规模部署时，这些优化手段能显著提升效率：

• 并发控制：

  # 限制TFTP并发连接 echo "instances = 50" >> /etc/xinetd.d/tftp

• 镜像缓存优化：

  # 使用varnish缓存ISO文件 sudo apt install varnish

• 网络带宽管理：

  # 使用tc限制每客户端带宽 tc qdisc add dev eth0 root handle 1: htb default 10 tc class add dev eth0 parent 1: classid 1:10 htb rate 50mbit

实际项目中，通过这些优化我们将200台设备的部署时间从8小时压缩到3小时。最关键的教训是：一定要在预生产环境充分测试，特别是不同厂商网卡的兼容性问题。有次遇到一批戴尔设备因为PXE ROM版本问题无法启动，最后不得不用IPXE方案作为备用方案。