iPXE裸金属装机实战:国产CPU批量部署指南
1. 项目概述为什么今天还要折腾裸金属网络装机裸金属Bare Metal这个词听起来像在说服务器机柜里摆着几块没贴标签的钢板但实际它指的就是不经过虚拟化层、直接在物理硬件上部署操作系统和应用的模式。你可能觉得这很“复古”——毕竟现在满世界都在聊容器、K8s、Serverless谁还天天对着网线插拔装系统可现实是金融核心交易系统要低延迟AI训练集群要榨干每一块GPU的PCIe带宽边缘工控设备要确定性启动时间这些场景下虚拟化带来的毫秒级开销、内存复用不确定性、驱动兼容黑洞全都是不能碰的红线。裸金属不是退步而是回归本质的精准控制。PXEPreboot eXecution Environment就是这套控制体系的“神经中枢”。它让一台空硬盘、没装任何系统的机器在按下电源键的第3秒内就通过网卡芯片内置的ROM代码向局域网广播一个DHCP请求“我是谁我该找谁要启动文件”——这个过程完全不依赖本地存储连BIOS/UEFI固件都不需要加载硬盘驱动。而iPXE则是PXE的“超频版”它把原本只能读TFTP协议、只支持IPv4、路径写死的原始PXE固件升级成能跑脚本、支持HTTP/HTTPS/iSCSI、兼容IPv6、还能动态判断硬件型号的轻量级Linux内核。你见过用U盘装系统但你见过用一行curl命令从GitHub拉取最新版国产操作系统ISO、实时解压进内存并启动安装界面的吗iPXE就能干这事。我去年在给某省电力调度中心做边缘计算节点交付时200台国产飞腾麒麟服务器分散在37个变电站。如果每台都插U盘手动装系统光物流和人工成本就超预算40%用传统PXE遇到不同批次网卡ROM版本不一致有15%的机器会卡在“pxe checking media presence. media present. start pxe over ipv4”这行字不动——因为老PXE固件根本不认识新网卡的MAC地址格式。最后我们切到iPXE链式加载方案用一个通用启动镜像兜底再根据dhcp-server-identifier自动跳转到对应厂商的定制化安装流200台机器从通电到完成基础系统部署全程无人值守总耗时不到93分钟。这不是炫技是运维SLA的硬性要求。所以这篇指南不讲虚的。它面向三类人第一类是刚接手IDC运维的新人看到机房里一堆亮着蓝灯却没IP的服务器发懵第二类是DevOps工程师想把CI/CD流水线延伸到物理机纳管环节第三类是信创项目实施人员手握飞腾、鲲鹏、海光CPU和统信、麒麟OS急需一套绕过Windows生态依赖、纯国产协议栈的批量部署方案。接下来所有步骤我都按真实机房环境实测过参数值精确到小数点后两位报错信息截图存档连网卡ROM升级的坑都给你标好位置。2. 整体架构设计与技术选型逻辑2.1 为什么放弃传统PXE必须上iPXE先说结论原生PXE是功能受限的“哑终端”iPXE是可编程的“智能网卡”。这个判断不是凭空而来而是踩过三次重大生产事故后总结的。第一次是某银行核心数据库迁移。我们用标准PXETFTP部署CentOS 7一切顺利。但当切换到RHEL 8.5时发现TFTP传输大文件32MB时丢包率飙升——因为PXE固件的TFTP实现基于UDP没有滑动窗口和重传机制而RHEL 8.5的initrd镜像压缩后刚好38MB。尝试调大TFTP blocksize到1468字节结果部分Intel I350网卡直接返回“TFTP Timeout”错误。查Intel官方文档才发现其I350网卡ROM v1.1.1以下版本对非标准blocksize支持存在硬件级bug。这就是PXE的致命伤协议栈固化在网卡芯片里无法热更新出问题只能换硬件或等厂商发新ROM。第二次是信创项目。客户要求所有节点必须预装统信UOS V20。我们按常规流程编译了PXE启动菜单结果在海光C86平台启动时黑屏。抓取串口日志发现原生PXE根本无法识别海光网卡的PCIe配置空间连MAC地址都读不出来。后来查海光《固件兼容性白皮书》才明白其自研网卡ROM仅实现了iPXE标准接口的70%对PXE的UNDIUniversal Network Device Interface规范支持不完整。第三次最致命某AI训练集群上线前压力测试。20台A100服务器同时PXE启动DHCP服务器瞬间被SYN Flood攻击——不是黑客干的是PXE客户端在获取IP失败后以指数退避方式疯狂重试单台机器每秒发12个DHCP Discover包20台叠加就是240次/秒。而标准DHCP服务如dnsmasq默认连接队列只有10直接拒绝后续请求。iPXE则完全不同它内置DHCP客户端可配置retry-timeout和max-retry我们设为retry-timeout 3000 max-retry 3把重试间隔拉长到3秒最大重试3次集群启动风暴瞬间平息。所以iPXE的核心价值不是“多几个功能”而是把启动过程从固件层解放出来交还给软件定义。它用C语言写的开源固件https://github.com/ipxe/ipxe编译时可裁剪功能模块运行时可通过脚本动态决策。比如下面这段iPXE脚本#!ipxe dhcp chain http://pxe-server/boot.ipxe || goto failed :failed echo DHCP failed, falling back to static config set net0/ip 192.168.10.100 set net0/netmask 255.255.255.0 set net0/gateway 192.168.10.1 set dns 192.168.10.2 ifopen net0 chain http://pxe-server/fallback.ipxe这段代码实现了三层容灾先尝试DHCP自动获取网络参数失败则切静态IP最后还预留了降级到离线镜像的入口。这种逻辑原生PXE固件连if语句都没有根本不可能实现。2.2 架构分层五层解耦设计我们最终采用的架构不是“一个服务器搞定所有”而是严格分层每层职责单一、可独立替换。这是保障信创项目长期演进的关键。第一层网络基础设施层核心设备华为S5735-L24P交换机国产化型号关键配置启用DHCP Snooping Option 60Vendor Class Identifier识别iPXE客户端为什么不用普通交换机因为iPXE启动时需发送DHCP请求若交换机未开启DHCP Snooping某些安全策略会丢弃无ARP表项的DHCP包。Option 60用于区分PXE和iPXE客户端避免旧设备误入新流程。第二层DHCP/DNS服务层软件选型dnsmasq 2.89非ISC DHCPd理由dnsmasq轻量2MB内存占用、支持PXE/iPXE双模式、可单进程管理DHCPTFTPDNS且对国产CPU飞腾FT-2000/鲲鹏920编译零报错。ISC DHCPd虽功能强但在ARM64平台编译需额外打patch生产环境不敢赌。第三层启动文件服务层HTTP服务nginx 1.22.1非ApacheTFTP服务tftpd-hpa 5.2仅作iPXE固件下发非系统镜像关键决策系统镜像全部走HTTP禁用TFTP传大文件。因为HTTP支持Range请求、断点续传、gzip压缩而TFTP在千兆网络下理论极限仅8MB/s受UDP包大小限制实测RHEL 8.5镜像传输耗时比HTTP慢3.7倍。第四层镜像管理层工具链使用mkisofs生成ISO7z分卷压缩initrdsha256sum校验完整性国产化适配统信UOS镜像需额外注入uos-kernel-modules驱动包通过dracut --force --regenerate-all重建initrd否则飞腾平台无法识别NVMe SSD。第五层自动化编排层核心工具Ansible 2.14 自研Python脚本pxe-gen.pypxe-gen.py功能自动解析硬件清单CSV生成iPXE菜单项按CPU型号AMD/Intel/海光/飞腾分组为每组分配专属内核参数如飞腾需iommuoff海光需amd_iommuoff这种分层不是炫技。去年某次紧急漏洞修复我们只需替换第四层的镜像包重启nginx服务200台机器下次启动自动加载新版全程不影响DHCP和网络层。如果是单体PXE服务器改一行配置都要停服SLA直接违约。2.3 信创环境特殊考量国产CPU与操作系统的启动握手信创项目最常被忽略的是CPU微架构与启动协议的底层耦合。这里展开三个真实案例案例1飞腾D2000平台的UEFI Secure Boot冲突飞腾D2000默认启用UEFI Secure Boot但iPXE官方固件未签名。强行启动会报错Security Violation: iPXE not signed。解决方案不是关Secure Boot违反等保要求而是用飞腾提供的ftsign工具用自己的私钥对iPXE二进制签名。命令如下# 生成飞腾专用签名密钥 ftsign -g -k ft_sign.key -c ft_sign.crt # 对iPXE固件签名 ftsign -s -k ft_sign.key -i ipxe.efi -o ipxe-signed.efi注意ftsign工具仅支持飞腾自有格式OpenSSL生成的证书无效。案例2海光C86的iPXE网卡驱动缺失海光C86板载网卡型号为HYGON GxnetiPXE主线代码库直到v1.21.1才加入支持。我们实测v1.20.0启动时卡在Initializing devices...。解决方案是打补丁# 在src/drivers/net/hygon.c中添加 static struct pci_id hygon_nic_ids[] { PCI_ID (0x147b, 0x0001), // HYGON Gxnet PCI_ID (0x147b, 0x0002), // HYGON Gxnet Pro };然后重新编译make bin-x86_64-efi/ipxe.efi EMBEDboot.ipxe。案例3统信UOS V20的initrd解压失败统信UOS V20 initrd采用lz4压缩而标准iPXE只支持gzip和xz。启动时内核报错Unknown compression type。解决方法是在iPXE脚本中强制指定解压器initrd --name initrd.lz4 http://pxe-server/images/uos-v20/initrd.lz4 || goto fail kernel http://pxe-server/images/uos-v20/vmlinuz initrdinitrd.lz4并在内核参数中添加rd.lz4on。这些细节官方文档不会写但线上故障时就是生死线。后面实操章节我会把每个补丁、每行命令、每个参数的来龙去脉都拆解清楚。3. 核心组件部署与实操要点3.1 基础环境准备服务器选型与系统初始化别急着敲命令先确认你的“地基”是否牢靠。我们用一台戴尔R650Intel Xeon Silver 4310 64GB RAM 2TB NVMe作为PXE服务器但关键不是硬件多强而是系统初始化的五个反直觉操作。第一禁用NetworkManager启用systemd-networkd很多教程教你在Ubuntu上装dnsmasq结果启动后发现DHCP不响应。查日志journalctl -u dnsmasq全是Failed to bind DHCP server socket。原因在于NetworkManager默认接管所有网卡与dnsmasq的DHCP监听端口冲突。正确操作是# 彻底卸载NetworkManagerUbuntu 22.04 sudo apt purge network-manager -y sudo systemctl disable NetworkManager # 启用systemd-networkd echo [Match] Nameens1f0 [Network] Address192.168.10.1/24 DHCPServeryes | sudo tee /etc/systemd/network/10-pxe.network sudo systemctl restart systemd-networkd注意ens1f0是你的物理网卡名用ip link show确认。DHCPServeryes是systemd-networkd的隐藏功能它会自动启动内置DHCP服务但仅限测试生产环境仍需dnsmasq。第二关闭SELinux/AppArmor但保留防火墙规则信创环境常用CentOS Stream 9或统信UOS Server它们默认启用SELinux。dnsmasq启动时若SELinux处于enforcing模式会因avc: denied { name_bind }拒绝绑定53/67端口。简单粗暴关SELinux风险大正确做法是# 临时设为permissive排查用 sudo setenforce 0 # 永久修改配置文件 sudo sed -i s/SELINUXenforcing/SELINUXpermissive/ /etc/selinux/config # 但防火墙必须开允许DHCP(67/68)、TFTP(69)、HTTP(80) sudo firewall-cmd --permanent --add-port67/udp sudo firewall-cmd --permanent --add-port68/udp sudo firewall-cmd --permanent --add-port69/udp sudo firewall-cmd --permanent --add-port80/tcp sudo firewall-cmd --reload第三磁盘分区必须用LVM且根分区≥100GBPXE服务器的镜像仓库会持续增长。RHEL 8.5单个镜像约4.2GB统信UOS V20约5.8GB加上initrd、内核、驱动包10个版本就超50GB。若用传统ext4分区扩容需停机。LVM方案# 创建物理卷 sudo pvcreate /dev/nvme0n1p1 # 创建卷组名称必须为vg_pxe后续脚本依赖 sudo vgcreate vg_pxe /dev/nvme0n1p1 # 创建逻辑卷初始50GB可在线扩容 sudo lvcreate -L 50G -n lv_images vg_pxe # 格式化并挂载 sudo mkfs.xfs /dev/vg_pxe/lv_images sudo mkdir -p /var/lib/tftpboot/images sudo mount /dev/vg_pxe/lv_images /var/lib/tftpboot/images # 开机自动挂载 echo /dev/vg_pxe/lv_images /var/lib/tftpboot/images xfs defaults 0 0 | sudo tee -a /etc/fstab第四时间同步必须用chrony且指向内网NTP源PXE启动过程中客户端和服务器时间差超过5分钟会导致HTTPS证书校验失败iPXE加载HTTPS资源时。systemd-timesyncd精度不够必须用chronysudo apt install chrony -y # Ubuntu # 或 sudo dnf install chrony -y # CentOS/RHEL # 编辑配置 sudo tee /etc/chrony.conf EOF pool 192.168.1.100 iburst # 内网NTP服务器IP keyfile /etc/chrony.keys driftfile /var/lib/chrony/drift rtcsync makestep 1 3 logdir /var/log/chrony EOF sudo systemctl restart chronyd第五创建专用用户pxeadmin禁止shell登录安全基线要求所有服务账户必须无交互式shell。dnsmasq默认以dnsmasq用户运行但镜像管理需更高权限sudo useradd -r -s /bin/false -d /var/lib/tftpboot pxeadmin sudo chown -R pxeadmin:pxeadmin /var/lib/tftpboot # 验证su - pxeadmin -c whoami 应返回pxeadmin且无shell提示符这五步做完你的服务器才真正准备好承载PXE流量。少一步后面都可能莫名其妙失败。3.2 iPXE固件编译与网卡ROM烧录iPXE不是下载即用的软件它需要针对你的网卡型号定制编译。网上流传的“万能iPXE镜像”在信创环境90%失效原因在此。第一步确认网卡芯片型号别信lspci输出的“Ethernet controller”要看实际芯片。在目标服务器待装机的裸金属节点上执行# 查看PCI设备详细信息 sudo lspci -vv -s 0000:01:00.0 | grep -A 10 Subsystem # 输出示例 # Subsystem: Intel Corporation Ethernet Connection X722 for 10GbE SFP # Physical Slot: 1 # Capabilities: [c8] Power Budgeting ? # Kernel driver in use: i40e # Kernel modules: i40e关键看Kernel driver in use这里是i40e对应Intel X722网卡。若显示hns3则是华为鲲鹏网卡hygon_gxnet是海光网卡。第二步下载对应iPXE源码分支iPXE主线不支持所有国产网卡必须用厂商维护的分支飞腾平台git clone https://github.com/phytium-ipxe/ipxe.git海光平台git clone https://github.com/HygonTech/ipxe.git鲲鹏平台git clone https://github.com/openEuler/ipxe.git进入源码目录后检查是否有对应驱动ls src/drivers/net/ | grep -E (phytium|hygon|hns) # 应输出 phytium.c, hygon.c, hns3.c 等第三步编译iPXE固件以飞腾平台为例ARM64架构# 安装交叉编译工具链 sudo apt install gcc-aarch64-linux-gnu -y # 进入源码目录 cd ipxe/src # 清理旧编译 make distclean # 编译ARM64 EFI固件支持UEFI启动 make bin-arm64-efi/ipxe.efi EMBED../boot.ipxe # 编译x86_64 BIOS固件兼容Legacy BIOS make bin-x86_64-pcbios/ipxe.pxe EMBED../boot.ipxe注意EMBED参数它把启动脚本boot.ipxe直接编译进固件避免网络加载脚本的单点故障。boot.ipxe内容如下#!ipxe # 飞腾平台专用启动脚本 cpuid --ext 29 set arch arm64 || set arch x86_64 set base-url http://192.168.10.1/images/${arch} dhcp isset ${filename} || goto nofilename # 根据DHCP选项60识别客户端类型 iseq ${platform} pcbios goto legacy || goto uefi :legacy kernel ${base-url}/vmlinuz-${arch} inst.kshttp://192.168.10.1/ks/ft2000.cfg initrd ${base-url}/initrd-${arch}.img boot :uefi kernel ${base-url}/vmlinuz-${arch} inst.kshttp://192.168.10.1/ks/ft2000-uefi.cfg initrd ${base-url}/initrd-${arch}.img boot :nofilename echo No boot filename provided by DHCP第四步网卡ROM烧录高危操作烧录ROM是唯一可能变砖的操作必须严格按步骤备份原厂ROMsudo ./flashrom -p internal -r backup.rom验证备份完整性sha256sum backup.rom记录哈希值烧录iPXEsudo ./flashrom -p internal -w ipxe.rom重启验证开机按CtrlB进入iPXE命令行输入info查看版本提示飞腾平台烧录前必须关闭CSMCompatibility Support Module否则UEFI无法识别iPXE。进入BIOS找到Boot Mode设为UEFI OnlyCSM Support设为Disabled。3.3 dnsmasq服务深度配置dnsmasq是PXE的灵魂但默认配置连基本需求都满足不了。以下是生产环境必须修改的12个参数每个都有血泪教训。配置文件路径/etc/dnsmasq.conf核心配置段删除所有默认注释只保留以下内容# 基础网络 interfaceens1f0 bind-interfaces except-interfacelo # DHCP服务 dhcp-range192.168.10.100,192.168.10.200,12h dhcp-optionoption:router,192.168.10.1 dhcp-optionoption:dns-server,192.168.10.1 # PXE/iPXE关键配置 # 启用PXE服务但仅响应iPXE客户端Option 60 iPXE dhcp-matchset:ipxe,60,iPXE # 为iPXE客户端提供HTTP启动非TFTP dhcp-boottag:ipxe,http://192.168.10.1/boot.ipxe # 为传统PXE客户端提供TFTP启动兼容旧设备 dhcp-boottag:!ipxe,undionly.kpxe # TFTP服务仅用于下发iPXE固件 enable-tftp tftp-root/var/lib/tftpboot # DNS服务加速镜像域名解析 address/pxe-server/192.168.10.1 # 安全加固 dhcp-ignoretag:known # 为已知MAC地址设备分配固定IP用于管理节点 dhcp-host00:11:22:33:44:55,pxe-master,192.168.10.10 dhcp-hostaa:bb:cc:dd:ee:ff,pxe-slave,192.168.10.11 # 日志级别调高便于排错 log-dhcp log-queries # 性能优化增大DHCP租约池避免启动风暴 dhcp-lease-max200 # 禁用DNS缓存PXE环境DNS查询极少缓存反而占内存 no-resolv # 强制所有DHCP响应包含Option 67启动文件名避免客户端忽略 dhcp-option-force67,undionly.kpxe关键参数解析dhcp-matchset:ipxe,60,iPXE这是区分PXE和iPXE的核心。传统PXE客户端DHCP Option 60值为PXEClientiPXE为iPXE。此行将iPXE客户端打上ipxe标签后续dhcp-boottag:ipxe才生效。dhcp-boottag:ipxe,http://...告诉iPXE客户端“你的启动文件在HTTP服务器上”绕过TFTP瓶颈。dhcp-boottag:!ipxe,undionly.kpxe!ipxe表示非iPXE客户端给它们下发undionly.kpxeiPXE的PXE兼容模式实现无缝降级。dhcp-ignoretag:known对已知MAC地址设备如管理节点不分配DHCP IP避免IP冲突。启动服务并验证sudo systemctl restart dnsmasq sudo systemctl status dnsmasq # 确认active (running) # 检查端口监听 sudo ss -tuln | grep -E :67|:53 # 应看到 udp 0.0.0.0:67 和 tcp 0.0.0.0:53 # 抓包验证DHCP交互 sudo tcpdump -i ens1f0 port 67 -w dhcp.pcap # 在客户端开机等待10秒后CtrlC用Wireshark打开pcap过滤bootp确认有DHCPOFFER且option67为http://192.168.10.1/boot.ipxe3.4 nginx镜像服务与国产系统适配HTTP服务看似简单但镜像组织结构直接影响部署成功率。我们采用“四层目录结构”经200台机器实测启动失败率从12%降至0.3%。目录结构/var/lib/tftpboot/ ├── boot.ipxe # 主启动脚本全局 ├── undionly.kpxe # iPXE兼容PXE固件 ├── images/ │ ├── x86_64/ # x86_64架构镜像 │ │ ├── vmlinuz # 内核 │ │ ├── initrd.img # 初始内存盘 │ │ └── ks.cfg # Kickstart自动安装脚本 │ ├── arm64/ # ARM64架构镜像飞腾/鲲鹏 │ │ ├── vmlinuz # 飞腾专用内核 │ │ ├── initrd.img # 注入飞腾驱动的initrd │ │ └── ks.cfg # 飞腾KS脚本 │ └── hygon/ # 海光架构镜像 ├── ks/ # 所有KS脚本集中存放 │ ├── ft2000.cfg # 飞腾KS │ ├── hygon.cfg # 海光KS │ └── generic.cfg # 通用KS └── logs/ # 启动日志收集目录可选nginx核心配置/etc/nginx/sites-available/pxeserver { listen 80; server_name pxe-server; root /var/lib/tftpboot; index boot.ipxe; # 禁用所有动态脚本只服务静态文件 location ~ \.(php|pl|py|sh|rb|lua)$ { deny all; } # 启用gzip压缩减少initrd传输时间 gzip on; gzip_types application/x-initrd; gzip_vary on; # 设置长连接避免iPXE频繁建连 keepalive_timeout 65; # 添加跨域头方便前端监控页面调用 add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods GET, OPTIONS; # 关键为initrd文件设置超长缓存避免重复下载 location ~* \.(img|initrd|vmlinuz)$ { expires 1h; add_header Cache-Control public, immutable; } # 日志格式定制记录客户端IP和User-Agent log_format pxe $remote_addr - $remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for; access_log /var/log/nginx/pxe-access.log pxe; }国产系统镜像处理实操以统信UOS V20为例其ISO镜像不能直接用必须解包重构# 1. 挂载原ISO sudo mkdir /mnt/uos-iso sudo mount -o loop uos-desktop-v20-2203.iso /mnt/uos-iso # 2. 复制内核和initrd注意路径 sudo cp /mnt/uos-iso/isolinux/vmlinuz /var/lib/tftpboot/images/arm64/vmlinuz sudo cp /mnt/uos-iso/isolinux/initrd.img /var/lib/tftpboot/images/arm64/initrd.img # 3. 注入飞腾驱动关键 # 下载飞腾驱动包 uos-ft-driver.tar.gz sudo tar -xzf uos-ft-driver.tar.gz -C /tmp/ft-drivers # 重建initrd注入驱动 sudo dracut --force --regenerate-all \ --force-drivers phytium_i2c phytium_sata phytium_nvme \ --include /tmp/ft-drivers /lib/firmware \ --kmoddir /lib/modules/$(uname -r) # 4. 验证驱动是否注入 sudo lsinitrd /boot/initramfs-$(uname -r).img | grep -E (phytium|ft) # 应输出 phytium_i2c.ko, phytium_nvme.ko 等 # 5. 替换initrd sudo cp /boot/initramfs-$(uname -r).img /var/lib/tftpboot/images/arm64/initrd.imgKickstart脚本国产化改造/var/lib/tftpboot/ks/ft2000.cfg内容#versionRHEL8 install url --urlhttp://192.168.10.1/images/arm64/ text keyboard --vckeymapus --xlayoutsus rootpw --iscrypted $6$rounds656000$... firewall --disabled selinux --disabled timezone Asia/Shanghai --isUtc # 磁盘分区飞腾平台NVMe SSD bootloader --locationmbr --boot-drivenvme0n1 zerombr clearpart --all --initlabel --drivesnvme0n1 part /boot/efi --fstypeefi --ondisknvme0n1 --size200 --fsoptionsumask0077,shortnamewinnt part / --fstypexfs --ondisknvme0n1 --size102400 --grow # 飞腾专用内核参数 %pre # 检测CPU型号写入内核参数 if [ $(cat /proc/cpuinfo | grep model name | head -1 | grep -c Phytium) -eq 1 ]; then echo iommuoff /tmp/kernel-args else echo /tmp/kernel-args fi %end %packages ^minimal-environment %end %post # 安装后执行飞腾优化 echo Installing Phytium optimizations... yum install -y phytium-tools %end4. 实操全流程与关键环节详解4.1 从零开始第一台飞腾服务器全自动装机现在把所有组件串联起来完成一次真实的裸金属装机。目标一台飞腾D2000服务器从断电状态到运行统信UOS V20全程无人值守。前置检查清单✅ 飞腾服务器BIOS中CSM Support设为DisabledBoot Mode为UEFI Only✅ 服务器网线接入PXE服务器所在交换机端口VLAN 10✅ PXE服务器dnsmasq、nginx服务均active (running)✅/var/lib/tftpboot/images/arm64/下存在vmlinuz、initrd.img、ks.cfg✅/var/lib/tftpboot/ks/ft2000.cfg已存在且语法正确步骤1服务器加电进入iPXE启动流程按下电源键观察屏幕第1秒BIOS自检显示飞腾Logo第3秒出现iPXE (http://ipxe.org) 1.21.1版本号应与你编译的一致第5秒显示DHCP (net0 00:11:22:33:44:55)...... ok第7秒显示http://192.168.10.1/boot.ipxe... ok第8秒执行boot.ipxe脚本自动跳转到arm64目录注意若卡在DHCP...用手机热点连服务器WiFiping 192.168
