Linux彈性云主機怎樣升級內核？

• 升級須知

對于已安裝Tools的Linux彈性云主機，升級內核前，需先卸載Tools，否則存在如下風險：

升級內核后，Linux彈性云主機無法識別網卡，從而導致網絡不通。

升級內核后，Linux彈性云主機無法識別數據盤，從而導致系統啟動掛載點異常，彈性云主機無法正常啟動。

• 背景信息

PVOPS為使用Linux發行版廠商自帶的xen驅動。

• 升級操作

1. 登錄彈性云主機。
2. 判斷Linux彈性云主機是否安裝了Tools（以操作系統SUSE 11 SP1為例）。

a. 在任意目錄下執行以下命令，查詢彈性云主機的驅動信息，如下圖所示。

lsmod | grep xen

圖 查詢驅動信息

b. 執行以下命令，查詢驅動路徑（以磁盤驅動為例），如下圖所示。

modinfo xen_vbd

圖 查詢驅動路徑

c. 查看回顯，根據驅動路徑中是否帶有“pvdriver”字段信息，判斷彈性云主機是否安裝了Tools。

是，如上圖所示，執行3。

否，執行4。

3. 卸載Tools。

a. 執行以下命令，切換至root用戶。

su root

b. 執行以下命令，在根目錄下卸載Tools。

/etc/.uvp-monitor/uninstall

                  

                    
說明
                    
卸載Tools后，可能會引起彈性云主機的監控指標缺失、無法正常收集監控信息等問題。您可以通過自行編譯安裝uvpmonitor解決該問題，具體操作請參見//github.com/UVP-Tools/UVP-Tools/。
                    
                  
                  

4. 升級內核，具體升級方式由用戶自己決定。
5. 判斷Linux彈性云主機的驅動是否使用PVOPS。判斷方法有三種，請根據實際情況任選其一即可：

方法一：

根據彈性云主機的操作系統進行判斷。

對于Linux發行版操作系統，都自帶XEN開源驅動，即默認使用PVOPS方式。

對于OS能力中心提供的SUSE 11 SP3版本操作系統，不帶XEN開源驅動，即不支持使用PVOPS方式。

方法二：

在任意目錄下執行以下命令，查詢彈性云主機的驅動信息中是否包括帶XEN的驅動模塊，如果包括，則表示使用PVOPS方式，如下圖所示。

lsmod | grep xen

圖 查詢驅動信息

                  

                    
說明
                    
對于不同的Linux發行版操作系統，模塊名稱有所不同，您只需確認驅動信息中包括XEN字段的驅動模塊即可。
                    
                  
                  

方法三：

在任意目錄下執行以下命令，查詢回顯信息中是否包括帶XEN的字段，如果包括，則表示使用PVOPS方式，如下圖所示。

cat /boot/config* | grep -i xen

圖 查詢XEN字段

6. PVOPS方式適配內核升級場景，因此，進入新內核后，驅動使用PVOPS方式，不再安裝Tools。根據5的判斷結果：

? 如果Linux彈性云主機的驅動使用PVOPS方式，執行8。

? 如果Linux彈性云主機的驅動沒有使用PVOPS方式，執行7。

7. 安裝開源組件xen-kmp，從而提供xen開源驅動，即使用PVOPS方式。如何使用PVOPS，請參見《鏡像服務用戶指南》中“優化私有鏡像（Linux）”章節。
8. （可選）對于部分Linux發行版操作系統，需參考缺陷列表添加對應參數。

Linux發行版操作系統缺陷列表：

//github.com/UVP-Tools/UVP-Tools/tree/master/docs

彈性云主機的操作系統無法正常啟動是什么原因？

1. 查看用戶的鏡像類型，如果是公共鏡像則排除私有鏡像的源鏡像問題。
2. 單擊“申請服務器”，查看能否創建出此鏡像的彈性云主機，申請完成后未出現此鏡像對應的彈性云主機，則此類鏡像可能已經下線，屬于老鏡像。
3. 控制臺不支持使用老鏡像繼續購買彈性云主機，您需要將彈性云主機的操作系統切換為當前在線的操作系統。

針對Intel處理器芯片存在的Meltdown和Spectre安全漏洞，應該如何規避？

• 問題描述

北京時間1月3日，Intel處理器芯片被曝出存在嚴重的Meltdown和Spectre安全漏洞，漏洞詳情如下：

漏洞名稱：Intel處理器存在嚴重芯片級漏洞

漏洞編號：CVE-2017-5753、CVE-2017-5715、CVE-2017-5754

嚴重程度：高危

漏洞描述：CPU內核高危漏洞Meltdown（CVE-2017-5754）和Spectre（CVE-2017-5715/CVE-2017-5753）爆發，攻擊者可利用這兩組漏洞，繞過內存安全隔離機制，越權訪問操作系統和其他程序的核心數據，造成敏感信息泄露。

• 問題影響

該漏洞不會引起不同彈性云主機之間的攻擊，但可能會引起如下問題：

彈性云主機內多個應用之間，可能存在攻擊。

對于同一彈性云主機，多個帳號之間可能存在攻擊。

使用公共鏡像的彈性云主機，云平臺會對公共鏡像依次修復，不會對您的業務帶來影響。

使用私有鏡像的彈性云主機，請根據漏洞影響評估是否更新補丁，以規避風險，更新補丁的具體操作請參見本節內容。

• 背景信息

受影響的操作系統官方補丁發布狀態，請參見云平臺安全公告。

• 前提條件

為避免發生意外，修復漏洞前，建議進行充分測試，并完成彈性云主機的數據備份操作，避免發生意外。

• Windows彈性云主機處理方法

步驟 1 登錄彈性云主機。

步驟 2 更新補丁。

• 方式一：使用Windows自動更新功能安裝補丁

a. 打開Windows Update，并單擊“檢查更新”。

b. 根據需要下載安裝相關安全補丁。

• 方式二：手動下載補丁并安裝

根據背景信息，下載官方發布的補丁并進行安裝。

步驟 3 重啟彈性云主機，使補丁生效。

步驟 4 驗證是否升級成功。

1. 檢查系統運行情況是否正常。
2. 檢查已安裝的補丁清單是否滿足背景信息中“驗證方法”的要求。

• Linux彈性云主機處理方法

步驟 1 登錄彈性云主機。

步驟 2 判斷Linux彈性云主機是否安裝了Tools（以操作系統SUSE 11 SP1為例）。

1. 在任意目錄下執行以下命令，查詢彈性云主機的驅動信息，如下圖所示。

lsmod | grep xen

圖 查詢驅動信息

2. 執行以下命令，查詢驅動路徑（以磁盤驅動為例），如下圖所示。

modinfo xen_vbd

圖 查詢驅動路徑

3. 查看回顯，根據驅動路徑中是否帶有“pvdriver”字段信息，判斷彈性云主機是否安裝了Tools。

? 是，如圖所示，執行步驟3。

? 否，執行步驟4。

步驟 3 卸載Tools。

1. 執行以下命令，切換至root用戶。

su root

2. 執行以下命令，在根目錄下卸載Tools。

/etc/.uvp-monitor/uninstall

3. 執行以下命令，重啟彈性云主機。

reboot

步驟 4 更新補丁，升級kernel內核，具體升級方式請參見背景信息。

                  

                    
說明
                    
升級kernel內核后，請務必執行reboot命令重啟彈性云主機。
                    
                  
                  

步驟 5 驗證是否升級成功。

1. 檢查系統運行情況是否正常。
2. 檢查已安裝的補丁清單是否滿足背景信息中“驗證方法”的要求。

                  

                    
說明
                    
補丁更新后，彈性云主機使用的驅動是由操作系統自帶。此時，Linux彈性云主機不再支持監控指標：內存使用率、磁盤使用率，對其他特性和功能無影響。如需繼續支持監控指標內存使用率、磁盤使用率，請聯系客服。
                    
                  
                  

檢測Linux操作系統安全漏洞是否已修補完成

1. 單擊spectre-meltdown-checker獲取spectre-meltdown-checker.sh檢測腳本。
2. 將步驟1獲取的腳本上傳至云主機。
3. 在云主機執行以下命令，并根據腳本提示判斷Meltdown或Spectre漏洞是否已經修復。

chmod +x spectre-meltdown-checker.sh

sudo bash spectre-meltdown-checker.sh

回顯信息如下圖所示。

圖 執行腳本后的回顯信息

OK為已修復漏洞，KO為未修復，如上圖所示代表CVE-2017-5753、CVE-2017-5715、CVE-2017-5754漏洞均已修復。

打開或關閉Linux操作系統的安全漏洞補丁開關

CPU的預測執行是一種性能優化技術，因此修復Meltdown或Spectre漏洞后可能導致在特定工作負載下的性能下降。

如果您認為漏洞修復對系統的性能影響不可接受或者系統有更好的保護機制，希望可以禁用部分或全部漏洞安全保護策略，那么可以參考以下操作啟用或者禁用安全保護策略。

您可以根據如下具體情況配置系統來達到理想的安全策略：

• Meltdown漏洞

采取頁表隔離pti（Page Table Isolation）來控制內核頁表隔離功能，此功能適用于CVE-2017-5754。

• Spectre漏洞

采取間接分支限制預測ibrs（Indirect Branch Restricted Speculation）控制SPEC_CTRL模型特定寄存器（MSR）中的IBRS功能，結合retpoline，及間接分支預測障礙ibpb（Indirect Branch Prediction Barriers）控制PRED_CMD模型特定寄存器（MSR）中的IBPB功能，此功能適用于CVE-2017-5715。

                  

                    
說明
                    
CVE-2017-5753漏洞是通過內核補丁修復的，它無法禁用，并且它在Red Hat的性能測試中沒有顯示出任何可見的影響。
                    
                  
                  

關閉Meltdown安全漏洞補丁

如果您想降低開啟pti對系統的性能影響或者系統有更好的保護機制，您可以根據以下步驟操作：

a. 根據不同的操作系統修改內核參數：

CentOS、EulerOS、Ubuntu、Fedora、Red Hat：添加內核參數nopti

Debian、OpenSUSE：添加內核參數pti=off

b. 重啟云主機。

關閉Spectre安全漏洞補丁

如果您認為Spectre漏洞修復對系統的性能影響不可接受或者系統有更好的保護機制，您可以根據以下步驟操作：

a. 根據不同的操作系統修改內核參數：

CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE：添加內核參數spectre_v2=off

Ubuntu：添加內核參數nospectre_v2=off

b. 重啟云主機。

如果您使用的是以下操作系統，可以前往官網查詢更多信息。

RedHat：//access.redhat.com/articles/3311301?spm=a2c4g.11186623.2.20.42b49d4aJuKYx2

SUSE：//www.suse.com/support/kb/doc/?spm=a2c4g.11186623.2.21.42b49d4avOXw7d&id=7022512

Ubuntu：//wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

如何開啟CentOS操作系統的SELinux功能？

• 問題描述

CentOS 7.5版本操作系統的彈性云主機默認關閉SELinux功能。通過/etc/selinux/config開啟SELinux功能后，在輸入密碼時，會出現無法登錄的問題。

如果業務需要開啟SELinux 功能，請參照本節內容進行配置。

• 處理方法

本節內容適用于CentOS 7.5版本操作系統的彈性云主機。

1. 執行以下命令，將SELinux 配置文件中的“SELINUX=disabled”修改為“SELINUX=enforcing”。

vim /etc/selinux/config

2. 執行以下命令，使系統重啟時自動為文件系統打上selinux的標記。

touch /.autorelabel

3. 執行以下命令，重啟彈性云主機，使配置生效。

reboot

                  

                    
說明
                    
reboot 系統之后，系統會自動重啟兩次。
                    
                  
                  

強制關機導致文件系統損壞，Linux彈性云主機啟動失敗

• 問題描述

強制關機后，可能會小概率遇到文件系統損壞的情況，導致再次啟動彈性云主機失敗，如下圖所示。

圖 啟動彈性云主機失敗

• 可能原因

從圖可以看出，彈性云主機無法啟動的原因是文件系統發生損壞。強制關機/強制重啟屬于高危操作，可能會引起文件系統內部元數據不一致，造成文件系統損壞。

• 處理方法

通過Linux操作系統自帶的磁盤修復工具（fsck）進行修復，操作如下：

以圖為例，磁盤問題分區為/dev/xvdb1。

1. 根據界面提示，輸入Linux彈性云主機的root帳號密碼。
2. 執行以下命令，查看是否已掛載磁盤問題分區。

mount | grep xvdb1

? 是，執行3。

? 否，執行4。

3. 執行以下命令，卸載問題分區。

umount /dev/xvdb1

4. 執行以下命令，修復問題分區的文件系統。

fsck -y /dev/xvdb1

5. 修復完成后，執行以下命令，重啟彈性云主機。

reboot

GPU云主機VNC登錄時候回顯信息為Guest has not initialized the display (yet)

GPU云主機在使用鏡像時候可能會在遠程登錄時候顯示Guest has not initialized the display (yet)，這時候按ctrl+alt+1組合鍵即可解決。

怎樣查看GPU加速型云主機的GPU使用率

• 問題描述

Windows Server 2012和Windows Server 2016操作系統的GPU加速型云主機無法從任務管理器查看GPU使用率。

本節操作介紹了兩種查看GPU使用率的方法，方法一是在cmd窗口執行命令查看GPU使用率，方法二是通過安裝gpu-Z工具查看GPU使用率。

• 前提條件

GPU加速型云主機已安裝NVIDIA驅動。

方法一

1、登錄GPU加速型云主機。

2、打開cmd命令窗口。

3、執行如下命令，查看GPU使用情況。

cd C:\Program Files\NVIDIA Corporation\NVSMI

nvidia-smi

如果需要持續觀察GPU使用情況執行以下命令。

nvidia-smi -l 1

圖 GPU使用率

說明：

NVIDIA GPU可以配置為TCC（Tesla Compute Cluster）模式或WDDM（Windows Display Driver Model）模式。

TCC 模式下，GPU完全用于計算。

WDDM 模式下，GPU同時用于計算和圖形。

僅在GPU服務器安裝了GRID驅動時才可以切換至WDDM模式。

關于TCC和WDDM，可點擊//docs.nvidia.com/nsight-visual-studio-edition/reference/index.html#tesla-compute-cluster。

方法二

1、登錄GPU加速型云主機。

2、下載gpu-Z（//www.techpowerup.com/gpuz/）并安裝。

3、打開gpu-z，選擇“Sensors”即可查看GPU使用情況。

圖 GPU使用率