华为云用户手册

升级后续操作 升级成功后，请及时确认业务运行情况。如业务运行正常，请在合适的时候执行osmt remove命令删除备份内容。删除后将无法回退本次升级内容。 安全规范要求chronyd服务在安装/升级后默认处于disabled状态，所以从HCE-2.0.2206版本升级至新版本后，chronyd服务会处于disabled状态。如有需要，您可通过systemctl enable chronyd使能该服务，并通过systemctl start chronyd启动该服务。 父主题： 使用OSMT工具升级

安全更新概述 本节主要介绍如何使用yum或dnf命令查询并安装Huawei Cloud EulerOS中的安全更新。 各版本对yum和dnf命令的支持情况不同，本节以yum命令为例介绍。 dnf作为yum的替代者，提供更好的性能，dnf和yum命令的使用方法相同。 Huawei Cloud EulerOS 2.0及之后版本支持yum和dnf命令。 Huawei Cloud EulerOS 2.0之前版本仅支持yum命令。 父主题： 对HCE进行安全更新

准备工作 RPM包的更新方法有两种：使用osmt update命令更新和使用后台osmt-agent服务自动更新。此两种方法，都须先执行本节操作。 确认repo源配置正常。 请检查默认的/etc/yum.repos.d/hce.repo配置文件中参数是否正确，正确的配置如下。 [base]name=HCE $releasever basebaseurl=https://repo.huaweicloud.com/hce/$releasever/os/$basearch/enabled=1gpgcheck=1gpgkey=https://repo.huaweicloud.com/hce/$releasever/os/RPM-GPG-KEY-HCE-2[updates]name=HCE $releasever updatesbaseurl=https://repo.huaweicloud.com/hce/$releasever/updates/$basearch/...... 错误的配置内容可能会导致OSMT升级失败，或非预期的升级行为。 执行dnf update osmt -y命令更新OSMT升级工具。 配置/etc/osmt/osmt.conf文件。 OSMT根据配置文件osmt.conf的设置，对RPM包进行更新。请根据需要配置osmt.conf文件。 [auto]#if auto_upgrade is True, the osmt-agent will auto upgrade rpms use osmt.conf and reboot between time interval we specified#the value of cycle_time means the osmt-agent will check upgrade every cycle_time seconds, default 86400s(1 day)#When a configuration item has a line break, you need to leave a space or tab at the beginning of the lineauto_upgrade = Falsecycle_time = 3600minimal_interval = 3600auto_upgrade_window = "22:00-05:00"auto_upgrade_interval = 1[Package]# There are three rules of filters, all enabled by default. severity will be effect only when the types contain security, it is the subtype of security.# The following are the three rules:# 1. whitelist has the highest priority, if whitelist is configured then ignore other rules and filter out the whitelist packages from the full list of packages to be upgrade# 2. Filter the update range by types, when the types contain security, further filter the severity of security updates severity, only upgrade the severity level of security.# 3. Filter blacklist to remove packages in blacklist from types filter results, and packages which depend on packages in blacklist will also be removed.# filters must contain at least one types rule, if the types rule is empty, the -a option will not upgrade any packages (by default all 3 filters are enabled).filters = "types, blacklist"whitelist = ""# types include: security, bugfix, enhancement, newpackage, unknown# if types is empty, no package will be upgrade# types = security, bugfix, enhancement, newpackage, unknowntypes = "security"# severity is the subtype of security, include: low, moderate, important, criticalseverity = "important, critical"blacklist = ""# The rpm package that requires a system reboot to take effect after the upgradeneed_reboot_rpms = "kernel,kernel-debug,kernel-debuginfo,kernel-debuginfo-common,kernel-devel,kernel-headers,kernel-ori,kernel-tools,kernel-tools-libs,glibc,glibc-utils,glibc-static,glibc-headers,glibc-devel,glibc-common,dbus,dbus-python,dbus-libs,dbus-glib-devel,dbus-glib,dbus-devel,systemd,systemd-devel,systemd-libs,systemd-python,systemd-sysv,grub2,grub2-efi,grub2-tools,openssl,openssl-devel,openssl-libs,gnutls,gnutls-dane,gnutls-devel,gnutls-utils,linux-firmware,openssh,openssh-server,openssh-clients,openssh-keycat,openssh-askpass,python-libs,python,grub2-pc,grub2-common,grub2-tools-minimal,grub2-pc-modules,grub2-tools-extra,grub2-efi-x64,grub2-efi-x64-cdboot,kernel-cross-headers,kernel-source,glibc-all-langpacks,dbus-common,dbus-daemon,dbus-tools,systemd-container,systemd-pam,systemd-udev,grub2-efi-aa64,grub2-efi-aa64-cdboot,grub2-efi-aa64-modules,openssl-perl,openssl-pkcs,kernel-tools-libs-devel,glibc-debugutils,glibc-locale-source,systemd-help,grub2-efi-ia32-modules,grub2-efi-x64-modules,grub2-tools-efi,grub2-help,openssl-pkcs11,grub2-efi-ia32-cdboot,osmt"preinstalled_only = False[backup]store_path = /var/logbackup_dir = /etc,/usr,/boot,/var,/runexclude_dir =recover_service =#the minimum resources required(MB)[resource_needed]#min_req_boot_space = 100#min_req_backup_space = 8192#min_req_root_space = 1536#min_req_memory = 512[cmdline]cmdline_value =[conflict]#conflict_rpm = test1,test2[strategy]timeout_action = "stop"timeout_action_before = 0[check]daemon_whitelist = "sysstat-collect.service, sysstat-summary.service, systemd-tmpfiles-clean.service"check_systemd_running_jobs = True# the timeout of query systemd servicesquery_timeout = 30check_rpm_packages = True 表1 osmt.conf主要配置项 配置项 说明 [auto] auto_upgrade：指定更新RPM包更新方式。默认为False。 True：使用osmt update命令更新和使用后台osmt-agent服务自动更新两种方式都支持。 False：仅支持使用osmt update命令更新RPM包。 auto_upgrade为True时，配套如下参数。 cycle_time：检查是否有待更新软件包的周期，单位是秒。默认值为3600秒。 minimal_interval：指定osmt update -b命令参数中开始时间和截止时间的最小时间间隔，单位是秒。默认值为3600秒。 auto_upgrade_window：配置后台osmt-agent服务自动升级的时间窗，格式为"HH:MM-HH:MM"，表示升级的开始时间和截止时间。 如果截止时间小于开始时间，则表示本次升级时间段跨越自然日。如“22:00-05:00”表示升级时间段为当日22:00到次日凌晨5:00。 auto_upgrade_interval：指定两次自动升级之间的最小间隔（单位：天）。 auto_upgrade为False时，仅配套如下参数，执行配置文件时[auto]配置项中其他参数不生效。 cycle_time：检查是否有待更新软件包的周期，单位是秒。默认值为3600秒。 minimal_interval：指定osmt update -b命令参数中开始时间和截止时间的最小时间间隔，单位是秒。默认值为3600秒。 motd_setup: 设置登录提示是否开启。默认为True。 True：开启登录提示。 False：关闭登录提示，设置后会立刻删除登录提示，并且不会再次生成。如果重新开启，需要使用osmt update -s或任意升级命令重新触发生成。 [Package] filters：指定更新的范围，包括types、blacklist、whitelist。 例如filters = "blacklist"，指升级时不更新黑名单中的RPM包。 types：待更新的RPM包类型。 blacklist：RPM包黑名单列表。 设置黑名单后，不对黑名单中的RPM包进行更新。如果某RPM包依赖黑名单中的包，则不会升级此RPM包。 whitelist：RPM包白名单列表。 如果不设置白名单或者黑名单列表，默认更新所有可更新的RPM包。 白名单优先级大于黑名单，如果某RPM包同时配置在白名单和黑名单，则会升级此RPM包。 说明： 如果使用命令指定了黑名单和白名单，以命令指定的黑名单和白名单为准，不再根据配置文件中的黑名单和白名单列表更新RPM包。 need_reboot_rpms：升级后要重启的RPM包。 后台osmt-agent服务自动升级时，不会更新need_reboot_rpms中的RPM包。若要更新need_reboot_rpms列表中的RPM包，必须使用osmt update --auto --reboot_config always或osmt update --auto --reboot_config “重启时间”命令更新。 preinstalled_only：当设置成True时，只升级/etc/osmt/preinstalled.list中的RPM包。 [backup] store_path：在该目录下创建备份目录。 升级过程中，OSMT会在store_path下创建.osbak目录，如果原先存在该目录，则需要先使用osmt remove将其删除。 backup_dir：需要备份的目录。其中/etc、/usr、/boot、/var、/run为默认的需要备份的目录，且不可以删减。这些目录会在执行版本升级功能的时候自动进行备份。 recover_service：OSMT会检查升级前后此列表中服务的启用状态是否一致，如果服务的启用状态被修改，OSMT会尝试恢复此服务的状态。 说明： [backup]中的路径需要配置为绝对路径的形式。 [cmdline] cmdline_value：指定升级之后系统的启动项。请配置正确的启动项，确保系统能够正常启动。默认值为HCE的默认启动项。 [conflict] conflict_rpm：指定升级过程中冲突的软件包，升级时系统将自动删除冲突的软件包。 [check] check_systemd_running_jobs：设置是否在升级前检查系统中有正在启动或正在停止的服务，默认为True。 True：升级前检查系统中是否有正在启动或正在停止的服务。 False：不检查系统中是否有正在启动或正在停止的服务。 check_rpm_packages：设置是否在升级前检查系统中rpm包的状态，包括包的依赖是否缺失、是否存在重复的包。默认为True。 True：升级前检查rpm包的状态。 False：升级前不检查rpm包的状态。 其他配置项不建议修改，详情请参见/etc/osmt/osmt.conf配置文件说明。 父主题： 更新RPM包

约束与限制 仅HCE 2.0 x86架构支持使用tbwmcli命令。 仅允许root用户执行tbwmcli命令。 tbwmcli命令同一时间只能在一个网卡使能Qos功能，多个网卡不支持并行使能网络QoS。 网卡被插拔重新恢复后，原来设置的QoS规则会丢失，需要手动重新配置网络QoS功能。 不支持cgroup v2。 升级oncn-tbwm软件包不会影响升级前的使能状态。卸载oncn-tbwm软件包会关闭对所有设备的使能。 仅支持识别数字、英文字母、中划线“-” 和下划线“_”四类字符类型的网卡名，其他字符类型的网卡不被识别。 实际使用过程中，带宽限速有可能造成协议栈内存积压，此时依赖传输层协议自行反压，对于udp等无反压机制的协议场景，可能出现丢包、ENOBUFS、限流不准等问题。 收包方向的网络限速依赖于TCP的反压能力，在非TCP协议的场景中，网络包已经收至目标网卡，不支持对于收包方向的网络限速。 不支持tbwmcli、tc命令和网卡命令混用，只能单独使用tbwmcli工具进行限速。例如，某个网卡上已经设置过tc qdisc规则的情况下，对此网卡使能网络QoS功能可能会失败。

安装工具 确认repo源配置正常。 请检查默认的/etc/yum.repos.d/hce.repo配置文件中参数是否正确，正确的配置如下。 [base]name=HCE $releasever basebaseurl=https://repo.huaweicloud.com/hce/$releasever/os/$basearch/enabled=1gpgcheck=1gpgkey=https://repo.huaweicloud.com/hce/$releasever/os/RPM-GPG-KEY-HCE-2[updates]name=HCE $releasever updatesbaseurl=https://repo.huaweicloud.com/hce/$releasever/updates/$basearch/...... 执行yum install hce-wae命令安装加速工具。 检查工具是否安装成功。 执行llvm-bolt帮助命令有如下输出信息，表示工具安装成功。 父主题： 应用加速工具

检查安全更新 执行yum check-update --security命令，检查系统当前可用的安全更新。 [root@localhost ~]# yum check-update --securityLast metadata expiration check: 0:11:39 ago on Thu 08 Sep 2022 05:30:23 PM CS T.curl.x86_647.79.1-2.h6.hce2hce2gnupg2.x86_642.2.32-1.h6.hce2hce2kernel.x86_645.10.0-60.18.0.50.h425_2.hce2 hce2unbound-libs.x86_641.13.2-3.h2.hce2hce2 执行yum check-update --sec-severity={Critical,Important,Moderate,Low}命令，检查指定级别的安全更新。 {}中的安全更新等级参数可任意组合。 [root@localhost ~]# yum check-update --sec-severity=ModerateLast metadata expiration check: 0:23:57 ago on Thu 08 Sep 2022 05:30:23 PM CST.gnupg2.x86_64 2.2.32-1.h6.hce2hce2python3-unbound.x86_64 1.13.2-3.h2.hce2hce2unbound-libs.x86_64 1.13.2-3.h2.hce2hce2 父主题： 对HCE进行安全更新

/etc/osmt/osmt.conf配置文件说明 本节对OSMT工具的配置文件osmt.conf不建议修改的配置项进行说明。 [auto]# if auto_upgrade is True, the osmt-agent will auto upgrade rpms use osmt.conf and reboot between time interval we specified# the value of cycle_time means the osmt-agent will check upgrade every cycle_time seconds, default 86400s(1 day)# When a configuration item has a line break, you need to leave a space or tab at the beginning of the lineauto_upgrade = Falsecycle_time = 3600minimal_interval = 3600auto_upgrade_window = "22:00-05:00"auto_upgrade_interval = 1[Package]# There are three rules of filters, all enabled by default. severity will be effect only when the types contain security, it is the subtype of security.# The following are the three rules:# 1. whitelist has the highest priority, if whitelist is configured then ignore other rules and filter out the whitelist packages from the full list of packages to be upgrade# 2. Filter the update range by types, when the types contain security, further filter the severity of security updates severity, only upgrade the severity level of security.# 3. Filter blacklist to remove packages in blacklist from types filter results, and packages which depend on packages in blacklist will also be removed.# filters must contain at least one types rule, if the types rule is empty, the -a option will not upgrade any packages (by default all 3 filters are enabled).filters = "types, blacklist"whitelist = ""# types include: security, bugfix, enhancement, newpackage, unknown# if types is empty, no package will be upgrade# types = security, bugfix, enhancement, newpackage, unknowntypes = "security"# severity is the subtype of security, include: low, moderate, important, criticalseverity = "important, critical"blacklist = "mysql"# 升级后需要重启系统才能生效的rpm包need_reboot_rpms = kernel,kernel-debug,glibc,glibc-utils,dbus,dbus-python… preinstalled_only = False[backup] store_path = /var/logbackup_dir = /etc,/usr,/boot,/var,/runexclude_dir = recover_service =[resource_needed] #the minimum resources required(MB) #min_req_boot_space = 100 #min_req_backup_space = 8192 #min_req_root_space = 1536 #min_req_memory = 512 [cmdline] cmdline_value = crashkernel=512M resume=/dev/mapper/hce-swap rd.lvm.lv=hce/root rd.lvm.lv=hce/swap crash_kexec_post_notifiers panic=3 nmi_watchdog=1 rd.shell=0 [conflict] #conflict_rpm = test1,test2[strategy]timeout_action = "stop"timeout_action_before = 0[check]daemon_whitelist=sysstat-collect.service, sysstat-summary.service, systemd-tmpfiles-clean.service# the timeout of query systemd servicescheck_systemd_running_jobs = Truequery_timeout = 30check_rpm_packages = True 表1 osmt.conf不建议修改的配置项 配置项 说明 types 按照security、 bugfix、enhancement、newpackage、unknown五个配置项指定RPM包的更新范围，不建议修改。如有特殊需要可以根据系统实际情况进行修改。 severity 升级安全更新，不建议修改。默认升级安全更新。如有特殊需要可以根据系统实际情况进行修改。 [resource_needed] 指升级或更新前进行检查的系统资源限制值，不建议修改。如有特殊需要可以根据系统实际情况进行修改。 父主题： 附录

安装毕昇编译器 确认repo源配置正常。 请检查默认的/etc/yum.repos.d/hce.repo配置文件中参数是否正确，正确的配置如下。 [base]name=HCE $releasever basebaseurl=https://repo.huaweicloud.com/hce/$releasever/os/$basearch/enabled=1gpgcheck=1gpgkey=https://repo.huaweicloud.com/hce/$releasever/os/RPM-GPG-KEY-HCE-2[updates]name=HCE $releasever updatesbaseurl=https://repo.huaweicloud.com/hce/$releasever/updates/$basearch/...... 执行yum install bisheng-compiler命令安装工具。 执行source /usr/local/bisheng-compiler/env.sh命令，导入环境变量。 如果打开了新的终端，需要在新的终端重新导入环境变量才能正常使用毕昇编译器。 检查工具是否安装成功。 执行clang -v查看工具的版本号。若返回结果包含毕昇编译器版本信息，表示工具安装成功。

需求背景 在业务混部场景中，Linux内核调度器需要为高优先级任务赋予更多的调度机会，并需要把低优先级任务对内核调度带来的影响降到最低。原有的在线、离线两级混部调度无法满足业务需求。 为解决此问题，HCE 2.0内核cpu cgroup支持多级混部调度，提供cgroup接口/sys/fs/cgroup/cpu/cpu.qos_level将任务调度级别扩展到5个级别，支持用户对每个cgroup组单独设置优先级。

约束限制 仅HCE 2.0 x86架构支持使用毕昇编译器。 HCE原生的clang编译语言和毕昇编译器提供的clang编译语言不能同时使用。如果您已经安装原生的clang编译语言并需要使用它，就不能安装毕昇编译器。 在安装了毕昇编译器之后，如果需要使用原生的clang编译语言，可执行rpm -e bisheng-compiler命令删除毕昇编译器，然后打开新终端。在新终端中，就可以使用原生的clang编译语言。

使用毕昇编译器 编译运行C/C++程序。 clang [command line flags] hello.c -o hello.o./hello.oclang++ [command line flags] hello.cpp -o hello.o./hello.o 编译运行Fortran程序。 flang [command line flags] hello.f90 -o hello.o./hello.o 指定链接器。 毕昇编译器指定的链接器是LLVM的lld，若不指定它则使用默认的ld。 clang [command line flags] -fuse-ld=lld hello.c -o hello.o./hello.o

osmt-agent服务自动更新 osmt-agent服务支持周期性检查是否有待更新的RPM包，并自动更新RPM包。检查的周期和执行更新的时间段可以自定义设置。 执行以下命令，确保osmt.conf文件auto_upgrade字段为True。 osmt config -k auto_upgrade -v True 执行systemctl status osmt-agent.service命令确认osmt-agent服务是否正常开启。 Active为active (running)状态，表示osmt-agent正常开启。 如果osmt-agent没有处于active (running)状态，请执行systemctl start osmt-agent.service命令启动osmt-agent。 执行如下命令设置自动更新RPM包的时间段与升级周期。 指定可自动升级的时间段 命令格式：osmt config -k auto_upgrade_window -v "auto_upgrade_window" auto_upgrade_window：配置后台osmt-agent服务自动升级的时间窗，格式为"HH:MM-HH:MM"，表示升级的开始时间和截止时间。 如果截止时间小于开始时间，则表示本次升级时间段跨越自然日。如“22:00-05:00”表示升级时间段为当日22:00到次日凌晨5:00。 例如，配置当日23:00到次日01:00时间段为可升级时间窗为： osmt config -k auto_upgrade_window -v "23:00-01:00" 指定检查升级的时间间隔 命令格式：osmt config -k auto_upgrade_interval -v auto_upgrade_interval auto_upgrade_interval：指定两次自动升级之间的最小间隔（单位：天）。 例如，配置每隔1天进行自动升级的命令为： osmt config -k auto_upgrade_interval -v 1 父主题： 更新RPM包

使用概述 您可通过下列方法使用Huawei Cloud EulerOS。 首次创建弹性云服务器实例时，推荐使用HCE公共镜像。 将操作系统切换为HCE。 如果现有的弹性 云服务器配置 （网卡、磁盘、VPN等配置的类型和数量）都不需要改变，仅需要修改弹性云服务器的操作系统镜像，并且您的软件和原操作系统耦合度较低，适配到HCE改动较小，建议使用系统切换，可快速切换到HCE。 将操作系统迁移为HCE。 如果现有的弹性云服务器配置（网卡、磁盘、VPN等配置的类型和数量）都不需要改变，操作系统软件的配置参数希望保留，可以通过操作系统迁移的方式迁移到HCE。 仅支持迁移至Huawei Cloud EulerOS 2.0标准版和Huawei Cloud EulerOS 1.1CentOS兼容版，不支持迁移至其他HCE镜像版本。 表1 系统切换和迁移的区别 区别 系统切换 系统迁移 数据备份 切换操作系统会清除系统盘数据，包括系统盘上的系统分区和所有其它分区。 切换操作系统不影响数据盘数据。 迁移操作系统不会清除系统盘数据，为避免系统软件的数据丢失，建议将其备份。 迁移操作系统不影响数据盘数据。 个性化设置 切换操作系统后，当前操作系统内的个性化设置（如DNS、主机名等）将被重置，需重新配置。 迁移操作系统后，当前操作系统内的个性化设置（如DNS、主机名等）不需重新配置。

权重抢占调度（policy=4） 权重抢占调度表示按照每个容器的算力比例为容器分配时间片。XGPU服务会从算力单元1开始调度，但如果某个算力单元没有分配给某个容器，则跳过调度切换到下一个时间片。例如为容器1、2、3分别分配5%、5%、10%的算力，则容器1、2、3分别占用1、1、2个算力单元。图中灰色部分的算力单元表示被跳过不参与调度。 本例中容器1、2、3占用的实际算力百分比为25%、25%、50%。

系统迁移 备份操作系统。 系统迁移至HCE1.1不支持回滚，请备份CentOS整体操作系统（包括系统盘和数据盘）。 执行centos2hce1.py命令，进行系统迁移。 系统迁移的耗时受更新的RPM包数量、大小和从repo源下载速度等影响，一般会在20分钟到1个小时左右完成，具体时间视实际环境确定，执行操作时注意预留足够的时间。 [root@localhost home]# centos2hce1.py 有如下回显信息，表示迁移完成。若迁移失败请使用备份数据恢复。 CentOS含有某些HCE 1.1不提供的RPM包，执行centos2hce1.py命令迁移系统后，迁移工具会自动清除这些RPM包。如果您想保留这些RPM包，请使用-s skip参数进行系统迁移。 （可选）删除无用的RPM包。 如下两个RPM包在迁移过程中并没有使用，也不会对系统运行产生任何影响。在此对您可能产生的疑惑进行解释。 执行reboot命令重启操作系统。 执行cat /etc/os-release命令检查是否迁移成功。 显示如下Huawei Cloud EulerOS信息表示迁移成功。 （可选）开启selinux。 系统迁移前关闭了selinux，请根据需要选择是否开启selinux。 修改/etc/selinux/config文件，将config文件中SELINUX的值设置成enforcing SELINUX=enforcing 重启操作系统使selinux配置生效。

权重弱调度（policy=6） 权重弱调度表示按照每个容器的算力比例为容器分配时间片，隔离性弱于权重抢占调度。XGPU服务会从算力单元1开始调度，但如果某个算力单元没有分配给某个容器，或者容器内没有进程打开GPU设备，则跳过调度切换到下一个时间片。例如为容器1、2、3分别分配5%、5%、10%的算力，则容器1、2、3分别占用1、1、2个算力单元。图中白色部分的算力单元表示容器3的空闲算力，图中白色部分和灰色部分的算力单元表示被跳过不参与调度。 本例中容器1、2、3占用的实际算力百分比为50%、50%、0%。 权重弱调度涉及空闲算力的抢占和抢回，因此容器在空闲和忙碌之间切换时会影响其他容器的算力，该算力波动属于正常情况。当某个容器从空闲切换到忙碌时，其抢回算力的时延不超过100ms。

附录：conf配置文件说明 #rpm lists for os migration[rpm_lists]#origin system must need rpmsbaserpms_list = "basesystem initscripts hce-logos plymouth grub2 grubby" //系统迁移依赖的RPM包#old rpm and default conflict rpms //迁移过程中，原系统可能存在的冲突包oldrpms_list = centos-backgrounds centos-release-cr desktop-backgrounds-basic \centos-release-advanced-virtualization centos-release-ansible26 centos-release-ansible-27 \centos-release-ansible-28 centos-release-ansible-29 centos-release-azure \centos-release-ceph-jewel centos-release-ceph-luminous centos-release-ceph-nautilus \centos-release-ceph-octopus centos-release-configmanagement centos-release-dotnet centos-release-fdio \centos-release-gluster40 centos-release-gluster41 centos-release-gluster5 \centos-release-gluster6 centos-release-gluster7 centos-release-gluster8 \centos-release-gluster-legacy centos-release-messaging centos-release-nfs-ganesha28 \centos-release-nfs-ganesha30 centos-release-nfv-common \centos-release-nfv-openvswitch centos-release-openshift-origin centos-release-openstack-queens \centos-release-openstack-rocky centos-release-openstack-stein centos-release-openstack-train \centos-release-openstack-ussuri centos-release-opstools centos-release-ovirt42 centos-release-ovirt43 \centos-release-ovirt44 centos-release-paas-common centos-release-qemu-ev centos-release-qpid-proton \centos-release-rabbitmq-38 centos-release-samba411 centos-release-samba412 \centos-release-scl centos-release-scl-rh centos-release-storage-common \centos-release-virt-common centos-release-xen centos-release-xen-410 \centos-release-xen-412 centos-release-xen-46 centos-release-xen-48 centos-release-xen-common \python3-syspurpose python-oauth sl-logos yum-rhn-plugin centos-indexhtml \libreport-centos libreport-web libreport-plugin-mantisbt libreport-plugin-rhtsupport \libreport hunspell-en-US hunspell-en policycoreutils-gui libcanberra-gtk2 cups \NetworkManager-libreswan-gnome plymouth-graphics-libs avahi cups-lpd pinentry-qt \librsvg2-devel libcanberra-gtk3 gnome-themes-standard wodim gsettings-desktop-schemas-devel \avahi-ui-gtk3 freerdp-libs pulseaudio-utils gstreamer1-plugins-bad-free-gtk ghostscript-cups \setools-console libxkbcommon-x11 cups plymouth-plugin-two-step pulseaudio-module-x11 ImageMagick-c++ \cups-devel policycoreutils-sandbox PackageKit-gstreamer-plugin gtk3-immodule-xim avahi-glib avahi-autoipd \mesa-libGLES foomatic libcanberra-devel plymouth-plugin-label PackageKit-gtk3-module colord avahi-gobject \pinentry-qt4 avahi-ui-gtk3 plymouth-plugin-two-step ghostscript-cups ImageMagick-perl firewall-config \plymouth-plugin-label redhat-redhat-lsb-corelsb vim-X11 dbus-x11 pulseaudio PackageKit-command-not-found libproxy-mozjs \pinentry-gtk nm-connection-editor gtk2-immodule-xim wireshark-gnome pulseaudio-module-bluetooth pidgin-sipe freerdp kmod-kvdo \redhat-lsb-core#The following list contains the same symbol as centos/redhatdstrpms_list = "hce-release hce-repos"[log_conf]# migration tool log common dirmigrate_common_dir = "/var/log/migrate-tool/" //日志存放路径# migration tool classification log dirmigrate_classification_dir = %(migrate_common_dir)s/centos2hce1/#iso as yum source link[repo_info]base_yum_url =https://repo.huaweicloud.com/hce/1.1/os/x86_64/ //基础yum源路径，用于检查网络状态#iso as yum sourcerepostr_hce1_1 = //提供迁移模式的源路径[base]name=hceversionbaseurl=https://repo.huaweicloud.com/hce/1.1/os/x86_64/ //基础yum源路径，用于获取RPM包gpgcheck=0enabled=1gpgkey=#released updates[updates]name=hce1_updatesbaseurl=gpgcheck=0enabled=0gpgkey=#additional packages that may be useful[extras]name=hce1_extrasbaseurl=gpgcheck=0enabled=0gpgkey=# plus packages provided by Huawei Linux dev team[plus]name=hce1_plusbaseurl=gpgcheck=0enabled=0gpgkey=

混合调度（policy=5） 混合调度表示单张GPU卡支持单显存隔离和算力显存隔离类型。其中算力显存隔离的容器其隔离效果同固定算力（policy=1）完全一致，单显存隔离的容器共享算力显存隔离的容器分配后剩余的GPU算力。以max_inst=20为例，容器1、2为算力显存隔离容器，其分配的算力分别为5%、10%，容器3、4为单显存隔离的容器，则容器1、2分别占用1、2个算力单元，容器3、4共享剩余17个算力单元。此外，当容器2中没有进程打开GPU设备时，则容器1、2分别占用1、0个算力单元，容器3、4共享剩余19个算力单元。 在混合调度下，根据GPU_CONTAINER_QUOTA_PERCENT是否为0来区分容器是否开启算力隔离，GPU_CONTAINER_QUOTA_PERCENT为0的所有容器共享GPU的空闲算力。 混合调度策略不支持高优先级容器。

安装迁移工具 从华为云开源镜像站下载迁移工具安装包centos2hce1-*.rpm。 *表示迁移工具版本，本节以centos2hce1-1.0.0-0.0.2.x86_64.rpm安装包示例。 [root@localhost test]# wget https://repo.huaweicloud.com/hce/1.1/updates/x86_64/Packages/centos2hce1-1.0.0-0.0.2.x86_64.rpm //下载centos2hce1-*.rpm[root@localhost test]# ls //检查是否下载成功centos2hce1-1.0.0-0.0.2.x86_64.rpm 安装迁移工具。 工具安装完成后，系统自动生成/etc/centos2hce1.conf配置文件。 [root@localhost ~]# rpm -ivh centos2hce1-1.0.0-0.0.2.x86_64.rpm 配置centos2hce1.conf文件。 配置HCE的repo源地址，用于检测repo源是否能够正常访问，并更新RPM包。 #iso as yum source link[repo_info]base_yum_url =https://repo.huaweicloud.com/hce/1.1/os/x86_64/#iso as yum sourcerepostr_hce1_1 =[base]name=hceversionbaseurl=https://repo.huaweicloud.com/hce/1.1/os/x86_64/gpgcheck=0enabled=1#released updates[updates]name=hce1_updatesbaseurl=https://repo.huaweicloud.com/hce/1.1/updates/x86_64/gpgcheck=0enabled=1gpgkey= centos2hce1.conf配置文件说明详见附录：conf配置文件说明。

memcg OOM优先级接口功能说明 接口 说明 取值 memcg_qos_enable memcg OOM优先级策略开关。 0：不开启优先级配置。当OOM时，按照系统原有的OOM操作结束进程，结束内存消耗最大的进程，回收内存。 1：开启优先级配置并以cgroup为粒度。当OOM时，结束优先级低的cgroup所有进程，并回收内存。 2：开启优先级配置并以单个进程个为粒度。当OOM时，结束优先级低的cgroup中的最大的一个进程，并回收内存。 整数形式，取值范围为0~2，默认值为0。 memory.qos_level 配置cgroup组优先级。值越小cgroup组优先级越低。 当memcg OOM时，会以当前cgroup组为父节点，查找子节点优先级最低的cgroup组中内存使用最大的进程，结束该进程，回收内存。 当OOM时，对于优先级相等的cgroup组，会根据组的内存使用量进行二次排序，选择内存使用最大的进行OOM操作。 说明： 使用memory.qos_level的前提条件为memcg_qos_enable取值须为1或2。 新创建的cgroup组的memory.qos_level值默认会继承父节点的memory.qos_level的值，但是子节点的优先级不受父节点的限制。 如果修改cgroup组父节点的优先级，子节点的优先级会自动调整，和父节点保持一致。 整数形式，取值范围为-1024~1023，默认值为0。

官方repo源配置 通过弹性云服务器购买的HCE默认镜像，在/etc/yum.repos.d/hce.repo文件中会默认配置官方repo源。以HCE 2.0版本为例，其内容如下： [base]name=HCE $releasever basebaseurl=https://repo.huaweicloud.com/hce/$releasever/os/$basearch/enabled=1gpgcheck=1gpgkey=https://repo.huaweicloud.com/hce/$releasever/os/RPM-GPG-KEY-HCE-2[updates]name=HCE $releasever updatesbaseurl=https://repo.huaweicloud.com/hce/$releasever/updates/$basearch/enabled=1gpgcheck=1gpgkey=https://repo.huaweicloud.com/hce/$releasever/updates/RPM-GPG-KEY-HCE-2 [debuginfo]name=HCE $releasever debuginfobaseurl=https://repo.huaweicloud.com/hce/$releasever/debuginfo/$basearch/enabled=0gpgcheck=1gpgkey=https://repo.huaweicloud.com/hce/$releasever/debuginfo/RPM-GPG-KEY-HCE-2 其中各字段含义如下： name：对repo源的描述。 baseurl：仓库所在的服务器地址，支持http://、ftp://、file://三种格式。 enabled：是否启用该软件仓库，1表示启用，0表示禁用。 gpgcheck：是否进行gpg校验，1表示启用校验，0表示禁用校验。 gpgkey：公钥保存的地址，用于gpg校验。 修改该文件可能会对系统的软件安装、升级产生影响，不建议修改该文件。

背景信息 现有操作系统中，支持配置离线业务和在线业务。当内存发生OOM时，会优先选择离线业务控制组中的消耗内存最多的进程，结束进程回收内存，但是对于某些离线业务也有核心业务，因此会造成很大的影响。 针对这个问题，HCE调整了OOM时回收内存的策略，增加了配置cgroup优先级的功能。 内存紧张情况下内核会遍历cgroup，对低优先级的cgroup结束进程，并回收内存，使离线业务中重要的业务可以存活下来。

第三方repo源配置 如果要新增第三方repo源，可按下述过程进行配置（以openEuler社区的镜像源为例）： 在/etc/yum.repos.d/目录新增openEuler.repo文件（名称可以自定义，文件后缀需以.repo结尾）。使用vim /etc/yum.repos.d/openEuler.repo命令进行编辑。 配置仓库名字，如[openEuler]，仓库名必须唯一，可根据实际情况进行调整。 配置name选项，如openEuler repository，表示仓库的具体描述，可根据实际情况进行调整。 配置baseurl选项，此处为：https://repo.openeuler.org/openEuler-22.03-LTS/OS/x86_64/，表示软件包从该链接获取，具体可参考openEuler或者对应repo提供者的官方说明。 配置gpgcheck选项，为1表示对安装的软件包进行gpg校验。 配置enabled选项，为1表示启用该repo源。 配置gpgkey选项，此处为：https://repo.openeuler.org/openEuler-22.03-LTS/OS/x86_64/RPM-GPG-KEY-openEuler，表示gpg校验使用的公钥来源于该链接。 最终openEuler.repo文件效果如下： [openEuler]name=openEuler repositorybaseurl=https://repo.openeuler.org/openEuler-22.03-LTS/OS/x86_64/gpgcheck=1enabled=1gpgkey=https://repo.openeuler.org/openEuler-22.03-LTS/OS/x86_64/RPM-GPG-KEY-openEuler 可以通过配置中的priority字段控制repo源的优先级。如果优先使用HCE默认源，可在hce.repo配置中都加上priority=1（数值越小优先级越高），然后在第三方源配置中加上priority=2，数值根据实际情况进行调整。本文仅为示例，完整的openEuler仓库配置请参考HCE获取openEuler扩展软件包。 如果要升级软件包，可参考用户指南更新HCE系统和RPM包。

规格与限制 使用部署服务有下列限制： 基本限制。 表1 基本限制 指标类别 指标项 限制说明 应用管理 单项目下应用数量（个） 最大数量为2000个。 应用下可查看部署记录天数（天） 页面展示单个应用最近92天的部署记录。 单次部署应用的部署时长（分钟） 最大部署时长为30分钟。 基础资源管理 单项目下主机集群数量（个） 最大数量为1000个。 单主机集群下主机数量（个） 最大数量为200个。 批量验证连通性主机数量（个） 最大数量为200个。 环境管理 单应用下环境数量（个） 最大数量为100个。 单环境下主机数量（个） 最大数量为200个。 批量验证连通性主机数量（个） 最大数量为200个。 支持如下表所示操作系统主机。 表2 操作系统 操作系统 版本号 CentOS 6.3，6.5，6.8，6.9，7.0，7.1，7.2，7.3，7.4，7.5，7.6，8.0，8.1，8.2，Stream 9 说明：Docker 18.09.0版本与CentOS 8版本不兼容。 Debian 9.0.0，8.8.0，8.2.0，10.0.0 EulerOS 2.0，2.2，2.3，2.5 Huawei Cloud EulerOS 2.0 说明：Nginx 1.12.2、Docker 18.09.0版本与Huawei Cloud EulerOS 2.0不兼容。 Ubuntu 14.04，16.04，18.04，20.04，22.04 说明： Ubuntu 22.04仅支持docker 19.03及以上版本，不兼容Nginx 1.12.2版本，不支持php全部版本。 Ubuntu 20.04不兼容Nginx 1.12.2版本和php 5.6.38版本。 Windows 2012 R2，2016，2019，Win7，Win10 KylinOS V10 SP1 说明： Nginx 1.12.2、php-5.6.38版本与KylinOS不兼容。 UnionTechOS Server 20（1050e） OpenEuler 20.03，22.03 说明： JDK11、PHP-5.6.38版本与OpenEuler X86系统暂不兼容。 Nginx、Python、JDK、PHP全部版本与OpenEuler ARM系统暂不兼容。 AlmaLinux AlmaLinux 8，AlmaLinux 9 支持如下表所示的集群版本。 表3 集群版本 集群类型 集群版本 CCE集群 1.17~1.25 自有K8S集群 遵从K8s社区的约束与限制

计费相关 部署服务不支持单独购买，开通CodeArts即可使用部署服务。 部署服务免费使用，不涉及计费项。 用户部署的应用所使用的资源、以及部署依赖的服务所使用的资源（弹性云主机、弹性IP、流量等）由所使用的服务收费。 由于部署服务本身免费使用，因而当账户欠费时，部署服务各项操作仍可以正常进行，但若部署服务所使用的资源（弹性云主机、弹性IP、流量等）在账户欠费时不可用，那么相应的应用可能会部署失败。

服务概述 部署（CodeArts Deploy）提供可视化、自动化部署服务。提供丰富的部署步骤，有助于用户制定标准的部署流程，降低部署成本，提升发布效率。 部署服务具有以下特性： 支持主机（物理机、虚拟机）部署和容器部署。 预置Tomcat、SpringBoot、Django等系统模板快速新建应用，提供丰富的原子步骤，支持拖拉拽方式自由编排组装应用。 主机部署场景以环境为粒度，支持多台主机同时部署。 基于云容器引擎服务（CCE），实现容器部署。 基于应用管理与运维平台服务（ServiceStage），实现微服务应用部署。 支持保存自定义模板，通过模板一键创建应用。 支持参数化配置，提供字符串、环境、枚举等参数类型，部署应用时支持参数的动态替换。 与流水线服务无缝集成，支持业务持续发布。 原子步骤独立输出部署日志，提供关键字匹配FAQ，部署失败能够快速定位原因并提供解决方案。

使用部署服务可以做什么？ 部署服务提供的功能如下表所示。 表1 功能列表 特性 描述 基础资源管理 可以添加一个或多个主机并进行连通性验证；可以新建主机集群对多个主机统一操作；通过搜索主机名或IP地址查找某主机；主机和主机集群可以修改和删除。 应用管理 可以创建一个或多个应用，应用可以通过预定义模板或者自由编排步骤创建；支持按照名字查找和过滤应用；可以修改和删除应用。 参数设置 应用的步骤支持参数引用，在部署时由您指定参数值，应用支持指定值替换相应参数部署。 动态执行参数 应用支持动态执行参数，在部署时动态输入参数无需修改应用，增强应用的重用性和灵活性。 选择应用包 支持从制品仓库选择应用包。应用包可以在编译构建中自动归档到制品仓库中。 上传应用包 支持从本地上传应用包到制品仓库。 部署动态 应用部署产生的服务动态消息，包括部署成功、部署失败和应用更新和删除消息。 并行部署 可以在一个应用中选择多个主机和多个环境，实现多主机并行部署。 部署详情 可以查看部署详情，可视化显示部署进程、当前部署应用信息。 部署日志 部署详情页面可以查看部署日志，多主机并行部署支持分主机日志查看。 流水线集成 可以在流水线集成应用，编排应用并行或者串行执行；支持流水线参数。

使用须知 如果您使用CodeArts Deploy服务开展在特定行业的业务，比如：教育、医疗和银行等，需同时遵守相关国家规定的用户数据保护法律和内容管理法律。 禁止通过CodeArts Deploy服务对外部视频或音频网页爬取、加工或上传数据。 禁止通过CodeArts Deploy服务进行源代码编译构建之外的操作。 禁止使用sleep、usleep、read、timeout、yes、dd、while循环等命令长期（超过10分钟）占用服务器进程。

数据保护技术 部署服务通过多种手段保护用户数据安全。 数据保护手段 简要说明 传输加密（HTTPS） 访问全链路采用HTTPS数据传输方式，保证数据传输安全。 个人数据保护 通过控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露，保证您的个人数据安全。 对于用户在控制台输入的敏感数据，部署服务会将数据进行加密处理后存储，进一步保证用户的数据安全。 隐私数据保护 部署服务严格遵守华为云用户隐私声明条款，不存储非必要用户隐私数据，不消费用户数据。 数据销毁 对于用户进行销户和删除数据的操作，部署服务按照华为云要求，对数据进行逻辑删除，保留15天后进行物理删除。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全