华为云用户手册

  • 问题描述 用户通过执行命令sudo sh setup.sh安装一键式重置密码插件,有如下报错: begin install CloudResetPwdAgent ===============cp LinuxCloudResetPwdAgent====================== ===============vi /etc/profile====================== ===============begin install CloudrResetPwdAgent=================== Detected RHEL or Fedora: Installing the cloudResetPwdAgent daemon using systemd... creating default service file... Reading file /etc/systemd/system/cloudResetPwdAgent.service Job for cloudResetPwdAgent.service failed because the control process exited with error code. See "systemctl status cloudResetPwdAgent.service" and "journalctl -xe" for details. Failed to start service cloudResetPwdAgent /CloudResetPwdAgent/CloudResetPwdAgent.Linux cloudResetPwdAgent install successfully. 同时/var/log/message文件中有如下报错: systemd[1]: Starting cloudResetPwdAgent... systemd[2324]: cloudResetPwdAgent.service: Failed to execute command: Permission denied systemd[2324]: cloudResetPwdAgent.service: Failed at step EXEC spawning /CloudrResetPwdAgent/bin/./cloudResetPwdAgent.script: Permission denied systemd[1]: cloudResetPwdAgent.service: Control process exited, code=exited status=203 systemd[1]: cloudResetPwdAgent.service: Failed with result 'exit-code'. systemd[1]: Failed to start cloudResetPwdAgent. 则由于SELinux开启时,重置密码插件不能在根目录下执行,需要关闭SELinux。
  • 检查网卡配置 执行以下命令,打开/etc/sysconfig/network-scripts/ifcfg-eth0中的配置。 vi /etc/sysconfig/network-scripts/ifcfg-eth0 修改/etc/sysconfig/network-scripts/ifcfg-eth0中的配置。 以CentOS 7操作系统为例: DEVICE="eth0" BOOTPROTO="dhcp" ONBOOT="yes" TYPE="Ethernet" PERSISTENT_DHCLIENT="yes" 执行以下命令,重启网络服务。 service network restart
  • 检查是否为国际链路问题 云服务器可能会出现访问中国大陆外(包括中国港澳台及其他国家、地区)网站不通或卡顿的问题。这是由于访问中国大陆外DNS服务器速度慢,导致的访问卡顿。 如果您有访问中国大陆外网站的需求,建议您购买中国大陆外的弹性云服务器。您可以在购买弹性云服务器时通过选择对应的中国大陆外区域来购买相应区域的弹性云服务器。 如果需优化国际链路的访问速度,请参考弹性云服务器访问中国大陆外网站时加载缓慢怎么办?
  • 检查是否可以正常获取私有IP地址 NetworkManager未开启自启动导致dhclient进程未运行、或网卡设备未纳入NetworkManager都可能导致私有IP地址丢失。请按照以下操作步骤进行排查。 以CentOS 7操作系统为例: 执行以下命令,确认dhclient是否运行。 ps -ef |grep dhclient |grep -v grep 如果未找到dhclient进行,则确认dhclient进程未运行,执行以下命令,继续排查NetworkManager是否运行。 systemctl status NetworkManager 如果NetworkManager的状态为Active: inactive (dead),则NetworkManager未启动,执行以下命令,检查该服务是否开机自启。 systemctl is-enabled NetworkManager 结果为disabled则确认为NetworkManager为设置开机自启导致,执行以下命令进行恢复。 systemctl enable NetworkManager && systemctl start NetworkManager 如果NetworkManager的状态为Active: active (running),执行以下命令查看网卡设备是否被NetworkManager管理。 nmcli device status 如果显示该网卡为的STATE为unmanaged,则该网卡设备未被NetworkManager管理,执行以下命令进行恢复。 nmcli device set eth0 managed yes 执行以下命令重启NetworkManager。 systemctl restart NetworkManager 执行以下命令查看ip是否已经获取。 ip add
  • 检查防火墙配置 检查防火墙的状态是否打开,以CentOS 7操作系统为例。 更多操作系统的防火墙配置操作请参考防火墙配置。 firewall-cmd --state 回显信息: [root@ecs-centos7 ~]# firewall-cmd --state running 您可以执行以下命令关闭防火墙 systemctl stop firewalld.service 防火墙开启和设置安全组是对云服务器的双重保护,如果选择关闭防火墙,建议安全组谨慎开放端口。
  • 检查DNS配置 使用公共镜像创建的E CS 服务器默认使用内网DNS进行解析。内网DNS不影响ECS服务器对公网 域名 的访问。同时,还可以不经Internet,直接通过内网DNS访问其他云上服务内部地址,如OBS,访问时延小,性能高。 Linux操作系统执行如下命令查看DNS配置。 cat /etc/resolv.conf 回显信息如图2所示说明使用内网DNS进行解析。 图2 DNS配置 若ECS服务器当前DNS不是内网DNS,要使用内网DNS进行解析,需要切换DNS服务器为内网DNS。 详细操作请参考怎样配置弹性云服务器的DNS和NTP信息?。
  • 检查Network或NetworkManager是否正常运行 Network与NetworkManager是两种网络管理工具,如果两种都配置会发生冲突,仅使用其中一个即可。 以CentOS 7操作系统为例,推荐使用NetworkManager。 执行以下命令检查Network或NetworkManager的运行状态。 systemctl status network systemctl status NetworkManager 执行以下命令关闭network。 systemctl stop network systemctl disable network 执行以下命令开启NetworkManager, systemctl start NetworkManager systemctl enable NetworkManager
  • 排查思路 以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。 图1 Linux实例访问公网不通排查思路 表1 Linux实例访问公网不通排查思路 可能原因 处理措施 资源状态异常:资源冻结;未开机;未绑定弹性公网IP。 云服务器状态为“运行中”,且绑定弹性公网IP才可以访问公网,详细操作请参考检查资源状态是否正常。 云服务器负载过高。 云服务器的带宽和CPU利用率过高导致网络断开,详细操作请参考检查云服务器负载是否过高。 弹性公网IP的带宽超限。 请扩大带宽后重试,详细操作请参考检查弹性公网IP的带宽是否超限。 DNS配置不正确。 请切换DNS服务器为内网DNS,详细操作请参考检查DNS配置。 hosts文件中添加了指定解析。 检查hosts文件中是否存在错误的映射关系,详细操作请参考检查hosts文件。 同时运行了Network或NetworkManager。 两者并存导致网络配置冲突,请使用其中之一,详细操作请参考检查Network或NetworkManager是否正常运行。 安全组配置不正确。 检查安全组是否放通出方向网络流量,详细操作请参考检查云服务器安全组。 检查网络ACL规则。 请取消关联的网络ACL后重试,详细操作请参考检查网络ACL规则。 国际链路问题。 请优化链路后重试,详细操作请参考检查是否为国际链路问题。 (适用于访问中国大陆外,包括中国港澳台及其他国家、地区的网站的场景) 弹性公网IP被封堵。 IP若被封堵,则无法访问公网,详细操作请参考检查弹性公网IP是否被封堵。 私有IP丢失。 dhclient进程未运行可能导致私有IP丢失,详细操作请参考检查是否可以正常获取私有IP地址。 网卡配置不正确。 检查网卡配置、DNS配置是否正确,详细操作请参考检查网卡配置。 云服务器开启了防火墙。 测试防火墙关闭后是否可以正常访问,请参考检查防火墙配置。
  • 处理方法 通过Linux操作系统自带的磁盘修复工具(fsck)进行修复,操作如下: 以图1为例,磁盘问题分区为/dev/xvdb1。 根据界面提示,输入Linux弹性云服务器的root账号密码。 执行以下命令,查看是否已挂载磁盘问题分区。 mount | grep xvdb1 是,执行3。 否,执行4。 执行以下命令,卸载问题分区。 umount /dev/xvdb1 执行以下命令,修复问题分区的文件系统。 fsck -y /dev/xvdb1 修复完成后,执行以下命令,重启弹性云服务器。 reboot 如果仍未解决问题,请联系客服获取技术支持。
  • 什么是鲲鹏CPU架构与x86 CPU架构 弹性云服务器实例主要包含两种架构,x86 CPU架构和鲲鹏CPU架构。 x86 CPU架构 采用复杂指令集CISC(Complex Instruction Set Computer),CISC是一种计算机体系结构,其中每个指令可以执行一些较低阶的硬件操作,指令数目多而且复杂,每条指令的长度并不相同。由于指令执行较为复杂所以每条指令花费的时间较长。 鲲鹏CPU架构 采用精简指令集RISC(Reduced Instruction Set Computer),RISC是一种微处理器,旨在执行较少类型计算机指令,以便能够以更高的速度执行操作,使计算机的结构更加简单、合理地提高运行速度。 鲲鹏CPU架构相对于x86 CPU架构具有更加均衡的性能功耗比。 父主题: 产品咨询
  • 重装/切换操作系统/变更规格对磁盘数据有影响吗? 表1 重装/切换操作系统/变更规格对磁盘数据的影响 操作类型 重装操作系统 切换操作系统 变更规格 功能简介 还原服务器的初始化状态。 重装前后操作系统不发生改变。 将现有的操作系统切换为不同镜像类型的操作系统。 中国大陆外区域(包括中国港澳台及其他国家、地区)不支持Windows镜像和Linux镜像之间的切换。 更多约束限制请参考切换操作系统。 云服务器规格无法满足业务需要时,通过变更规格,升级vCPU、内存。 是否收费 重装动作不收费。 重装前后操作系统不变,计费项不发生改变。 切换动作不收费。 切换后,系统将根据您选择的产品重新计费。 具体收费请参见产品价格详情 变更规格动作不收费。 但变更规格会引起费用的变化。 具体费用说明请参见变更资源费用说明。 IP是否发生改变 私有IP、弹性公网IP、MAC地址均不发生改变。 私有IP、弹性公网IP、MAC地址均不发生改变。 私有IP、弹性公网IP、MAC地址均不发生改变。 对系统盘数据的影响 重装操作系统会清除系统盘数据,包括系统盘上的系统分区和所有其它分区,请做好数据备份。 切换操作系统清除系统盘数据,包括系统盘上的系统分区和所有其它分区,请做好数据备份。 不影响系统盘数据。 对数据盘数据的影响 不影响数据盘数据。 不影响数据盘数据。 不影响数据盘数据。 是否需要做备份 重装会清除系统盘数据,建议制作系统盘备份。 切换操作系统会清除系统盘数据,建议制作系统盘备份。 为防止变更规格后系统盘数据丢失,建议制作系统盘快照。 父主题: 操作系统变更
  • 操作步骤 以CentOS 6.5 64bit 50GB系统盘为例,root分区在最末尾分区(e.g: /dev/xvda1: swap,/dev/xvda2: root)的扩容场景。 执行以下命令,查询当前弹性云服务器的分区情况。 parted -l /dev/xvda [root@sluo-ecs-5e7d ~]# parted -l /dev/xvda Disk /dev/xvda: 53.7GB Sector size (logical/physical): 512B/512B Partition Table: msdos Number Start End Size Type File system Flags 1 1049kB 4296MB 4295MB primary linux-swap(v1) 2 4296MB 42.9GB 38.7GB primary ext4 boot 执行以下命令,获取文件系统类型、UUID。 blkid /dev/xvda1: UUID="25ec3bdb-ba24-4561-bcdc-802edf42b85f" TYPE="swap" /dev/xvda2: UUID="1a1ce4de-e56a-4e1f-864d-31b7d9dfb547" TYPE="ext4" 执行以下命令,安装growpart工具。 工具growpart可能集成在cloud-utils-growpart/cloud-utils/cloud-initramfs-tools/cloud-init包里,可以直接执行命令yum install cloud-*确保growpart命令可用即可。 yum install cloud-utils-growpart 执行以下命令,使用工具growpart将第二分区的根分区进行扩容。 growpart /dev/xvda 2 [root@sluo-ecs-5e7d ~]# growpart /dev/xvda 2 CHANGED: partition=2 start=8390656 old: size=75495424 end=83886080 new: size=96465599,end=104856255 执行以下命令,检查在线扩容是否成功。 parted -l /dev/xvda [root@sluo-ecs-5e7d ~]# parted -l /dev/xvda Disk /dev/xvda: 53.7GB Sector size (logical/physical): 512B/512B Partition Table: msdos Number Start End Size Type File system Flags 1 1049kB 4296MB 4295MB primary linux-swap(v1) 2 4296MB 53.7GB 49.4GB primary ext4 boot 执行以下命令,扩容文件系统。 resize2fs -f $分区名 假设分区名为/dev/xvda2,则命令如下: [root@sluo-ecs-a611 ~]# resize2fs -f /dev/xvda2 resize2fs 1.42.9 (28-Dec-2013) Filesystem at /dev/xvda2 is mounted on /; on-line resizing required old_desc_blocks = 3, new_desc_blocks = 3 .... [root@sluo-ecs-a611 ~] # df -hT //检查文件系统扩容情况
  • 可能原因 磁盘初始化脚本WinVMDataDiskAutoInitialize.ps1执行过程中会调用diskpart启用virtual disk服务,执行完毕后会退出diskpart,停用virtual disk服务。由于系统内置WinVMDataDiskAutoInitialize.ps1设置开机自启动和客户数据库业务开机自启动时间段重叠了,可能会导致I/O操作错误。 数据库使用Windows API的(例如 ReadFile、 写文件,ReadFileScatter,WriteFileGather)执行I/O操作。执行这些I/O操作时,数据库会检查任何与这些API调用相关联的错误情况。如果这些API调用失败并出现操作系统错误,数据库将报告对应错误823。单击了解微软官方指导:MSSQLSERVER - 数据库引擎错误。 823错误消息包含以下信息: I/O操作是写入还是读取请求 尝试I/O操作的文件中的偏移量 执行I/O操作的文件 操作系统的错误代码和错误说明 823错误消息通常表示底层存储计算机硬件或处于I/O请求路径中的驱动程序存在问题,当文件系统中存在矛盾或数据库文件已损坏时用户可能会遇到此错误。
  • 处理方法 登录弹性云服务器,打开运行对话框,输入“services.msc”并按回车键,查看Windows系统的服务。 查找virtual disk服务,并确保virtual disk服务停止状态。 图1 查看virtual disk服务状态 如果virtual disk服务的状态是运行,您可以选择以下方法停止virtual disk服务。 在Windows系统的服务页面,选择virtual disk服务,单击右键选择“停止”。 打开powershell,执行以下命令,停止virtual disk服务。 Get-Service -Name "vds" | Where {$_.status -eq 'Running'} | Stop-Service -Force 禁止磁盘初始化脚本WinVMDataDiskAutoInitialize.ps1在云服务器开机时自动初始化Windows数据盘。 打开运行对话框,输入“taskschd.msc”并按回车键,打开“任务计划程序”页面。 打开“任务计划程序库”,在计划任务列表找到要删除的计划任务“WinVMDataDiskInitialize”。 图2 结束WinVMDataDiskInitialize 重启云服务器或将对应数据盘脱机后重新联机。 打开运行对话框,输入“diskmgmt.msc”并按回车键,进入磁盘管理页面。 选择磁盘名称所属区块,单击右键选择“脱机”。 图3 磁盘脱机 选择磁盘名称所属区块,单击右键选择“联机”。 图4 磁盘联机
  • 正则排序 按照name_prefix[begin_number,bits]name_suffix格式为多台云服务器设置有序的名称。 正则排序字段说明 正则排序为三段,如图1所示。 图1 正则排序字段说明 详细参数说明请参考表1。 表1 正则排序参数说明 字段名称 是否必选 说明 示例 name_prefix 是 云服务器名称前缀 只能由中文字符、英文字母、数字及“_”、“-”组成。 ecs [begin_number,bits] 是 云服务器名称中的有序数字,依次递增,用于区分多台云服务器。 [0,4] name_suffix 否 云服务器名称后缀。 只能由中文字符、英文字母、数字及“_”、“-”组成。 f526 表2 [begin_number,bits]参数说明 字段名称 是否必选 说明 示例 begin_number 否 云服务器名称的开始数字。 取值范围[0,9999]。默认是从0开始。 0 bits 否 云服务器名称中有序数字所占位数。 取值范围[1,4],默认值为4。 4 正则排序使用须知 正则排序不支持重名。 有序数字[begin_number,bits]字段中不能有空格。 如果有序数字中设置的“begin_number+count-1”位数大于bits的取值,以“begin_number+count-1”的位数为准。 示例:[begin_number,bits]设置为[8,1],云服务器数量2(count=2),其中bits值1,“begin_number+count-1”的位数与bits取值一致,则云服务器名称依次为name_prefix8name_suffix、name_prefix9name_suffix。 [begin_number,bits]设置为[8,1],云服务器数量3(count=3),其中bits值1,但“begin_number+count-1”为10,大于bits的取值,因此有序数字的位数以“begin_number+count-1”的位数为准。 云服务器名称依次为name_prefix08name_suffix、name_prefix09name_suffix、name_prefix10name_suffix。 如果有序数字中设置的begin_number与弹性云服务器数量之和大于最大值9999,那么超出9999个的云服务器名称中有序数字取值均为9999。 如果设置有序数字为[]或者[,],则begin_number从0开始取值,bits默认取值4。 如果设置有序数字为[99]或者[99,],则begin_number从99开始取值,bits会默认取值4。 正则排序示例 示例1:创建时输入云服务器名称使用正则排序,输入name_prefix[,]name_suffix。 云服务器名称依次为name_prefix0000name_suffix、name_prefix0001name_suffix、name_prefix0002name_suffix... 示例2:创建时输入云服务器名称使用正则排序,输入name_prefix[]name_suffix。 云服务器名称依次为name_prefix0000name_suffix、name_prefix0001name_suffix、name_prefix0002name_suffix... 示例3:创建时输入云服务器名称使用正则排序,输入name_prefix[9,]name_suffix。 云服务器名称依次为name_prefix0009name_suffix、name_prefix0010name_suffix、name_prefix0011name_suffix... 示例4:创建时输入云服务器名称使用正则排序,输入name_prefix[,3]name_suffix。 云服务器名称依次为name_prefix000name_suffix、name_prefix001name_suffix、name_prefix002name_suffix... 示例5:创建时输入云服务器名称使用正则排序,输入name_prefix[8]name_suffix。 云服务器名称依次为name_prefix0008name_suffix、name_prefix0009name_suffix、name_prefix0010name_suffix... 示例6:创建时输入云服务器名称使用正则排序,输入name_prefix[9999]name_suffix。 云服务器名称重名都是输入name_prefix9999name_suffix... 示例7:创建时输入云服务器名称使用正则排序,输入name_prefix[8]。 云服务器名称依次为name_prefix0008、name_prefix0009、name_prefix0010...
  • 自动排序 名称可自定义,但需符合命名规则:只能由中文字符、英文字母、数字及“_”、“-”组成,且长度为[1-64]个字符。 一次创建多台弹性云服务器时,系统自动增加4位数字后缀,此时名称的长度为[1-59]个字符。例如:输入ecs,云服务器名称为ecs-0001,ecs-0002,……。再次创建多台云服务器时,命名从上次最大值连续增加,例如:输入ecs,已有云服务器ecs-0010,新创云服务器名称为ecs-0011、ecs-0012、……,命名达到9999时,从0001开始。 允许重名:允许创建的云服务器名称相同。如果是批量创建,勾选“允许重名”后,批量创建的多台云服务器名称全部相同,不再按序增加。 示例1:创建时输入云服务器名称ecs-f526。云服务器名称依次为ecs-f526-0001、ecs-f526-0002、ecs-f526-0003... 示例2:创建时输入云服务器名称ecs-f526,若已有ecs-f526-0010,则从ecs-f526-0011开始命名。云服务器名称依次为ecs-f526-0011、ecs-f526-0012、ecs-f526-0013... 示例3:创建时输入云服务器名称ecs-0010,若已有ecs-0010,且勾选了“允许重名”。云服务器名称均为ecs-0010。
  • 退订或删除弹性云服务器时,云硬盘会一起被退订或删除吗 对于按需计费的云硬盘: 单独购买的云硬盘,如果已挂载至弹性云服务器,在删除弹性云服务器时,系统会提示是否同步删除挂载的云硬盘,您可以根据实际情况进行选择。 随弹性云服务器一起购买的云硬盘,删除弹性云服务器时,系统盘和购买时已设置随弹性云服务器释放的数据盘会随弹性云服务器一起删除;同时,对于购买时未设置随弹性云服务器释放的数据盘,系统会提示是否同步删除挂载的数据盘,您可以根据实际情况进行选择。 对于包年/包月的云硬盘: 随弹性云服务器购买的云硬盘,退订弹性云服务器时,云硬盘(系统盘和数据盘)同步退订。 父主题: 磁盘分区/挂载/扩容
  • 解决方案 请先参考XEN实例变更为KVM实例(Linux-手动配置)中“检查 云服务器配置 是否成功”的操作步骤检查驱动是否安装成功。 如果驱动安装失败,可能是由于自动化脚本与当前操作系统不适配,建议参考XEN实例变更为KVM实例(Linux-手动配置),手动安装Linux云服务器驱动。 部分Linux云服务器由于内核版本过低或对内核做过某些修改,导致云服务器缺少virtio_scsi驱动。缺少virtio_scsi驱动将导致云服务器无法正常挂载SCSI类型磁盘,但不影响XEN实例变更为KVM实例。如确认不使用SCSI类型磁盘,则可以在缺少virtio_scsi驱动的情况下变更规格。
  • 问题描述 变更弹性云服务器规格时,如果使用自动化脚本的方式为Linux云服务器安装驱动。 如果安装过程中出现如下回显信息,说明脚本已经执行完成驱动安装步骤,但在最后检查时失败,可能原因是由于云服务器中缺少某个驱动。 ... Info:ECS modify success (mkinitrd) Info:Check xen and virtio driver again! ... Error:ECS modify error! 图1 驱动安装成功但是检查失败
  • 处理方法 根据已有的密钥文件,通过密钥方式以root用户登录Linux弹性云服务器。 执行以下命令,重置root的用户密码。 passwd 如果是重置其他用户的密码,请将“passwd”替换为“passwd username”。 根据系统显示的如下回显信息,输入新密码。 New password: Retype new password: 系统显示如下回显信息时,表示密码重置成功。 passwd: all authentication tokens updates successfully
  • 操作场景 为了提高程序的运行的性能,可以通过把云服务器上运行的某个进程,指定在某个CPU上工作,实现CPU性能调优。 为了获取更高的执行效率,应该保证一个CPU把一个完整的发送或者接收过程处理完,避免CPU切换。最好一个业务进程/线程固定在一个CPU、固定一个网卡发送队列,中断也使用这个CPU。对于跨NUMA的云服务器,应该尽量在一个NUMA上完成网络IO动作,避免NUMA间切换。(可以执行lscpu查看CPU相关信息判断是否跨NUMA。) 本节操作以C7.xlarge.2、CentOS 7.4操作系统的云服务器为例,介绍网络优化的方案。 其中C7.xlarge.2实例的网卡有0、1两个队列,有CPU0、CPU1、CPU2、CPU3四颗CPU。
  • 场景二:获取的带宽(Gbps)或者吞吐量(Mpps)最高 场景二仅提供优化方案,需要具备相关网络知识,且根据云服务器实际情况和业务场景综合考虑具体操作。 建议首先尝试使用最优效率配置,即场景一:单位CPU获取的带宽(Gbps)或者吞吐量(Mpps)最大的操作方法。确认是否可以满足性能要求。当场景一的方法不满足需求的情况下,推荐使用本场景的方法。 对于即收又发的业务,可以把接收和发送中断分别绑定一个CPU,例如把3的25、26、27、28分别绑定到CPU0、1、2、3。 对于接收繁忙的业务,可以打开RPS(Receive Packet Steering),让一个中断的软中断分散到多个CPU。
  • 问题原因 Neighbour表引用ARP缓存,Neighbour表溢出说明ARP表满了,新的连接会因为ARP表满而被拒绝,导致连接问题。 可以通过以下命令来检查最大ARP缓存表大小: # cat /proc/sys/net/ipv4/neigh/default/gc_thresh3 ARP缓存表有三个参数,分别如下: /proc/sys/net/ipv4/neigh/default/gc_thresh1 /proc/sys/net/ipv4/neigh/default/gc_thresh2 /proc/sys/net/ipv4/neigh/default/gc_thresh3 gc_thresh1,最小条目数。如果缓存中的条目数少于此数目,则垃圾回收器将不会运行。 gc_thresh2,软最大条目数。如果实际条目数超过该值超过5秒,垃圾收集器将运行。 gc_thresh3,硬最大条目数。如果缓存中的条目数超过此数目,则垃圾回收器将始终运行。 要验证IPv4的ARP条目的实际数量,可以运行以下命令: # ip -4 neigh show nud all | wc -l
  • 解决方案 规划网段时控制子网可容纳的主机数量小于default.gc_thresh3值。 调整内核参数,修改ARP缓存条目数,使gc_thresh3的值远大于VPC同一网段内实例数量。并确保gc_thresh3的值大于gc_thresh2的值,gc_thresh2的值大于gc_thresh1的值。 假设子网为20位掩码,则网络内可容纳的主机数最大为4096,则default.gc_thresh3的数值不能小于4096。 临时生效: # sysctl -w net.ipv4.neigh.default.gc_thresh1=2048 # sysctl -w net.ipv4.neigh.default.gc_thresh2=4096 # sysctl -w net.ipv4.neigh.default.gc_thresh3=8192 永久生效: 编辑/etc/sysctl.conf添加内容如下: net.ipv4.neigh.default.gc_thresh1 = 2048 net.ipv4.neigh.default.gc_thresh2 = 4096 net.ipv4.neigh.default.gc_thresh3 = 8192 如果系统环境需要使用到IPV6,则还需要添加IPV6的配置项: net.ipv6.neigh.default.gc_thresh1 = 2048 net.ipv6.neigh.default.gc_thresh2 = 4096 net.ipv6.neigh.default.gc_thresh3 = 8192
  • 问题现象 用户Linux云服务器向同子网服务器发起请求时,服务端已经收到包,但是没有回包。在服务器端对客户端进行ping操作时返回“sendmsg: Invalid argument”。 64 bytes from 192.168.0.54: icmp_seq=120 ttl=64 time=0.064 ms 64 bytes from 192.168.0.54: icmp_seq=122 ttl=64 time=0.071 ms ping: sendmsg: Invalid argument ping: sendmsg: Invalid argument ping: sendmsg: Invalid argument 用户在Linux云服务器日志文件/var/log/messages中查询到或运行dmesg命令输出neighbour table overflow异常信息。 [21208.317370] neighbour: ndisc_cache: neighbor table overflow! [21208.317425] neighbour: ndisc_cache: neighbor table overflow! [21208.317473] neighbour: ndisc_cache: neighbor table overflow! [21208.317501] neighbour: ndisc_cache: neighbor table overflow!
  • Windows弹性云服务器处理方法 登录弹性云服务器。 更新补丁。 方式一:使用Windows自动更新功能安装补丁 打开Windows Update,并单击“检查更新”。 根据需要下载安装相关安全补丁。 方式二:手动下载补丁并安装 根据背景知识,下载官方发布的补丁并进行安装。 重启弹性云服务器,使补丁生效。 验证是否升级成功。 检查系统运行情况是否正常。 检查已安装的补丁清单是否满足背景知识中“验证方法”的要求。
  • Linux弹性云服务器处理方法 登录弹性云服务器。 判断Linux弹性云服务器是否安装了Tools(以操作系统SUSE 11 SP1为例)。 在任意目录下执行以下命令,查询弹性云服务器的驱动信息,如图1所示。 lsmod | grep xen 图1 查询驱动信息 执行以下命令,查询驱动路径(以磁盘驱动为例),如图2所示。 modinfo xen_vbd 图2 查询驱动路径 查看回显,根据驱动路径中是否带有“pvdriver”字段信息,判断弹性云服务器是否安装了Tools。 是,如图2所示,执行3。 否,执行4。 卸载Tools。 执行以下命令,切换至root用户。 su root 执行以下命令,在根目录下卸载Tools。 /etc/.uvp-monitor/uninstall 执行以下命令,重启弹性云服务器。 reboot 更新补丁,升级kernel内核,具体升级方式请参见背景知识。 升级kernel内核后,请务必执行reboot命令重启弹性云服务器。 验证是否升级成功。 检查系统运行情况是否正常。 检查已安装的补丁清单是否满足背景知识中“验证方法”的要求。 补丁更新后,弹性云服务器使用的驱动是由操作系统自带。此时,Linux弹性云服务器不再支持监控指标:内存使用率、磁盘使用率,对其他特性和功能无影响。如需继续支持监控指标内存使用率、磁盘使用率,请联系客服。
  • 检测Linux操作系统安全漏洞是否已修复完成 单击spectre-meltdown-checker获取spectre-meltdown-checker.sh检测脚本。 将步骤1获取的脚本上传至云服务器。 在云服务器执行以下命令,并根据脚本提示判断Meltdown或Spectre漏洞是否已经修复。 chmod +x spectre-meltdown-checker.sh sudo bash spectre-meltdown-checker.sh 回显信息如图3所示。 图3 执行脚本后的回显信息 OK为已修复漏洞,KO为未修复,如图3所示代表CVE-2017-5753、CVE-2017-5715、CVE-2017-5754漏洞均已修复。
  • 打开或关闭Linux操作系统的安全漏洞补丁开关 CPU的预测执行是一种性能优化技术,因此修复Meltdown或Spectre漏洞后可能导致在特定工作负载下的性能下降。 如果您认为漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制,希望可以禁用部分或全部漏洞安全保护策略,那么可以参考以下操作启用或者禁用安全保护策略。 您可以根据如下具体情况配置系统来达到理想的安全策略: Meltdown漏洞 采取页表隔离pti(Page Table Isolation)来控制内核页表隔离功能,此功能适用于CVE-2017-5754。 Spectre漏洞 采取间接分支限制预测ibrs(Indirect Branch Restricted Speculation)控制SPEC_CTRL模型特定寄存器(MSR)中的IBRS功能,结合retpoline,及间接分支预测障碍ibpb(Indirect Branch Prediction Barriers)控制PRED_CMD模型特定寄存器(MSR)中的IBPB功能,此功能适用于CVE-2017-5715。 CVE-2017-5753漏洞是通过内核补丁修复的,它无法禁用,并且它在Red Hat的性能测试中没有显示出任何可见的影响。 关闭Meltdown安全漏洞补丁 如果您想降低开启pti对系统的性能影响或者系统有更好的保护机制,您可以根据以下步骤操作: 根据不同的操作系统修改内核参数: CentOS、EulerOS、Ubuntu、Fedora、Red Hat:添加内核参数nopti Debian、OpenSUSE:添加内核参数pti=off 重启云服务器。 关闭Spectre安全漏洞补丁 如果您认为Spectre漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制,您可以根据以下步骤操作: 根据不同的操作系统修改内核参数: CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE:添加内核参数spectre_v2=off Ubuntu:添加内核参数nospectre_v2=off 重启云服务器。 如果您使用的是以下操作系统,可以前往官网查询更多信息。 RedHat:https://access.redhat.com/articles/3311301?spm=a2c4g.11186623.2.20.42b49d4aJuKYx2 SUSE:https://www.suse.com/support/kb/doc/?spm=a2c4g.11186623.2.21.42b49d4avOXw7d&id=7022512 Ubuntu:https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
  • 问题描述 北京时间1月3日,Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞,漏洞详情如下: 漏洞名称:Intel处理器存在严重芯片级漏洞 漏洞编号:CVE-2017-5753、CVE-2017-5715、CVE-2017-5754 严重程度:高危 漏洞描述:CPU内核高危漏洞Meltdown(CVE-2017-5754)和Spectre(CVE-2017-5715/CVE-2017-5753)爆发,攻击者可利用这两组漏洞,绕过内存安全隔离机制,越权访问操作系统和其他程序的核心数据,造成敏感信息泄露。
共100000条