悦分享

在CSA云计算安全技术要求中，访问层安全需要定义访问服务层能力通用接口的安全技术要求，重点关注传输完整性和保密性、鉴别和授权、对外API接口安全及Web安全等内容；云安全体系技术架构，依据CSA云安全框架，以及网络安全等级保护云计算安全防护技术框架，以弹性自适应云安全体系为核心理念，以“一个中心、三重防护”安全设计思路，结合云安全现状和实际需求，进行规划设计，最终实现以云安全管理中心及安全资源池为核心，着力保护云安全边界，网络通信安全及计算环境安全，同时为云上系统提供云安全能力。...

不幸的是，它们也毫无用处。除此之外，网络安全的进步已经引发了社会工程攻击，因为黑客发现越来越容易甚至不用费心破坏安全系统，而是直接以蓝色整体出现并询问接待员通往服务器机房的路- 因此，将安全作为措施和对策之间的无休止的斗争，它一直是中世纪的卡尔卡松，并且可能会永远存在。愤世嫉俗的人当然可能会争辩说，我们已经完成了一个完整的循环，从胖客户端到云再到胖客户端，但这会忽略“边缘”的意义所在：在一个计算能力日益普及的世界中，我们得到了很好的建议反思我们的计算发生在哪里，以及我们如何最有效地利用我们可以支配的资源。

云服务器ECS（ElasticComputeService）是阿里云提供的IaaS（InfrastructureasaService）级别云计算服务。ECS免去了用户采购IT硬件的前期准备，实现计算资源的即开即用和弹性伸缩。1.实例云上的虚拟计算服务器，包含vCPU、内存、操作系统、网络、磁盘等基础组件。实例的计算性能、内存性能和适用业务场景由实例规格决定，其具体性能指标包括vCPU核数、内存大小、网络性能等2.镜像提供实例的操作系统、初始化应用数据及预装的软件。...

首先在阿里云函数计算控制台点击【域名管理】添加自定义域名。输入域名，选择服务名称，函数名称，版本，点击确定。注意需要提前将域名备案并解析到页面的CNAME上。配置成功后就可以再浏览器中输入自定义域名验证是否配置成功。...

什么是Docker网络呢？总的来说，网络中的容器们可以相互通信，网络外的又访问不了这些容器。具体来说，在一个网络中，它是一个容器的集合，在这个概念里面的一个容器，它会通过容器的IP直接去通信，又能保证在这个集合外的一些容器不能够通过这个容器IP去通信，能做到网络隔离。网络这个概念是由网络的驱动去创建、管理的。网络的驱动又分为全局的和本地的，全局的意思是这个网络可以跨主机，没必要说我的两个容器非要在一个主机上才能通过这个网络去通信，我可以在不同主机上还是通过容器的IP相互通信。...

DNS（Domain Name System）域名系统，在TCP/IP 网络中有非常重要的地位，能够提供域名与IP地址的解析服务。DNS 是一个分布式数据库，命名系统采用层次的逻辑结构，如同一棵倒置的树，这个逻辑的树形结构称为域名空间，由于DNS 划分了域名空间，所以各机构可以使用自己的域名空间创建DNS信息。注：DNS 域名空间中，树的最大深度不得超过127 层，树中每个节点最长可以存储63 个字符。

打开远程连接工具进行配置，这里以CRT为例。注意：这里每个人不一样，ip填写的是。，做完后ping一下。

终于云计算的三兄弟凑齐了，分别是 IaaS、PaaS 和 SaaS。所以一般在一个云计算平台上，云、大数据、人工智能都能找得到。一个大数据公司，积累了大量的数据，会使用一些人工智能的算法提供一些服务；一个人工智能公司，也不可能没有大数据平台支撑。所以，当云计算、大数据、人工智能这样整合起来，便完成了相遇、相识、相知的过程。未来是个创新的时代，自动化、数字化、智能化的趋势不可阻挡，智能化设备、智能驾驶、web3.0、云金融、云安全、云上办公、平安城市、智慧医疗、工业互联网......

PVE 是能让你在一台机器上同时跑 N 个不同操作系统虚拟机的统一管理平台 (宿主系统)。Proxmox VE 是一款开源免费的服务器虚拟化环境，你可以将它想象成一个专门用于跑虚拟机的宿主系统 (虚拟机管理平台)，它同时支持两种虚拟化技术：KVM 虚拟机和 LXC 容器。你能在 VPS 服务器或普通 PC 电脑上安装它，就能随意创建多个虚拟机，同时运行各种各样操作系统。

请自行下载内存分析工具，该工具适合运维/技术支持/研发/测试等在工作中会遇到内存泄漏的相关人员。工具操作非常简单，直接运行即可。运行后会对内存进行综合分析，然后返回问题原因，并给出相关提示。基本上根据结果内容就能马上知道内存问题原因。为了定位准确，工具只在内存占用高于80%(内存告警阈值)时开始分析。低于80%时，系统内存相对充裕，不进行分析。如需调整内存告警阈值，可修改脚本中的 MEM_THRESHOLD，默认是80%。用户进程buagent内存占用过高导致内存不足：

块设备I/O权重(device_weight)指定默认情况下可用于客户机的特定设备上的块I/O访问的相对比例，取值范围为100到1000。使用virsh blkiotune命令查看和设置访问主机上磁盘的客户端的块I/O权重和I/O限制。限制I/O非常重要，这样就不会有客户机从物理磁盘消耗的I/O超过分配的I/O，从而为主机上运行的所有客户机提供服务质量(QoS)。使用virsh blkdeviotune命令查看和设置连接到客户机的每个块设备上的吞吐量和I/O操作的限制。块设备是虚拟磁盘的首选设备。

网络team是一种将网卡逻辑连接在一起的方法，以支持故障转移或更高的吞吐量。team是一种新的实现，它不影响Linux内核中的旧bonding驱动程序。它提供了另一种实现。网络team由于其模块化设计，提供了更好的性能和更强的可扩展性。Red Hat Enterprise Linux 8通过一个小型内核驱动程序和一个用户空间守护进程teamd实现了网络teaming。内核有效地处理网络数据包，而teamd处理逻辑和接口处理。被称为runner的软件实现负载平衡和主备，如roundrobin。

虽然XFS被认为是大型系统和高性能存储设备的领先文件系统，但对于某些特定的工作负载，如具有同步更新的单线程、单磁盘工作负载和小文件，ext4可以提供比XFS更好的性能。现在，在默认情况下，障碍总是启用的，不能在XFS文件系统中禁用。通过运行这样的测试，在不同的文件系统上施加模拟工作负载，管理员可以比较结果，清楚地确定哪个文件系统的性能更好，并计算性能差异的差额。有了RHEL 8中可用的文件系统选择，系统管理员可以接受默认的XFS文件系统选择，也可以在向新的磁盘设备分配文件系统时使用ext4文件系统。

RAID (Redundant Array of Inexpensive Disks)是一种虚拟化的数据存储技术，它将存储驱动器组合成一个逻辑存储单元，提供更高的性能、冗余和容错能力。RAID是基于单个、大且昂贵磁盘的存储系统的替代方案。RAID支持RAID盘故障，不会造成数据停机和数据丢失。RAID将写入阵列不同磁盘上的数据分割成小块。Red Hat Enterprise Linux 8默认定义了512kB的块大小。数据分布在RAID盘中，以满足以下一种或多种数据策略:数据分条、数据镜像和数据校验。

在较老的多处理器系统上，cpu可以平等地访问所有内存。这意味着所有内存地址的访问时间是相同的，无论哪个CPU执行操作。FSB (shared front-side bus)用于连接cpu和主存。这种内存架构称为UMA (Uniform memory Access)。在更现代的多处理器系统上，情况不再是这样了。在NUMA (Non-uniform Memory Access)系统中，每个CPU(或物理CPU)直接访问一组内存库，CPU之间通过高速链路相互连接。整个内存仍然。

在Linux中，调度器根据分配给每个线程或进程的"调度策略"和"调度优先级"控制执行顺序。调度策略分为非实时策略组和实时策略组。1. 静态优先级静态优先级是在新进程创建时设置的默认优先级，不能更改。使用"实时策略"的进程优先级的值在1(最低)到99(最高)之间，被称为"实时优先级"。调度程序在一个自平衡的二叉搜索树中维护一个可运行进程列表。要确定哪些进程下一个获得CPU时间，调度器查找具有最高静态优先级或实时优先级的进程。调度策略只确定具有相同静态优先级的进程在运行队列中的顺序。

2006 年，Google 工程师在开源社区发起了一个用来管理和限制进程资源使用的项目，名为“process containers”，2007 年，Linux 内核团队将其改名为 cgroup 纳入到 Linux 内核 feature 项目中。在 2008 年 1 月发布的 Linux 2.6.24，这一功能被合并到了内核中。到 Linux 4.5 版本内核，CGroup v2 被合并到内核，这是一次在使用方式上的重大更新。

性能调优是调整系统设置以提高计算资源利用率、数据吞吐量或用户体验的过程。它需要了解系统的硬件和软件组件，以及系统之间的许多交互。性能调优有时被称为一种“巫术”，因为有时需要一些神秘的知识来有效地调优系统(需要运气)。性能调优经常与故障排除相混淆，但是两者之间有很大的区别。在故障排除过程中，主要目的是发现并解决问题，使系统能够正常工作。在性能调优中，主要目标是通过利用系统所运行的资源和环境，使系统以可能的最佳性能工作。

使用的PaaS服务包括，MySQL云数据库、MongoDB云数据库，使用统一的数据访问层，研发人员可以无需考虑数据库的底层架构、可用性、扩展等问题，完全透明，将精力专注在项目研发即可。管理端用于管理应用、用户、权限， 管理后台数据和重要的信息设置等。​PaaS 云服务提供商不可能安装全部的语言、数据库、中间件和运行库来支持所有的应用软件，因此目前普遍的做法是安装主流的语言、数据库、中间件和运行库，使得出租的 PaaS 容器支持有限的、使用量排名靠前的应用软件以及支持最流行的编程语言，并在网站上发布公告。

DRBD的全称为：Distributed Replicated Block Device (DRBD)分布式块设备复制，DRBD是由内核模块和相关脚本而构成，用以构建高可用性的集群。其实现方式是通过网络来镜像整个设备。它允许用户在远程机器上建立一个本地块设备的实时镜像。与心跳连接结合使用，也可以把它看作是一种网络RAID。DRBD replication， DRBD synchronization DRBD负责接收数据，把数据写到本地磁盘，然后发送给另一个主机。另一个主机再将数据存到自己的磁盘中。

OS_AUTH_URL=http://192.168.199.201:5000/v3 = keystone服务入口认证API。DHCP服务 – DHCP服务器 – Neutron – namespace[命名空间]。vRouter(网络节点)：Neutron-namespace [命名空间]。在openstack所有服务都有一个服务端点，endpoint就是服务入口。要使用命令行管理，如果不配置变量环境，不能直接使用nove命令。namespace[命名空间]，独立隔离环境。

OpenStack是开源云操作系统，可控制整个数据中心的大型计算，存储和网络资源池。用户能够通过Web界面、命令行或API接口配置资源。官网：OpenStack和虚拟化、云计算什么关系？OpenStack不是虚拟化。OpenStack只是系统的控制面。OpenStack不包括系统的数据面组件，如Hypervisor、存储和网络设备等。OpenStack和虚拟化有着关键的区别：虚拟化是OpenStack底层的技术实现手段之一，但并非核心关注点。

在neutron中，flat网络表示扁平化网络的意思，每个flat网络必须要分配一块网卡。其他计算节点当有实例创建的时候也会将网桥和flat网络指定的物理网卡做桥接，然后创建的虚拟机的虚拟网卡如果在flat网络，也会桥接到对应的网桥中。由于我们的flat网络只能创建一个网络，所以flat网络必定是直接和物理网络相关联的，意味着你flat网络类型的网关是一定要在物理三层设备上的。vlan类型和flat类型最大的区别就在于1个物理网卡可以对应多个vlan类型的网络，flat是1对1，vlan是1对 4k+。

openstack是一个云操作系统，这个操作系统控制着数据中心中的计算，存储和网络资源。所有这些资源的管理都是通过API来来实现的，并且管理资源都有相应的认证机制。在openstack中有一个叫做dashboard的仪表盘，这个仪表盘通过web界面可以管理这些在DC中的资源。除了能提供IaaS功能外，你还可以使用orchestration，错误管理和服务管理等服务来确保应用的高可用性。

packstack是openstack自动化安装工具，packstack程序中写入了openstack的安装过程，可以自动化对服务器进行openstack软件包的安装。packstack可以在answer_file设置安装参数。在安装时，packstack通过读取answer_file中的参数对openstack进行配置调整，可以无需人为修改配置文件。

完成以上所有的升级步骤后，需要执行以下操作。● 在计算节点上修改/etc/nova/nova.conf配置文件，设置DHCP为执行升级操作前的值。● 更新所有的.ini 配置文件的密码和管道设置，以匹配自己的OpenStack环境。● 升级完成后，用户通过 nova image-list 和 glance image-list 命令看到的结果与升级前可能不同。

相对而言，成功完成迁移所消耗的时间缩短了。在进行转移虚拟机实例操作时，一定要确认虚拟机实例所在的主机节点不可操作，各项服务均失败，否则转移操作会失败。卷设备属主创建传送请求，同时将传送卷设备ID和授权key发送给接收卷设备的用户，接收卷设备的用户根据传送卷 ID 和授权 key 接收卷设备。（4）导出Controller节点上的NOVA-INST-DIR/instances（/var/lib/nova/instance）目录，确保主机节点Compute01和Compute02上的Nova用户对其可读可写。

在该虚拟网络中的虚拟机实例可以直接连接外网，如Internet。在创建虚拟机实例之前，首先需要确定Flavor（主机类型）、Image Name（镜像名称）、Network（网络）、Security Group（安全组）、Key Pair和Instance Name（虚拟机实例名称）。在创建虚拟机实例之前，首先需要确定Flavor（主机类型）、Image Name（镜像名称）、Network（网络）、Security Group（安全组）、Key Pair和Instance Name（虚拟机实例名称）。

Keystone 是 OpenStack Identity Service 的项目名称，是一个负责身份管理与授权的组件。主要功能∶实现用户的身份认证，基于角色的权限管理，及openstack其他组件的访问地址和安全策略管理。Keystone项目的主要目的是给整个openstack的各个组件（nova，cinder，glance..）提供一个统一的验证方式。Account 账户Authentication 身份认证Authorization 授权服务目录管理。

在此之前，在 OpenStack 客户端通过环境变量和操作命令相互组合完成了与Keystone 身份认证服务组件的通信。为了提高可操作性和工作效率，可以创建一个统一而完整的openRC文件，其涵盖了通用变量和特殊变量。1. 创建环境变量脚本创建 admin project、demo project和用户的环境变量脚本。（1）创建文件 admin-openrc.sh并添加以下内容。使用已经生成的 admin user密码替换 ADMIN_PASS。（2）创建文件demo-openrc.sh并添加以下内容。

Keystone是一个集成的服务组件，具备很多功能和特性，而不是一个只具备身份认证和管理功能的技术方案。Heat 编排服务组件提供基于模板的服务，它集成 OpenStack 项目中的许多核心服务组件于一个模板中，使用这个模板可以创建许多类型的资源，如虚拟机实例、Floating IPs、卷设备、安全组和用户等。Glance镜像服务组件是OpenStack项目的核心组件，它接收来自用户和Nova计算服务组件的 API请求，支持在不同的介质上进行存储，包括 OpenStack项目中的 Swift 对象存储。

Neutron模块可以管理包括子网、端口及网络在内的3类实体，简单而言，这3类实体组合起来就可以定义一个虚拟二层网络，其中包括为连接在该二层网络上的所有虚拟机都定义的IP地址空间。为了更好地理解Neutron模块，有必要理解Neutron对这些术语的定义方式。1. 子网子网表示可以分配给虚拟机的IP地址块，因而子网块就是一个二层广播域，而且可以选择一个与外部进行通信的默认网关。

OpenStack项目中的Neutron网络服务组件管理着所有的网络端口，无论是在虚拟网络架构（Virtual Networking Infrastructure，VNI）中，还是物理网络架构（Physical Networking Infrastructure，PNI）中（与Neutron连接的部分）。同时，Neutron网络服务组件可以为租户提供高级服务，如创建防火墙、负载均衡（Virtual Private Network）等。

OpenStack 项目中的 Cinder 块存储服务组件为虚拟机实例提供了块存储设备，同时为管理块存储设备提供了一整套方法，如卷快照（Volume Snapshot）、卷类型（Volume Type）等。块存储类型是由驱动或者后端设备配置的驱动决定的，如NAS、NFS、SAN、ISCSI、Ceph或其他。Cinder块存储服务组件的API和cinder-scheduler服务通常运行在控制节点上，cinder-volume服务可以运行在控制节点、计算节点或者独立的存储节点上。

Libvirt是一个函数库，包含实现Linux虚拟化功能的Linux API，提供了管理虚拟机的通用的、稳定的、统一的接口。其主要包括Libvirt API、Libvirtd 进程和 virsh 工具集三部分。为了便于理解，我们将Libvirt分为三层，从三个层级进行介绍，具体如下图所示。其中，接口层的virsh工具集和Libvirt API负责接收程序和用户的指令；在抽象驱动层，接收上层发出的指令调用Libvirt 库或控制Libvirtd进程提供统一的接口；

简单来说，OpenStack就是一种用于部署虚拟环境（虚拟机和容器）以及互连这些虚拟环境所需网络的软件应用程序。OpenStack主要使用Python编程语言，需要运行在Linux环境中。虽然没有OpenStack也能部署虚拟机和容器，但是OpenStack提供了一整套部署虚拟环境的平台及公共接口。

第一步：使用用户名和密码（凭据）提交给horizon，horizon将凭据送到keystone，问用户是否有使用自己（horizon）的权限，keystone查找自己的数据库，判断凭据是否在数据库中，发现用户的凭据在数据库中，那么就会根据用户的凭据做成2个令牌，自己留一个，然后给horizon一个。到了2010年，当时有一家名叫Rackspace的公司，他们一直在做和亚马逊一样的云主机和云储存服务，但是始终都干不过亚马逊，排名第二。你在上面配置你的各种服务，然后给你的用户使用，例如网站、FTP等。

开发人员经过多年的研究，已经在Linux操作系统和Ceph自身性能上进行了优化。但是，每套Ceph集群的规模配置都有差别，很难给出一个万能的参数让性能达到预期。因此，你需要在Ceph集群建设完毕后对集群的性能进行测试，获取相应的测试指标，并针对测试指标对Ceph集群进行调优。当然，要综合考虑各方面因素进行调优，避免调好了一个性能指标，而使另一个性能指标降低，始终不能获得良好的整体性能。理想的情况是，尽量减少软件层面带来的性能损耗，尽可能大地发挥硬件的性能优势。

在典型的部署中，osd使用具有高延迟的传统旋转磁盘，因为它们以较低的每兆字节成本提供了满足定义目标的令人满意的指标。从经验来看，主要的例外是对CRUSH的改动。此问题可能是由网络问题引起的，或者Ceph监视器可能有过时的Ceph监视器映射(monmap)正在试图到达不正确的IP地址上的其他Ceph监视器。Ceph不支持混合设置，例如为客户端启用Ceph，但在Ceph服务之间的通信中禁用Ceph。默认情况下，Cephx是启用的，如果客户端试图在没有Cephx的情况下访问Ceph集群，则会收到一个错误消息。

分布式存储集群的可靠性已经很高，但在大容量集群环境下，出现任何故障都可能带来集群性能问题或者数据安全隐患，因此要做好对集群状态监控及故障恢复。当故障发生后，我们要及时使用正确的处理方式排除故障。