[主机组定义文件hostgroups.cf...]的搜索结果

...与之精华. 全在配置文件,如果只是将服务搭建起来,那和不搭有什么区别呢. Nagios的配置文件非常多,只要其中一个配置文件出现错误，就会导致Nagios 无法正常工作。也很灵活,但只要掌握了其中的规律,就很简单了 了解Nagios 的各个配置文件 1.主配置文件nagios.cfg nagios默认的配置文件比较少,并且将很主机,主机组,服务,服务组写在同一个文件中. 这样做的好处是配置文件管理比较方便,但是数据量大了之后,很难整理.所以建议将这些配置分开 cfg_file=/usr/local/nagios/etc/objects/commands.cfg cfg_file=/usr/local/nagios/etc/objects/contacts.cfg cfg_file=/usr/local/nagios/etc/objects/timeperiods.cfg cfg_file=/usr/local/nagios/etc/objects/templates.cfg cfg_file=/usr/local/nagios/etc/objects/contactgroups.cfg cfg_file=/usr/local/nagios/etc/objects/hosts.cfg cfg_file=/usr/local/nagios/etc/objects/hostgroups.cfg cfg_file=/usr/local/nagios/etc/objects/services.cfg cfg_file=/usr/local/nagios/etc/objects/servicegroups.cfg 改check_external_commands=0为check_external_commands=1.这行的作用是允许在web 界面下执行重启nagios、停止主机/服务检查等操作。 把command_check_interval的值从默认的1 改成command_check_interval=15s（根据自己的情况定这个命令检查时间间隔，不要太长也不要太短）。 2.资源配置文件resource.cfg 资源文件可以保存用户自定义的宏.资源文件的一个主要用处是用于保存一些敏感的配置信息,如系统口令等不能让CGIs 程序模块获取到的东西 3.CGI配置文件cgi.cfg CGI 配置文件包含了一系列的设置,它们会影响CGIs程序模块.还有一些保存在主配置文件之中,因此CGI 程序会知道你是如何配置的Nagios并且在哪里保存了对象定义.最实际的例子就是,如果你想建立一个只有查看报警权限的用户,或者只有查看其中一些服务 器或者服务状态的权限,通过修改cfi.cfg可以灵活的控制web访问端的权限. 4.主机定义文件 定义你要监控的对象,这里定义的“host_name”被应用到其它的所有配置文件中，这个是我们配置Nagios 必须修改的配置文件. [root@test objects] vim hosts.cfg  define host{          host_name                       Nagios-Server   ; 设置主机的名字，该名字会出现在hostgroups.cfg 和services.cfg 中。注意，这个名字可以不是该服务器的主机名。          alias                           Nagios服务器   ; 别名          address                         192.168.81.128 ; 主机的IP 地址          check_command                   check-host-alive ; 检查使用的命令，需要在命令定义文件定义，默认是定义好的。          check_interval                  1               ; 检测的时间间隔          retry_interval                  1               ; 检测失败后重试的时间间隔          max_check_attempts              3               ; 最大重试次数          check_period                    24x7            ; 检测的时段          process_perf_data               0          retain_nonstatus_information    0          contact_groups                  sagroup         ; 需要通知的联系组          notification_interval           30              ; 通知的时间间隔          notification_period             24x7            ; 通知的时间段          notification_options            d,u,r           ; 通知的选项  w—报警(warning)，u—未知(unkown)  c—严重(critical)，r—从异常情况恢复正常  }  define host{          host_name                       Nagios-Client          alias                           Nagios客户端         address                         192.168.81.129         check_command                   check-host-alive          check_interval                  1         retry_interval                  1          max_check_attempts              3         check_period                    24x7          process_perf_data               0          retain_nonstatus_information    0          contact_groups                  sagroup          notification_interval           30          notification_period             24x7          notification_options            d,u,r  }  5.主机组定义文件 主机组定义文件,可以方便的将相同功能或者在应用上相同的服务器添加到一个主机组里,在WEB 界面可以通过HOST Group 方便的查看该组主机的状态信息. 将刚才定义的两个主机加入到主机组中,针对生产环境就像把所有的MySQL 服务器加到一个MySQL主机组里,将Oracle 服务器加到一个Oracle 主机组里,方便管理和查看,可以配置多个组. [root@test objects] vim hostgroups.cfg  define hostgroup {          hostgroup_name   Nagios-Example                  ; 主机组名字          alias       Nagios 主机组                ; 主机组别名          members          Nagios-Server,Nagios-Client     ; 主机组成员，用逗号隔开  }  6.服务定义文件 服务定义文件定义你需要监控的对象的服务,比如本例为检测主机是否存活,在后面会讲到如何监控其它服务,比如服务器负载、内存、磁盘等. [root@test objects] vim services.cfg  define service {          host_name               Nagios-Server           ; hosts.cfg 定义的主机名称          service_description     check-host-alive        ; 服务描述          check_period            24x7                    ; 检测的时间段          max_check_attempts      3                       ; 最大检测次数          normal_check_interval   3          retry_check_interval    2          contact_groups          sagroup                 ; 发生故障通知的联系人组          notification_interval   10          notification_period     24x7                    ; 通知的时间段          notification_options    w,u,c,r          check_command           check-host-alive  }  define service {          host_name               Nagios-Client          service_description     check-host-alive          check_period            24x7          max_check_attempts      3         normal_check_interval   3          retry_check_interval    2          contact_groups          sagroup          notification_interval   10          notification_period     24x7          notification_options    w,u,c,r          check_command           check-host-alive  }  7.服务组定义文件 和主机组一样,我们可以按需将相同的服务放入一个服务组,这样有规律的分类,便于我们在WEB端查看. [root@test objects] vim servicegroups.cfg  define servicegroup{          servicegroup_name       Host-Alive ; 组名          alias                   Host Alive ; 别名设置          members                 Nagios-Server,check-host-alive,Nagios-Client,check-host-alive  }  8.联系人定义文件 定义发生故障时,需要通知的联系人信息.默认安装完成后，该配置文件已经存在,而且该文件不仅定义了联系人,也定义了联系人组,为了条理化的规划,我们把联系人定义放在contacts.cfg文件里,把联系人组放在contactgroups.cfg文件中. [root@test objects] mv contacts.cfg contacts.cfg.bak  [root@test objects] vim contacts.cfg  define contact{          contact_name maoxian ; 联系人的名字          alias maoxian ; 别名          service_notification_period 24x7 ; 服务报警的时间段          host_notification_period 24x7 ; 主机报警的时间段          service_notification_options w,u,c,r ; 就是在这四种情况下报警。          host_notification_options d,u,r ;同上。  服务报警发消息的命令，在command.cfg 中定义。          service_notification_commands notify-service-by-email  服务报警发消息的命令，在command.cfg 中定义。          host_notification_commands notify-host-by-email          email wangyx088@gmail.com       ; 定义邮件地址，也就是接收报警邮件地址。  }  9.联系人组定义文件 联系人组定义文件在实际应用中很有好处,我们可以把报警信息分级别,报联系人分级别存放在联系人组里面.例如：当发生一些警告信息的情况下,只发邮件给系统工程师联系人组即可,但是当发生重大问题,比如主机宕机了,可以发给领导联系人组. [root@test objects] vim contactgroups.cfg  define contactgroup{          contactgroup_name       sagroup                 ; 组名          alias                   Nagios Administrators   ; 别名          members                 maoxian             ; 联系人组成员  }  10.命令定义文件 commands.cfg 命令定义文件是Nagios中很重要的配置文件,所有在hosts.cfg还是services.cfg使用的命令都必须在命令定义文件中定义才能使用.默认情况下,范例配置文件已经配置好了日常需要使用的命令,所以一般不做修改. 11.时间段定义文件 timeperiods.cfg 我们在检测、通知、报警的时候都需要定义时间段,默认都是使用7x24,这也是默认配置文件里配置好的,如果你需要周六日不做检测,或者在制定的维护时间不做检测,都可以在该时间段定义文件定义好,这样固定维护的时候,就不会为大量的报警邮件或者短信烦恼 [root@test objects] cat timeperiods.cfg |grep -v "^" |grep -v "^$"  可以根据业务需求来更改  12.启动Nagios 1> 修改配置文件所有者  [root@test objects] chown -R nagios:nagios /usr/local/nagios/etc/objects/  2> 检测配置是否正确  [root@test objects] /usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg  如果配置错误,会给出相应的报错信息,可以根据信息查找,注意,如果配置文件中有不可见字符也可以导致配置错误  3> 重载Nagios  [root@test objects] service nagios restart  本文出自 “毛线的linux之路” 博客，请务必保留此出处http://maoxian.blog.51cto.com/4227070/756516 本篇文章为转载内容。原文链接：https://blog.csdn.net/gzh0222/article/details/8549202。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...tc/sudoers文件(授权用户较多的时候使用)： 六.开关机安全控制 1.调整BIOS引导设置 2.GRUB限制 七.终端以及登录控制 1.限制root只在安全终端登录 2..禁止普通用户登录 八.系统弱口令检测 1.JOHN the Ripper，简称为JR 2.安装弱口令账号 3.密码文件的暴力破解 九.网络端口扫描 1.NMAP 2.格式 总结： 一.账号安全基本措施 1.系统账号清理 1.将非登录用户的Shell设为/sbin/nologin （ps：在我们使用Linux系统时，除了用户创建的账号之外，还会产生系统或程序安装过程中产生的许多其他账号，除了超级用户root外，其他账号都是用来维护系统运作的，一般不允许登录，常见的非登录用户有bin、adm、mail、lp、nobody、ftp等。） 格式：usermod -s /sbin/nologin 用户名 2锁定长期不使用的账号： [root@hehe ~] usermod -L test2 锁定用户账号方法一[root@hehe ~] passwd -l test3 锁定用户账号方法二[root@hehe ~] usermod -U test2 解锁用户账号方法一[root@hehe~] passwd -u test3 解锁用户账号方法二查看账户有没有被锁：passwd -S [用户名] 3.删除无用的账号 [root@hehe ~] userdel test1[root@hehe~] userdel -r test2 4.锁定账号文件passwd，shadow [root@hehe ~] chattr +i /etc/passwd /etc/shadow 锁定文件，包括root也无法修改[root@hehe ~] chattr -i /etc/passwd /etc/shadow 解锁文件[root@hehe ~] lsattr /etc/passwd /etc/shadow查看文件状态属性 举个例子： 二.密码安全控制： 1.设置密码有效期： 1.[root@localhost ~] chage -M 60 test3 这种方法适合修改已经存在的用户1​2.[root@localhost ~] vim /etc/login.defs 这种适合以后添加新用户PASS_MAX_DAYS 30 1.这个方法适用于早就已经存在的用户： 2.这个方法适用于新用户 2.要求用户下次登录时改密码： [root@hehe ~] chage -d 0 [用户名] 强制要求用户下次登陆时修改密码 三.命令历史限制与自动注销 1.命令历史限制： 1.减少记录的命令条数 减少记录命令的条数：1.[root@hehe ~] vim /etc/profile 进入配置文件修改限制命令条数。适合新用户HISTSIZE=200 修改限制命令为200条，系统默认是1000条profile [root@lhehe ~] source /etc/ 刷新配置文件，使文件立即生效2.[root@hehe~] export HISTSIZE=200 适用于当前（之后）用户[root@hehe~] source /etc/profile [root@hehe ~] source /etc/profile 刷新配置文件，使文件立即生效 1.减少记录命令的条数（适用之前的用户）： 2.注销时自动清空命令历史 3. 注销时自动清空命令：[root@hehe ~] vim ~/.bash_logout（临时清除，重启缓存的话还在）echo "" > ~/.bash_history（永久删除）history是查你使用过的命令 2.终端自动注销： 1.闲置600秒后自动注销 闲置600秒后自动注销：[root@hehe ~]vim .bash_profile 进入配置文件export TMOUT=600 全局声明超过60秒闲置后自动注销终端[root@hehe ~] source .bash_profile [root@hehe ~] echo $TMOUT[root@hehe ~] export TMOUT=600 如果不在配置文件输入这条命令，那么是对当前用户生效​[root@hehe ~]vim .bash_profile export TMOUT=600 注释掉这条命令，就不会自动注销了 四.PAM安全认证 1.su的命令的安全隐患 1.，默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户(如root) 的登录密码，带来安全风险； 2.为了加强su命令的使用控制，可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。 2.什么是PAM 1.PAM(Pluggable Authentication Modules)可插拔式认证模块 2.是一种高效而且灵活便利的用户级别的认证方式； 3.也是当前Linux服务器普遍使用的认证方式。 4.PAM提供了对所有服务进行认证的中央机制，适用于login，远程登陆，su等应用 5.系统管理员通过PAM配置文件来制定不同的应用程序的不同认证策略 3.PAM认证原理 1.PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_.so;， 2.PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认 模块(位于/lib64/security/下）进行安全认证。 3.用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。 4.如果想查看某个程序是否支持PAM认证，可以用ls命令进行查看/etc/pam.d/。 ls /etc/pam.d/ | grep su 5.PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用。 4.PAM安全认证流程 控制类型也称做Control Flags，用于PAM验证类型的返回结果 用户1 用户2 用户3 用户4 auth required 模块1 pass fail pass pass auth sufficient 模块2 pass pass fail pass auth required 模块3 pass pass pass fail 结果 pass fail pass pass 4 五.限制使用su命令的用户（pam-wheel认证模块） 1.su命令概述： 通过su命令可以非常方便切换到另一个用户，但前提条件是必须知道用户登录密码。对于生产环境中的Linux服务器，每多一个人知道特权密码，安全风险就多一分。于是就多了一种折中的办法，使用sudo命令提升执行权限，不过需要由管理员预先进行授权， 指定用户使用某些命令： 2. su命令的用途以及用法： 用途：以其他用户身份（如root）执行授权命令用法：sudo 授权命令 3.配置su的授权（加入wheel组）（pam_wheel认证模块：）： 进入授权命令：1.visudo 或者 vim /etc/sudoers语法格式：1.用户 主机名=命令程序列表2.用户 主机名=（用户）命令程序列表-l：列出用户在主机上可用的和被禁止的命令;一般配置好/etc/sudoers后，要用这个命令来查看和测试是不是配置正确的;-v：验证用户的时间戳;如果用户运行sudo后，输入用户的密码后，在短时间内可以不用输入口令来直接进行sudo操作;用-v可以跟踪最新的时间戳;-u：指定以以某个用户执行特定操作;-k：删除时间戳，下一个sudo命令要求用求提供密码; 1.首先创建3个组 2.vim /etc/pam.d/su把第六行注释去掉保存退出 1. 以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的 2.两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码: 3.如果第–行不注释，则root 使用su切换普通用户就不需要输入密码( pam_ rootok. so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入密码。) 4.如果开启第二行，表示只有root用户和wheel1组内的用户才可以使用su命令。 5.如果注释第一行，开启第二行，表示只有whee1组内的用户才能使用su命令，root用户也被禁用su命令。 3.将liunan加入到wheel之后，hehe就有了使用su命令的权限 4.使用pam_wheel认证后，没有在wheel里的用户都不能再用su 5.whoami命令确定当前用户是谁 4.配置/etc/sudoers文件(授权用户较多的时候使用)： visudo单个授权visudo 或者 vim /etc/sudoers记录格式：user MACHINE=COMMANDS可以使用通配符“ ”号任意值和“ ！”号进行取反操作。%组名代表一整个组权限生效后，输入密码后5分钟可以不用重新输入密码。例如：visudo命令下user kiro=(root)NOPASSWD:/usr/sbin/useradd,PASSWD:/usr/sbin/usermod代表 kiro主机里的user用户，可以无密码使用useradd命令，有密码使用usermod/etc/sudoers多个授权Host_Alias MYHOST= localhost 主机别名：主机名、IP、网络地址、其他主机别名!取反Host_Alias MAILSVRS=smtp,pop（主机名）User_Alias MYUSER = kiro，user1,lisi 用户别名：包含用户、用户组（%组名（使用引导))、还可以包含其他其他已经用户的别名User_Alias OPERATORS=zhangsan,tom,lisi（需要授权的用户）Cmnd_Alias MYCMD = /sbin/,/usr/bin/passwd 命令路劲、目录（此目录内的所有命令)、其他事先定义过的命令别名Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yum（授权）MYUSER MYHOST = NOPASSWD : MYCMDDS 授权格式sudo -l 查询目前sudo操作查看sudo操作记录需启用Defaults logfile配置默认日志文件: /var/log/sudosudo -l 查看当前用户获得哪些sudo授权（启动日志文件后，sudo操作过程才会被记录） 1.首先用visudo 或者 vim /etc/sudoers进入，输入需要授权的命令 2.切换到taojian用户，因为设置了它不能使用创建用户的命令所以无法创建 六.开关机安全控制 1.调整BIOS引导设置 1.将第一引导设备设为当前系统所在硬盘2.禁止从其他设备(光盘、U盘、网络)引导系统3.将安全级别设为setup，并设置管理员密码 2.GRUB限制 1.使用grub2-mkpasswd-pbkdf2生成密钥2.修改/etclgrub.d/00_header文件中，添加密码记录3.生成新的grub.cfg配置文件 方法一： 通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。grub2-mkpasswd-pbkdf2 根据提示设置GRUB菜单的密码PBKDF2 hash of your password is grub.pbkd..... 省略部分内容为经过加密生成的密码字符串cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak 8cp /etc/grub.d/00_header /etc/grub.d/00_header.bak 9vim /etc/grub.d/00_headercat << EOFset superusers="root" 设置用户名为rootpassword_pbkdf2 root grub.pbkd2..... 设置密码，省略部分内容为经过加密生成的密码字符串EOF16grub2-mkconfig -o /boot/grub2/grub.cfg 生成新的grub.cfg文件重启系统进入GRUB菜单时，按e键将需要输入账号密码才能修改引导参数。 方法二： 1.一步到位2.grub2-setpassword 七.终端以及登录控制 1.限制root只在安全终端登录 ​安全终端配置文件在 /etc/securetty 2..禁止普通用户登录 1.建立/etc/nologin文件 2.删除nologin文件或重启后即恢复正常 vim /etc/securetty在端口前加号拒绝访问touch /etc/nologin 禁止普通用户登录rm -rf /etc/nologin 取消禁止 八.系统弱口令检测 1.JOHN the Ripper，简称为JR 1.一款密码分析工具，支持字典式的暴力破解2.通过对shadow文件的口令分析，可以检测密码强度3.官网网站：http://www.openwall.com/john/ 2.安装弱口令账号 1.获得Linux/Unix服务器的shadow文件2.执行john程序，讲shadow文件作为参数 3.密码文件的暴力破解 1.准备好密码字典文件，默认为password.lst2.执行john程序，结合--wordlist=字典文件 九.网络端口扫描 1.NMAP 1.—款强大的网络扫描、安全检测工具,支持ping扫描，多端口检测等多种技术。2.官方网站: http://nmap.orgl3.CentOS 7.3光盘中安装包,nmap-6.40-7.el7.x86_64.rpm 2.格式 NMAP [扫描类型] [选项] <扫描目标....> 安装NMAP软件包rpm -qa | grep nmapyum install -y nmapnmap命令常用的选项和扫描类型-p：指定扫描的端口。-n：禁用反向DNS 解析 (以加快扫描速度)。-sS：TCP的SYN扫描（半开扫描)，只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接;否则认为目标端口并未开放。-sT：TCP连接扫描，这是完整的TCP扫描方式(默认扫描类型)，用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放。-sF：TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP attack 包。这种类型的扫描可间接检测防火墙的健壮性。-sU：UDP扫描，探测目标主机提供哪些UDP服务，UDP扫描的速度会比较慢。-sP：ICMP扫描，类似于ping检测，快速判断目标主机是否存活，不做其他扫描。-P0：跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法 ping通而放弃扫描。 总结： 1.账号基本安全措施：系统账号处理、密码安全控制、命令历史清理、自动注销 2.用户切换与提权（su、sudo） 3.开关机安全控制（BIOS引导设置、禁止Ctrl+Alt+Del快捷键、GRUB菜单设置密码） 4.终端控制 5.弱口令检测——John the Ripper 6.端口扫描——namp 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_67474417/article/details/123982900。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...在本机将config文件设置为只有自己的机器，运行一 下该程序看看，如果不能运行，多机当然就更不行了，这说明本机的设置有问题。如何解 决这一问题，我的经验是，你可以在两台机器上分别建立普通帐号，然后用mpiregister对 该帐号进行注册，如果两台机器上分别运行都可以，则可以试试多机，如果多机连接不同 ，则可能是防火墙等安全设置的问题，可以将防火墙去掉，这样就应该可以了，我们在XP 以及NT上实验都是可行的。 ------------------------------ Dr. Zhihui Du Department of Computer Science and Technology Tsinghua University. Beijing, 100084, P.R. China Phone:86-10-62782530 Fax:86-10-62771138 http://hpclab.cs.tsinghua.edu.cn/~duzh ----- Original Message ----- From: zhyi To: Zhihui Du Sent: Monday, November 01, 2004 4:39 PM Subject: Re: 请教mpi 单机模拟的命令为: mpirun -np 2 -localonly d:/cpi.exe 成功 两机器名分别为 liu1 liu2,命令为 mpirun -hosts 2 liu1 liu2 d:/cpi.exe 失败 config文件为 config.cfg exe d:/cpi.exe hosts liu1 2 liu2 2 命令为 mpirun d:/config.cfg 失败 加选项-tcp也没用 可执行文件的存放路径都在d盘根目录下 都老师，我想你们都是用linux 的，能不能请您的研究生给在两台 机器上试一下，估计两个小时够了，有你的指点，就会知道问题出在哪。 我们这边也有很多同学在你的书的指引下在linux下进行的，我是进行数值计算，不敢弄那 么复杂，只好在windows下进行，可也不知问题究竟在哪。 Zhihui Du <duzh@tsinghua.edu.cn> wrote: 你运行的具体命令是什么？可以用mpirun -np 2 xxx 和 mpirun configfile 两种方式都 试试，可执行程序两台机器上都要有。 ------------------------------ Dr. Zhihui Du Department of Computer Science and Technology Tsinghua University. Beijing, 100084, P.R. China Phone:86-10-62782530 Fax:86-10-62771138 http://hpclab.cs.tsinghua.edu.cn/~duzh ----- Original Message ----- From: zhyi To: Zhihui Du Sent: Sunday, October 31, 2004 11:50 AM Subject: Re: 请教mpi 任务管理器里发现有mpd进程，mpiconfig也能找到对方， 我们是在同一个宿舍，用hub相连，这在局域网内应该没问题了， 共享也是可读写的，盘符的格式是一样的，单机可以运行 mpirun -np 2 -localonly c:/ .exe 有结果 Zhihui Du <duzh@tsinghua.edu.cn> wrote: 安装mpich后应该有一个新的mpi进程在运行，用mpiconfig应该能够列出其他的机器才行， 还有这些计算结点的网络配置应该在一个子网内，另外共享的权限是否是任何用户可以读 写？你用mpirun -localonly -np x abc方式是否可以运行？ ------------------------------ Dr. Zhihui Du Department of Computer Science and Technology Tsinghua University. Beijing, 100084, P.R. China Phone:86-10-62782530 Fax:86-10-62771138 http://hpclab.cs.tsinghua.edu.cn/~duzh ----- Original Message ----- From: zhyi To: Zhihui Du Sent: Saturday, October 30, 2004 5:55 PM Subject: Re: 请教mpi 我是严格按照mpich的要求进行的， 1。使用管理员权限在两机器上新建同一个名称的用户及相同的口令 2。分别在上面的两用户里安装mpich,然后mpiregister ,用户名和口令同 3。同一名称的盘符共享 4。mpiconfig,显示了对方的mpich 的版本号，说明已找到。 5。运行mpi程序 这样还是没有用，我们这边在windows系统下进行的很少有人成功过 我们都在网上问这个问题 Zhihui Du <duzh@tsinghua.edu.cn> wrote: 如果仅仅是自己做实验用，就可以不要考虑太多的安全问题，把MPI程序所在的盘共享出来 让其他的机器都可以访问，按照MPICH自己的设置，你可以运行MPIREGISTER程序先注册一 下用户名和口令。 ------------------------------ Dr. Zhihui Du Department of Computer Science and Technology Tsinghua University. Beijing, 100084, P.R. China Phone:86-10-62782530 Fax:86-10-62771138 http://hpclab.cs.tsinghua.edu.cn/~duzh ----- Original Message ----- From: zhyi To: duzh@tirc.cs.tsinghua.edu.cn Sent: Friday, October 29, 2004 9:26 PM Subject: 请教mpi 都老师： 你好！ 我是南京大学系学生，现在正在用mpi进行数值并行编程， 是在windows系统下，同实验室的两台机器，总是显示登陆失败 不知怎么设置的。两台机器用的是同一用户名和相同密码，同样的注册。 希望能得到您的指点。 此致 -- ※ 来源:．南京大学小百合站 http://bbs.nju.edu.cn [FROM: 172.16.78.68] -- ※ 转寄:．南京大学小百合站 bbs.nju.edu.cn．[FROM: 202.120.20.14] -- ※ 转寄:．南京大学小百合站 bbs.nju.edu.cn．[FROM: 202.120.20.14] 一、预备工作 0. 二、下载 1. 下载mpich 三、安装 2. 用具有管理权限的帐户登陆计算机 3. 执行mpich.nt.1.2.5.exe，选择所有缺省安装 4. 在每台计算机上均执行上述过程2、3 四、配置 5. 运行配置工具 start->programs->MPICH->mpd->MPICH Configuration tool 6. 加入已经安装mpich的主机 7.点击 [Apply] 保存 8 点击 [OK] 退出 五、测试 9. 打开MSDEV工作空间文件 MPICH/SDK/examples/nt/examples.dsw 10. 编译调试该cpi 项目 11. 拷贝MPICH/SDK/examples/nt/basic/Debug/cpi.exe 到每一台机器某一共享目录。 如： c:/temp/cpi.exe 注意：确保每台机器均有同样的共享目录，并且可以互相访问！！ 12. 打开命令窗口，改变当前路径到 c:/temp 下(与前相同) 13. 执行命令 MPICH/mpd/bin/mpirun.exe -np 4 cpi 本篇文章为转载内容。原文链接：https://blog.csdn.net/yangdelong/article/details/3946113。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...运行目录、解压、设置文件权限等等），这么做的好处是把应用及其依赖封装到了一个相对封闭的环境，减少了应用对外部环境的依赖，增强了应用在各种不同环境下的行为一致性，同时也减少了应用部署时间。 镜像分层：容器镜像包是分层结构，同一个主机上的镜像层是可以在多个容器之间共享的，这个机制可以极大减少镜像更新时候拉取镜像包的时间，通常应用程序更新升级都只是更新业务层（如Java程序的jar包），而镜像中的操作系统Lib层、运行时（如Jre）层等文件不会频繁更新。因此新版本镜像实质有变化的只有很小的一部分，在更新升级时候也只会从镜像仓库拉取很小的文件，所以速度很快。 应用资源调度：资源（计算/存储/网络）都是以应用为中心的，中心体现在资源分配是按照应用粒度分配资源、资源随应用迁移。 基于上述容器技术特点，可以推导出容器技术的3大使用场景：CI/CD、提升资源利用率、弹性伸缩。这3个使用场景自然推导出通用的商业层面收益：CI/CD提升研发效率、提升资源利用率降低成本、按需弹性伸缩在体验与成本之间达成平衡。 当然，除了商业目标之外，可能还有其他一些考虑因素，如基于容器技术实现计算任务调度平台、保持团队技术先进性等。 CI/CD提升研发效率 为什么容器技术适合CI/CD CI/CD是DevOps的关键组成部分，DevOps是一套软件工程的流程，用于持续提升软件开发效率与软件交付质量。DevOps流程来源于制造业的精益生产理念，在这个领域的领头羊是丰田公司，《丰田套路》这本书总结丰田公司如何通过PDCA(Plan-Do-Check-Act)方法实施持续改进。PDCA通常也称为PDCA循环，PDCA实施过程简要描述为：确定目标状态、分析当前状态、找出与目标状态的差距、制定实施计划、实施并总结、开始下一个PDCA过程。 DevOps基本也是这么一个PDCA流程循环，很容易认知到PDCA过程中效率是关键，同一时间段内，实施更多数量的PDCA过程，收益越高。在软件开发领域的DevOps流程中，各种等待（等待编译、等待打包、等待部署等）、各种中断（部署失败、机器故障）是影响DevOps流程效率的重要因素。 容器技术出来之后，将容器技术应用到DevOps场景下，可以从技术手段消除DevOps流程中的部分等待与中断，从而大幅度提升DevOps流程中CI/CD的效率。 容器的OCI标准定义了容器镜像规范，容器镜像包与传统的压缩包(zip/tgz等)相比有两个关键区别点：1）分层存储；2）打包即部署。 分层存储可以极大减少镜像更新时候拉取镜像包的时间，通常应用程序更新升级都只是更新业务层（如Java程序的jar包），而镜像中的操作系统Lib层、运行时（如Jre）层等文件不会频繁更新。因此新版本镜像实质有变化的只有很小的一部分，在更新升级时候也只会从镜像仓库拉取很小的文件，所以速度很快。 打包即部署是指在容器镜像制作过程包含了传统软件包部署的过程（安装依赖的操作系统库或工具、创建用户、创建运行目录、解压、设置文件权限等等），这么做的好处是把应用及其依赖封装到了一个相对封闭的环境，减少了应用对外部环境的依赖，增强了应用在各种不同环境下的行为一致性，同时也减少了应用部署时间。 基于容器镜像的这些优势，容器镜像用到CI/CD场景下，可以减少CI/CD过程中的等待时间，减少因环境差异而导致的部署中断，从而提升CI/CD的效率，提升整体研发效率。 CI/CD的关键诉求与挑战 快 开发人员本地开发调试完成后，提交代码，执行构建与部署，等待部署完成后验证功能。这个等待的过程尽可能短，否则开发人员工作容易被打断，造成后果就是效率降低。如果提交代码后几秒钟就能够完成部署，那么开发人员几乎不用等待，工作也不会被打断；如果需要好几分钟或十几分钟，那么可以想象，这十几分钟就是浪费了，这时候很容易做点别的事情，那么思路又被打断了。 所以构建CI/CD环境时候，快是第一个需要考虑的因素。要达到快，除了有足够的机器资源免除排队等待，引入并行编译技术也是常用做法，如Maven3支持多核并行构建。 自定义流程 不同行业存在不同的行业规范、监管要求，各个企业有一套内部质量规范，这些要求都对软件交付流程有定制需求，如要求使用商用的代码扫描工具做安全扫描，如构建结果与企业内部通信系统对接发送消息。 在团队协同方面，不同的公司，对DevOps流程在不同团队之间分工有差异，典型的有开发者负责代码编写构建出构建物（如jar包），而部署模板、配置由运维人员负责；有的企业开发人员负责构建并部署到测试环境；有的企业开发人员直接可以部署到生产环境。这些不同的场景，对CI/CD的流程、权限管控都有定制需求。 提升资源利用率 OCI标准包含容器镜像标准与容器运行时标准两部分，容器运行时标准聚焦在定义如何将镜像包从镜像仓库拉取到本地并更新、如何隔离运行时资源这些方面。得益于分层存储与打包即部署的特性，容器镜像从到镜像仓库拉取到本地运行速度非常快（通常小于30秒，依赖镜像本身大小等因素），基于此可以实现按需分配容器运行时资源（cpu与内存），并限定单个容器资源用量；然后根据容器进程资源使用率设定弹性伸缩规则，实现自动的弹性伸缩。 这种方式相对于传统的按峰值配置资源方式，可以提升资源利用率。 按需弹性伸缩在体验与成本之间达成平衡 联动弹性伸缩 应用运行到容器，按需分配资源之后，理想情况下，Kubernetes的池子里没有空闲的资源。这时候扩容应用实例数，新扩容的实例会因资源不足调度失败。这时候需要资源池能自动扩容，加入新的虚拟机，调度新扩容的应用。 由于应用对资源的配比与Flavor有要求，因此新加入的虚拟机，应当是与应用所需要的资源配比与Flavor一致的。缩容也是类似。 弹性伸缩还有一个诉求点是“平滑”，对业务做到不感知，也称为“优雅”扩容/缩容。 请求风暴 上面提到的弹性伸缩一般是有计划或缓慢增压的场景，存在另外一种无法预期的请求风暴场景，这种场景的特征是无法预测、突然请求量增大数倍或数十倍、持续时间短。典型的例子如行情交易系统，当行情突变的时候，用户访问量徒增，持续几十分钟或一个小时。 这种场景的弹性诉求，要求短时间内能将资源池扩大数倍，关键是速度要快（秒级），否则会来不及扩容，系统已经被冲垮（如果无限流的话）。 目前基于 Virtual Kubelet 与云厂家的 Serverless 容器，理论上可以提供应对请求风暴的方案。不过在具体实施时候，需要考虑传统托管式Kubernetes容器管理平台与Serverless容器之间互通的问题，需要基于具体厂家提供的能力来评估。 基于容器技术实现计算调度平台 计算（大数据/AI训练等）场景的特征是短时间内需要大量算力，算完即释放。容器的环境一致性以及调度便利性适合这种场景。 技术选型 容器技术是属于基础设施范围，但是与传统虚拟化技术（Xen/KVM）比较，容器技术是应用虚拟化，不是纯粹的资源虚拟化，与传统虚拟化存在差异。在容器技术选型时候，需要结合当前团队在应用管理与资源管理的现状，对照容器技术与虚拟化技术的差异，选择最合适的容器技术栈。 什么是容器技术 (1)容器是一种轻量化的应用虚拟化技术。 在讨论具体的容器技术栈的时候，先介绍目前几种常用的应用虚拟化技术，当前有3种主流的应用虚拟化技术: LXC，MicroVM，UniKernel（LibOS）。 LXC: Linux Container，通过 Linux的 namespace/cgroups/chroot 等技术隔离进程资源，目前应用最广的docker就是基于LXC实现应用虚拟化的。 MicroVM: MicroVM 介于 传统的VM 与 LXC之间，隔离性比LXC好，但是比传统的VM要轻量，轻量体现在体积小（几M到几十M）、启动快（小于1s）。 AWS Firecracker 就是一种MicroVM的实现，用于AWS的Serverless计算领域，Serverless要求启动快，租户之间隔离性好。 UniKernel: 是一种专用的（特定编程语言技术栈专用）、单地址空间、使用 library OS 构建出来的镜像。UniKernel要解决的问题是减少应用软件的技术栈层次，现代软件层次太多导致越来越臃肿：硬件+HostOS+虚拟化模拟+GuestOS+APP。UniKernel目标是：硬件+HostOS+虚拟化模拟+APP-with-libos。 三种技术对比表： 开销 体积 启动速度 隔离/安全 生态 LXC 低（几乎为0） 小 快（等同进程启动） 差（内核共享） 好 MicroVM 高 大 慢(小于1s) 好 中（Kata项目） UniKernel 中 中 中 好 差 根据上述对比来看，LXC是应用虚拟化首选的技术，如果LXC无法满足隔离性要，则可以考虑MicroVM这种技术。当前社区已经在着手融合LXC与MicroVM这两种技术，从应用打包/发布调度/运行层面统一规范，Kubernetes集成Kata支持混合应用调度特性可以了解一下。 UniKernel 在应用生态方面相对比较落后，目前在追赶中，目前通过 linuxkit 工具可以在UniKernel应用镜像中使用docker镜像。这种方式笔者还未验证过，另外docker镜像运行起来之后，如何监控目前还未知。 从上述三种应用虚拟化技术对比，可以得出结论: （2)容器技术与传统虚拟化技术不断融合中。 再从规范视角来看容器技术，可以将容器技术定义为: (3)容器=OCI+CRI+辅助工具。 OCI规范包含两部分，镜像规范与运行时规范。简要的说，要实现一个OCI的规范，需要能够下载镜像并解压镜像到文件系统上组成成一个文件目录结构，运行时工具能够理解这个目录结构并基于此目录结构管理（创建/启动/停止/删除）进程。 容器(container)的技术构成就是实现OCI规范的技术集合。 对于不同的操作系统（Linux/Windows），OCI规范的实现技术不同，当前docker的实现，支持Windows与Linux与MacOS操作系统。当前使用最广的是Linux系统，OCI的实现，在Linux上组成容器的主要技术： chroot: 通过分层文件系统堆叠出容器进程的rootfs，然后通过chroot设置容器进程的根文件系统为堆叠出的rootfs。 cgroups: 通过cgroups技术隔离容器进程的cpu/内存资源。 namesapce: 通过pid, uts, mount, network, user namesapce 分别隔离容器进程的进程ID，时间，文件系统挂载，网络，用户资源。 网络虚拟化: 容器进程被放置到独立的网络命名空间，通过Linux网络虚拟化veth, macvlan, bridge等技术连接主机网络与容器虚拟网络。 存储驱动: 本地文件系统，使用容器镜像分层文件堆叠的各种实现驱动，当前推荐的是overlay2。 广义的容器还包含容器编排，即当下很火热的Kubernetes。Kubernetes为了把控容器调度的生态，发布了CRI规范，通过CRI规范解耦Kubelet与容器，只要实现了CRI接口，都可以与Kubelet交互，从而被Kubernetes调度。OCI规范的容器实现与CRI标准接口对接的实现是CRI-O。 辅助工具用户构建镜像，验证镜像签名，管理存储卷等。 容器定义 容器是一种轻量化的应用虚拟化技术。 容器=OCI+CRI+辅助工具。 容器技术与传统虚拟化技术不断融合中。 什么是容器编排与调度 选择了应用虚拟化技术之后，还需要应用调度编排，当前Kubernetes是容器领域内编排的事实标准，不管使用何种应用虚拟化技术，都已经纳入到了Kubernetes治理框架中。 Kubernetes 通过 CRI 接口规范，将应用编排与应用虚拟化实现解耦：不管使用何种应用虚拟化技术（LXC, MicroVM, LibOS），都能够通过Kubernetes统一编排。 当前使用最多的是docker，其次是cri-o。docker与crio结合kata-runtime都能够支持多种应用虚拟化技术混合编排的场景，如LXC与MicroVM混合编排。 docker(now): Moby 公司贡献的 docker 相关部件，当前主流使用的模式。 docker(daemon) 提供对外访问的API与CLI(docker client) containerd 提供与 kubelet 对接的 CRI 接口实现 shim负责将Pod桥接到Host namespace。 cri-o: 由 RedHat/Intel/SUSE/IBM/Hyper 公司贡献的实现了CRI接口的符合OCI规范的运行时，当前包括 runc 与 kata-runtime ，也就是说使用 cir-o 可以同时运行LXC容器与MicroVM容器，具体在Kata介绍中有详细说明。 CRI-O: 实现了CRI接口的进程，与 kubelet 交互 crictl: 类似 docker 的命令行工具 conmon: Pod监控进程 other cri runtimes: 其他的一些cri实现，目前没有大规模应用到生产环境。 容器与传统虚拟化差异 容器(container)的技术构成 前面主要讲到的是容器与编排，包括CRI接口的各种实现，我们把容器领域的规范归纳为南向与北向两部分，CRI属于北向接口规范，对接编排系统，OCI就属于南向接口规范，实现应用虚拟化。 简单来讲，可以这么定义容器： 容器(container) ~= 应用打包(build) + 应用分发(ship) + 应用运行/资源隔离(run)。 build-ship-run 的内容都被定义到了OCI规范中，因此也可以这么定义容器： 容器(container) == OCI规范 OCI规范包含两部分，镜像规范与运行时规范。简要的说，要实现一个OCI的规范，需要能够下载镜像并解压镜像到文件系统上组成成一个文件目录结构，运行时工具能够理解这个目录结构并基于此目录结构管理（创建/启动/停止/删除）进程。 容器(container)的技术构成就是实现OCI规范的技术集合。 对于不同的操作系统（Linux/Windows），OCI规范的实现技术不同，当前docker的实现，支持Windows与Linux与MacOS操作系统。当前使用最广的是Linux系统，OCI的实现，在Linux上组成容器的主要技术： chroot: 通过分层文件系统堆叠出容器进程的rootfs，然后通过chroot设置容器进程的根文件系统为堆叠出的rootfs。 cgroups: 通过cgroups技术隔离容器进程的cpu/内存资源。 namesapce: 通过pid, uts, mount, network, user namesapce 分别隔离容器进程的进程ID，时间，文件系统挂载，网络，用户资源。 网络虚拟化: 容器进程被放置到独立的网络命名空间，通过Linux网络虚拟化veth, macvlan, bridge等技术连接主机网络与容器虚拟网络。 存储驱动: 本地文件系统，使用容器镜像分层文件堆叠的各种实现驱动，当前推荐的是overlay2。 广义的容器还包含容器编排，即当下很火热的Kubernetes。Kubernetes为了把控容器调度的生态，发布了CRI规范，通过CRI规范解耦Kubelet与容器，只要实现了CRI接口，都可以与Kubelet交互，从而被Kubernetes调度。OCI规范的容器实现与CRI标准接口对接的实现是CRI-O。 容器与虚拟机差异对比 容器与虚拟机的差异可以总结为2点：应用打包与分发的差异，应用资源隔离的差异。当然，导致这两点差异的根基是容器是以应用为中心来设计的，而虚拟化是以资源为中心来设计的，本文对比容器与虚拟机的差异，更多的是站在应用视角来对比。 从3个方面对比差异：资源隔离，应用打包与分发，延伸的日志/监控/DFX差异。 1.资源隔离 隔离机制差异 容器 虚拟化 mem/cpu cgroup, 使用时候设定 require 与 limit 值 QEMU, KVM network Linux网络虚拟化技术(veth,tap,bridge,macvlan,ipvlan), 跨虚拟机或出公网访问:SNAT/DNAT, service转发:iptables/ipvs, SR-IOV Linux网络虚拟化技术(veth,tap,bridge,macvlan,ipvlan), QEMU, SR-IOV storage 本地存储: 容器存储驱动 本地存储：virtio-blk 差异引入问题与实践建议 应用程序未适配 cgroup 的内存隔离导致问题: 典型的是 JVM 虚拟机，在 JVM 启动时候会根据系统内存自动设置 MaxHeapSize 值，通常是系统内存的1/4，但是 JVM 并未考虑 cgroup 场景，读系统内存时候任然读取主机的内存来设置 MaxHeapSize，这样会导致内存超过 cgroup 限制从而导致进程被 kill 。问题详细阐述与解决建议参考Java inside docker: What you must know to not FAIL。 多次网络虚拟化问题: 如果在虚拟机内使用容器，会多一层网络虚拟化，并加入了SNAT/DNAT技术, iptables/ipvs技术，对网络吞吐量与时延都有影响（具体依赖容器网络方案），对问题定位复杂度变高，同时还需要注意网络内核参数调优。 典型的网络调优参数有：转发表大小 /proc/sys/net/netfilter/nf_conntrack_max 使用iptables 作为service转发实现的时候，在转发规则较多的时候，iptables更新由于需要全量更新导致非常耗时，建议使用ipvs。详细参考[华为云在 K8S 大规模场景下的 Service 性能优化实践](https://zhuanlan.zhihu.com/p/37230013)。 容器IP地址频繁变化不固定，周边系统需要协调适配，包括基于IP地址的白名单或防火墙控制策略需要调整，CMDB记录的应用IP地址需要适配动态IP或者使用服务名替代IP地址。 存储驱动带来的性能损耗: 容器本地文件系统是通过联合文件系统方式堆叠出来的，当前主推与默认提供的是overlay2驱动，这种模式应用写本地文件系统文件或修改已有文件，使用Copy-On-Write方式，也就是会先拷贝源文件到可写层然后修改，如果这种操作非常频繁，建议使用 volume 方式。 2.应用打包与分发 应用打包/分发/调度差异 容器 虚拟化 打包 打包既部署 一般不会把应用程序与虚拟机打包在一起，通过部署系统部署应用 分发 使用镜像仓库存储与分发 使用文件存储 调度运行 使用K8S亲和/反亲和调度策略 使用部署系统的调度能力 差异引入问题与实践建议 部署提前到构建阶段，应用需要支持动态配置与静态程序分离；如果在传统部署脚本中依赖外部动态配置，这部分需要做一些调整。 打包格式发生变化，制作容器镜像需要注意安全/效率因素，可参考Dockerfile最佳实践 容器镜像存储与分发是按layer来组织的，镜像在传输过程中放篡改的方式是传统软件包有差异。 3.监控/日志/DFX 差异 容器 虚拟化 监控 cpu/mem的资源上限是cgroup定义的；containerd/shim/docker-daemon等进程的监控 传统进程监控 日志采集 stdout/stderr日志采集方式变化；日志持久化需要挂载到volume；进程会被随机调度到其他节点导致日志需要实时采集否则分散很难定位 传统日志采集 问题定位 进程down之后自动拉起会导致问题定位现场丢失；无法停止进程来定位问题因为停止即删除实例 传统问题定位手段 差异引入问题实践与建议 使用成熟的监控工具，运行在docker中的应用使用cadvisor+prometheus实现采集与警报，cadvisor中预置了常用的监控指标项 对于docker管理进程（containerd/shim/docker-daemon）也需要一并监控 使用成熟的日志采集工具，如果已有日志采集Agent，则可以考虑将日志文件挂载到volume后由Agent采集；需要注意的是stderr/stdout输出也要一并采集 如果希望容器内应用进程退出后保留现场定位问题，则可以将Pod的restartPolicy设置为never，进程退出后进程文件都还保留着(/var/lib/docker/containers)。但是这么做的话需要进程没有及时恢复，会影响业务，需要自己实现进程重拉起。 团队配合 与周边的开发团队、架构团队、测试团队、运维团队评审并交流方案，与周边团队达成一致。 落地策略与注意事项 逐步演进过程中网络互通 根据当前已经存在的基础实施情况，选择容器化落地策略。通常使用逐步演进的方式，由于容器化引入了独立的网络namespace导致容器与传统虚拟机进程网络隔离，逐步演进过程中如何打通隔离的网络是最大的挑战。 分两种场景讨论： 不同服务集群之间使用VIP模式互通: 这种模式相对简单，基于VIP做灰度发布。 不同服务集群之间使用微服务点对点模式互通(SpringCloud/ServiceComb/Dubbo都是这一类): 这种模式相对复杂，在逐步容器化过程中，要求容器网络与传统虚拟机网络能够互通（难点是在虚拟机进程内能够直接访问到容器网络的IP地址），当前解决这个问题有几种方法。 自建Kubernetes场景，可使用开源的kube-router，kube-router 使用BGP协议实现容器网络与传统虚拟机网络之间互通，要求网络交换机支持BGP协议。 使用云厂商托管Kubernetes场景，选择云厂商提供的VPC-Router互通的网络插件，如阿里云的Terway网络插件, 华为云的Underlay网络模式。 选择物理机还是虚拟机 选择物理机运行容器还是虚拟机运行容器，需要结合基础设施与业务隔离性要求综合考虑。分两种场景：自建IDC、租用公有云。 自建IDC: 理想情况是使用物理机组成一个大集群，根据业务诉求，对资源保障与安全性要求高的应用，使用MicorVM方式隔离；普通应用使用LXC方式隔离。所有物理机在一个大集群内，方便削峰填谷提升资源利用率。 租用公有云：当前公有云厂家提供的裸金属服务价格较贵且只能包周期，使用裸金属性价比并不高，使用虚拟机更合适。 集群规模与划分 选择集群时候，是多个应用共用一个大集群，还是按应用分组分成多个小集群呢？我们把节点规模数量>=1000的定义为大集群，节点数<1000的定义为小集群。 大集群的优点是资源池共享容器，方便资源调度（削峰填谷）；缺点是随着节点数量与负载数量的增多，会引入管理性能问题（需要量化）: DNS 解析表变大，增加/删除 Service 或 增加/删除 Endpoint 导致DNS表刷新慢 K8S Service 转发表变大，导致工作负载增加/删除刷新iptables/ipvs记录变慢 etcd 存储空间变大，如果加上ConfigMap，可能导致 etcd 访问时延增加 小集群的优点是不会有管理性能问题，缺点是会导致资源碎片化，不容易共享。共享分两种情况: 应用之间削峰填谷：目前无法实现 计算任务与应用之间削峰填谷：由于计算任务是短时任务，可以通过上层的任务调度软件，在多个集群之间分发计算任务，从而达到集群之间资源共享的目的。 选择集群规模的时候，可以参考上述分析，结合实际情况选择适合的集群划分。 Helm? Helm是为了解决K8S管理对象散碎的问题，在K8S中并没有"应用"的概念，只有一个个散的对象(Deployment, ConfigMap, Service, etc)，而一个"应用"是多个对象组合起来的，且这些对象之间还可能存在一定的版本配套关系。 Helm 通过将K8S多个对象打包为一个包并标注版本号形成一个"应用"，通过 Helm 管理进程部署/升级这个"应用"。这种方式解决了一些问题（应用分发更方便）同时也引入了一些问题（引入Helm增加应用发布/管理复杂度、在K8S修改了对象后如何同步到Helm）。对于是否需要使用Helm，建议如下： 在自运维模式下不使用Helm: 自运维模式下，很多场景是开发团队交付一个运行包，运维团队负责部署与配置下发，内部通过兼容性或软件包与配置版本配套清单、管理软件包与配置的配套关系。 在交付软件包模式下使用Helm: 交付软件包模式下，Helm 这种把散碎组件组装为一个应用的模式比较适合，使用Helm实现软件包分发/部署/升级场比较简单。 Reference DOCKER vs LXC vs VIRTUAL MACHINES Cgroup与LXC简介 Introducing Container Runtime Interface (CRI) in Kubernetes frakti rkt appc-spec OCI 和 runc：容器标准化和 docker Linux 容器技术史话：从 chroot 到未来 Linux Namespace和Cgroup Java inside docker: What you must know to not FAIL QEMU,KVM及QEMU-KVM介绍 kvm libvirt qemu实践系列(一)-kvm介绍 KVM 介绍（4）：I/O 设备直接分配和 SR-IOV [KVM PCI/PCIe Pass-Through SR-IOV] prometheus-book 到底什么是Unikernel？ The Rise and Fall of the Operating System The Design and Implementation of the Anykernel and Rump Kernels UniKernel Unikernel：从不入门到入门 OSv 京东如何打造K8s全球最大集群支撑万亿电商交易 Cloud Native App Hub 更多云最佳实践 https://best.practices.cloud 本篇文章为转载内容。原文链接：https://blog.csdn.net/sinat_33155975/article/details/118013855。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...： 1. 我们在配置文件中没有正确地添加我们需要映射的实体类。 2. 我们的实体类定义存在错误，例如缺少必要的注解或者字段定义不正确等。 3. Hibernate的缓存没有正确地工作，导致其无法找到我们所需要的实体类。 三、解决方案 针对以上的情况，我们可以通过以下几种方式来解决问题： 1. 添加实体类到配置文件 首先，我们需要确保我们的实体类已经被正确地添加到了Hibernate的配置文件中。如果咱现在用的是XML配置文件这种方式，那就得在那个"class"标签里头，明确指定咱们的实体类。例如： php-template 如果我们使用的是Java配置文件，那么我们需要在@EntityScan注解中指定我们的实体类所在的包。例如： less @EntityScan("com.example") public class MyConfig { // ... } 2. 检查实体类定义 其次，我们需要检查我们的实体类定义是否存在错误。比如，咱们得保证咱们的实体类已经妥妥地标记上了@Entity这个小标签，而且，所有的属性都分配了正确的数据类型和相对应的注解，一个都不能少。此外，我们还需要确保我们的实体类实现了Serializable接口。 例如： java @Entity public class MyEntity implements Serializable { private Long id; private String name; // getters and setters } 3. 调整Hibernate缓存设置 最后，我们需要确保Hibernate的缓存已经正确地工作。如果我们的缓存没整对，Hibernate可能就抓不到我们想要的那个实体类了。我们可以通过调整Hibernate的缓存设置来解决这个问题。例如，我们可以禁用Hibernate的二级缓存，或者调整Hibernate的查询缓存策略。 例如： java Configuration cfg = new Configuration(); cfg.setProperty("hibernate.cache.use_second_level_cache", "false"); SessionFactory sessionFactory = cfg.buildSessionFactory(); 四、结论 总的来说，“org.hibernate.MappingException: Unknown entity”是一种常见的Hibernate错误，主要是由于我们的实体类定义存在问题或者是Hibernate的缓存设置不当导致的。根据以上提到的解决方法，咱们应该能顺顺利利地搞定这个问题，这样一来，咱就能更溜地用Hibernate来操作数据啦。同时，咱们也得留意到，Hibernate出错其实就像咱编程过程中的一个预警小喇叭，它在告诉我们：嗨，伙计们，你们的设计或者代码可能有需要打磨的地方啦！这正是我们深入检查代码、优化系统设计的好时机，这样一来，咱们的编程质量和效率才能更上一层楼。

...现策略 (a) 配置文件控制 首先，最基础的方式是通过配置数据库连接参数，让不同的用户角色使用不同的数据库账号登录，每个账号具有相应的权限限制。在Hibernate的hibernate.cfg.xml配置文件中，我们可以设置如下： xml admin secret (b) 动态SQL与拦截器 对于更复杂的场景，可以通过自定义拦截器或者HQL动态SQL来实现权限过滤。例如，当我们查询用户信息时，可以添加一个拦截器判断当前登录用户是否有权查看其他用户的数据： java public class AuthorizationInterceptor extends EmptyInterceptor { @Override public String onPrepareStatement(String sql) { // 获取当前登录用户ID Long currentUserId = getCurrentUserId(); return super.onPrepareStatement(sql + " WHERE user_id = " + currentUserId); } } (c) 数据库视图与存储过程 另外，还可以结合数据库自身的安全性机制，如创建只读视图或封装权限控制逻辑于存储过程中。Hibernate照样能搞定映射视图或者调用存储过程来干活儿，这样一来，我们就能在数据库这一层面对权限实现滴水不漏的管控啦。 5. 实践中的思考与挑战 尽管Hibernate提供了多种方式实现权限控制，但在实际应用中仍需谨慎对待。比如，你要是太过于依赖那个拦截器，就像是把所有鸡蛋放在一个篮子里，代码的侵入性就会蹭蹭上涨，维护起来能让你头疼到怀疑人生。而如果选择直接在数据库层面动手脚做权限控制，虽然听起来挺高效，但特别是在那些视图或者存储过程复杂得让人眼花缭乱的情况下，性能可是会大打折扣的。 因此，在设计权限控制系统时，我们需要根据系统的具体需求，结合Hibernate的功能特性以及数据库的安全机制，综合考虑并灵活运用各种策略，以达到既能保证数据安全，又能优化性能的目标。 6. 结语 总之，数据库表访问权限管理是构建健壮企业应用的关键一环，Hibernate作为 ORM 框架虽然不能直接提供全面的权限控制功能，但通过合理利用其扩展性和与数据库的良好配合，我们可以实现灵活且高效的权限控制方案。在这个历程里，理解、探索和实践就像是我们不断升级打怪的“能量饮料”，让我们一起在这场技术的大冒险中并肩前进，勇往直前。

...grub/grub.cfg 1.3 创建USB-FDD或者USB-ZIP格式U盘步骤 1）Android上：dd if=/dev/zero of=/dev/block/sda bs=512 count=4 2）Windows上：快速格式化该U盘，这个U盘就只有PBR扇区而没有MBR扇区 2 Windows安装 2.1 BIOS设置 进入BIOS设置，一般有Del、Enter、Esc等键。 2.2 Windows ISO刻录方法 Windows上的Universal USB Installer工具软件：刻录操作系统ISO文件到U盘 Linux下将操作系统ISO文件刻录到U盘：dd if=xxx.iso of=/dev/sda 注意使用的是整个磁盘，所以用的是sda而不是sda1 2.3 Windows GHO镜像安装方法 - 比较常见 1) 制作PE启动U盘 2) 下载Windows ISO镜像后（番茄花园），解压出来，里面包含GHO文件，拷贝到PE启动U盘的GHO文件夹（或者提前将文件.gho拷贝入待装系统的电脑D盘根目录）。 3) 插入PE启动U盘到电脑USB 2.0口，选择从U盘启动，启动到PE界面后，选ghost方式安装，ghost镜像的后缀名.gho。 2.4 Printer 1）HP LaserJet M1005 MFP 2）Nantian PR9 并口-OKI仿真驱动 2.5 Disable Driver Signature bcdedit /set testsigning on bcdedit /set testsigning off 3 Windows网络 3.1 CMD方式配置IP地址 :: netsh: Network Shell @echo off if [%1] == [] ( echo "Usage:" echo "WIN_IP.bat static" echo "WIN_IP.bat dhcp" echo "WIN_IP.bat speed" goto :EOF ) if %1 == static ( call :static_ip ) else if %1 == dhcp ( call :dhcp_ip ) else if %1 == speed ( call :nic_speed ) goto :EOF :: get interface name, use the following command :: getmac /V /FO LIST :static_ip set name="Ethernet" set ip=192.168.0.100 set mask=255.255.255.0 :: gwmetric=1 echo "setting static ip address..." netsh interface ipv4 set address %name% static %ip% %mask% none 1 :: netsh interface ipv4 set dns %name% static 114.114.114.114 :: netsh interface ipv4 add dns %name% 8.8.8.8 goto :EOF :dhcp_ip set name="Ethernet" echo "setting dhcp..." netsh interface ipv4 set address %name% dhcp netsh interface ipv4 set dns %name% dhcp goto :EOF :nic_speed wmic NIC where NetEnabled=true get Name, Speed 3.2 DNS查询流程 1) 现有的DNS缓存 ipconfig /displaydns 2) 查询hosts文件 C:\Windows\System32\drivers\etc\hosts 3) 请求发往DNS服务器 ipconfig /all 3.3 firewall appwiz.cpl msconfig wf.msc Inbound Rules and Outbound Rules Enable 4 File and Printer Sharing (Echo Request - ICMPv4-Out) netsh advfirewall firewall add rule name="UDP ports" protocol=UDP dir=in localport=8080 action=allow https://github.com/DynamoRIO/drmemory/wiki/Downloads 3.4 Multicast - Windows组播client需要使用setsockopt()设置IP_ADD_MEMBERSHIP（加入指定的组播组）才能接收组播server发送的数据。 - 组播MAC地址是指第一个字节的最低位是1的MAC地址。 - 组播MAC地址的前3个字节固定为01:00:5e，后3个字节使用组播IP的后23位。例如239.192.255.251的MAC地址为01:00:5e:40:ff:fb。 - Windows 10 Wireshark要抓取SOME/IP组播报文，需要使用SocketTool工具监听239.192.255.251:30490，然后Wireshark才会显示组播报文，否则不显示（Windows netmon不需要任何设置，就可以抓到全部报文）。 netsh interface ip show joins Win 10 PowerShell: Get-NetAdapter | Format-List -Property ifAlias,PromiscuousMode In Linux, map IP addr to multicast MAC is function ip_eth_mc_map(), kernel eventually calls driver ndo_set_rx_mode() to set multicast MAC to NIC RX MAC filter table. 3.5 NAT 查看当前机器的NAT端口代理表： netsh interface portproxy show all 1) 第三方软件PortTunnel。 2) ICS（Internet Connection Sharing）是NAT的简化版。 3) showcase: USB Reverse Tethering 3.6 route命令用法 route [-f] [-p] [command [destination] [mask netmask] [gateway] [metric metric] [if interface]] route print ::增加一条到192.168.0.10/24网络的路由，网关是192.168.0.1，最后一个if参数是数字，可以使用route print查询，类似于Android的NetId。 route add 192.168.0.0 mask 255.255.255.0 192.168.0.1 metric 1 if 11 ::删除192.168.0.10这条路由 route delete 192.168.0.0 3.7 VLAN PowerShell Get-NetAdapter PowerShell Set-NetAdapterAdvancedProperty -Name \"Ethernet 3\" -DisplayName \"VLAN ID\" -DisplayValue 24 PowerShell Reset-NetAdapterAdvancedProperty -Name \"Ethernet 3\" -DisplayName \"VLAN ID\" 3.8 WiFi AP 1) get password netsh wlan show profiles netsh wlan show profiles name="FAST_ABCD" key=clear 2) enable Soft AP netsh wlan show drivers ::netsh wlan set hostednetwork mode=allow netsh wlan set hostednetwork mode=allow ssid=myWIFI key=12345678 netsh wlan start hostednetwork ::netsh wlan stop hostednetwork 3.9 Malicious software Task Manager Find process name, open file location, remove xxx.exe, rename empty xxx.txt to xxx.exe 4 Office 4.1 Excel Insert Symbol More Symbols Wingdings 2 4.2 Outlook 4.2.1 邮箱清理 点击 自己的邮件名字 Data File Properties（数据文件属性） Folder Size（文件夹大小） Server Data（服务器数据） 从左下角“导航选项”中切换到“日历” View（视图） Change View（更改视图） List（列表） 删除“日历”中过期的项目。 Calendar (Left Bottom) - View (Change View to Calendar) - Choose Menu Month 4.2.2 TCAM filter rule Home - ... - Rules - Create Rule (Manage Rules & Alerts) - Title 4.3 Powerpoint画图 插入 - > 形状 Insert - > Shapes 4.4 Word 升级目录 [References][Update Table] 5 Sprax EA 5.1 Basic Design - Toolbox Message/Argument/Return Value Publish - Save - Save to Clipboard 5.2 Advanced Copy/Paste - Copy to Clipboard - Full Structure for Duplication Copy/Paste - Paste Package from Clipboard 6 USB Win7 CMD: wmic path Win32_PnPSignedDriver | find "Android" wmic path Win32_PnPSignedDriver | find "USB" :: similar to Linux lsusb wmic path Win32_USBControllerDevice get Dependent 7 Abbreviations CAB: Capacity Approval Board NPcap: Nmap Packet Capture wmic: Windows Management Instrumentation Command-line 本篇文章为转载内容。原文链接：https://blog.csdn.net/zoosenpin/article/details/118596813。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...应用能够正确显示在宿主机的屏幕上。 xorg.conf文件 , xorg.conf是X Window System（X11）的主要配置文件，它定义了X服务器的硬件设备、输入设备、显示设备、监视器等信息。在本文上下文中，开发者需要对VirtualGL客户端中的xorg.conf文件进行调整或替换为宿主机的xorg.conf文件，以确保X服务器能正确识别和配置显卡驱动以及相关显示设备，从而解决在使用Docker扩展屏幕时出现的黑屏问题。 Xorg , Xorg是开源的X Window System的实现，作为Linux及类Unix系统的核心组件之一，负责管理图形显示和输入设备。在本文中，安装Xorg并创建相应的OpenGL配置文件是解决Docker扩展屏幕黑屏问题的关键步骤之一，目的是为了使容器内的图形应用能够在宿主机上正常渲染并显示出来。

...ocker容器中管理文件和目录是一项基础且重要的操作。随着容器化技术的日益成熟，不仅限于将文件夹放入容器，更涉及到数据持久化、卷管理和多容器间的数据共享等复杂场景。例如，Docker提供了-v或--volume选项用于创建数据卷，实现宿主机与容器之间的数据共享和持久化存储，即使容器被删除，数据依然得以保留。 近期，Docker推出了Compose V2版本，进一步简化了多容器应用程序的部署和管理，其中就包括对多个服务间共享文件夹的优化配置。通过在docker-compose.yml文件中定义volumes关键字，可以轻松指定不同服务间的文件夹挂载关系，这对于微服务架构中的日志共享、配置同步等需求提供了极大便利。 此外，Kubernetes作为容器编排领域的领导者，其PersistentVolume（PV）和PersistentVolumeClaim（PVC）机制为在Pod间共享文件夹提供了更为强大的解决方案。用户可以根据实际需求声明存储资源，实现跨节点甚至跨集群的数据共享。 深入理解并掌握这些高级功能，不仅可以确保在开发、测试到生产环境迁移过程中数据的一致性和完整性，更能提升容器化应用的可维护性和扩展性。对于持续关注云原生技术发展的开发者来说，不断跟进学习Docker及Kubernetes在数据管理方面的最新进展是十分必要的。

...er虚拟环境中的读写文件动作，常用到的方法是在Dockerfile中使用COPY或ADD命令，将本地文件或文件夹复制到虚拟环境中。例如： COPY /path/to/local/file /path/to/container/file 上述命令将本地路径下的文件复制到Docker虚拟环境中指定的路径下。类似地，也可以使用ADD命令完成同样的操作。 除了在Dockerfile中定义文件复制操作外，我们也可以使用Docker的volumes机制来实现虚拟环境与本地文件系统的交互。该机制可以将主机文件系统中的文件夹映射到虚拟环境的对应路径上，实现文件的双向读写。 使用volumes机制，需要在启动虚拟环境时添加相应参数，如下所示： docker run -v /host/path:/container/path -d image-name 上述命令将主机上的路径 /host/path 映射到虚拟环境中的路径 /container/path 上，实现双向文件的传输。 总的来说，Docker提供了多种文件读写的方法，根据不同场景可以选择最为适合的方法，实现高效的虚拟环境应用的开发和运行。

...ocker镜像的脚本文件。我们可以在项目根目录中新建Dockerfile文件，并增加以下内容： FROM node:14-alpine WORKDIR /usr/src/app 复制 package.json ./ RUN npm install 复制 . . 暴露 3000 命令 ["npm", "start"] 步骤三：制作Docker镜像 通过Dockerfile文件，我们可以制作对应的Docker镜像： $ docker build -t my-app . 其中，my-app是镜像名称，"."指示Dockerfile文件在当前目录下。 步骤四：运行Docker实例 通过Docker镜像，我们可以运行对应的Docker实例： $ docker run -p 3000:3000 my-app 其中，-p参数将宿主机的3000端口绑定到Docker实例的3000端口。 步骤五：利用Docker Compose 为了实现队伍需要，我们可以利用Docker Compose来管理多个Docker实例。我们可以在项目根目录中新建docker-compose.yml文件，并增加以下内容： version: '3' services: app: build: . ports: - '3000:3000' 通过以下命令运行多个Docker实例： $ docker-compose up -d 通过以上步骤，我们可以快速制作Docker环境来实现队伍的需求，简化管理和协作。

...引擎、配置信息、数据文件等内容。在多实例或多服务器环境下，每个MySQL实例都是一个独立的服务进程，具有各自的系统资源和数据库内容。 basedir , 在MySQL中，basedir（基础目录）是一个配置变量，用于指定MySQL软件的安装根目录。通过查询basedir，可以得知MySQL所有主要程序、库文件、配置文件以及数据目录等关键路径的位置，这对于进行MySQL维护、故障排查以及管理非常重要。 root用户 , 在MySQL数据库系统中，root用户是预定义的超级管理员账户，拥有对MySQL服务器的最高权限。它可以执行包括创建新用户、修改数据库结构、备份与恢复数据等在内的所有数据库操作。为了保障数据库安全，通常需要为root用户设置强密码，并谨慎使用其权限。 SHOW VARIABLES , SHOW VARIABLES是MySQL提供的一种系统状态查看语句，用于显示当前MySQL会话或全局范围内的系统变量值。在本文情境中，通过执行SHOW VARIABLES WHERE Variable_Name LIKE %basedir ;命令，可以获取MySQL实例的安装基础目录信息。

...输出和标准错误都是与主机联系的通道（pipe），可以通过Docker供给的日志指令来取得。 取得虚拟机的标准输出日志 docker logs [虚拟机名/虚拟机ID] 取得虚拟机的标准错误日志 docker logs [虚拟机名/虚拟机ID] 2>&1 上述指令中，“2>&1”表示将标准错误输出流重定向到标准输出流，这样就可以同时取得虚拟机的标准输出和标准错误日志。 如果我们需要取得虚拟机的即时日志，可以使用“-f”选项，这样就可以一直查看虚拟机的最近日志。 即时查看虚拟机的日志 docker logs -f [虚拟机名/虚拟机ID] 除了取得虚拟机的日志外，我们还可以执行日志的保存。Docker支撑将虚拟机的日志写入文件或者第三方日志平台。 在将虚拟机的日志写入文件时，可以使用“-a”选项来指定日志文件的位置，这样就可以将日志写入指定的文件中。 将虚拟机的日志写入文件 docker logs [虚拟机名/虚拟机ID] -a >[日志文件位置] 如果我们需要将虚拟机的日志发送到第三方日志平台，可以使用Docker供给的“logging driver”执行配置。 配置使用syslog输出虚拟机的日志 docker run --log-driver=syslog [虚拟机名/虚拟机ID] “logging driver”支撑多种日志平台，包括syslog、fluentd、logstash等。 总结一下，Docker的日志机制供给了很多方便的处理指令和保存方式，我们可以根据自己的需求灵活地执行配置。

...rfile是一个文本文件，用于定义如何构建一个Docker镜像。在文章中，用户编写了一个Dockerfile来指定基础镜像（这里是Node.js版本10）、执行命令（如全局安装npm）、设置工作目录、复制项目文件并安装依赖项等步骤，最终生成一个包含了完整NPM环境的自定义Docker镜像。通过Dockerfile，开发者能够以自动化的方式重复构建相同配置的环境，确保了环境的一致性和可移植性。 容器 , 在本文语境下，容器是一种轻量级、可执行的软件打包单元，由Docker创建和管理。容器内包含了运行应用程序所需的所有依赖和服务，与宿主机系统和其他容器之间相互隔离。文中提到的启动mynpm容器就是在运行一个包含了NPM环境的独立实例，这个容器内的环境与宿主机或其他容器互不影响，具有很高的隔离性和资源利用率。

...户将多个Docker主机作为一个单一的虚拟Docker引擎进行管理。在本文语境中，通过使用Docker Swarm，可以实现资源（如CPU、内存和网络带宽）在多个容器间的自动化分配，从而有效缓解资源竞争导致的性能下降问题。 存储卷（Volume） , 在Docker环境中，存储卷是一种持久化数据存储机制，使得容器内部的数据能够独立于容器生命周期之外，即使容器被删除或重启，存储卷中的数据也能得以保留。文中提到，大量使用存储卷可能会对Docker性能产生负面影响，建议减少不必要的存储卷，并考虑使用网络存储卷以优化存储效率。 Docker镜像（Image） , Docker镜像是创建Docker容器的基础模板，包含了运行应用所需的所有文件系统结构和依赖库。在实际应用中，下载和使用大量的Docker镜像会占用较多存储空间和网络带宽，可能导致容器启动时间变长。为了解决这个问题，文章提倡避免不必要的镜像使用，并建议构建基于Dockerfile的自定义镜像，以便更高效地管理和优化容器的启动与运行过程。

...取root权限、更改文件系统读写状态、拉取和推送hosts文件等操作，是开发者在调试阶段对Android设备进行深度控制的重要手段。 root权限 , 在Linux或类Unix系统（包括Android系统）中，root权限指的是最高级别的系统权限，拥有此权限的用户可以访问和修改系统中的任何文件和设置。在本文场景下，为了能够修改系统级的hosts文件，手机必须先获得root权限，这样才能执行后续的adb remount及文件替换操作。 hosts文件 , hosts文件是操作系统中一个配置文件，用于定义IP地址和主机名之间的映射关系。当设备发起DNS查询时，系统会首先检查hosts文件中的条目来解析域名。在多环境调试背景下，通过修改hosts文件，开发者可以让相同的域名指向不同的服务器IP地址，以便于在同一设备上测试不同环境下的应用行为。 DNS over HTTPS (DoH) , DNS over HTTPS是一种安全的域名解析协议，它通过HTTPS协议加密传输DNS查询请求和响应，以增强用户的隐私保护和数据安全性。虽然文章中未直接提到DoH，但在讨论替代hosts文件修改方法时，这是一种现代网络技术解决方案，允许开发者在保证域名解析安全的同时实现灵活的服务器切换。

...式存储数据，并通过预定义的关系来组织和管理这些数据。在MySQL中，数据以行和列的形式存在，且不同表之间可通过主键与外键关联，形成复杂的数据关系网，支持SQL语句进行查询、更新等操作。 SSH连接 , SSH（Secure Shell）连接是一种网络协议，提供加密的网络服务，允许用户在不安全的网络环境中安全地远程登录到另一台计算机并执行命令或传输文件。在MySQL连接场景下，SSH连接用于通过建立安全隧道，使得本地应用程序能够通过加密通道访问位于远程服务器上的MySQL数据库，从而保护数据在传输过程中的安全性。 SSH隧道 , SSH隧道是SSH协议的一种高级应用，通过已建立的安全SSH连接创建一个点对点的加密通道，使原本直接暴露在网络中的服务可以通过这个加密隧道进行通信。在MySQL的SSH连接方式中，SSH隧道将本地端口映射到远程MySQL服务器的3306端口上，所有发送至本地端口的数据都会被加密并通过SSH连接转发至远程服务器，从而实现对远程MySQL数据库的安全访问。

... 虚拟机的同时，将宿主机 /data/nginx 目录挂载到虚拟机内部的 /etc/nginx 目录。这样就能够通过宿主机的 /data/nginx 目录来读取虚拟机内的 /etc/nginx 目录。然而有时，挂载情况会出现问题，接下来来讲解一些常见的挂载情况。 1. No such file or directory $ docker run -v /host:/data myimage 上述代码在执行时报错，报错信息是 No such file or directory。这是因为在 Docker 虚拟机中 /host 目录不存在，因此 Docker 不能挂载 /host 目录到虚拟机内部的 /data 目录。 2. Permission denied $ docker run -v /root:/data myimage 上述代码在执行时报错，报错信息是 Permission denied。这是因为默认情况下，Docker 挂载本地目录到虚拟机内部时，会采用虚拟机内的没有 root 权限的用户来读取挂载目录，然而 /root 目录是只有 root 用户才能读取的，因此会出现 Permission denied 的错误。解决该问题的方法是，在运行 Docker 命令时采用 -u 参数来指定虚拟机内的用户。 3. Readonly file system $ docker run --read-only -v /data:/data myimage 上述代码在执行时报错，报错信息是 Readonly file system。这是因为 Docker 在运行时采用只读文件系统，因此挂载目录的读取权限是只读的，不能对挂载目录进行写入操作。如果需要对挂载目录进行写入操作，需要在 Dockerfile 中采用 VOLUME 指令来显式定义挂载的目录。 总结 Docker 挂载情况是 Docker 安装应用时时常遇到的问题，本文讲解了一些常见的挂载情况及解决方法。在实际应用中，需要根据实际情况来选择合适的挂载方式，保证 Docker 虚拟机正常运行。

...U资源，用户能够通过定义任务定义文件轻松指定所需GPU资源，并在Docker容器内运行CUDA优化的应用程序。 更进一步地，对于那些寻求深入理解Docker容器如何透明访问GPU以及如何优化容器内GPU资源分配的技术人员，NVIDIA官方文档和社区论坛提供了丰富的实践指南和技术解读。例如，一篇名为“Docker容器中的GPU虚拟化：从理论到实战”的技术博客，详尽剖析了Docker与GPU硬件交互的底层机制，以及如何借助NVIDIA Container Toolkit实现跨平台、跨架构的GPU容器化解决方案。 总之，随着技术发展和行业需求的变化，Docker与GPU的融合运用将更加广泛且深入，为AI、大数据处理等领域带来更高的计算效率和更灵活的部署方式。持续跟踪相关领域的最新研究成果和技术动态，无疑将帮助广大开发者更好地掌握这一关键技术，推动业务创新与发展。

...虚拟环境，并在不同的主机上进行快速转移。同时，Docker还提供快速的虚拟环境拷贝和自动调度，可以帮助用户提高应用的扩展性和稳定性。 示例：启动一个简单的Nginx虚拟环境 docker run -d -p 80:80 --name mynginx nginx 上述命令会从Docker Hub上获取最新版的Nginx映像，并在后台启动一个名为“mynginx”的虚拟环境，将虚拟环境的80端口映射到主机的80端口上。用户可以通过主机的IP地址或域名访问该Nginx虚拟环境。 除了使用Docker Hub上的公共映像外，用户还可以使用Dockerfile自己创建映像。Dockerfile是一个文本文件，其中包含了创建Docker映像所需要的命令和参数。用户可以通过Dockerfile自定义自己的Docker映像，并通过docker build命令来创建映像。 示例：使用Dockerfile创建一个简单的Java Web应用映像 新建一个名为“myjavaapp”的目录，并在该目录下新建一个名为“Dockerfile”的文件 FROM tomcat:8.5.60-jdk8-openjdk-slim-buster COPY ./myapp.war /usr/local/tomcat/webapps/ 上述Dockerfile基于Tomcat 8.5.60-jdk8-openjdk-slim-buster映像创建映像。将myapp.war文件复制到/usr/local/tomcat/webapps/目录下，使得该Java Web应用可以在Tomcat虚拟环境中启动。 Docker已经发展成为一个庞大的生态圈，提供众多应用和技术栈的虚拟环境化，例如Kubernetes、Swarm、Mesos等。使用Docker可以优化应用的开发、安装和运维过程，提高应用的稳定性和扩展性。

...ockerfile 定义的，Dockerfile 可以认为是 Docker 容器的构建蓝图，其中描述了容器镜像的组成。以下是一个 Dockerfile 的样例： 使用 official Node.js 镜像作为父镜像 FROM node:10 设置容器启动时要运行的命令 CMD ["node", "index.js"] 将本地文件夹挂载到容器内的 /app 目录中 WORKDIR /app COPY . /app 在容器中运行 npm install 安装应用所需的依赖 RUN npm install Docker 通过镜像来封装应用程序及其所有依赖项，从而使部署变得更加简单，因为只需部署一个镜像即可。例如，如果我们需要部署一个 Node.js 应用程序，只需从 Docker Hub 中下载 Node.js 镜像，并将应用程序和 package.json 文件一起封装成一个镜像。 总之，在使用 Docker 部署应用程序时，我们只需要定义应用程序的镜像，然后将镜像部署到任何支持 Docker 的服务器上即可。这使得应用程序的部署和运行变得非常简单、可靠和可重复。

...行的一组进程，它们与主机和其他容器共享内核，但每个容器拥有自己独立的文件系统、网络配置和资源限制。容器提供了隔离且一致的运行环境，使得应用程序可以在不同环境中实现无缝迁移和快速部署。 端口映射 , 端口映射是在Docker容器与宿主机之间建立的一种网络通信机制，通过-p选项在docker run命令中指定。例如，-p 80:80表示将宿主机的80端口与容器内部的80端口进行映射，这样外部客户端可以通过访问宿主机的80端口来与容器内的服务进行通信。 Docker Compose , 尽管文章没有直接提到，但它是Docker生态中的一个重要工具，用于定义和运行多容器应用程序。通过编写一个YAML格式的docker-compose.yml文件，可以轻松地定义一组相关联的服务以及它们之间的依赖关系，然后使用一条命令来启动和协调所有容器的生命周期。 Kubernetes（简称K8s） , 虽然在给出的文章摘要中未详细阐述，但在现代云原生架构中，Kubernetes是一个流行的开源容器编排系统，它可以自动化容器应用的部署、扩展和管理。在文中提及的新版Docker优化了与Kubernetes的集成体验，意味着用户能够更加便捷地将基于Docker的容器部署到Kubernetes集群中，实现大规模容器集群的高效管理和调度。