Linux弹性云主机怎样升级内核？

• 升级须知

对于已安装Tools的Linux弹性云主机，升级内核前，需先卸载Tools，否则存在如下风险：

升级内核后，Linux弹性云主机无法识别网卡，从而导致网络不通。

升级内核后，Linux弹性云主机无法识别数据盘，从而导致系统启动挂载点异常，弹性云主机无法正常启动。

• 背景信息

PVOPS为使用Linux发行版厂商自带的xen驱动。

• 升级操作

1. 登录弹性云主机。
2. 判断Linux弹性云主机是否安装了Tools（以操作系统SUSE 11 SP1为例）。

a. 在任意目录下执行以下命令，查询弹性云主机的驱动信息，如下图所示。

lsmod | grep xen

图 查询驱动信息

b. 执行以下命令，查询驱动路径（以磁盘驱动为例），如下图所示。

modinfo xen_vbd

图 查询驱动路径

c. 查看回显，根据驱动路径中是否带有“pvdriver”字段信息，判断弹性云主机是否安装了Tools。

是，如上图所示，执行3。

否，执行4。

3. 卸载Tools。

a. 执行以下命令，切换至root用户。

su root

b. 执行以下命令，在根目录下卸载Tools。

/etc/.uvp-monitor/uninstall

                  

                    
说明
                    
卸载Tools后，可能会引起弹性云主机的监控指标缺失、无法正常收集监控信息等问题。您可以通过自行编译安装uvpmonitor解决该问题，具体操作请参见https://github.com/UVP-Tools/UVP-Tools/。
                    
                  
                  

4. 升级内核，具体升级方式由用户自己决定。
5. 判断Linux弹性云主机的驱动是否使用PVOPS。判断方法有三种，请根据实际情况任选其一即可：

方法一：

根据弹性云主机的操作系统进行判断。

对于Linux发行版操作系统，都自带XEN开源驱动，即默认使用PVOPS方式。

对于OS能力中心提供的SUSE 11 SP3版本操作系统，不带XEN开源驱动，即不支持使用PVOPS方式。

方法二：

在任意目录下执行以下命令，查询弹性云主机的驱动信息中是否包括带XEN的驱动模块，如果包括，则表示使用PVOPS方式，如下图所示。

lsmod | grep xen

图 查询驱动信息

                  

                    
说明
                    
对于不同的Linux发行版操作系统，模块名称有所不同，您只需确认驱动信息中包括XEN字段的驱动模块即可。
                    
                  
                  

方法三：

在任意目录下执行以下命令，查询回显信息中是否包括带XEN的字段，如果包括，则表示使用PVOPS方式，如下图所示。

cat /boot/config* | grep -i xen

图 查询XEN字段

6. PVOPS方式适配内核升级场景，因此，进入新内核后，驱动使用PVOPS方式，不再安装Tools。根据5的判断结果：

− 如果Linux弹性云主机的驱动使用PVOPS方式，执行8。

− 如果Linux弹性云主机的驱动没有使用PVOPS方式，执行7。

7. 安装开源组件xen-kmp，从而提供xen开源驱动，即使用PVOPS方式。如何使用PVOPS，请参见《镜像服务用户指南》中“优化私有镜像（Linux）”章节。
8. （可选）对于部分Linux发行版操作系统，需参考缺陷列表添加对应参数。

Linux发行版操作系统缺陷列表：

https://github.com/UVP-Tools/UVP-Tools/tree/master/docs

弹性云主机的操作系统无法正常启动是什么原因？

1. 查看用户的镜像类型，如果是公共镜像则排除私有镜像的源镜像问题。
2. 单击“申请服务器”，查看能否创建出此镜像的弹性云主机，申请完成后未出现此镜像对应的弹性云主机，则此类镜像可能已经下线，属于老镜像。
3. 控制台不支持使用老镜像继续购买弹性云主机，您需要将弹性云主机的操作系统切换为当前在线的操作系统。

针对Intel处理器芯片存在的Meltdown和Spectre安全漏洞，应该如何规避？

• 问题描述

北京时间1月3日，Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞，漏洞详情如下：

漏洞名称：Intel处理器存在严重芯片级漏洞

漏洞编号：CVE-2017-5753、CVE-2017-5715、CVE-2017-5754

严重程度：高危

漏洞描述：CPU内核高危漏洞Meltdown（CVE-2017-5754）和Spectre（CVE-2017-5715/CVE-2017-5753）爆发，攻击者可利用这两组漏洞，绕过内存安全隔离机制，越权访问操作系统和其他程序的核心数据，造成敏感信息泄露。

• 问题影响

该漏洞不会引起不同弹性云主机之间的攻击，但可能会引起如下问题：

弹性云主机内多个应用之间，可能存在攻击。

对于同一弹性云主机，多个帐号之间可能存在攻击。

使用公共镜像的弹性云主机，云平台会对公共镜像依次修复，不会对您的业务带来影响。

使用私有镜像的弹性云主机，请根据漏洞影响评估是否更新补丁，以规避风险，更新补丁的具体操作请参见本节内容。

• 背景信息

受影响的操作系统官方补丁发布状态，请参见云平台安全公告。

• 前提条件

为避免发生意外，修复漏洞前，建议进行充分测试，并完成弹性云主机的数据备份操作，避免发生意外。

• Windows弹性云主机处理方法

步骤 1 登录弹性云主机。

步骤 2 更新补丁。

• 方式一：使用Windows自动更新功能安装补丁

a. 打开Windows Update，并单击“检查更新”。

b. 根据需要下载安装相关安全补丁。

• 方式二：手动下载补丁并安装

根据背景信息，下载官方发布的补丁并进行安装。

步骤 3 重启弹性云主机，使补丁生效。

步骤 4 验证是否升级成功。

1. 检查系统运行情况是否正常。
2. 检查已安装的补丁清单是否满足背景信息中“验证方法”的要求。

• Linux弹性云主机处理方法

步骤 1 登录弹性云主机。

步骤 2 判断Linux弹性云主机是否安装了Tools（以操作系统SUSE 11 SP1为例）。

1. 在任意目录下执行以下命令，查询弹性云主机的驱动信息，如下图所示。

lsmod | grep xen

图 查询驱动信息

2. 执行以下命令，查询驱动路径（以磁盘驱动为例），如下图所示。

modinfo xen_vbd

图 查询驱动路径

3. 查看回显，根据驱动路径中是否带有“pvdriver”字段信息，判断弹性云主机是否安装了Tools。

− 是，如图所示，执行步骤3。

− 否，执行步骤4。

步骤 3 卸载Tools。

1. 执行以下命令，切换至root用户。

su root

2. 执行以下命令，在根目录下卸载Tools。

/etc/.uvp-monitor/uninstall

3. 执行以下命令，重启弹性云主机。

reboot

步骤 4 更新补丁，升级kernel内核，具体升级方式请参见背景信息。

                  

                    
说明
                    
升级kernel内核后，请务必执行reboot命令重启弹性云主机。
                    
                  
                  

步骤 5 验证是否升级成功。

1. 检查系统运行情况是否正常。
2. 检查已安装的补丁清单是否满足背景信息中“验证方法”的要求。

                  

                    
说明
                    
补丁更新后，弹性云主机使用的驱动是由操作系统自带。此时，Linux弹性云主机不再支持监控指标：内存使用率、磁盘使用率，对其他特性和功能无影响。如需继续支持监控指标内存使用率、磁盘使用率，请联系客服。
                    
                  
                  

检测Linux操作系统安全漏洞是否已修补完成

1. 单击spectre-meltdown-checker获取spectre-meltdown-checker.sh检测脚本。
2. 将步骤1获取的脚本上传至云主机。
3. 在云主机执行以下命令，并根据脚本提示判断Meltdown或Spectre漏洞是否已经修复。

chmod +x spectre-meltdown-checker.sh

sudo bash spectre-meltdown-checker.sh

回显信息如下图所示。

图 执行脚本后的回显信息

OK为已修复漏洞，KO为未修复，如上图所示代表CVE-2017-5753、CVE-2017-5715、CVE-2017-5754漏洞均已修复。

打开或关闭Linux操作系统的安全漏洞补丁开关

CPU的预测执行是一种性能优化技术，因此修复Meltdown或Spectre漏洞后可能导致在特定工作负载下的性能下降。

如果您认为漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制，希望可以禁用部分或全部漏洞安全保护策略，那么可以参考以下操作启用或者禁用安全保护策略。

您可以根据如下具体情况配置系统来达到理想的安全策略：

• Meltdown漏洞

采取页表隔离pti（Page Table Isolation）来控制内核页表隔离功能，此功能适用于CVE-2017-5754。

• Spectre漏洞

采取间接分支限制预测ibrs（Indirect Branch Restricted Speculation）控制SPEC_CTRL模型特定寄存器（MSR）中的IBRS功能，结合retpoline，及间接分支预测障碍ibpb（Indirect Branch Prediction Barriers）控制PRED_CMD模型特定寄存器（MSR）中的IBPB功能，此功能适用于CVE-2017-5715。

                  

                    
说明
                    
CVE-2017-5753漏洞是通过内核补丁修复的，它无法禁用，并且它在Red Hat的性能测试中没有显示出任何可见的影响。
                    
                  
                  

关闭Meltdown安全漏洞补丁

如果您想降低开启pti对系统的性能影响或者系统有更好的保护机制，您可以根据以下步骤操作：

a. 根据不同的操作系统修改内核参数：

CentOS、EulerOS、Ubuntu、Fedora、Red Hat：添加内核参数nopti

Debian、OpenSUSE：添加内核参数pti=off

b. 重启云主机。

关闭Spectre安全漏洞补丁

如果您认为Spectre漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制，您可以根据以下步骤操作：

a. 根据不同的操作系统修改内核参数：

CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE：添加内核参数spectre_v2=off

Ubuntu：添加内核参数nospectre_v2=off

b. 重启云主机。

如果您使用的是以下操作系统，可以前往官网查询更多信息。

RedHat：https://access.redhat.com/articles/3311301?spm=a2c4g.11186623.2.20.42b49d4aJuKYx2

SUSE：https://www.suse.com/support/kb/doc/?spm=a2c4g.11186623.2.21.42b49d4avOXw7d&id=7022512

Ubuntu：https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

如何开启CentOS操作系统的SELinux功能？

• 问题描述

CentOS 7.5版本操作系统的弹性云主机默认关闭SELinux功能。通过/etc/selinux/config开启SELinux功能后，在输入密码时，会出现无法登录的问题。

如果业务需要开启SELinux 功能，请参照本节内容进行配置。

• 处理方法

本节内容适用于CentOS 7.5版本操作系统的弹性云主机。

1. 执行以下命令，将SELinux 配置文件中的“SELINUX=disabled”修改为“SELINUX=enforcing”。

vim /etc/selinux/config

2. 执行以下命令，使系统重启时自动为文件系统打上selinux的标记。

touch /.autorelabel

3. 执行以下命令，重启弹性云主机，使配置生效。

reboot

                  

                    
说明
                    
reboot 系统之后，系统会自动重启两次。
                    
                  
                  

强制关机导致文件系统损坏，Linux弹性云主机启动失败

• 问题描述

强制关机后，可能会小概率遇到文件系统损坏的情况，导致再次启动弹性云主机失败，如下图所示。

图 启动弹性云主机失败

• 可能原因

从图可以看出，弹性云主机无法启动的原因是文件系统发生损坏。强制关机/强制重启属于高危操作，可能会引起文件系统内部元数据不一致，造成文件系统损坏。

• 处理方法

通过Linux操作系统自带的磁盘修复工具（fsck）进行修复，操作如下：

以图为例，磁盘问题分区为/dev/xvdb1。

1. 根据界面提示，输入Linux弹性云主机的root帐号密码。
2. 执行以下命令，查看是否已挂载磁盘问题分区。

mount | grep xvdb1

− 是，执行3。

− 否，执行4。

3. 执行以下命令，卸载问题分区。

umount /dev/xvdb1

4. 执行以下命令，修复问题分区的文件系统。

fsck -y /dev/xvdb1

5. 修复完成后，执行以下命令，重启弹性云主机。

reboot

GPU云主机VNC登录时候回显信息为Guest has not initialized the display (yet)

GPU云主机在使用镜像时候可能会在远程登录时候显示Guest has not initialized the display (yet)，这时候按ctrl+alt+1组合键即可解决。

怎样查看GPU加速型云主机的GPU使用率

• 问题描述

Windows Server 2012和Windows Server 2016操作系统的GPU加速型云主机无法从任务管理器查看GPU使用率。

本节操作介绍了两种查看GPU使用率的方法，方法一是在cmd窗口执行命令查看GPU使用率，方法二是通过安装gpu-Z工具查看GPU使用率。

• 前提条件

GPU加速型云主机已安装NVIDIA驱动。

方法一

1、登录GPU加速型云主机。

2、打开cmd命令窗口。

3、执行如下命令，查看GPU使用情况。

cd C:\Program Files\NVIDIA Corporation\NVSMI

nvidia-smi

如果需要持续观察GPU使用情况执行以下命令。

nvidia-smi -l 1

图 GPU使用率

说明：

NVIDIA GPU可以配置为TCC（Tesla Compute Cluster）模式或WDDM（Windows Display Driver Model）模式。

TCC 模式下，GPU完全用于计算。

WDDM 模式下，GPU同时用于计算和图形。

仅在GPU服务器安装了GRID驱动时才可以切换至WDDM模式。

关于TCC和WDDM，可点击https://docs.nvidia.com/nsight-visual-studio-edition/reference/index.html#tesla-compute-cluster。

方法二

1、登录GPU加速型云主机。

2、下载gpu-Z（https://www.techpowerup.com/gpuz/）并安装。

3、打开gpu-z，选择“Sensors”即可查看GPU使用情况。

图 GPU使用率