如果你在 dmesg 日志中发现了该错误,对应的 xfs 分区不能被挂载和使用, ``` "XFS Filesystem has duplicate UUID", ``` 临时解决办法是,在 mount 命令中使用 nouuid 挂载选项, ``` # mount -o ro,nouuid /dev/nvme0n1p1 /mnt ``` 临时解决办法在你机器重启后将失效,持久的办法应该是使用 xfs_admin 命令行工具生成新的 UUID,然后将新的UUID配置到 /etc/fstab 中, ``` # xfs_admin -U generate /dev/nvme0n1p1 Clearing log and setting UUID...阅读全文
安装Proxmox VE最好的方式是用官方ISO,刻录成光盘后安装。但是也可以用Debian官方的ISO先装操作系统,然后在 Debian 上安装Proxmox VE。具体步骤可以参考Proxmox VE官方wiki. 在 Debian Jessie 上安装 Proxmox VE 的过程如下: 使用Debian官方ISO安装操作系统。在安装过程中,使用LVM方式划分磁盘分区,并设置swap、root、data三个LV,其中swap用于交换分区,root挂载到/,data挂载到 /var/lib/vz。 安装好操作系统后,修改/etc/apt/sources.list文件,添加如下内容以设置Proxmox官方源。 deb http://download.proxmox.com/debian...阅读全文
在 Linux 5.2 发布一周后,第一个修订版本 5.2.1 也已经发布了,用来处理各种错误/回归。需要注意的是5.2并非长期支持(LTS)分支,推荐注重稳定的用户还是使用当前的LTS内核。 5.2.1版只是修改一些小小的问题,主要有以下方面: 修复 Perf减少 RTL 8712 驱动程序的堆栈使用fscrapt 将不再为 dead 目录设置策略还有一个新的文档部分,详细说明了 Spectre 的 CPU 漏洞 完整列表查看发布说明。 Linux Kernel 5.2的亮点包括Sound Open Firmware,这是一个支持DSP音频设备的开源固件。此外还新增了用于挂载文件系统的新挂载API,面向ARM Mail设备的全新开源GPU驱动,在EXT4文件系统中支持不区分大小写,以及对...阅读全文
口,这样你的容器将拥有它自己的桥接ip地址,通常是docker0。接下来,我们不再继续讲述如何在namespace安装接口。相关内容将在另一篇文章中讲述。 MNT Namespace mount namespace可以让看到系统中所有挂载点在某个范围下的目录视图。人们经常把它和在chroot中禁锢进程混淆在一起,或者是认为他们是相似的,还有人说容器使用mount namespac来把进程禁锢在它的根文件系统中,这都是不对的! 让我们再来拷贝一份skeleton.c用来做挂载相关的修改。可以快速的构建和运行, 从而看下执行mount命令后我们当前的挂载点的样子。 > cp skeleton.c mount.c > gcc -o mount mount.c > ./mount mount...阅读全文
["executable", "param1", "param2"] 样例: ENTRYPOINT ["top","-b"] CMD ["-c"] 上面的 -c 参数可以在启动时覆盖 docker run -it --rm --name test top -H。 如果要覆盖 ENTRYPOINT 指令则用 --entrypoint 参数启动容器。 3.10 VOLUME VOLUME 指令用于为容器创建一个挂载点,这个挂载点可以用来挂载 本地文件/文件夹 也可以用来挂载 数据卷。其中若在启动一个新容器时没有指定挂载目录,则会自动创建一个数据卷,当容器被销毁时,数据卷如果没有被其它容器引用则会被删除。语法: VOLUME ["/data1","/data2"] 3.11 USER USER 指令用于设置执行 RUN...阅读全文
Systemd 是 Linux下的一款系统和服务管理器,兼容 SysV 和 LSB 的启动脚本。Systemd 的特性有:支持并行化任务;同时采用socket式 与 D-Bus 总线式激活服务;按需启动守护进程(daemon);利用 Linux 的 cgroups 监视进程;支持快照和系统恢复;维护挂载点和自动挂载点;各服务间基于依赖关系进行精密控制。 其中的监视和控制功能的主要命令就是systemctl。 Systemd 有很多不同类型的使用单元,主要包括:系统服务(.service)、挂载点(.mount)、sockets(.sockets)、系统设备(.device)、交换分区(.swap)、文件路径(.path)、启动目标(.target)。一般我们常用的是其中的系统服务。 对于系...阅读全文
Seafile 是一款开源的企业云盘,注重可靠性和性能。支持 Windows, Mac, Linux, iOS, Android 平台。支持文件同步或者直接挂载到本地访问。Seafile 的最新稳定版 6.1.4 已发布,更新如下: 云文件浏览器: 更新文件时不使用断点续传的上传功能 通过图标的显示来表示一个文件已被缓存 当文件更改后且无法上传到服务器时显示警告图标 用户可以重新对上传失败的本地修改文件进行上传 添加一个命令打开本地缓存文件夹 上传文件或文件夹时改进错误提示消息 [mac] 修复 doc/xls 文件下载后自动上传的 bug 一些 UI 的修复和改进 其他更新: 不显示 127.0.0.1 的连接状态 禁止编辑本地同步路径,用户只能选择路径 一些 UI 的修复和改进 完整更...阅读全文
在 Linux Kernel 5.10 代码中已经增加了对 EXT4 文件系统的更新,其中包括在 DAX/DIO 模式下大幅改进文件覆盖的效率。尤其是在运行英特尔 Optane DCPMM 存储的情况下,并行写入尤其是随机覆盖性能可以提升 10 倍以上,常规操作也能提升 2 倍以上。但是您必须使用 EXT4 iommap 代码(例如在DAX / DIO模式下),并且此更改不会影响 EXT4 的常规操作。 另一项针对 EXT4 的重大改变是由谷歌 Harshad Shirwadkar 提交的 “fast commits”。fast commits 模式和在有序模式(挂载选项 data=ordered)运行的 EXT4 用户有关,在保持最小增量的情况下与 JBD2 日志共享的快速提交空间中重新...阅读全文
并记牢,超级管理员账户啊。 建立新用户,这个只是个昵称,不是登录时的用户名,可以根据自己喜好填。 这玩意就是登录时的用户名了,设置时要多注意,并且一定要记住(其实记不住也没事,还有root呢)。 设置用户密码。 接下来该磁盘分区了,我用的虚拟机,但是方法上都一样的。 有空闲分区的话推荐使用安装程序进行自动分区,当然也可以手动分区。自动分区的话如果是新手推荐“将所有文件放在同一个分区中”,有经验的就根据自己喜好调整吧。 手动分区的话一定要记住挂载/根目录,否则会报错。Swap分区(交换分区)推荐大小为物理内存的两倍,比如我的实际内存为2G,swap给上4G就行了。 完成调整后保存分区表即可。需要注意的是需要记住挂载 根目录/ 的分区号,方便后面安装grub, 选是。 对于软件安装,教程既然写的...阅读全文
EXT4 和 NTFS 文件系统引导、“持续变动”(Persistent Changes)特性也已默认启用。 其它方面,Slax 9.3 改进了 xLunch 应用程序启动器的能力(支持自动更新、显示新安装的程序)、支持在启动时挂载外部驱动器(在 PCManFM 中添加了一个快捷方式)、键盘布局也能够长期保持。 最后,Slax 9.3 默认使用的 syslinux bootloader 已更新至最新版本,并且重新实现了屏幕分辨率的变更,以使它能够更好地工作。 传送门: http://www.slax.org/en/blog/24578-Slax-9.3-is-here.html...阅读全文
当 Torvalds 将某些代码标记为“dontuse”,通常表明这个问题比较大。在 5.12 首个候选版本更新中,破坏了交换文件(swapfile)的处理。具体来说,更新后的代码会失去指向 swapfile 开头的正确偏移。用 Torvalds 自己的话来说,“交换还是会发生,但它发生在文件系统的错误部分,最终结果显然是灾难性的”。这样 Linux 内核如果想要将内存中的内容分页到磁盘上的时候,数据就会落在相同磁盘和 swapfile 活跃的分区的随机部分上,而且这不是作为文件,而是作为垃圾直接写入到磁盘的原始扇区。这意味着不仅要覆盖现有文件中的数据,还要覆盖相当大块的元数据,这些元数据的损坏很可能会导致整个文件系统无法挂载和使用。Torvalds 继续指出,如果你根本不使用 swap...阅读全文
他们决定停止 FTP 方式的下载了。 最初,早在 1998 年的时候, Linux 内核组织就提供了以 FTP 服务为基础的内核代码获取方式,除了可以直接通过 FTP 进行下载以外,还可以通过 HTTP 协议封装来访问 FTP 资源,甚至,还允许通过 NFS 和 SMB/CIFS 来将他们的 FTP 资源挂载为本地分区。 不过,不久之后,他们发现提供一个公开的 NFS/CIFS 服务器看起来并不是一个好主意,不仅仅是因为这两种服务在慢速网络时表现很糟糕,而且它们本身也存在严重的安全隐患。因此于当年年底时停止了对 NFS 和 SMB/CIFS 的支持。 而现在,基于如下考虑: FTP 服务需要在防火墙和负载均衡设备上做额外的配置和调整 FTP 服务器不支持缓存和加速器,这严重影响了性能 大多数...阅读全文
Pod注入了 env 环境变量 PODPRESET_MESSAGE=This is podpreset message. 到匹配的 Pod 中注入了 volumes 卷挂载目录到匹配的 Pod 中的 /opt/logs 目录 创建一下该 PodPreset 资源。 $ kubectl create ns wanyang3 namespace/wanyang3 created $ kubectl apply -f podpreset-busybox-hwy.yaml podpreset.settings.k8s.io/busybox-hwy created $ kubectl get podpreset -n wanyang3 NAME CREATED AT busybox-hwy 2019-07...阅读全文
,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default link/ether 56:7b:98:07:30:bc brd ff:ff:ff:ff:ff:ff link-netnsid 0 inet 192.168.134.93/27 brd 192.168.134.95 scope global eth0 valid_lft forever preferred_lft forever 通过内网 IP 地址,我们得知已成功进入容器内部。 原理 namespace namespace 是 Linux 中一些进程的属性的作用域,使用命名空间,可以隔离不同的进程。 Linux在不断的添加命名空间,目前有: mount:挂载命名空间,使...阅读全文
Linux 内核的发行版本,且它默认使用该实现挂载 exFAT 文件系统。因此,用户不再需要使用 exfat-fuse 软件包所提供的用户空间文件系统实现。如果您要继续使用用户空间文件系统的实现,您需要在挂载 exFAT 文件系统时直接调用 mount.exfat-fuse 命令。创建和检查 exFAT 文件系统的工具位于 exfatprogs 软件包,它由 Linux 内核 exFAT 实现的作者编写。由已有的 exfat-utils 软件包提供的独立实现仍然可用,但它不能与新的实现共同安装在系统上。我们推荐您迁移到使用 exfatprogs 软件包,尽管您需要注意并处理两者可能不互相兼容的命令行选项。改进的 man page 翻译部分项目,例如 systemd、 util-linux...阅读全文
如下: 当容器镜像挂载点文件系统的磁盘使用率大于--image-gc-high-threshold时(containerRuntime 为 docker 时,镜像存放目录默认为 /var/lib/docker),kubelet 开始删除节点中未使用的容器镜像,直到磁盘使用率降低至--image-gc-low-threshold 时停止镜像的垃圾回收。kubelet GarbageCollect 源码分析kubernetes 版本:v1.16GarbageCollect 是在 kubelet 对象初始化完成后启动的,在 createAndInitKubelet 方法中首先调用 kubelet.NewMainKubelet 初始化了 kubelet 对象,随后调用...阅读全文
protected]:/home/customer# lvconvert --type thin-pool hdd/vz WARNING: Converting logical volume hdd/vz to thin pool's data volume with metadata wiping. THIS WILL DESTROY CONTENT OF LOGICAL VOLUME (filesystem etc.)Do you really want to convert hdd/vz? [y/n]: y Converted hdd/vz to thin pool. 格式化 vz 分区为 ext41mkfs.ext4 /dev/hdd/vz 将 vz 分区挂载到 /var/lib/vz,因为/var...阅读全文
在 Systemd (linux 操作系统流行的 init 系统和服务管理器) 中发现了一个关键漏洞, 这使得远程攻击者有可能触发缓冲区溢出, 从而通过 dns 响应在目标计算机上执行恶意代码。 Systemd是什么 systemd 是一种系统初始化程序。和 sysVinit 以及 upstart 一样,systemd 会成为系统开机时启动的第一个进程(至少 PID 是 1),由它掌管计算机接下来要做的事情,例如读取 fstab 挂载磁盘和按照 runlevel 的设定启动各种服务。其安全的重要性不言而喻。 Systemd远程代码执行漏洞 CVE-2017-9445 该漏洞编号 CVE-2017-9445 ,实际上驻留在 " systemd-resolved " 的...阅读全文
我们可以使用 alias 命令定义或显示 bash shell 别名。一旦创建了 Bash shell 别名,它们将优先于外部或内部命令。本文将展示如何暂时绕过 bash 别名,以便你可以运行实际的内部或外部命令。 我在我的 Linux 系统中定义了以下 mount 别名: alias mount='mount | column -t' 但是,在我挂载文件系统和其他用途时想绕过这个 bash 别名,我如何临时禁用或者绕过这个别名呢? 你可以使用 alias 命令定义或显示 bash shell 别名。一旦创建了 bash shell 别名,它们将优先于外部或内部命令。本文将展示如何暂时绕过 bash 别名,以便你可以运行实际的内部或外部命令。 五种绕过 Bash 命令别名的方法 尝试以下任...阅读全文
使用场景 Federating Existing Users 下图介绍用户如何使用 IAM 获取临时 AWS 安全凭证以访问您 AWS 账户中的资源 访问控制相关概念 Permissions 基于身份的 (IAM) 权限和基于资源的权限 下图阐明了两种权限类型。第一列显示与身份(两个用户和两个组)关联的权限。其中一些权限确定可对其执行操作的特定资源。这些操作支持资源级 权限。第二列显示挂载到资源的权限。这些服务支持基于资源的权限。 Policies 要给用户、组、角色或资源指定许可,您必须创建一个策略,它是一个显式列出许可的文档。从最基本的意义上而言,策略使您能够指定以下内容: 操作:您将允许哪些操作。每个 AWS 服务都有自己的一组操作。例如,您可能允许用户使用 Amazon S3...阅读全文
,Kubernetes就已经能够支持多种持久数据存储选项,包括常用的NFS或iSCSI,且原生支持来自各大主要公有及私有云服务供应商的存储解决方案。随着项目及生态系统的发展,越来越多存储选项被纳入到Kubernetes当中。然而,为新的存储系统添加分卷插件一直是项艰难的挑战。 容器存储接口(简称CSI)是一项跨行业标准倡议,旨在降低云原生存储开发工作的门槛,从而进一步确保兼容性水平。SIG-Storage[4]与CSI社区[5]目前正在携手交付单一接口,用于对兼容Kubernetes的存储资源进行配置、附加与挂载。 Kubernetes 1.9引入了容器存储接口(简称CSI)的一套alpha实现[6]版本,其能够将新分卷插件的安装流程简化至与安装pod相当,并允许第三方存储供应商在无需接触核心...阅读全文
的 Pod 的分布状况,这是分布式系统(比如 Kubernetes)的关键因素。这些任务都是由 Kubelet 组件完成的,让我们开始吧! 在 Kubernetes 集群中,每个 Node 节点上都会启动一个 Kubelet 服务进程,该进程用于处理 Scheduler 下发到本节点的任务,管理 Pod 的生命周期,包括挂载卷、容器日志记录、垃圾回收以及其他与 Pod 相关的事件。 如果换一种思维模式,你可以把 Kubelet 当成一种特殊的 Controller,它每隔 20 秒(可以自定义)向 kube-apiserver 通过 NodeName 获取自身 Node 上所要运行的 Pod 清单。一旦获取到了这个清单,它就会通过与自己的内部缓存进行比较来检测新增加的 Pod,如果有差异,就...阅读全文
, 即可彻底屏蔽 /usr/lib/ 目录中的同名文件。 选项 所有选项都位于 "[Journal]" 小节: Storage= 在哪里存储日志文件: "volatile" 表示仅保存在内存中, 也就是仅保存在 /run/log/journal 目录中(将会被自动按需创建)。 "persistent" 表示优先保存在磁盘上, 也就优先保存在 /var/log/journal 目录中(将会被自动按需创建), 但若失败(例如在系统启动早期"/var"尚未挂载), 则转而保存在 /run/log/journal 目录中(将会被自动按需创建)。 "auto"(默认值) 与 "persistent" 类似, 但不自动创建 /var/log/journal 目录, 因此可以根据该目录的存在与否决定日志的保存...阅读全文
page 很好的介绍了 namespace 的作用。 namespace提供了一种内核级别隔离系统资源的方法,通过将系统的全局资源放在不同的 namespace 中,来实现资源隔离的目的。不同 namespace 的进程拥有相互隔离的系统资源。 这里指的资源隔离包含以下这些: Mount: 隔离文件系统挂载点 UTS: 隔离主机名和域名信息 IPC: 隔离进程间通信 PID: 隔离进程的 ID Network: 隔离网络资源 User: 隔离用户和用户组 通过下面的 clone 系统调用可以创建新的进程,参数 flags 控制创建的进程所属的 namespace, 多个 flags 可以同时创建多个 namespace。 1 int clone(int (*child_func)(void...阅读全文
,Windows注册表监视和活动响应之外,Wazuh还使用异常和签名检测方法来检测rootkit。与OSSEC的不同之处在于它与ELK集成的能力 ,改进的规则集以及使用静态API的功能。通过专注于持久卷和绑定挂载,还可以利用Wazah来监视Docker容器中的文件。该HIDS由3个主要组件组成:代理,服务器和弹性堆栈。它的代理在Windows,Linux,Solaris,BSD和Mac操作系统上运行。要了解如何安装项目,强烈建议您遵循官方安装指南。这些步骤很容易遵循并得到充分解释。Wazuh有一些缺点。服务器安装和API可能会很麻烦。以下屏幕快照代表了Wazuh的概述仪表板:图3从3.11.2版本开始,Wazuh UI已针对Kibana进行了升级(当时为7.5.2),其中升级了其XML验证程序,并增加了...阅读全文
dfs.namenode.checkpoint.check.period 60 9.6 namenode元数据信息多目录配置 为了保证元数据的安全性,我们一般都是先确定好我们的磁盘挂载目录,将元数据的磁盘做RAID1 namenode的本地目录可以配置成多个,且每个目录存放内容相同,增加了可靠性。 具体配置方案: hdfs-site.xml
node。graph 作为调度 node 的全局数据结构,而 node 则是用来封装业务逻辑。 Graph 3 个node; 1 个 source node (源节点)和 2 个 node (非源节点)的 graph 结构 上图显示了具有 3 个节点的 graph 结构,包含以下关键组件: graph_list 存储所有创建成功的 graph。如果 graph 创建成功,graph 会被添加到 graph_list 中。与传统的 main loop 设计相比(把函数直接挂载到 CPU 核上),用户可以透过这种管理模式把 graph_list 中的 graph 映射到不同的 CPU 核上。 graph->node_list 每个创建成功的 graph 中的 node_list 都包含了先前添加到...阅读全文
过程,数据库连接获取等,通常来说这类节点在链路详情主视图中的意义不大,因此我们对这类节点的产生逻辑进行了优化调整,使得整个链路主体结构聚焦于“跨端”,同时,对部分核心组件关键内部方法细节做了增强,以“事件”的形式挂载于它们的父节点上,便于更细粒度的排查: RPC调用关键内部事件 DB 调用连接获取事件 4.4.4 profiling 的支持 1)线程栈分析的集成。通过集成 Arthas 这类工具,可以很方便地查看某个实例线程的实时堆栈信息,同时对采样间隔做控制,避免频繁抓取影响业务自身性能。 2)通过集成 pyroscope,打通高延迟性能排查最后一公里。Pyroscope 对 async profiler 做了二次开发,同时也支持 Otel 去集成,但截至目前,官方并没有实现完整的...阅读全文
