HCE-OS基础介绍
操作系统(Operating System ,OS) 是指控制和管理整个计算机系统的硬件和软件资源,并合理地组织调度计算机的工作和资源的分配;以提供给用户和其他软件方便的接口和环境;它是计算机系统中最基本的系统软件
UNIX操作系统
unix操作系统,非复用信息和计算机服务,一种多用户,多进程的分时操作系统
Unix发展
- 上世纪六十年代(1965年),美国麻省理工学院(MIT)、通用电气公司(GE)及AT&T的贝尔实验室联合开发开发一种交互式的具有多道程序处理能力的分时操作系统Multics
- 1970年肯-汤普森(Ken Thompson)开发了Unix
- 1974年贝尔实验室公开了Unix,广泛流行于各大高校
- 1982年AT&T分解后Unix开始商业收费
- 还有一批大型的硬件公司,配合自己的计算机系统,可开发出一许多不同的UNIX版本
- AIX
- HP-UX
- Digital Uinx
- …
补充:
BSD ( Berkeley Software Distribution, 伯克利软件套件)是Unix的衍生系统,在1977至1995年间由 加州大学伯克利分校开发和发布的,也正是由此AT&T公司意识到UNIX的商业价值,不再将源码授权给学术机构,并声明了UNIX变种等著作权的权利
GNU规范
- 1984年,Richard Mathew Stallman(史托曼)发起自由软件运动,成立自由软件基金会,并发布了GPL协议
- 创建Unix实用软件的开源版本
- 发布通用公共许可证GPL
- 开源即开放源代码,当下IT技术的迅速发展离不开开源的功劳
- 现在存在很多开源许可证,每个许可证都有不同的规定。常见的开源协议如下:
- 木兰协议
- GPL协议
- LGPL协议
- BSD协议
Linux发展历程
- Minix诞生
- 1987年荷兰大学教授安德鲁写了一个Minix,类似Unix,专用于教学
- Linux诞生
- 1991年9月17日,Linus Torvalds 在互联网上公布了自己写的Linux,并宣称免费,同时也希望通过广大开发者的努力一起完善Linux操作系统
- 1994年Linux内核的1.0版本正式发布
- Linux准确叫法是“GNU/Linux”
- 今天的Linux
- 今天,Linux已经有很多版本,如Redhat、openSUSE、Ubuntu、Deepin等
- Linux发行版=Linux内核+实用程序
Linux版本介绍
- 内核版本
- 可以访问kernel.org查看或下载所有的Linux内核版本
- Linux内核版本号由3个数字组成
- 第一个数字:目前发布的内核主版本
- 第二个数字:偶数表示稳定版本,奇数表示开发中版本
- 第三个数字:错误修补的次数
- openEuler 20.3 LTS内核版本为4.19.90
- 发行版本
- 商业发行版:由商业公司维护,提供收费的服务,如升级补丁等
- 社区发行版:由社区组织维护,一般免费
openEuler操作系统
openEuler是一款开源、免费的操作系统,由openEuler社区运作。当前openEuler内核源于Linux,支持鲲鹏及其它多种处理器,能够充分释放计算芯片的潜能,是由全球开源贡献者构建的高效、稳定、安全的开源操作系统,适用于数据库、大数据、云计算、人工智能等应用场景。
- openEuler通常由两种版本:
- 创新版本
- 支撑Linux爱好者技术创新,内容较新,如operEuler 22.03
- 通常半年发布一个新的版本
- LTS
- LTS是openEuler稳定版,如operEuler LTS 20.03
- 通常两年发布一个新的版本
- 创新版本
openEuler社区发展历程
HCE-OS操作系统 简介:
HCE-OS(Huawei Cloud EulerOS)最为华为云原生操作系统发行版,无缝替代CentOS
- HCE-OS 与CentOS的区别
- 极速启动:相比CentOS,启动时间减少100%
- 极致性能:MySQL平均性能领先CentOS
- 极致安全:抵御90%系统攻击
HCE-OS功能特性
- 基础性能:为云租户提供性能与体验业界领先的GuestOS公共基座,常见应用基础性能体验优于业界水平
- 面向云原生:提供混部调度功能,整体资源利用率提高50%,敏感业务时延抖动<5%;支持容器应用特定场景OS定制,无缝兼容K8S生态
- 面向多元算力,依托于openEuler社区,提供完备的X86,鲲鹏等硬件架构的支持,以及完整生态系统支持,性能业界领先
HCE-OS:华为云操作系统的特性与优势
- 特性:
- 优化开发者环境、丰富工具包、统一运维、补丁更新
- 安全合规:满足等保2.0合规要求,继承CCEAL4+认证
- Mesh加速:通信时延由3ms降至1ms,服务网络数据面灵活可编程
- 容器定制:无缝对接K8S生态,镜像<150M,重启时间<15s
- 数据驱动自治:自适应智能系统运维,应用性能提升15%,根因分析准确率达90%
- 优势:
- 作为CentOS的无缝替代,支持全栈OS替换
- 支持GuestOS启动,支持业务大规模快速批创部署
- 极致性能提升,大幅度提升应用性能,针对专有场景和应用加速
- 极致安全:满足国家等级保护2.0合规要求,继承CCEAL4+认证
- 关键应用场景和案例:
- CEE Turbo底座加速:
- 提升容器底座启动速度100%,支持Mesh加速,时延1ms以内,支持混合调度加速
- 专有应用加速:
- Nginx场景相比GuestOS镜像,http长连接提升24+%,https长连接提升7%
- MySQL数据库场景性能提升10%,读,删,改场景成倍提升
- CEE Turbo底座加速:
HCE-OS内核新特性
进程调度优化:优化负载均衡算法,减少负载开销 | 大页优化vmalloc:尽力尝试使用huge page,改善TLB的利用 |
---|---|
内核动态抢占:允许内核动态切换抢占模式 | OOM内存回收算法(溢出):发生OOM时,优先对低优先级的进程进行内存回收 |
mremap性能优化:加速映射大块内存的速度 | 支持APC(Pointer Authentication Code)特性:抵御ROP/JOP攻击 |
per mencg lru lock:减少云原生容器实例锁竞争 | 支持BTI(Branch Target Identifiers)特性:对间接跳转的目标进行限制 |
大页内存管理优化:降低大页内存管理结构的开销 | XDP(eXpress Data Path)支持:高性能、可编程的数据包传输路径 |
TLB并发刷新支持:本地TLB和远端TLB刷新并行 | SVA(Shared Virtual Addressing):进程虚拟地址在主机和设备间共享 |
华为云云原生调度增强
HCE-OS内存
HCE操作系统使用指南
弹性云服务器ECS
弹性云服务器( Elastic Cloud Server, ECS)是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云服务器创建后,可以像使用本地PC或物理服务器一样,在云上使用ECS
弹性云服务器的开通只需要指定CPU、内存、操作系统、规格、登录鉴权方式即可。同时也可以根据需求随时调整弹性云服务的规格、打造可靠、安全、灵活、高校的计算机环境
ECS产品架构
鉴权方式
- 密钥对方式鉴权、
- 推荐通过管理控制台创建密钥对,公钥自动保存在系统中,私钥由用户保存在本地。当创建弹性云服务器时,提供密钥对的名称;SSH登录到弹性云服务器时,需要提供相应的私钥
- 密码方式鉴权
- 购买云服务器时设置密码;SSH登录到弹性云服务器时输入密码
云硬盘EVC
云硬盘( Elastic Volume Service, EVS )可以为云服务器提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务,可满足不同场景的业务需求适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。云服务器包括弹性云服务器和裸金属服务器
VPC
虚拟私有云( Virtual Private Cloud, VPC),为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC能帮助灵活管理云上网络,包括创建子网、设置安全组和网络ACL、管理路由表、申请EIP和带宽等
子网时虚拟私有云内的IP地址块。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下,子网网段不可重复。子网创建成功后,网段无法修改。
安全组
安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护
系统会为每个用户默认创建一个默认安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的实例无需添加规则即可互相访问
EIP
弹性公网IP(Elastic IP ,简称EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑
CloudShell
- 华为云CloudShell是一款用于管理与运维云资源的网页Shell工具,目前主要提供连接远程主机、云命令环境两个场景化应用能力以便捷云资源的管理和运维
- 连接远程主机:公网连接、私网连接
- 云命令行环境:普通环境、CCE场景(私网连接)、API Explorer
VNC
VNC(Virtual Network Console)是虚拟网络控制台的缩写,是一个远程控制工具。VNC是在基于UNIX和Linux操作系统的免费的开源软甲,远程控制能力强大,高效实用,其性能可以和Windows和MAC中的任何远程控制软件媲美。华为云管理控制台支持使用VNC方式连接云服务器
HCE安装
镜像
- 公共镜像:包含常见的标准操作系统镜像,所有用户可见,包括操作系统以及预装的公共应用。官方公共镜像支持的操作系统类型包括:Windows、CentOS、EulerOS、CoreOS;在这里我们选用Huawei Cloud EulerOS
- 私有镜像:包括操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像,仅用户个人可见。私有镜像包含:系统盘镜像、数据盘镜像、整机镜像
- 共享镜像:用户将接受云平台其他用户共享的私有镜像,作为自己的镜像进行使用
- 市场镜像:提供预装操作系统,应用环境和各类软件的优质第三方镜像
系统盘类型
BGP类型
类型 | 说明 |
---|---|
静态BGP | 网络结构发生变化时,无法实时自动调整网络设置以保障用户体验 |
全动态BGP | 可以根据设定的寻路协议实时自动优化网络结构,以保持客户使用的网络持续稳定、高效 |
带宽类型
- 带宽类型:独享和共享
- 目前弹性IP的带宽支持独享带宽和共享带宽两种方式
- 共享带宽可以实现多个弹性公网IP共同使用一条带宽。提供区域级别的带宽共享及复用能力,同一区域的所有已绑定弹性公网IP的弹性云服务器、裸金属服务器、弹性负载均衡等实例公用一条带宽资源。
- 共享带宽优点:
- 节约带宽使用成本:提供区域级别的带宽复用共享能力,节省带宽使用的运营和运维成本
- 操作灵活:不区分弹性公网IP类型及绑定实例类型,随时从共享带宽中增加或移出按需计算的弹性公网IP
- 计费方式灵活,提供包年包月、按需计算两种计费模式
HCE安全漏洞更行
安全漏洞
安全漏洞是指任何会导致计算机数据、应用程序、网络或设备受到未经授权访问的事件。它导致信息在未经授权的情况下被访问。通常,它发生在入侵者能够绕过安全机制时。
漏洞发现、修复、披漏
HCE漏洞管理
- 对标OS友商软件发布更新方式,支持单包构建推送到repo源,同步发布SA和CVE信息
- 补丁和SA发布SLO遵从《云服务漏洞修补SLO基线》,1、2级漏洞紧急处理
- 紧急CVE:严重以上漏洞+7天,一般漏洞+15天
- 普通CVE:月度/双周更新发布
补丁自动推送升级
- 补丁升级管理:统一管理补丁基线、补丁计划,主动触发待升级OS的业务切换
- 依赖服务业务切换:对接编排服务完成自动业务切换
- 补丁基线支持定制:OS发行版、补丁类型、严重等级、补丁发布时间
- 补丁计划支持定制:支持分组、分阶段、分时执行
- 补丁基线合规审计:支持全局视图,一件查看全网PS补丁基线合规率
缩略语:
HCE-OS:Huawei Cloud EulerOS,华为云欧拉操作系统
SA:Security Advisory ,安全通告
CVE:Common Vulnerabilities & Exposures,通用漏洞披漏
SLO:Service Level Objective,服务等级目标
CVSS:Common Vulnerability Scoring System,通用漏洞评估体系