何实现集群内服务间的高效互通、满足应用 SLA 诉求已成为数据中心面临的关键问题，对云基础设施提出了很高的要求。 基于 K8S 的云基础设施能够帮助应用实现敏捷的部署管理，但在应用流量编排方面有所欠缺，服务网格的出现很好的 弥补了 K8S 流量编排的缺陷，与 K8S 互补，真正实现敏捷的云应用开发运维。但随着对服务网格应用的逐步深入，当前服 务网格的代理架构，数据面引入了额外的时延底噪开销，已成为业界共识的性能问题。 的部署密度。 Kmesh 基于可编程内核，将服务治理下沉 OS，实现高性能服务网格数据面，服务间通信时延对比业界方案提升 5 倍。 • 支持对接遵从 XDS 协议的网格控制面（如 istio） • 流量编排能力 - 负载均衡：支持轮询等负载均衡策略。 - 路由：支持 L4、L7 路由规则。 - 灰度：支持百分比灰度方式选择后端服务策略。 • sockamp 网格加速能力：以典型的 service OS (ipstack + iptables) 服务 A 服务 B 服务 A 服务 B 服务治理 流量治理 流量治理 服务治理 OS (Kmesh) Kmesh 基于可编程内核，将流量治理下沉 OS，实现流量路径多跳变一跳 业界网格 : 路径过长导致时延性能 X 倍增长 Kmesh: 流量路径多跳变一跳 特性增强 20 openEuler 23.09 技术白皮书 注： 1. 使能

arping 通过发送ARP协议报文测试网络 arptables 管理ARP包过滤规则表 arpwatch 监听网络上ARP的记录 as 汇编语言编译器 at 在指定时间执行一个任务 atop 监控Linux系统资源与进程的工具 atq 列出当前用户的at任务列表 atrm 删除待执行任务队列中的指定任务 awk 文本和数据进行处理的编程语言 axel 多线程下载工具 B badblocks 配置和显示Linux系统网卡的网络参数 ifdown 禁用指定的网络接口 ifstat 统计网络接口流量状态 iftop 一款实时流量监控工具 ifup 激活指定的网络接口 indent 格式化C语言的源文件 info Linux下info格式的帮助指令 init init进程是所有Linux进程的父进程 inotifywait 异步文件系统监控机制 insmod 将给定的模块加载到内核中 install 安装或升级软件或备份数据 iptables-restore 还原iptables表的配置 iptables-save 备份iptables的表配置 iptables Linux上常用的防火墙软件 iptraf 实时地监视网卡流量 iptstate 显示iptables的工作状态 ispell 检查文件中出现的拼写错误 J jed 主要用于编辑代码的编辑器 jobs 显示作业的状态 joe 强大的纯文本编辑器 join

混合部署，也支持 openHarmony 和 openEuler Embedded Linux 的混 合部署。 3. 实时虚拟化：openEuler 社区孵化了嵌入实时虚拟机监控器 ZVM 和基于 rust 语言的 Type-I 型嵌入式虚拟机监控器 Rust- Shyper，可以满足不同场景的需求。 内核创新 15 openEuler 24.03 LTS 技术白皮书 内核创新 内核创新 16 openEuler MGLRU 特性：多层级的 LRU 机制，更精确地识别页面的冷热信息，提升高内存压力场景下的系统性能，降低 OOM 的概率。 • DAMON 特性：轻量级内存访问监控框架，可在用户态实现虚拟地址或物理地址的访问监控，实现轻量精确的在线监控，助力 性能提升。 • Memory-tiering 特性：内存分层特性，目标以最高效和成本效益的方式满足内存的使用需求，降低内存的使用成本。 • hugetlb 特性：MPAM（内存系统组件隔离监控）是用于解决服务器系统中，混部不同类型业务时，由于共享资源的竞争而带来 的关键应用性能下降或者系统整体性能下降的问题。另外，对于业务共享资源的使用，以 CPU 或者 PID 为粒度，进行实时跟 踪监控。OLK 6.6 下 MPAM 重构的版本提供若干新特性： 1）完整支持 L2 cache 分区隔离和监控功能，其中关于监控功能，支持统计缓存占用量，同时监控缓存带宽流量。 2）

系统有一定的了解，并且能够熟练使用 Linux 命令来完成 以下任务： 31 ➢ 访问命令行； ➢ 使用命令行管理文件； ➢ 创建、查看和编辑文本文件； ➢ 管理本地用户和群组； ➢ 监控和管理 Linux 进程； ➢ 控制服务和守护进程； ➢ 利用文件系统权限控制文件访问； ➢ 分析和存储日志文件； ➢ 配置和确保 OpenSSH 服务的安全； ➢ 安装和更新软件包； TCP Wrappers 等防火墙策略配置服务来完成数十个根据真实工作需 求而设计的防火墙策略配置实验。在完成这些实验之后，读者不仅可以熟练地过滤请 求的流量，还可以基于服务程序的名称对流量进行允许和拒绝操作，使用 Cockpit 轻 松监控系统运行状态，确保 Linux 系统的安全性万无一失。 ➢ 9 ssh ：本章讲解了如何使用 nmtui 命令配置网络参数， 以及通过 nmcli 命令来查看本机当前的网卡配置与网络状态等信息时，其实主要查看的就 是网卡名称、inet 参数后面的 IP 地址、ether 参数后面的网卡物理地址（又称为 MAC 地址）， 以及 RX、TX 的接收数据包与发送数据包的个数及累计流量（即下面加粗的信息内容）： [root@linuxprobe~]# ifconfig ens160: flags=4163

有进程都使能 KSM 全地址范围内存去重。 • Damon（Data Access MONitoring）特性增强：Damon 可在轻度内存压力下，实现主动、轻量级的线上内存访问监 控及回收，用户根据监控结果定制策略对内存区域做相应操作。 • uswap 特性增强：增加用户态换出内存页面的机制，支持用户态灵活换出内存到后端存储，节省内存。 • Intel EMR（Emerald Rapids）新平台支持：EMR 级别的压力信息统计，识别和量化资源竞争导致的业务中断风险，支撑用户实现 硬件资源利用率提升。 功能描述 rubik 性能调优 弹性限流 拓扑编排 资源预测 隔离抢占 资源调优 QoS配置 指标监控 资源使用 eBPF PMU RDT 干扰检测 性能干扰建模 QoS违规检测 干扰源定位 干扰控制 离线资源压缩 千扰源驱逐 异常告警 OS SLI interface I/O QoS 补丁生效流程 3. 针对 ELF 文件（程序可执行文件）的用户态热补丁 使用 uprobe 技术，将热补丁与 ELF 文件绑定。在 ELF 文件运行时，通过 uprobe 触发补丁生效，这样无需监控进程。 因此，无论用户进程是否已经运行都可以在打补丁后或新进程运行时使补丁生效。同时，该技术也可以给动态库打热补丁， 解决了动态库热补丁的难题。补丁生效流程如下图所示。 23 openEuler

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 3.6 其它系统监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 记录配置文件的变更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 9.4 监控、控制和启动程序活动 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 3.7 systemd 下其它零星监控命令列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 4.1 pam_unix(8)

Kill SMT 负载均衡 OOM 优先级内存回收 动态水线控制策略 Cache 干扰预测 Cache 租户隔离 流量标签化管理 租户宽带分配 openEuler 21.09 技术白皮书 15 功能描述 1. 全局管理器 OS-Controller，监控所有节点上的 OS 实例，收集所有节点 OS 信息，实现全局 OS 的生命周期管理， 包括升级、重启、配置，以及关机时驱逐 Pod。OS Pod。OS 轻量化裁剪，减少不必要的冗余包，可实现快速升级、替换等。 2. 节点代理 OS-proxy，部署和运行在工作节点上，监控单节点的 OS 实例，收集单节点 OS 信息，并上报到 OS-agent。 3. 节点 OS-agent，接受 os-proxy 相关命令，容器 OS 生命周期管理的执行单元，维护容器 OS 安装、升级等。 适用场景 基于 K8S 容器云平台的业务节点服务器主机 部署引擎：部署引擎负责下发任务给业务集群，触发部署业务集群、销毁业务集群、新增节点和删除节点等任务。 适用场景 X86/ARM 双平面云基础设施，基于 K8S 云原生框架，实现 OS 统一集群化部署、监控、审计等场景。 安全容器 StratoVirt： 1. 强安全性：基于 Rust 实现语言级安全，模块按需组合最小化攻击面，支持多租户物理隔离。 2. 轻量低噪：采用极简设备模型时，启动时间小于

支持大页：在轻量级虚拟机下支持大页，可为轻量级虚拟机提供连续的物理内存页面，提高虚拟机内存访问效率。 • IO 子系统增强：支持多通道并发 IO 能力，提高 IO 性能。支持 IO-QOS 能力，提升虚拟机 IO 流量管理的灵活性和 稳定性。 • 系统调用过滤：通过极简设备模型设计和 SECOMP 过滤系统调用，最简配置下仅需使用 35 个系统调用，有效减小 系统攻击面。 更多详细内容请参考 openEuler 心跳方式 支持网络心跳，包括单心跳和双心跳模式，全方位监控共享数据资源。 • 秒级切换能力及故障恢复后自动回迁机制 完善的保护机制及丰富的应用程序代理，使服务器或资源出现故障时能够秒级检测并自动完成切换操作。当故障排除后， 服务自动回迁，支持 7×24 小时永不停机的企业级应用系统。 • 极端情况下对数据完整性的保护 通过监控共享数据资源，在双机出现极端故障的情况下，保护服务器数据的完整性。 据的完整性。 • 极低的系统资源占用 系统资源占用极低，基本不会与被保护应用争抢系统资源。 • 完整的日志 HA 高可用集群方案提 供完整的日志及相关调试信息，便于系统管理员进行监控、管理。 应用场景 应用场景 1：业务连续性保障 随着企业信息系统的广泛应用和深入发展，用户的核心应用数量越来越多，特别一些关键的业务系统，更是要求提供 7×24 小时不间断服务，对业务连续性的要求很高。HA

轻量化裁剪，减少不必要的冗余包，可实现快速升级、替换等。 功能描述 1. 全局管理器 OS-Controller，监控所有节点上的 OS 实例，收集所有节点 OS 信息，实现全局 OS 的生命周期管理， 包括升级、重启、配置，以及关机时驱逐 Pod。 2. 节点代理 OS-proxy，部署和运行在工作节点上，监控单节点的 OS 实例，收集单节点 OS 信息，并上报到 OS-agent。 3. 节点 OS-agent，接受 CPU 调度 内存管理 Cache QoS 网络 QoS 在线抢占 离线 Kill SMT 负载均衡 OOM 优先级内存回收 动态水线控制策略 Cache 干扰预测 Cache 租户隔离 流量标签化管理 租户宽带分配 用户 仓库 K8s Node API-Master OS-Controllor Kubelet OS-proxy OS-agent 系统镜像 Portal 部署引擎：部署引擎负责下发任务给业务集群，触发部署业务集群、销毁业务集群、新增节点和删除节点等任务。 适用场景 适应于 x86/ARM 双平面云基础设施，基于 K8s 云原生框架，实现 OS 统一集群化部署、监控、审计等场景。 安全容器 StratoVirt： • 强安全性：基于 Rust 实现语言级安全，模块按需组合最小化攻击面，支持多租户物理隔离。 • 轻量低噪：采用极简设备模型时，启动时间小于

等！都需要具备的！ 此外，最严重的问题是，网管人员其实最需要的是 『道德感与责任感』！你可要晓得你的机器上所有人的隐私都在你 的监控之下， 如果你本身就已经有偷窥欲了，可知道这有多可怕吗？另外，如果没有责任感的人作为一个网管， 可 能会疯掉，因为不论何时何地，只要是你监控的主机出了问题，嘿嘿嘿嘿，你一定是第一个被想到的人物， 所以，你 得随时随地做好可能随时会被召唤回主机跟前的心理准备！ 更可笑的是，如果你服务的人群中， 与以太网络请参考下节说明。至于偏向软件的部分则是由逻辑链接层 (logical link control, LLC) 所控制，主要在多任务处理来自上层的封包数据 (packet) 并转 成 MAC 的格式， 负责的工作包括讯息交换、流量控制、失误问题的处理等等。 Layer 3 网络 层 Network Layer 这一层是我们最感兴趣的啰，因为我们提及的 IP (Internet Protocol) 就是在这一层 定义的。 为啥每个 TCP 封包都有所谓的『状态』条件！那就是因为联机方向的不同所致啊！底下我们会进一步讨论喔！ 至于 其他的数据，就得请您自行查询网络相关书籍了！ Window (滑动窗口)主要是用来控制封包的流量的，可以告知对方目前本身有的缓冲器容量(Receive Buffer) 还可以接收封包。当 Window=0 时，代表缓冲器已经额满，所以应该要暂停传输数据。 Window 的单位是 byte。