本帖最后由 橘色祥云楼楼主 于 2018-3-29 11:36 编辑13375 华为与 Kubernetes 的渊源颇深，早在 Kubernetes 刚开源的时候就以社区创始成员及白金会员的身份加入其中。目前拥有 1 个 Steering Committee 席位和 5 个 Maintainer 席位。 华为自身基于 Kubernetes 的实践 加入初期，作为全球最大的电信设备制造商之一，华为内部 IT 运维着遍布全球的八个数据中心，在 100K + VM 中运行 800 多个应用程序，使用虚拟机封装应用程序，但每次启动虚拟机都花费了大量的时间，这给管理及部署基于虚机应用程序的高成本和低效率带来了严峻的挑战。因此华为决定利用 Kubenetes 技术对自身 IT 系统进行容器化改造。 与此同时，华为通过参与和贡献 Kubernetes 项目，为自身带来了在规划、网络、多集群联合、应用支持、安全、可扩展性和政策执行等方面的良好设计、代码和文档管理，以及在服务治理方面的收益。通过自身的容器化改造实践，在受益的同时又将自身遇到的实际问题不断的贡献给社区，与社区成员一同推动 Kubernetes 的发展。 比如，在华为内部 IT 系统的实践历程中，业务的全球化属性给平台带来了混合云、跨地域、多 DC 部署方面的需求，这与社区发展多集群联邦的理念不谋而合。因此，华为在集群联邦项目成立之初就积极参与其中，主导了架构设计以及联邦级别的无状态应用、短任务支持、集群间策略调度、应用跨集群自动伸缩等关键特性开发。目前集群联邦已在社区正式孵化为独立子项目。 另一个例子是早期的 K8S 并不支持亲和反亲和等高级调度策略，使得大型传统应用改造上云十分困难。在华为公司对应用做微服务拆分和容器化改造的过程中，最典型的问题就是拆分后的组件间如何高效地通信。在传统方案中，往往有多个组件的业务进程部署在同个虚机上，组件间交互可以通过进程间通信来实现。应用改造后，组件变成了 k8S 中的 Pod，被相对独立地调度和拉起，通过容器网络互相通信。当一个复杂应用的各个组件十分分散时，网络通信的时延会大幅增加。 一方面，针对这个问题，华为在 k8S 社区的主导实现了节点亲和反亲和调度、应用间亲和反亲和调度、Taints tolerations 等高级调度机制。通过给 Pod 配置高级调度策略干预应用组件的分布，配合容器网络在路由策略上的优化，访问时延问题得到了显著的改善。 另一方面，在集群规模和性能方面，华为也做了很多探索与实践。面对大规模场景下海量 Service 的管理性能问题，华为设计实现并向社区贡献了使用 IPVS 管理 service 路由规则的方案，将 k8S 对 service 的管理规模从上千提升到了数万的级别。 华为云应用服务与 Kubernetes 华为云应用服务产品均围绕着“容器”为中心构建，致力于帮助客户容器化的应用在云上高效地开发、交付与运维，并保障应用运行时的高性能、高可靠、高弹性。目前，华为云应用服务产品以基于 K8S 的华为云容器引擎（CCE）为核心，协同补齐了完整的应用开发、交付与运维流程，为客户提供完整的一站式云上应用生命周期管理方案。 华为云应用服务大体上可以分为三大类： 第一类围绕着 Kubernetes 核心功能，也就是容器编排与调度，与下层的基础设施层包括计算、网络、存储，以及水平的权限控制、网络防护、镜像仓库等服务进行整合形成一个容器化基础设施平台，并向上对接到集群管理、多 DC/AZ、多区域管理实现云上的水平弹性。通常大家所提到的“容器服务”或“容器云”大部分都是指这一类服务。华为云所提供的云容器引擎（CCE）、云容器实例（CCI）归属于此类。两者均基于 Kubernetes 构建，但技术路线偏重点有所区分。 CCE 的服务形态是用户专属的 Kubernetes 集群（Kubernetes as a Service），用户能够控制整个 Kubernetes 集群的资源与应用，并且可以调用完整的 Kubernetes API，以及安装各类 Addon 以及自定义扩展比如调度器、工作负载控制器等；而 CCI 的服务形态是无服务器容器（Serverless Container），用户无需感知 Kubernetes 集群，通常只需要调用 Kubernetes Workload API 进行应用的管理即可，而把资源全部交由华为云进行自动调度与管理。因此，通常 CCE 适合业务半托管的场景，即用户自身有一定运维能力，且业务场景需要用户手动做一些管控比如资源规划、弹性伸缩，甚至自定义一些平台特性以适配业务；相对而言 CCI 适合业务全托管的场景，即用户只需关注以容器形态所交付的应用本身，无需关注资源管控，甚至无需关注 Kubernetes 的相关原理。 第二类服务围绕着 Kubernetes 标准化接口以及结合具体场景的最佳实践来构建完整的应用开发、交付与运维流程，实现云上的应用全生命周期管理。华为云在开发阶段提供微服务开发框架帮助用户在产品开发中落地微服务架构实践，在交付阶段提供“从代码到容器镜像”的自动镜像构建服务，支持一键式部署到 Kubernetes 平台之上，实现持续交付，而最终业务上线运行之后的运维阶段除了基础的容器监控、日志、告警系统之外，同时提供了微服务治理引擎，以及应用性能管理用于故障在线辅助与自动定位。 具体举例而言：[indent] [*]华为云微服务引擎（CSE）提供了具备升降级、容错、熔断等完整服务治理能力的微服务框架，兼容 Spring Cloud、Dubbo 等开源接口，并与 CCE 深度整合，支持 ServiceMesh，未来计划进一步与 CNCF 基金会各微服务相关项目，尤其是 Istio 生态相结合，提供最适合在 K8S 之上运行业务所使用的微服务开发框架 [*]华为云应用编排服务（AOS）提供了以应用为中心的高层编排引擎，能够将 K8S 上运行的各种工作负载、各类资源对象整合管理，并提供了完善的版本与生命周期管理机制，便于客户以更高层的“应用”为对象进行日常交付与运维管理 [*]华为云应用性能管理（APM）提供了丰富的各类运维工具，除了基础的监控、日志与告警，进一步面向故障定位与分析场景提供了应用全局性能拓扑展示与调用链跟踪等高级特性，使得运维人员能够及时了解应用健康状态并进行相关处理。 [/indent] 第三类则是直接在 Kubernetes 之上身体力行地构建一些典型服务化应用，针对某些业务场景提供更易用、更高效的服务，使得客户更聚焦自身业务逻辑。比如：[indent] [*]以分布式数据库（DDM）、分布式缓存（DCS）、分布式消息（DMS）为代表的云化中间件服务，供应用业务逻辑所调用，辅助客户应用的容器化、无状态化、微服务化开发或改造； [*]以 CCE/CCI 为基础设施层所构建的 Serverless Computing（FunctionStage）服务，面向 Event-Driven 的典型业务流场景简化应用代码逻辑，并基于容器热启动、各类主流语言运行时的快速启停优化，实现更高效、更低成本的实时计算； [*]区块链服务 BCS 则提供了主流的 Hyperledger 开源框架，并基于 Kubernetes 的高性能实现 3 分钟一键上链，2000+TPS 的并发区块处理能力，可满足联盟链与私有链的各类业务场景诉求，使客户免运维地使用区块链构建自有业务框架。 未来：紧随社区版本 持续优势创新 纵观华为在 Kubernetes 上的创新可以总结为优势创新、场景创新、技术创新三个层面，优势创新是围绕华为固有的自身强势领域如网络、硬件进行与容器技术的结合运用。场景创新则是聚焦在不同领域的客户需求如游戏、电商、AI 等，基于客户的计算需求进行解决方案的适配。技术创新，以无服务器容器为例，在 Serverless 的云服务趋势下，华为云提供更加便捷，更加全新理念的容器服务方式。目前看来，容器服务并没有统一的服务标准，并没有说哪一种创新可以一招解决所有企业云上容器化的痛点，这需要根据客户的业务场景进行量身匹配，而华为云的全栈容器服务的实践案例也充分说明了这一点。众多不同的容器服务在上线不久已应用在众多不同领域，裸金属容器已成功运用在一部分游戏客户中，帮助其进行测试环境，及高峰时间的流量应对。Windows 容器成功运用在传统 IT 系统的容器化改造，而无服务器容器则可以帮助更多缺乏 Kubernetes 技术投入的公司快速上手享受容器化带来的益处。 这也就是华为云对于 Kubernetes 的一些探索和思考，未来还会有更多基于容器的创新，一切才刚刚开始。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~作者简介 华为云应用服务技术团队，在容器与微服务领域具备长期的技术与实践积累，以领先的容器与微服务等云原生技术专注解决应用上云前后的技术难题，助力企业应用上云更加简单、运行更高效。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 活动推荐 随着 AI、Big Data、Cloud 的逐渐成熟，FAAS、CAAS 等技术的兴起，以及被运维业务的多样化和复杂化，很多传统的运维技术和解决方案已经不能满足当前运维所需，AIOps 智能运维、大数据运维、ChatOps、SRE、Chaos Engineering、微服务与容器运维等新技术和方向应运而生，它们一方面把最前沿的技术结合到运维中来，一方面在人员角色、领域范围、文化等方面又有了很多扩展，让传统运维有了翻天覆地的变化。来 QCon 北京 2018 与国内外一线技术专家探讨运维前沿技术趋势，及其最佳实践和落地方略。目前大会 9 折报名中，立减 680 元。有任何问题欢迎咨询票务经理 Hanna，电话：010-84782011，微信：qcon-0410。13376 [/indent]

本帖最后由 橘色祥云楼楼主 于 2018-3-27 09:35 编辑13272 2018华为合作伙伴大会在青岛落下帷幕，在备受企业关注的云计算领域，华为云现场正式发布了云容器实例CCI（无服务器容器）、CCE-Windows容器、微服务引擎CSE-Mesher、区块链服务BCS四款业界领先的云上应用服务，专注解决企业在云上开发运维中遇到的瓶颈和难题，帮助企业应用快速上云，加速业务创新，从容面对数字时代的转型和挑战。 ↓↓↓ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 【Cloud 1.0时代，用户主要关注基础设施云化，华为在基础设施虚拟化方面，一直拥有持续领先的技术优势。Cloud2.0时代，企业更加关注应用上云，期待应用的高效迁移部署和快速迭代开发。基于华为长期以来在容器与微服务领域的技术与实践积累，华为云向用户提供容器和微服务等以应用为中心的云服务，使能企业应用上云更加简单、运行更高效。— 华为云BU总裁郑叶来】~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 13266云容器实例CCI 全球首款基于Kubernetes的无服务容器 在容器运用日趋普及的当下，利用容器来提升资源利用率、优化算力、简化运维已成了企业云上开发与运维的共识。云容器实例CCI则是全球首款基于Kubernetes的无服务器容器，为企业及开发者提供无服务器化的运行时全托管，无需管理集群和服务器即可在CCI上快速创建和运行容器负载，解放繁杂的运维管理，聚焦核心业务从根本上简化了容器的使用方式，将容器服务“量体瘦身”，为企业提供Serverless化全新一代的体验和选择。华为云的容器服务源于在Kubernetes社区上的长期积累和实践（K8S社区国内贡献度第一），而CCI的发布则是一举奠定了华为在Kubernetes生态中的领先地位。13267微服务引擎CSE-Mesher 首家商业落地实现零侵入式分布式改造 自去年Service Mesh概念（又称网格服务）横空出世后，华为云基于现有的微服务引擎CSE自主研发了首款商用落地的Service Mesh服务——微服务引擎CSE-Mesher。Mesher作为处理服务间通信的基础设施层，解决了传统分布式系统云化架构中的复杂通讯难题，并不再以单一语言绑定，帮助企业现有单体应用零改造快速平滑上云。相比开源的Istio可提供超过十倍性能的体验，此外商用的可靠支撑，打消了用户对开源易用性不足的顾虑。 微服务引擎CSE自去年上线以来，便成功运用在华为手机——智能助手的亿级用户场景中，半年时间里已联合数十家合作伙伴打造了众多企业级微服务解决方案。 13268云容器引擎CCE-Windows容器 打破Linux一统天下格局 即去年国内首发用于高性能计算场景的裸金属容器特性后，云容器引擎CCE本次又全新发布了其Windows容器特性，支持基于Windows Server系统的容器服务，使此前只能在Linux系统上部署容器的尴尬成为了历史，这意味着大量如基于.NET开发的应用可借助Windows容器能力轻松实现容器化，帮助其提升云上运行效率，减少资源消耗，尽享容器化带来的便捷，焕发系统第二春。 在本次大会，华为云与管家婆云科技有限公司联手发布了Windows容器实践解决方案，华为云Bu服务产品部部长廖振钦在产品发布环节分享了Windows容器的研发历程，而管家婆CEO宁洪先生现场向与会嘉宾分享了基于华为云Windows容器技术的应用云化实践改造经验。 13269区块链服务BCS使能社会诚信助力企业一键“上链” 会上，华为云正式对外宣布开放了此前还在邀测阶段的区块链服务BCS（Blockchain Service)，并联合车车科技发布了基于BCS区块链技术的互助社群区块链解决方案，在3月30号后，用户可在官网自行体验使用。 BCS面向企业及开发者提供高性能、高可用、高安全的公有云区块链服务，可帮助企业及开发者在华为云上快速、低成本的创建、部署和管理区块链应用。华为云区块链服务BCS是基于华为在分布式并行计算、容器、数据管理、安全加密等核心技术领域多年积累上研发的云服务产品，企业最快可以五分钟完成区块链技术的部署，一键快速“上链”更加专注自身业务场景，无须再让技术限制自身业务的想象力与发展。车车科技基于华为云的区块链服务，一个月内完成了互助社群的新应用上线。车车科技的CEO张磊现场亲自分享了基于BCS的社群应用实践心得。 13270 本次的产品发布，充分展示了华为云在容器、微服务等Cloud-Native新一代技术上的领先优势。并通过与合作伙伴及客户的联合创新，不断推进容器、微服务、区块链等技术的成熟及落地，聚焦为用户提供敏捷、高效、可靠、企业级的应用云化解决方案，让企业上云更简单，云上运行更高效。

本帖最后由 橘色祥云楼楼主 于 2018-6-5 15:57 编辑序：华为智能助手是华为在手机终端中推出的智能应用服务，在手机负一屏中聚合用户所需要的内容与服务，并结合用户的习惯与喜好进行智能推荐。用户只需在首屏轻轻一划，不用打开各类繁琐的手机应用，即可直接获取想要的服务与内容，帮助用户的工作生活更加智能和便捷。 随着智能手机的日益普及，手机中的智能应用正在走进人们生活中的每一个角落，作为运行在华为手机上的超级应用，华为智能助手以3.2亿的用户体量运行在华为云的终端云上，为用户提供稳定可靠的智能生活服务，其中应用市场日活高达6500万，云端相册每日新增相片已达4200万，庞大的体量使得应用系统稳定、可靠、敏捷的运行显得至关重要，而在背后全天候高效支撑的正是华为云PaaS服务中的微服务引擎CSE(CloudService Engine)。 11807 CSE是华为云PaaS家族产品中的企业架构解决方案，可为企业提供高性能的微服务框架和一站式的服务注册、服务治理、动态配置和分布式事务管理，帮助传统架构真正实现微服务应用的快速开发和高可用运维，而自去年商用发布以来便全面应用在华为智能助手的传统架构改造中。 从月到天 助力亿级应用交付周期大幅缩短 华为智能助手可以根据用户的使用习惯提供个性化的应用推荐组合，同时也为用户提供了应用市场、游戏中心、智能家居、视频、阅读等多种基本工具应用，满足用户生活中的各种智能化场景，随着业务量与日俱增，在海量用户的数字化场景下，早期的单体应用架构已不能满足业务的高并发、敏捷迭代的业务需求，迭代上新节奏缓慢，牵一发动全身，不仅仅影响用户体验，更严重影响了云端的运维效率，系统架构向分布式云化架构发展已成必然。 CSE具备开发模式门槛低、通用性强的改造优势，并支持契约优先，服务接口统一规范管理，微服务之间的调用非常方便，根据业务的现实痛点，智能助手将其后端拆分为多个微服务，并实施集群部署，而这一切全部基于CSE微服务框架开发并统一管理，现已支撑9000万用户日均1.8亿次请求，CSE稳定支持华为智能助手实现多个应用的分布式部署及管理，大幅缩短应用的迭代周期，并通过动态自治帮助其释放运维成本。 11804 以智能助手中的华为音乐为例，华为云CSE将其拆分为运营管理、内容推荐、用户交互三大服务场景，并进行了十五个以上的微服务拆分，使每个应用实现分布式的独立并行，新特性功能上线时间从以往的月为单位提升至天，大大缩短了业务的交付周期，通过敏捷迭代，不断满足在消费者场景中多变突发的需求。 化繁为简 实现复杂运维场景的自动化管理 虽然智能助手务已经跑在云端，在此前的单体架构的支撑下已难跟上前台业务的节奏，随着业务量的爆发性增长，服务越来越多，如何协调线上运行的各个服务，保障服务的SLA，对服务架构和运维人员是一个很大的挑战，当线上业务发生故障时，需要对故障业务做服务降级、流量控制、流量迁移等，快速恢复业务，这使运维的成本和难度成几何级上升。 11805 CSE通过在线的微服务治理，帮助智能助手实现微服务的弹性伸缩、故障自动迁移、降级熔断等，保障系统的运行质量。采用CSE微服务进行改造，使华为智能助手的运维效率大幅提升，智能助手应用SLA从99.9%提升到99.96%，有效的释放了沉重的运维压力。针对更轻量级的架构，智能助手的技术团队同时也拆分至多个3-5人的微服务团队，负责整个微服务的设计、开发、测试、部署运维和治理，通过全功能团队的建设，让业务真正敏捷起来。 有序重构 同等配置架构性能有效提升50% 早期的智能助手以部门自研GAF（封装Redis+Zookeeper作为通讯中间件）框架基础上构建，在并不复杂的业务场景下可以满足系统的稳定运行，随着业务量的攀升、系统复杂度提升、应用场景不断增加，GAF的架构开发门槛高、系统可扩展性差、应用耦合性高的问题日益严重，无法应对高并发流量场景，系统演进迫在眉睫。 11806 使用CSE框架进行全部重构之后，所有系统拆分成微服务，微服务之间调用采用Restful接口，使用SpringMVC的开发风格，开发效率提高一倍。使用EdgeService统一接口接入、鉴权、流控，在接口兼容场景前提下，同样的资源配置，系统吞吐量提高50%，系统开销降低30%。系统在可扩展性、高可靠性上优势明显，新特性开发全面采用DevOps开发模式，开发、运维成本明显降低。 华为消费者云微服务化总架构师王世军：随着华为终端消费市场的不断扩大，用户服务以及用户体验的持续提升显得尤为重要。作为距离桌面主屏最近的区域，华为智能助手在手机负一屏上不断的实现技术与产品创新，借助华为云CSE的微服务框架进行分布式云化改造，在提升系统性能，降低运维成本的同时，可以让智能助手更加专注在应用服务层的创新，持续为三亿用户提供更“懂”你的智能生活服务。 华为云PaaS服务产品部部长廖振钦表示：微服务与容器技术的结合正在发挥越来越重要的作用，华为“全面云化”战略下的统一PaaS平台，微服务与容器是其核心技术。华为微服务CSE已经在华为流程IT、各产品线云化、消费者云、外部客户等众多重大项目上成功稳定商用。包括最近在世界移动大会MWC2018上发布的华为5G核心网解决方案，也是基于华为的微服务架构。我们欢迎更多企业用户使用华为云的微服务，助力企业应用上云更简单、运行更高效，实现Cloud-Native敏捷开发。 CSE以华为自身实践为基础，历经亿级消费者业务场景的考验，专注帮助企业解决云化转型及上云前后的分布式架构改造难题，针对不同企业的业务场景，提供多语言、多架构的解决方案，致力于帮助企业搭建自身的分布式系统，更加敏捷的应对数字化转型带来的挑战。华为云微服务引擎 CSE ，截止到2018年6月30日 限时免费立即体验：https://console.huaweicloud.com/cse/?region=cn-north-1#/cse/home了解详情：https://www.huaweicloud.com/product/cse.html

本帖最后由 橘色祥云楼楼主 于 2018-2-13 10:44 编辑单身狗、房车狗、考试狗……新的一年里，希望生活待我们如春天般温暖！{:2_33:} 在这个举国举家同庆之际，应用服务论坛携手10大子版块祝大家新年快乐！ 为大家准备了版块特色祝福语贺卡，请笑纳！ 狗年不虐狗，新年快乐久！10950 1.微服务云应用平台：阖家齐聚看联欢，ServiceStage助力企业上云端！ 10951 2.微服务引擎：2018轻装上阵，开发、运维，微服务生态管理，助您让应用轻起来！ 10952 3.云容器引擎：轻松操作容易懂，应用搭建好上手！云容器引擎，助您一切操作顺顺利利！ 10953 4.函数服务：快速构建，自动运维，FunctionStage助您灵活应对每一天！ 10954 5.应用性能管理服务：实时监控，自我分析。APM助您放心体验，突破每一道难关！ 10955 6.消息通知服务：简化系统耦合，定向推送消息，SMN助您耳聪目明、无往不利！ 10956 7.应用编排服务：一键式部署，简化云管理。AOS助您生活有规则，有突破，有能量！ 10957 8.API网关：API轻松管理，轻松构建。API网关助您人脉四通八达，所向披靡！ 10958 9.云性能测试服务：专业测试报告，准时送达。CPTS为您出谋划´测´，安心应对多变场景！ 10959 10.容器镜像服务：镜像管理，简单运维。SWR安抚好您的后宫，是每一年的职责！ 10960 谢谢大家！ 10961 注意：另外希望参加1月份爆料活动的朋友们及时登录后台查看私信是否有中奖， 年后我们回来瓜分礼包啦! 【1月中奖名单公布】看看有没有你？！恭喜所有中奖小伙伴！ http://forum.huaweicloud.com/forum.php?mod=viewthread&tid=6354 10962

本帖最后由 东软慧聚 于 2018-1-22 16:00 编辑◆产品简介东软慧聚企业学习系统（简称：H-ELS）是强大的企业级学习管理平台，该产品已经在百余家政府和大型企事业客户项目中实施应用，能够更好的满足企事业客户的信息化培训实施及管理需要。结合华为云强大的计算优势、稳定的链路环境，东软慧聚推出H-ELS华为云SaaS集成版，为中小企业客户提供低维护成本、上线快的轻量级云端学习平台服务，帮助客户更便捷的实现信息化培训管理目标。 ◆云部署优势9343降低系统使用成本无需再承担高额的EL系统搭建所需的软硬件环境成本▪可按照使用周期分期购买平台服务，避免一次性大额投入对轻量级的企业用户，厂商选型风险大大降低，使用一短周期后不如意夸人随时更换上线周期短、快速推广使用用户直接访问云端的EL应用服务，省去基础环境搭建的人力消耗和漫长周期EL云端环境已经过多轮优化、成熟运行多年，用户可直接享用稳定、高效的系统服务从开通到全面推广使用，仅需1-2周时间贴心的运维服务，无需额外投入无需再考虑每年高额的IT韵味成本和团队人力投入 云服务厂商可提供免费、实时的EL系统使用咨询服务和培训数据报表，同时还为企业用户提供了多种日常学习、考试业务的运维服务包供选择 ◆东软慧聚服务优势SaaS集成版由东软慧聚运维团队直接为最终用户提供账号开通、用户操作培训及使用答疑等专业化服务，不需要供应商再单独配备支持力量，降低分销成本并保证服务质量。对于初始企业用户，慧聚可以提供账号开通、基础信息导入、业务规则导入、课件实体资源导入、操作权限划分等初始化服务，帮助用户快速的推广使用；在项目运行期间，慧聚还可以提供学习过程管理、考试过程管理等附加服务，还可以定期为企业推送培训大数据表；同时，在项目运行期间，慧聚还会提供配套的IT运维服务，以保证SaaS平台的该效率和准确性。 ◆产品主要模块9344H-ELS华为云SaaS集成版能够组织掌握、跟踪、管理学习情况，使学习者获得学习的主动权它综合了管理学习进程所需要的各种工具，它包括课程注册及审批、在线学习、检测考核、学习进度追踪、互动交流、报表统计等多个交互子系统。 ◆产品功能特性9345简单、高效的学习过程管理完整的考核测评功能详尽的培训报表设计强大、便携的移动学习APP端 ◆产品关键客户9347详情咨询：+86 400 898 9668服务邮箱：huiju@neusoft.com北京东软慧聚信息技术股份有限公司北京市海淀区西北旺东路10号院22号楼东软研发中心

本帖最后由 灿烂千阳 于 2018-1-9 19:17 编辑北京中远麒麟科技有限公司入驻华为云市场上载了麒麟堡垒机 8586听着名字，就被这威力给震慑到了 堡垒机，是取炸碉堡的吗? 这一定是一款攻击中的“战斗机” 8585来，一起来看看这款“机”是做啥的1. 概述运维安全堡垒平台（以下简称运维堡垒机）是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。1.1. 功能介绍运维堡垒机集中管理运维账号、资产设备，集中控制运维操作行为，能够实现实时监控、阻断、告警，以及事后的审计与统计分析。支持常用的运维工具协议（如SSH、telnet、ftp、sftp、RDP、VNC等），并可以应用发布的方式支持图形化运维工具。运维堡垒机支持旁路模式和VPN模式两种方式，物理上旁路部署，灵活方面。运维堡垒机在操作方式上，不改变用户的操作习惯，仍然可以使用自己本机的运维工具。1.2. 名词解释协议指运维堡垒机运维工具所用的通信协议，比如Putty使用SSH协议，CRT支持SSH和Telnet等。工具指运维人员实现对设备的维护所使用的工具软件。设备账号指运维目标资产设备的用于维护的系统账户。自动登录指运维堡垒机为运维工具实现自动登录目标被管设备，而运维用户不需要输入目标设备的登录账号和密码，也称为单点登录（SSO）。命令阻断指根据命令权限策略检查用户输入的操作指令，如果策略不允许执行此指令，会拒绝转发此操作命令目标设备，同时向操作员反馈拒绝执行的提示信息。这是实现实时操作控制的一种重要手段。应用发布指通过在应用发布服务器部署应用程序，提供给用户远程虚拟化方式进行使用，就如同安装在本地一样的效果。 1.3. 环境要求运维堡垒机提供运维Web Portal，登录 Web Portal要求运维终端采用支持IE内核的浏览器，因为需要支持ActiveX控件，推荐使用IE浏览器，支持IE8、IE9、IE10。另外，运维终端还需要安装JRE环境，支持 Web Portal的Java Applet。2. 登录堡垒机 2.1. 准备 2.1.1. 控件设置WebPortal方式可以支持控件模式，不需要安装任何客户端，方式为：1. 继续上面设置，登录堡垒机，在堡垒机的其它菜单中，点击工具下载，下载：堡垒机控件-日期.zip，解压后安装（只需要默认点击下一步） 2.2. 登录堡垒机在浏览器地址栏输入https://ip，在已经导入证书的情况下，会顺利地打开登录页面，否则需要选择信任证书并继续浏览，才能看到登录界面。登录界面如下图：支持普通口令登录，也支持动态口令登录。动态口令登录需要登录用户手上有动态口令的USBKey才行，没有的人不能用动态口令登录。认证方式有英文名和中文名两种方式的原因是，在运维堡垒机都采用实名制账户管理，每个用户账号（英文名）都对应一个自然人的真实姓名（中文名）。一般直接使用默认的英文名登录认证方式即可。 输入用户名、密码后认证通过后即可看到堡垒机的运维主界面，如下图所示： 主界面为左右布局，左侧菜单，右侧为工作区，右侧展示菜单对应的各项功能和操作数据。菜单区有三大功能：“设备管理”、“运维审计”、“其他”。运维堡垒机的运维Web Portal的核心功能在“设备管理”和“运维审计”两块，设备管理是对设备进行运维的统一操作入口，运维审计是对运维操作的回顾和审计。从“设备管理”菜单的结构可以看出，运维堡垒机把所有设备分组管理，形成设备组，而且从右侧界面结构看到，设备又根据运维方式进一步分类，比如有SSH设备、RDP设备等，让用户能够很方便地找到操作对象。“设备管理”菜单中的另一块就是“应用发布”，“应用发布”就是在堡垒机上部署了一些运维工具，提供给运维人员使用，这些工具不需要下载安装，就可以直接使用来对设备进行运维，是一种虚拟化的操作方式。“运维审计”是提供给运维人员自己查看审计自己历史操作过程记录的一个途径，有利于积累操作经验。“其他”是一些辅助功能，比如修改个人信息、下载工具、网盘等。3. 设备运维运维堡垒机支持运维人员以三种方式登录运维：1) 打开WebPortal，在Webportal中点击相应的工具链接进行登录2) 直接在维护终端本地打开工具进行登录3) 进行VPN拨号，然后打开维护终端本地工具进行登录3.1. Web Portal设备运维设备运维除了选用应用发布服务器上的软件工具意外，都是使用本地安装的工具软件。首次登录注意看，设备列表中每个设备右端对应的操作栏，如下图所示。设备列表的第一列是ID，也非常重要，在下一节运维工具直接登录运维的时候要用到。以第一行设备Linux-1为例。它的操作为“ssh(putty | securecrt) sftp(WINSCP)”，表示该设备有两种运维登录方式，一种是ssh方式，第二种是sftp方式，并且列明了可以使用的工具，SSH方式可以使用putty或者securecrt，sftp方式使用WINSCP。括号里面的蓝色字体表示是链接，点击链接可与打开工具。第一次点击工具链接的时候，堡垒机系统并不知道你的工具是否安装以及所在位置，需要用户自己指定工具安装在哪个路径下面，因此，会弹出对话窗口让登录人员进行路径选择，第一次选择路径后，系统即会记录该路径，以后再登录都不需要重新输入，界面如下。找到运维工具后，启动工具，堡垒机系统一般将会自动登录到目标系统，代替运维人员实现登录目标设备的登录操作，这就是单点登录，简化运维操作，不需要记忆大量设备的账号密码。采用putty工具自动登录目标设备后的界面如下图所示。其他设备的运维与此类似。3.2. 运维工具直接登录除了在Web界面点击工具链接登录目标设备运维，支持使用本地运维工具直接进行登录运维，操作体验与没有使用堡垒机完全相同，完全不改变操作习惯。运维人员直接使用运维工具柜进行运维，与使用堡垒机之前不同，需要注意二个事项：1. 无论运维人员希望登录哪一台目标设备运维，工具的目标主机地址都是运维堡垒机，不能绕过堡垒机直接填写目标设备地址访问。2. 运维人员登录认证的帐号，也不能再使用目标设备最终登录账号，登录账号使用的是用户在运维堡垒机上的登录账号与目标设备在上的ID好组合而成的一个标识，其格式是：堡垒机账号—目标设备ID中间的连接符是两个减号。而登录密码就是用户在堡垒机上账号的密码。如何得到设备的ID呢？用浏览器登录堡垒机WebPortal可以查看，在设备列表的衣领就是设备ID，如下图所示172.16.26.222的空用户ID是20。因此当希望用工具直接登录目标设备Linux-1(192.168.1.45)时，应该在打开的工具（比如putty）界面上，目标主机的地方填写堡垒机地址（假定为192.168.1.61），如下图所示。 点击“Open”按钮，当Putty提示输入登录用户名和密码的时候，此时应该输入在堡垒机上的账号名（假设为tom）与ID的组合，即“tom--20”，密码为堡垒机用户tom的密码。这样Putty就会穿过堡垒机把你带到要维护的目标设备172.26.16.222。3.3. SecureCRT打开多个设备1、登录堡垒机WebPortal（假设为192.16.100.51），点击工具CRT链接可以登录一个目标设备，如下图所示。 在SecureCRT上打开“文件”－“快速连接”协议选择:“SSH2”主机名:“192.16.100.51”（主机名填写堡垒机的访问IP地址）端口: “23”用户名:即堡垒机用户名，这里是cx用户名格式：堡垒机用户名--服务器ID 如图：打开不同的AIX或Linux需查看不同的服务器ID 查看服务器ID的方法：在WebPortal设备列表中左边第一列。点击“连接”，输入堡垒机登录密码。 重命名服务器名称 3.4. 列表导出当设备非常多的时候，按上面每台设备添加并填入ID的方式，会给运维人员造成很大的负担，因此堡垒机提供列表导出方式，可以直接导出SecureCRT、Xshell的配置列表(ssh协议)和Mremote列表(RDP、VNC、X11协议)，导入列表后，工具内就有用户可以登录所有的设备，并且已经配置好id值用户可以直接使用。首先登录到堡垒机前台，点击列表导出菜单，得到如下界面在界面中，只需要选择SECURECRT的版本（6或7），如果版本低，必须要升级到6.x或7.x版本，然后点击后面的提交按钮，会下载一个以主帐号为命名的zip文件（有的时候，因为IE安全问题，头一次点击提交无法下载，这时只要在到这个界面，选择好版本后在点击提交按钮就可以下载了）。将文件存到一个目录解压，会得到一个以用户名为名称的目录，里面就是所有的主机列表配置。打开Securecrt的option菜单里的global setting，可以得到securecrt的sessions文件存贮位置，如下图：只需要将下载解压的目录的放到这个目录的sessions目录下 打开CRT后，会出现一个以用户目录为名称的目录，里面会出现服务器组列表，服务器组列表就会有所有能登录的设备，这时，用户可以直接使用CRT，通过找到服务器点击的方式登录目标设备

本帖最后由 川川 于 2017-11-27 09:54 编辑1概述 PaaS (Platform as a Service)，作为云计算的第二层，主要面向开发、运维，提供软件开发，验证，部署，运行，以及运行时的管理、监控、故障恢复等服务。PaaS的设计主要围绕应用和服务的生命周期管理来作为服务提供。 目前，PaaS 2.0主要使用k8s为技术框架，应用采用Docker（容器）来实现部署运行。对于Docker的基于内核Namespace的逻辑隔离，安全更富有挑战。 PaaS的安全主要分以下几个维度为进行保障：功能安全、运维安全、OpenAPI安全、基础设置安全（IaaS）和容器、镜像安全。 2 功能安全 2.1 多租户隔离 租户基于Domain和Project的机制进行隔离，每个Domain的租户权限与资源互相隔离。其中，租户Domain的资源和权限集合为多个Project的总和。 租户内采用多用户和多用户组的管理方式，用户基于角色来进行授权，全部对接IAM来统一身份认证，实现统一的用户权限和资源管理。 2.2 多租户资源管理 通过IAM可以统一实现租户的资源信息同步和管理。用户具有可查看、增加自己的配额能力，构建自己的集群，部署各种服务。 2.3 身份认证和访问控制 PaaS的身份认证和访问控制，主要通过内置各服务租户和大量角色来进行用户访问控制，IAM进行认证和授权，以及基于Xrole的信任管理。 2.4 单点登录 在PaaS中，是多用户、多WEB应用，单个SSO认证中心的机制，实现所有登陆认证都在SSO认证中心统一认证，SSO认证中心与WEB应用建立一种信任关系。 SSO服务提供SSO Server和SSO Client软件，基于CAS来实现。 2.5 基于SAML的第三方IDP对接 多个应用的用户登录认证可以使用基于SAML的共享信任的机制，让IAM认证中心来对接第三方的IDP服务。达到多应用下，用户的共享信任。 2.6 PSM秘钥管理系统 PSM主要为PaaS的秘钥和证书管理系统，主要在初始化安装、创建Namespace、纳管节点、创建pod、证书和秘钥更新过程中，对秘钥和证书进行管理。 2.7 数据安全 使用主流的隐私模型和算法，集成主流的匿名化算法，覆盖数据的整个生命周期。 3运维安全 3.1 日志异常行为监测 3.1.1 运维面审计日志 通过rest接口记录运维管理员操作日志 3.1.2 管理面审计日志 通过将用户行为记录到本地文件与运行日志分开 3.1.3 日志分析 日志分析主要依赖于ALS（Application Log Service）和DPA（Data Process Analysis）。ALS可以提供统一的日志收集、查询、配置服务。DPA对收集的日志进行大数据分析，从中查找异常行为。 4 OpenAPI安全 4.1 API安全检测 1.认证检测，防止篡改和重放攻击 2.流量检测，防DDOS攻击 3.对受限资源的访问授权 4.报文异常参数检测 5 基础设置安全 5.1网络隔离 在PaaS组网与外网间采用防火墙隔离。PaaS内网采用双网卡的HA LB将运维、管理面和租户面进行隔离。租户面与运维、管理面采用不同网段和VIP，互相之间通过LB的两个VIP进行路由转发。 同时还需要对应的I层虚拟机进行网络隔离的安全设置，以达到虚机的逻辑VLAN隔离。 5.2 WAF 1.在PaaS中使用WAF进行WEB防护，WAF需要具备如下能力： 2.纵深安全防护，黑名单特征检测和协议重组检测 3.自学习建模和白名单，提高检测效率和准确率 4.高性能检测，对于静态文件进行高速转发，无需通过特征库检测 5.防篡改，自学习网站页面内容，对常用内容进行缓存和比对 6.自动侦测应用，从流量中自学习WEB协议信息，获取新增应用信息。 7.实时安全响应和告警 8.透明代理，部署WAF对用户网络透明，提升性能 9.高速缓存，对于静态文件进行大量缓存，提升服务器处理性能 10.CC防护 5.3 Anti-DDOS 在对接外网时，使用Anti-DDOS服务器，将网络流量复制到检测中心。检测中心发现DDOS流量，则通知ATIC服务器，联动路由器，将流量引流到清洗中心，进行流量清洗。剩余有效流量返回路由器进行转发。 6容器和镜像安全 6.1CVE安全扫描 在镜像入库和部署前，采用工具进行漏洞扫描。 6.2 CIS容器一致性检测 使用扫描工具，基于CIS（Center for Internet Security）的策略，对运行态的容器进行检查。 6.3 容器运行态防护 可使用容器监控工具，针对的具体的容器，镜像，服务主机，以及标贴（Labels）。对运行中文件、网络监控、进程以及系统调用进行监测。 6.4 镜像签名保护 Notary获取Docker镜像中的manifest文件，manifest包括各个层的散列值的详细信息。Notary对manifest文件进行签名。并且增加时间戳的签名。

本帖最后由 哆啦A梦 于 2017-12-13 11:48 编辑朋友小李是一家互联网科技公司的运维工作人员，近来工作顺风顺水，升职加薪，适逢公司业务扩张，公司搭建的私有服务器系统需要处理的数据也越来越多，甚至系统运行都开始出现问题，小李和手下的团队开始了日常加班的生涯！5475一天，小李团队负责运维的系统又出现了问题，很快，老板就叫他到办公室去一趟。老板询问小李是何原因造成的系统经常崩溃，小李开始从技术和设备的角度为老板解释！ “说人话…”老板有点不耐烦了。“额，目前我们的服务器太小，软件太次，硬件太老，需要更新换代。” “那你下去做一个解决方案给我”老板轻描淡写的讲述着。接到老板任务的小李开始上网考察各个不同的服务器硬件和软件供应商，在随后的一周内，小李提出了三种私有云服务器的组建搭配方案，却因价格昂贵，都被老板pass，小李顿感痛不欲生！5476 苦闷异常的小李，回到住处后向同为运维工程师的室友老王请教！ “你啊，现在是什么时代，云2.0时代，你怎么还想着自己搭建服务器”老王的语气颇有些恨铁不成钢的味道。说着老王拿出手机了，“知道以前主做私有云业务的华为吗，最近他们也开始做公有云了，你看，他们有弹性云服务器、专属云、裸金属服务器等各种规格的服务器，绝对可以组合出一套完美支撑起你们公司业务的服务器，关键是价格很低，省却物理运维的环节，成本可以节省好几倍，目前他们还有各种优惠活动呢！” “而且华为的综合上云迁移交付服务，专业帮企业将私有云搬迁至公有云，一整套的方案流程，回头你好好研究下公有云吧！下周好找你们老板汇报新的方案。”小李的脸色随着老王的诉说，慢慢变得光彩熠熠了起来！5477第二周，小李自信满满的出现在了老板的办公室，向老板汇报了新的服务器优化方案，很快老板就同意了他的方案。公司在搭建公有云后再也没有出现过服务器被爆的情况，公司业务蒸蒸日上，很快就称为了同行企业的标杆！你问小李怎么样了？那还用问吗，解决了老板问题的他，当然是升职加薪、迎娶白富美喽！作为运维老司机的你，想升职加薪走上人生巅峰吗？12月15号，华为云在北京举行技术私享会《云*计算“硬专快稳”之道》，为你的程序人生加油充电！ 6661 扫码加群，直连云端专家6660扫码赢豪礼

积累经验篇 做运维也快4年多了，就像游戏打怪升级，升级后知识体系和运维体系也相对变化挺大，学习了很多新的知识点。 运维工程师 是从一个呆逼进化为苦逼再成长为牛逼的过程，前提在于你要能忍能干能拼，还要具有敏锐的嗅觉感知前方潮流变化。如：今年大数据，人工智能比较火。。。(相对表示就是 python 比较火） 前面也讲了运维基础篇，发现对很多人收益挺大，接下来也写下关于这4年多的运维实践经验，从事了2年多游戏运维，1年多安全运维，1年大数据运维，相关行业信息不能算非常精通吗，但是熟悉和熟练还是相对可以的。 初级篇 详见：详解Linux运维工程师入门级必备技能拓扑详见： 中级篇从我后面面试经历和面试别人的经历。有些人认为，其实运维就是部署某个软件，设置些基础功能，就算会运维了。举个例子：安装LAMP，LNMP，就感觉部署方法我都掌握了。其实网上大多数都有一键安装脚本啥的根本没有啥技术含量，在面试官眼里，这些都不是你的亮点。基本到了公司一般环境架构都是部署好的，很少需要你去变动环境架构。就算你安装好 LNMP 架构你熟悉里面的原理吗，熟悉 Nginx 优化吗，熟悉 MySQL 优化吗？ 再举个例子：我面试遇到的问题，面试官问你既然熟悉 LNMP 架构，那么 Nginx 反向代理的作用。 你应该不是说出懂这个软件和配置，你尽可能的说怎么优化，怎么深入提高网站性能。 1、使用反向代理可以理解为7层应用层的负载均衡，使用负载均衡之后可以非常便捷的横向扩展服务器集群，实现集群整体并发能力、抗压能力的提高。 2、通常反向代理服务器会带有本地 Cache 功能，通过静态资源的 Cache，有效的减少后端服务器所承载的压力，从而提高性能。 下面说说运维在工作中需要掌握的核心技术注意，这是在工作中掌握的，在学习中很难掌握。 1、第一条最主要的排错 ● 分析部分程序不能运行或没有按预想结果运行的原因，对程序运行跟踪，查看系统调用的过程。 ● 较深入的系统瓶颈点分析。 查看剩余内存： 复制内容到剪贴板代码:free -m#-/+ buffers/cache: 6458 1649#6458M为真实使用内存 1649M为真实剩余内存(剩余内存+缓存+缓冲器)#linux会利用所有的剩余内存作为缓存，所以要保证linux运行速度，就需要保证内存的缓存大小 系统信息： 复制内容到剪贴板代码:uname -a # 查看Linux内核版本信息cat /proc/version # 查看内核版本cat /etc/issue # 查看系统版本lsb_release -a # 查看系统版本 需安装 centos-releaselocale -a # 列出所有语系locale # 当前环境变量中所有编码hwclock # 查看时间who # 当前在线用户w # 当前在线用户whoami # 查看当前用户名logname # 查看初始登陆用户名uptime # 查看服务器启动时间sar -n DEV 1 10 # 查看网卡网速流量dmesg # 显示开机信息lsmod # 查看内核模块 硬件信息： 复制内容到剪贴板代码:more /proc/cpuinfo # 查看cpu信息lscpu # 查看cpu信息cat /proc/cpuinfo | grep name | cut -f2 -d: | uniq -c # 查看cpu型号和逻辑核心数getconf LONG_BIT # cpu运行的位数cat /proc/cpuinfo | grep 'physical id' |sort| uniq -c # 物理cpu个数cat /proc/cpuinfo | grep flags | grep ' lm ' | wc -l # 结果大于0支持64位cat /proc/cpuinfo|grep flags # 查看cpu是否支持虚拟化 pae支持半虚拟化 IntelVT 支持全虚拟化more /proc/meminfo # 查看内存信息dmidecode # 查看全面硬件信息dmidecode | grep "Product Name" # 查看服务器型号dmidecode | grep -P -A5 "Memory\s+Device" | grep Size | grep -v Range # 查看内存插槽cat /proc/mdstat # 查看软raid信息cat /proc/scsi/scsi # 查看Dell硬raid信息(IBM、HP需要官方检测工具)lspci # 查看硬件信息lspci|grep RAID # 查看是否支持raidlspci -vvv |grep Ethernet # 查看网卡型号lspci -vvv |grep Kernel|grep driver # 查看驱动模块modinfo tg2 # 查看驱动版本(驱动模块)ethtool -i em1 # 查看网卡驱动版本ethtool em1 ●使用分析系统分析web日志。（如逆火软件，）● 分析系统性能瓶颈点（IO/memory/cpu,常用工具，top命令中shift组合键的特殊用Sar/vmstat/iostat/ipcs） 日志管理常用命令： 复制内容到剪贴板代码:history # 历时命令默认1000条HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S " # 让history命令显示具体时间history -c # 清除记录命令cat $HOME/.bash_history # 历史命令记录文件lastb -a # 列出登录系统失败的用户相关信息 清空二进制日志记录文件 echo > /var/log/btmp last # 查看登陆过的用户信息 清空二进制日志记录文件 echo > /var/log/wtmp 默认打开乱码who /var/log/wtmp # 查看登陆过的用户信息lastlog # 用户最后登录的时间tail -f /var/log/messages # 系统日志tail -f /var/log/secure # ssh日志 2、优化 优化可以说是运维最吃香的技能，基本会优化的运维普遍工资很高，而且优化是要承担风险的，并不是网上搜个文章改一下配置文件或者参数就叫优化了，这样很容易造成宕机。 优化是根据实际的现场环境硬件各个参数进行部分优化，提高软件性能和网站性能。这个我只能讲半知半解，当时优化mysql和tomcat参数也是根据网上文章和官网文档查找参数在虚拟机上测试然后查看性能。 成本优化，性能优化。这里我给出 tomcat 优化 jvm 参数（做过相应测试才放到现场环境的）：（记住无监控不调优） -标准参数，所有jvm都应该支持 -X 非标，每个jvm实现都不同 -XX 不稳定参数，下一版本可能会取消 serial collector 单线程 序列化 parallel collector 多线程 启动 jvisualvm.exe 监控 dump 内存溢出 -Xms:初始堆大小 -Xmx:最大堆大小 -Xss:线程栈大小 -XX:NewSize=n:设置年轻代大小 -XX:NewRatio=n:设置年轻代和年老代的比值，如3, 标示年轻代：年老代比值1:3,年轻代占整个年轻代年老代和的1/4 -XX:SurvivorRatio=n:年轻代中的eden区与2个Survivor区的比值。 -XX:MaxPermSize=n:设置持久代大小 收集器设置 -XX:+UseSerialGC：设置串行收集器 -XX:+UseParallelGC:设置并行收集器 -XX:+UseConcMarkSweepGC:设置并发收集器 回收统计信息 -XX:+PrintGC -XX:+PrintGCDetails -Xloggc:filename tocmat 优化 确认有几个 jvm 虚拟机 set JAVA_OPTS= -Xms4g -Xmx4g -Xss512k -XX:+AggressiveOpts 进攻型的优化选项,所有优化项都加上 -XX:+UseBiasedLocking 优化锁，基本都要选上，偏执锁 -XX:permSize=64m 原始区大小，最大300m 类多就设置大一点 -XX:MaxPermSize=300m -XX:+DisableExplicitGC //System.gc() 不显示调用gc -XX:+UseConcMarkSweepGC 使用cms缩短相应时间，并发收集，低停顿 -XX:+UseParNewGC 并行收集新生代的垃圾 -XX:+CMSParallelRemarkEnabled 在使用UseParNewGC的情况下，尽量减少mark的时间 -XX:+UseCMSCompactAtFullCollection 使用并发收集器时，开启对年老代的压缩，使碎片减少 -XX:LargePageSizelnBytes=128m 内存分页大小对性能的提升 -XX:+UseFastAccessorMethods get/set方法转成本地代码 -Djava awt headless=true 修复linux下tomcat处理图标时可能产生的bug 内存调优： 复制内容到剪贴板代码:"C:\Program Files\Java\jdk1.8.0_31\bin\java" -XX:+DoEscapeAnalysis -XX:+EliminateAllocations -XX:+UseTLAB -XX:+PrintGCDetails -Didea.launcher.port=7540 "-Didea.launcher.bin.path=E:\java\IntelliJ IDEA 2016.3\bin" -Dfile.encoding=UTF-8 -classpath "C:\Program Files\Java\jdk1.8.0_31\jre\lib\charsets.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\deploy.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\access-bridge-64.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\cldrdata.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\dnsns.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\jaccess.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\jfxrt.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\localedata.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\nashorn.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\sunec.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\sunjce_provider.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\sunmscapi.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\sunpkcs11.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\ext\zipfs.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\javaws.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\jce.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\jfr.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\jfxswt.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\jsse.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\management-agent.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\plugin.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\resources.jar;C:\Program Files\Java\jdk1.8.0_31\jre\lib\rt.jar;E:\java\new\out\production\new;E:\java\IntelliJ IDEA 2016.3\lib\idea_rt.jar" com.intellij.rt.execution.application.AppMain aa.T02HeapPSYoungGen total 38400K, used 3994K [0x00000000d5d80000, 0x00000000d8800000, 0x0000000100000000) eden space 33280K, 12% used [0x00000000d5d80000,0x00000000d61668b8,0x00000000d7e00000) from space 5120K, 0% used [0x00000000d8300000,0x00000000d8300000,0x00000000d8800000) to space 5120K, 0% used [0x00000000d7e00000,0x00000000d7e00000,0x00000000d8300000)ParOldGen total 87552K, used 0K [0x0000000081800000, 0x0000000086d80000, 0x00000000d5d80000) object space 87552K, 0% used [0x0000000081800000,0x0000000081800000,0x0000000086d80000)Metaspace used 3072K, capacity 4494K, committed 4864K, reserved 1056768K class space used 329K, capacity 386K, committed 512K, reserved 1048576KHeapPSYoungGen total 38400K, used 1147K [0x00000000d5d80000, 0x00000000d8800000, 0x0000000100000000) eden space 33280K, 3% used [0x00000000d5d80000,0x00000000d5e9ecb8,0x00000000d7e00000) from space 5120K, 0% used [0x00000000d8300000,0x00000000d8300000,0x00000000d8800000) to space 5120K, 0% used [0x00000000d7e00000,0x00000000d7e00000,0x00000000d8300000)ParOldGen total 87552K, used 0K [0x0000000081800000, 0x0000000086d80000, 0x00000000d5d80000) object space 87552K, 0% used [0x0000000081800000,0x0000000081800000,0x0000000086d80000)Metaspace used 3072K, capacity 4494K, committed 4864K, reserved 1056768K class space used 330K, capacity 386K, committed 512K, reserved 1048576K 线程本地缓存使用eden的，开启就会使用更多 tomcat 前任何参数没参加大概每秒605 调优后大概每秒435 接近3倍的结果 3、开发技能 优选 shell 和 python，现在 shell 无法满足你的需求或者效率很低，那么选择自动化 python 是最好的选择。现在普遍招聘需求要求，会写 shell 或者 python，perl 脚本，个人选择还是选 python。 python 这门语言上手比较快，容易理解。 python 在服务器管理工具上非常丰富，配置管理(saltstack) 批量执行( fabric, saltstack) 监控(Zenoss, nagios 插件) 虚拟化管理( python-libvirt) 进程管理 (supervisor) 云计算(openstack) ...... 还有大部分系统 C 库都有 python 绑定。 对于流程确定的事情，最终一定是纳入系统管理的体系，写成程序，成为系统的一部分。而不是无法复用游离与整体的各种脚本。 随着云计算时代的来临，中小型公司，不需要运维了。大型公司，没有工程开发能力的运维，是没有竞争力的。 最重要的学好 python 可以涨工资，可以涨工资，可以涨工资。（重要的事情说三遍。） 目前本人也是在学 python，正在把以前 shell 脚本的实例转换成 python 脚本。 python笔记：python实例手册（一直在看） 下载链接：http://down.51cto.com/data/2329173 4、意识篇 1) 安全意识： 运维人员的权限很大，所以一定要保证帐号/私钥的安全。 ● 最好使用加密工具存储。比如truecrypt，lpassword● 基于本地存储。切勿用网盘，也不建议用lastpass等● ssh私钥添加密码 2) 磨刀意识： 关于任何操作配置，最好先搞明白操作或配置的原理，然后再去操作。应一句话叫做“磨刀不误砍柴功”，而且对于类似的操作可以举一反三。 3) 计划意识： 复杂的变更操作比如多台主机以及牵涉到san存储，最好先作 操作计划，写计划文档，详细致每条命令，然后请高手帮忙审核。 这样能最大程度使整个操作过程安全。如果是重要的客户业务系统，操作最好有回退方案，而一旦变更失败，客户可以在短时间内将业务回退。4) 记录分享意识： 遇到自己认为较特殊的案例时，记得要写 案例过程及分析的文档。也方便自己以后翻看，或者和其他兄弟分享，作知识的传播以便于大家以后都能少走弯路。 5) 监控意识： 运维来说，监控是非常重要的，监控是发现系统各种异常的眼睛，所以运维应该和监控紧密配合。 6) 业务意识： 尽量了解维护的各主机上业务类型，以及各主机业务之间的关联性。因为任何维护工作都是为主机能提供业务服务的，当某业务中断，能最快的知道与此业务相关的主机群，从而缩小故障排查范围，最快定位故障。 附上运维思路拓扑图： 可以看看：安全运维理念（半神半仙亦民工）意识是很重要，并不是你技术很牛，学的技术很多很熟，就不代表你不需要运维意识，其实领导很看重运维意识的，例如有没有做好备份，权限分配问题，平台测试情况，故障响应时间等，这些都是意识，而不是你学了很多技术自认大牛了，平台发现故障你又没什么大不子，以为很简单的问题喜欢处理就处理，不需要向其它部门反馈等，领导不是看你的技术如何，而是看你的运维意识如何，你没运维意识，技术再牛也没用，只会让其它部门的人跟你不协调。 要知道做IT这行是苦B的，需要无尽的学习，不学习只会被淘汰，不想被年轻的淘汰，就只能不断增值自己，不然不是你工资无法提升，而是你无法再从事这行。 这个世界，在悄悄惩罚不改变的人...

本帖最后由 安全小兵 于 2017-9-14 22:55 编辑[color=rgba(0, 0, 0, 0)][主机安全] 主机安全防护实用攻略（持续更新中......）

本帖最后由 DevCloud 于 2017-9-22 14:42 编辑2017年度DevOps现状调查报告中文翻译完整版可以download了，附件中有地址和密码！ 满满50多页，全部翻译成中文了！DevOps时代和高效运维社区第一时间组织国内知名公司的多位DevOps领域专家共同完成翻译，更有多位行业专家倾情推荐。 我们希望借此促进DevOps在国内的进一步应用和推广，帮助大家实现DevOps转型和落地，成就更多的高效能组织。 报告亮点[indent] [*]变革型领导者有五大共同特征，这些特征对塑造组织的文化和实践，提高组织效能影响巨大 [*]高效能团队在产品快速迭代和稳定性上可以兼得 [*]自动化是组织的法宝 [*]DevOps适用于所有组织 [*]松散耦合的架构和团队是持续交付最有力的预测指标 [*]精益产品管理推动组织效率提升 [/indent]变革领导力491 我们正处在DevOps转型与落地的时代，变革领导力对于组织的DevOps转型至关重要。 [indent] [*]愿景：对组织走向有明确的概念，五年后应该达到的目标很清晰。 [*]鼓舞型沟通： 采用一种鼓舞和激励的方式进行沟通，尤其是在一种不确定的环境中。 [*]智力激发：鼓励员工以全新的角度思考问题。 [*]支持型领导：设身处地地关注员工的个人需求和感受。 [*]个体认同：表彰目标达成和工作质量改进，亲自祝贺那些做出了杰出贡献的同僚。 [/indent]变更领导力和技术实践、精益产品管理、TI效能和组织效能的关系如下图： 492 变革型领导者授权和支持团队进行更多的尝试，帮助建立卓越的团队，卓越的技术和卓越的组织。 生产力和稳定性可以兼得今年的高效能组织相比去年，在生产力方面的优势缩小了，但是稳定性的优势更加明显。 493 调查报告显示低效能组织的生产力（部署频率和变更前置时间）有所提升，但是稳定性（故障恢复时间、变更失败率）下降了。原因在于在追求生产力的过程中，忽略了质量的建设。高效能组织通过内建质量和自动化降低了手工作业和返工，生产力和稳定性兼得。 494 报告中也明确指出中等效能组织因为处在转型期，正在积极消除技术债务，导致效能优势不明显，报告预测一旦经过了降低技术债务的阶段，进一步的自动化变得触手可及，团队在将迎来新的阶段。 报告指出除了企业，DevOps在非**机构和监管严格的行业中也应用广泛。可以说DevOps深深的影响着整个IT行业。 技术实践1. 持续交付在这几年的报告中，持续交付一直都是核心实践。优维科技王津银和高效运维社区张乐也多次提到持续交付是DevOps的核心工程实践。在EXIN DevOps Master认证知识体系中持续交付也是重要的一环。 495 持续交付可以帮助我们的团队的： [indent] [*]在整个软件交付生命周期中，团队可以按需部署到生产环境或终端用户。 [*]将系统质量和部署问题快速反馈给团队中的每个人，并且确保大家对此类问题高度重视并做出反应。 [/indent]影响持续交付的因素： 496 在持续交付中全面使用版本控制、持续集成和主干开发、在软件交付中集成安全机制、导入自动化测试和自动化部署都对IT效能有非常正面的影响。其中，自动化测试所带来的正向影响最为显著。 2. 松耦合架构康威定律是挥之不去的魔咒：“设计系统的组织，最终产生的设计等同于组织之内、之间的沟通结构。”报告今年也重点关注了组织和系统的架构，在松散耦合的架构中，在不依赖关联组件或服务的变更下修改独立的组件或服务是非常容易的。就组织而言，当团队不需要依赖于其他团队就能完成他们的工作时，就可以称之为松耦合团队 报告中通过以下两种方式评估服务和组件之间的耦合性： [indent] [*]受访者可以脱离集成环境进行测试。 [*]应用程序可以独立于其所依赖的应用和服务进行部署或发布。 [/indent]松耦合架构对持续交付、质量和安全都非常重要： 497 主干开发代码配置管理是DevOps工程实践的起点，而分支策略更是起点的起点。主干开发基于主干进行代码提交和集成，英文Trunk Based Development（TBD）是大型互联网企业非常青睐的分支策略。 498 报告中明确说明主干开发的要求： [indent] [*]每天向主干合并一次代码 [*]让分支生命周期尽量短（少于一天） [*]同一时间少于三条的活跃分支 [/indent]高效能和低效能团队的分支策略差异十分明显： [indent] [*]高效能研发团队拥有最短的集成周期和分支存活时间，普遍持续若干小时 [*]低效能研发团队拥有最长的集成周期和分支存活时间，普遍持续数日 [/indent]精益产品管理从2016年开始，精益产品管理出现在DevOps年度现状调查报告中，行业普遍在应用精益产品管理方法和实践，比如：看板、小批量、MVP、授权开发团队等等。 精益大神何勉老师的精益看板体系就是非常落地的体系和实践，其中管理价值流动和建立反馈循环都是 DevOps 的核心目标。 499 DevOps与商业成品软件自从2009年DevOps出现以来，我们总能听到这样的声音：”我们的环境不适合DevOps，因为我们绝大多数使用的都是商业软件。“但事实证明，越来越多的传统企业都在尝试拥抱DevOps，选择架构合理的商业软件，减少定制化，DevOps与商业成品软件也能完美契合。 500 DevOps遍地开花从统计资料显示，DevOps 正在各个行业，各种规模的企业中落地，DevOps团队的比例 2014年16%，2015年19%，2016年22%，2017年已经增长到27%，越来越多的企业和团队开始拥抱 DevOps 501 结论报告的结论说，有一件事被证明一直是正确的：因为几乎每家公司都依赖于软件，IT效能成为每个组织的核心竞争力。IT效能会受到很多因素的影响，包括领导力，工具，自动化和持续学习与改进的文化。 [indent]文章来源：DevOps时代社区 2017年度 DevOps 现状调查报告中文完整版download地址：回复可见 [hide]链接: https://pan.baidu.com/s/1i546Z6P 密码: ptqr[/hide] [/indent]