marshalzxy_个人页

为什么在Docker里使用gdb调试器会报错

Docker容器生产实践1——永远设置容器内存限制

背景 在默认情况下，docker容器并不会对容器内部进程使用的内存大小进行任何限制。对于PaaS系统而言，或者对于直接使用docker的用户而言，这非常危险。

json xml protobuf格式对比

json格式（bson）简介 json格式源自于js，它最大的特点就是一切都是对象，一个对象由键/值对表示：{ “keyname”: value} 其中valve可以是如下类型： 字符串，用“”扩起来 数字 bool：true和false 数组：用【...

如何在容器运行过程中对容器的资源限制进行调整

背景 docker run和docker create有一些参数可以对容器使用的主机资源进行限制。这些主机资源主要有如下类型 cpu调度 内存使用量 io权重 但是一旦创建了容器，容器在运行中或者不在运行中，如何调整这些资源参数呢？ 动态调整资源限制 docker提供了update命令，可以对容器进行资源限制的调整，无论这个容器是否在运行中。

tmpfs以及将socket文件放在tmpfs上可以获得更快访问速度的谣言

tmpfs本质 tmpfs是内存文件系统，在tmpfs目录下的文件本质上都位于内存中（物理内存或者swap分区）。如此可以获得较基于磁盘文件系统更快的文件访问速度。

在容器内部看到ppid为0代表什么

在docker容器内部，我们常常看到一些进程它的ppid（父进程id）为0.因为docker 集成了pid namspace；所以 pid namespace里ppid=0的情况和docker内部一致。

Linux进程状态——top，ps中看到进程状态D，S的含义

在top和ps命令中有一列显示进程状态，分别有如下值 值 含义 备注 S 进程处于interruptable sleep状态 na D 进程处于Uninterruptable sleep状态 na R 进程处于运行状态 na Z 进程处于僵尸状态 na T Stop模式，进程要么处于被调试状态 na interruptable sleep vs uninterruptable sleep interruptable sleep 进程等待某个资源处于sleep状态，此时可以通过发送信号将这个进程唤醒。

top中的st含义—虚拟化底层从你的vm里偷了多少资源

linux在top中打印中有st显示项，这一显示项单位为百分比，它的值表明你的系统花了百分之多少等待得到真正的cpu资源。 在正常情况下在云平台下st最好为0，这表明你的vm得到了所有必要的cpu资源。

如何在Docker内部使用ulimit——如何在docker内部生成core

Ulimit 在linux里ulimit命令可以对shell生成的进程的资源进行限制。 常用的ulimit限制 打开文件句柄数 core文件大小 设置进程能够消耗的虚拟内存 设置用户能够打开的进程数目 不太常用的ulimit限制 设置数据段的最大值.

curl常见命令

下载文件 curl 命令正常情况下将收到的内容打印到标准输出，通过-o或者-O参数将下载内容保持 curl -o zxy.html http://www.baidu.com #将文件保存为zxy.html curl -O http://www.gnu.org/software/gettext/Manuel/gettext.html curl -O -# http://www.gnu.org/software/gettext/Manuel/gettext.html # -#表示下载时刻显示进度条。

使用audit工具常规命令监控系统访问文件

audit工具的作用 audit工具可以对文件使用进行监控，可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。 audit工具的安装和启动 Ubuntu使用apt-get audit。

SystemTap工具的使用基础

systemtap工具的安装 准备工作 uname -a 查看当前内核版本是哪一个，然后使用 yum install kernel-devel 安装kernel debuginfo包 rpm -qi kernel-devel 找到内核构建的详细信息，然后去对应发布网站上找kernel-debuginfo和kernel-debuginfo-common包。

如何在Docker容器中使用巨页(大页)

在linux环境下常规页面大小是4K，常规巨页大小有两种一种是2MB，一种是1GB。巨页的好处是：减少硬件tlb miss，如此在连续内存访问场景下可以得到较大的性能提升。

Docker 架构演进之路

前言 Docker已经推出了５年，在这５年中它极大的改变了互联网产品的架构，推进了新的产品开发、测试和运维方法。但是它自身也在激烈变化中。特别是最近２年随着Docker开源项目的不断演化，Docker内部结构发生了翻天覆地的变化。

如何在主机上进入容器

一、进入容器网络 step1、docker inspect -f ‘{{.State.Pid}} ‘ 容器id 8848 step2、ls -li /proc/8848/ns/net /proc/8848/ns/net -> net:[40265360...

docker 常用命令

1、docker 容器内部日志 如果docker 配置了json-file作为log存储（docker info|grep Loggin可以查看到当前docker-d设置的log driver） step1、docker info 查看docker的r...

iptables简介1及常用命令

第一章：简述 iptables是一个用户态工具，用于操作linux内核部分的netfilter模块（包过滤），用来完成防火墙相关的工作。linux的netfilter工作于2层（开启bridge-nf时刻）和3层（ip层），可以对ip包，二层数据链路包进行操作；而市面上还有一种防火墙是应用层防火墙，可以对应用层包进行检查（过滤）。

kata container社区进展

3月18日 1、当前社区的主要任务是向kata倒入runtime。按照社区说法此阶段可以使用intel cc 或runv去尝试kata的各种好处 2、社区同时尝试将kata接入各种工程。

虚拟化底层技术之——iommu技术综述

一、iommu 主要功能 IOMMU(i/o memory management unit)。iommu有两大功能：控制设备dma地址映射到机器物理地址（dmar），中断重映射（intremap）（可选） 1.1 dma地址空间映射 Iommu 的主要功能为设备dma时刻能够访问机器的物理内存区，同时保证安全性。

openstack环境下 kvm存储虚拟机中瘦供给特性

瘦供给的特性层次 如果一个kvm虚拟机需要支持瘦供给需要如下层次都支持： 1、存储层面 支持scsi协议规定的瘦供给命令unmap、write same|unmap 2、宿主机OS 1）内核层面：宿主机Os需要支持瘦供给特性，可喜的是在早在linux内核2.6时代就已经支持瘦供给特性。

SCSI 中定义的provision

0、简写说明 LB:logic Block LBA: Logic Block address LU: Logic unit (对应一个逻辑存储实体) VPD: Vital Product Data scsi 协议规定的scsi设备产品数据。

nova openstack命令

1、虚拟机创建 nova boot --flavor flavor-name --availablity-zone az-name --boot-volume volume-id --nic net-id=net-id-xxx instance-name 2、虚拟机启动 nova start 3、虚拟机shelve和unshelve shelve表示虚拟机不占用openstack统计的任何资源。

openstack cinder命令

1、卷创建 cinder create 1）通过glance image 创建cinder create --image-id --name yy size 2）通过已有卷创建新卷：cinder create --source-volid xxx --...

linux自启动脚本

两个方法 1、传统方法：修改/etc脚本 1）修改/etc/init.d添加自己的脚本 修改脚本运行级别添加x级别 2）修改/etc/rc.d/rc.local 并将此文件添加执行权限

linux vim中设置tab和空格等同

在python中空格非常重要，使用tab转换空格输入更方便。 1、找到/etc/vimrc 2、set ts=4 set expandtab 完成以上设置后vim的tab自动变成4个空格

qemu-img 将qcow2转换为块设备（openstack image 2 volume）中的瘦供给

1、背景 qemu-img convert 可以将一个镜像里的数据以raw格式的方式写入一个块设备 这里一定要注意，如果convert目标是一个块设备，一定必须带-t none（以及上文中的参数）标记。

IPTables六—— IPTable规则优化IPSet

六、IPSet iptables在进行包过滤的时候，对每个数据包都过滤一遍iptables中的规则。假设我们有如下三条规则： -s 1.1.1.1 -p tcp accpet -s 2.2.2.2 -p tcp accpet -s 3.3.3.3 -p tcp accpet 那么当一个数据包源地址是3.3.3.3的时候，它首先去匹配第一条规则，不匹配再匹配第二条，最后在第三条匹配中了。

IPTables五----ebtables

五、ebtables iptables可以对ip层报文进行操作，那么以太网层面呢？linux针对以太网网桥引入了ebtables，它在功能上和iptables相似（主要就是对以太网包进行操作）。

IPTables简介四——目标（动作）

四、目标（targets and jumps） 就是告诉IPTables某条规则匹配以后进行什么动作。可以进行的动作有两类，第一类是进行IPTables定义的动作（target），还有一种就是调用另外一条用户自定义的链。

IPTable简介3——常用匹配

三 、IPtables的常用匹配规则 匹配规则可以用！号进行非运算 1、常规匹配 1.1 通用匹配规则 -s(--src):对报文源ip地址进行匹配 可以是常规的数字IP地址，也可以是ip网段，如果是ip网段可以用如下方式定义： 例如：-s 192.

Iptable简介2——番外nat的介绍

2、Nat NAT(Network Address Translation),网络地址翻译。 2、1 SNAT 使用在这样一个场景中，通常情况下我们无论是在公司、学校内部计算机的ip地址都是一个内网地址，为了和外网的计算机通信我们必须链接到网关或者路由器，而网关和路由器必须对我们发出去的数据包的原地址翻译为一个网关或路由器的公网地址，然后再将此包送到公网中，这样的地址翻译叫SNAT。

iptables简介1

第一章：简述 iptables是一个用户态工具，用于操作linux内核部分的netfilter模块（包过滤），用来完成防火墙相关的工作。linux的netfilter工作于2层（开启bridge-nf时刻）和3层（ip层），可以对ip包，二层数据链路包进行操作；而市面上还有一种防火墙是应用层防火墙，可以对应用层包进行检查（过滤）。