华为云用户手册

使用delete_by_query命令删除数据后，为什么磁盘使用率反而增加？ 使用delete_by_query命令删除数据并不是真正意义上的物理删除，它仅仅是对数据增加了删除标记。当再次搜索的时，会搜索全部数据后再过滤掉带有删除标记的数据。 因此，该索引所占的空间并不会因为执行磁盘删除命令后马上释放掉，只有等到下一次段合并时才真正的被物理删除，这个时候磁盘空间才会释放。 相反，在查询带有删除数据时需要占用磁盘空间，这时执行磁盘删除命令不但没有被释放磁盘空间，反而磁盘使用率上升了。 父主题： 资源使用和更改相关

购买了折扣套餐包，如何使用？ 折扣套餐包功能已于2022年11月下线，已购买的套餐包不影响使用。 折扣套餐包购买成功后系统不会自动创建集群，您需要前往 云搜索服务 管理控制台创建与折扣套餐包中区域、节点规格、节点存储类型或带宽类型相同的集群才能使用该折扣套餐。创建集群的具体操作步骤请参见创建Elasticsearch类型集群（安全模式）或创建Elasticsearch类型集群（非安全模式）。 父主题： 计费相关

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 “拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

解决方案 集群节点的“node.roles”为“i”时，表示集群的客户端节点上启用了ingest节点模式。 Elasticsearch的“coordinating only node”在 CSS 服务中称为“client node”，如果集群中没有设置client node，则所有节点都是client node共同分摊客户端请求。 ingest节点相当于一套ELK，用于数据转换，当没有ingest业务时，客户端节点也不会闲置。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

Kibana是否支持导出数据功能？ Kibana导出数据需要依赖SQL Workbench插件，目前 云搜索 服务只有Elasticsearch 7.6.2及以上的版本支持。 在Kibana的SQL Workbench里，输入Elasticsearch SQL语句可以查询数据，也可以“Download”导出数据，支持自定义导出1~200条数据，缺省导出200条数据。 Elasticsearch SQL语句请参见查询Elasticsearch SQL 图1 SQL Workbench 父主题： Kibana使用相关

折扣套餐包是如何扣费的？ 折扣套餐包功能已于2022年11月下线，已购买的套餐包不影响使用。 折扣套餐包的计费方式是用户预先购买一定的云搜索服务节点实例、存储类型或者带宽类型、使用小时数配额。在使用过程中，系统优先扣减折扣套餐所购买的配额，配额内使用量不再收费，超出配额的使用量以按需计费方式收费。 所购买的集群的区域、节点规格、存储类型或者带宽类型，必须和套餐包购买的匹配，否则无法使用套餐包。 父主题： 计费相关

如何设置云搜索服务的慢查询日志的阈值？ 云搜索服务的慢查询日志设置和elasticsearch 保持一致，通过 _settings接口设置。例如，您可以在Kibana中执行如下样例，设置索引级别。 PUT /my_index/_settings{ "index.search.slowlog.threshold.query.warn": "10s", "index.search.slowlog.threshold.fetch.debug": "500ms", "index.indexing.slowlog.threshold.index.info": "5s"} 查询慢于10秒输出一个WARN日志。 获取慢于500毫秒输出一个DEBUG日志。 索引慢于5秒输出一个INFO日志。 详细可参考官网：https://www.elastic.co/guide/cn/elasticsearch/guide/current/logging.html 父主题： 功能使用相关

原因分析 新建索引分片被集中分配于一个node节点上可能有以下原因： 之前索引的分配导致某个节点上的shards数量过少，新建索引shards分配被balance.shard参数主导，为了平衡所有索引的全部分片，将shards集中分配在数量过少的节点上。 节点扩容，当新节点加入时新节点上的shards数量为0，此时集群会自动进行rebalance，但是rebalance需要时间，此时新建索引很容易会被balande.shard参数主导，平衡所有索引的分片，即都分配在新节点上看起来更加平衡。 涉及集群平衡性shard分配主要有两个配置参数： cluster.routing.allocation.balance.index（默认值0.45f） cluster.routing.allocation.balance.shard（默认值0.55f） “balance.index”：值越大，shard分配越倾向于使得每个索引的所有分片在节点上均匀分布，如a索引共有6个shards，数据节点有3个，该配置值倾向于让a索引2、2、2平衡分配 “balance.shard”：值越大，shard分配越倾向于使得所有分片（所有索引的）在节点上平衡，如索引a有2个shards，索引b有4个shards，该配置倾向于所有6个分片进行2、2、2平衡分配。 balance.index和balance.shard共同负责shards分配。

解决方案 当新建的索引分片被全部分配在一个node节点上时，有以下2种解决办法： 扩容集群需要新建索引时，按照如下所示设置对应参数。 "index.routing.allocation.total_shards_per_node": 2 即单个索引在每个节点上最多分配2个shards。其中，具体每个节点最多分配多少个shards，请根据集群数据节点个数、索引分片（主、副）的数量自行决定。 如果是shards集中分配在数量过少的节点上导致索引shards分配到同一个节点上，可以使用POST _cluster/reroute的move命令迁移分片到其他节点，rebalance模块会自动分配其他更合适的分片与其交换节点。根据具体业务使用场景可以适当调节balance.index，balance.shard配置。

如何跨Region迁移 CS S集群？ CSS集群不支持直接迁移，但可以通过OBS桶备份和恢复的方式进行数据迁移实现集群迁移。 如果OBS桶在同一个区域，请参考备份与恢复索引进行集群迁移。 如果OBS桶跨区域，请先参考配置跨区域复制进行跨区域复制OBS桶，再参考备份与恢复索引进行集群迁移。 在跨区域复制之前，要保证目标集群设置的快照文件夹为空，否则无法将快照信息刷新到目标集群的快照列表中。 每次迁移都需要将文件夹置空。 父主题： 功能使用相关

如何转换CER安全证书的格式？ 启用了HTTPS访问的安全集群可以下载CSS服务安全证书（CloudSearchService.cer）。而大多数软件支持“.pem”或“.jks”格式的证书，因此要对安全证书进行格式转换。 将安全证书从“.cer”格式转换为“.pem”格式。 openssl x509 -inform der -in CloudSearchService.cer –out newname.pem 将安全证书从“.cer”格式转换为“.jks”格式。 keytool -import -alias newname -keystore ./truststore.jks -file ./CloudSearchService.cer 其中，newname是由用户自定义的证书名称。 执行命令后，会提示设置证书密码，并确认密码。请保存该密码，后续接入集群会使用。 父主题： 安全模式集群相关

如何更新CSS生命周期策略？ CSS生命周期实现使用的是Open Distro的ISM。此处简单介绍不涉及ISM template的策略更新步骤，若要配置有关ISM template的策略可以参考Open Distro文档。 当创建一个policy时，系统会往.opendistro-ism-config索引中写入一条数据，这条数据的“_id”就是policy的名字，内容是policy的定义。 图1 写入一条数据 将policy和索引绑定以后，系统会再往.opendistro-ism-config索引中写入一条数据。这条数据的初始状态如下图所示。 图2 数据初始状态 执行explain命令，此时返回的内容只有一条policy的id。 GET _opendistro/_ism/explain/data2 { "data2" : { "index.opendistro.index_state_management.policy_id" : "policy1" }} 之后Open Distro会执行一个初始化的流程，将policy的内容填到这条数据中，初始化以后的数据如下图所示。 图3 初始化后数据 初始化结束后，policy中的min_index_age都会被复制过来。 如果此时去更新policy的内容，已经完成初始化流程的索引是完全不感知的，因为他已经将旧的policy的内容复制了一份，更新policy的时候不会去更新复制的那部分内容。 修改完policy以后，执行change_policy API完成策略更新，如下所示。 POST _opendistro/_ism/change_policy/data1{ "policy_id": "policy1"} 父主题： 功能使用相关

折扣套餐包到期了怎么续费？ 折扣套餐包功能已于2022年11月下线，已购买的套餐包不影响使用。 如果之前购买折扣套餐包时未选择自动续费，折扣套餐包到期后，将无法续费，集群会转换成按需计费。 如果之前购买折扣套餐包时选择了自动续费，折扣套餐包到期后，会自动续费套餐包。 云搜索服务支持按需计费和包年包月2种计费模式，您可以根据业务需求，将按需计费转换为包年包月计费模式。更多信息，请参见按需集群转包年包月计费模式。 父主题： 计费相关

有哪些工具可以使用云搜索服务 管理云搜索服务，或使用其搜索引擎的API，提供了如下三种方式。可以基于已构建好的请求消息发起请求。 curl curl是一个命令行工具，用来执行各种URL操作和信息传输。curl充当的是HTTP客户端，可以发送HTTP请求给服务端，并接收响应消息。curl适用于接口调试。关于curl详细信息请参见https://curl.haxx.se/。 编码 通过编码调用接口，组装请求消息，并发送处理请求消息。 REST客户端 Mozilla Firefox、Google Chrome都为REST提供了图形化的浏览器插件，发送处理请求消息。 – 针对Firefox，请参见Firefox REST Client。 – 针对Chrome，请参见Postman。 父主题： 产品咨询类

云搜索服务如何保证数据和业务运行安全 云搜索服务主要从以下几个方面保障数据和业务运行安全： 网络隔离 整个网络划分为2个平面，即业务平面和管理平面。两个平面采用物理隔离的方式进行部署，保证业务、管理各自网络的安全性。 业务平面：主要是集群的网络平面，支持为用户提供业务通道，对外提供数据定义、索引、搜索能力。 管理平面：主要是管理控制台，用于管理云搜索服务。 主机安全 云搜索服务提供如下安全措施： 通过VPC安全组来确保VPC内主机的安全。 通过网络访问控制列表（ACL），可以允许或拒绝进入和退出各个子网的网络流量。 内部安全基础设施（包括网络防火墙、入侵检测和防护系统）可以监视通过IPsec VPN连接进入或退出VPC的所有网络流量。 数据安全 在云搜索服务中，通过多副本、集群跨az部署、索引数据第三方（OBS）备份功能保证用户的数据安全。 父主题： 产品咨询类

云搜索服务使用的数据压缩算法是什么？ 云搜索服务支持的数据压缩算法有两种：一种是Elasticsearch默认的LZ4算法，另一种是best_compression算法。 LZ4算法 lz4算法是Elasticsearch的默认压缩算法，该算法对数据的解压/压缩效率很快，但压缩率较低一些。 压缩算法的实现流程：压缩过程以至少4个bytes为扫描窗口查找匹配，每次移动1byte进行扫描，遇到重复的就进行压缩。该算法适用于读取量大、写入量小的场景。 best_compression算法 除了默认的LZ4算法，云搜索服务还支持自定义best_compression算法。该算法适用于写入量大、索引存储成本高的场景，例如日志场景、时序分析场景等，可以大大降低索引的存储成本。 执行如下命令，可以将默认压缩算法（LZ4算法）切换为best_compression算法： PUT index-1{ "settings": { "index": { "codec": "best_compression" } }} 两者比较，LZ4算法在解压/压缩速率方面更快一些，而best_compression算法在压缩率和解压率方面则更优秀一些。 父主题： 产品咨询类

检查安全更新 执行yum check-update --security命令，检查系统当前可用的安全更新。 [root@localhost ~]# yum check-update --securityLast metadata expiration check: 0:11:39 ago on Thu 08 Sep 2022 05:30:23 PM CST.curl.x86_647.79.1-2.h6.hce2hce2gnupg2.x86_642.2.32-1.h6.hce2hce2kernel.x86_645.10.0-60.18.0.50.h425_2.hce2 hce2unbound-libs.x86_641.13.2-3.h2.hce2hce2 执行yum check-update --sec-severity={Critical,Important,Moderate,Low}命令，检查指定级别的安全更新。 {}中的安全更新等级参数可任意组合。 [root@localhost ~]# yum check-update --sec-severity=ModerateLast metadata expiration check: 0:23:57 ago on Thu 08 Sep 2022 05:30:23 PM CST.gnupg2.x86_64 2.2.32-1.h6.hce2hce2python3-unbound.x86_64 1.13.2-3.h2.hce2hce2unbound-libs.x86_64 1.13.2-3.h2.hce2hce2 父主题： 对HCE OS进行安全更新

关于通用漏洞披露（CVE） CVE（Common Vulnerabilities and Exposures）是已公开披露的各种计算机安全漏洞，所发现的每个漏洞都有一个专属的CVE编号。Huawei Cloud EulerOS为保障系统安全性，紧密关注业界发布的CVE信息，并会及时修复系统内各类软件漏洞，增强系统的安全性。您可在Huawei Cloud EulerOS的安全公告中查看安全更新记录。 Huawei Cloud EulerOS 1.1安全公告 Huawei Cloud EulerOS 2.0安全公告 根据CVSS（Common Vulnerability Scoring System）评分，Huawei Cloud EulerOS将安全更新分为四个等级： Critical（高风险，必须安装） Important（较高风险，强烈建议安装） Moderate（中等风险，推荐安装） Low（低风险，可选安装） 若您目前已安装Huawei Cloud EulerOS 1.1及以上版本，您可以根据以下操作查询并安装安全更新，修复系统漏洞。本章节以Huawei Cloud EulerOS 2.0为例举例说明。 Huawei Cloud EulerOS系统版本不同，部分显示可能与本文档存在差异，以实际显示为准。 父主题： 对HCE OS进行安全更新

/etc/osmt/osmt.conf配置文件说明 本节对OSMT工具的配置文件osmt.conf不建议修改的配置项进行说明。 [auto]# if auto_upgrade is True, the osmt-agent will auto upgrade rpms use osmt.conf and reboot between time interval we specified# the value of cycle_time means the osmt-agent will check upgrade every cycle_time seconds, default 86400s(1 day)# When a configuration item has a line break, you need to leave a space or tab at the beginning of the lineauto_upgrade = Falsecycle_time = 3600minimal_interval = 3600auto_upgrade_window = "22:00-05:00"auto_upgrade_interval = 1[Package]# There are three rules of filters, all enabled by default. severity will be effect only when the types contain security, it is the subtype of security.# The following are the three rules:# 1. white list has the highest priority, if whitelist is configured then ignore other rules and filter out the whitelist packages from the full list of packages to be upgrade# 2. Filter the update range by types, when the types contain security, further filter the severity of security updates severity, only upgrade the severity level of security.# 3. Filter blacklist to remove packages in blacklist from types filter results, and packages which depend on packages in blacklist will also be removed.# filters must contain at least one types rule, if the types rule is empty, the -a option will not upgrade any packages (by default all 3 filters are enabled).filters = "types, blacklist"whitelist = ""# types include: security, bugfix, enhancement, newpackage, unknown# if types is empty, no package will be upgrade# types = security, bugfix, enhancement, newpackage, unknowntypes = "security"# severity is the subtype of security, include: low, moderate, important, criticalseverity = "important, critical"blacklist = "mysql"# 升级后需要重启系统才能生效的rpm包need_reboot_rpms = kernel,kernel-debug,glibc,glibc-utils,dbus,dbus-python… preinstalled_only = False[backup] store_path = /var/logbackup_dir = /etc,/usr,/boot,/var,/runexclude_dir = recover_service =[resource_needed] #the minimum resources required(MB) #min_req_boot_space = 100 #min_req_backup_space = 8192 #min_req_root_space = 1536 #min_req_memory = 512 [cmdline] cmdline_value = crashkernel=512M resume=/dev/mapper/hce-swap rd.lvm.lv=hce/root rd.lvm.lv=hce/swap crash_kexec_post_notifiers panic=3 nmi_watchdog=1 rd.shell=0 [conflict] #conflict_rpm = test1,test2[strategy]timeout_action = "stop"timeout_action_before = 0[check]daemon_whitelist=sysstat-collect.service, sysstat-summary.service, systemd-tmpfiles-clean.service 表1 osmt.conf不建议修改的配置项 配置项 说明 types 按照security、 bugfix、enhancement、newpackage、unknown五个配置项指定RPM包的更新范围，不建议修改。如有特殊需要可以根据系统实际情况进行修改。 severity 升级安全更新，不建议修改。默认升级安全更新。如有特殊需要可以根据系统实际情况进行修改。 [resource_needed] 指升级或更新前进行检查的系统资源限制值，不建议修改。如有特殊需要可以根据系统实际情况进行修改。 父主题： 附录

回退RPM包 执行osmt rollback --reboot_config always命令回退RPM包。仅支持回退最近一次更新的RPM包。 --reboot_config always：可选，若上次升级有need_reboot_rpms列表中的RPM包，请使用此参数。 如果不带--reboot_config always，上次升级有涉及need_reboot_rpms列表中的RPM包，需要手动重启后才能回退生效。 请使用最新版本的OSMT工具进行操作，不建议通过OSMT工具回退OSMT自身版本。 父主题： 使用OSMT工具升级

升级后续操作 升级成功后，请及时确认业务运行情况。如业务运行正常，请在合适的时候执行osmt remove命令删除备份内容。删除后将无法回退本次升级内容。 安全规范要求chronyd服务在安装/升级后默认处于disabled状态，所以从HCE-2.0.2206版本升级至新版本后，chronyd服务会处于disabled状态。如有需要，您可通过systemctl enable chronyd使能该服务，并通过systemctl start chronyd启动该服务。 父主题： 使用OSMT工具升级

安装x2hce-ca 确认repo源配置正常。 请检查默认的/etc/yum.repos.d/hce.repo配置文件中参数是否正确，正确的配置如下。 [base]name=HCE $releasever basebaseurl=https://repo.huaweicloud.com/hce/$releasever/os/$basearch/enabled=1gpgcheck=1gpgkey=https://repo.huaweicloud.com/hce/$releasever/os/RPM-GPG-KEY-HCE-2[updates]name=HCE $releasever updatesbaseurl=https://repo.huaweicloud.com/hce/$releasever/updates/$basearch/...... 安装x2hce-ca。 通过yum install -y x2hce-ca-hce.x86_64命令安装工具。安装完成后，生成表1。 表1 用户相关目录列表 目录 说明 /var/log/x2hce-ca 存放工具日志文件的目录。 /var/log/aparser 存放配置收集器日志文件的目录。 /opt/x2hce-ca/output 报告默认输出目录。 /opt/x2hce-ca/scan 待扫描应用软件包的建议存放目录。 /opt/x2hce-ca/update 配置文件更新目录，用于存放更新包和对应的License文件。 /etc/x2hce-ca/config 存放静态配置文件的目录。 /etc/x2hce-ca/database_2.0.0.630 存放数据库文件的目录。 /usr/local/x2hce-ca 程序文件存放路径。 重启操作系统或者执行命令alias x2hce-ca="python /usr/local/x2hce-ca/x2hce-ca.pyc"，使x2hce-ca命令生效。 父主题： x2hce-ca应用兼容性评估

安全更新概述 本节主要介绍如何使用yum或dnf命令查询并安装Huawei Cloud EulerOS中的安全更新。 各版本对yum和dnf命令的支持情况不同，本节以yum命令为例介绍。 dnf作为yum的替代者，提供更好的性能，dnf和yum命令的使用方法相同。 Huawei Cloud EulerOS 2.0及之后版本支持yum和dnf命令。 Huawei Cloud EulerOS 2.0之前版本仅支持yum命令。 父主题： 对HCE OS进行安全更新

通过repo文件批量下载RPM包 本节以openEuler-22.03-LTS/OS/x86_64为例，介绍下载openEuler-22.03-LTS/OS/x86_64目录下的rpm包并使用yum命令安装。 首先确保虚拟机能访问https://repo.openeuler.org/openEuler-22.03-LTS/网址。 配置yum源。 进入/etc/yum.repos.d目录，新建一个openEuler.repo文件，并将以下内容复制到该文件里面。 由于openEuler.repo文件和HCE OS系统repo文件有冲突，请先将/etc/yum.repos.d目录下HCE OS原有的repo文件进行备份，并删除HCE OS原有的repo文件，再创建openEuler.repo文件。 [openEuler]name=openEulerbaseurl=https://repo.openeuler.org/openEuler-22.03-LTS/OS/x86_64/enabled=1gpgcheck=1gpgkey=https://repo.openeuler.org/openEuler-22.03-LTS/OS/x86_64/RPM-GPG-KEY-openEuler 执行yum clean all清除原来yum源的缓存信息。 执行yum makecache连接新配置的源 ，如下图所示表示repo源连接成功。 安装rpm包，以qemu-guest-agent包为例。 执行yum list命令查看是否存在该包。 执行yum -y install qemu-guest-agent命令来安装此包，如下所示表示该包已经安装成功。 恢复repo文件。 安装所需的openEuler包后，删除openEuler.repo文件，并将步骤2中删除的repo文件通过备份恢复。

通过wget命令下载RPM包 本节以下载qemu-guest-agent-6.2.0-29.oe2203.x86_64.rpm为例，介绍使用wget命令下载并安装RPM包。 点击这里登录openEuler社区。 在OS目录下，选择aarch64/或者x86_64/系统架构目录，并打开“Packages/”目录。 查找所需要的RPM包，例如qemu-guest-agent-6.2.0-29.oe2203.x86_64.rpm。 通过wget命令下载此rpm包。 选择此包后右击复制下载链接，执行wget命令下载RPM包。 检查是否下载成功。如下所示表示下载成功。 使用rpm -ivh qemu-guest-agent-6.2.0-29.oe2203.x86_64.rpm命令安装rpm包，如下所示表示安装成功。 如果安装过程中提示需要依赖其他的安装包，请根据同样的操作步骤先安装所依赖的安装包。

安装应用加速工具 确认repo源配置正常。 请检查默认的/etc/yum.repos.d/hce.repo配置文件中参数是否正确，正确的配置如下。 [base]name=HCE $releasever basebaseurl=https://repo.huaweicloud.com/hce/$releasever/os/$basearch/enabled=1gpgcheck=1gpgkey=https://repo.huaweicloud.com/hce/$releasever/os/RPM-GPG-KEY-HCE-2[updates]name=HCE $releasever updatesbaseurl=https://repo.huaweicloud.com/hce/$releasever/updates/$basearch/...... 执行yum install hce-wae命令安装加速工具。 检查工具是否安装成功。 执行llvm-bolt帮助命令有如下输出信息，表示工具安装成功。

准备工作 RPM包的更新方法有两种：使用osmt update命令更新和使用后台osmt-agent服务自动更新。此两种方法，都须先执行本节操作。 确认repo源配置正常。 请检查默认的/etc/yum.repos.d/hce.repo配置文件的参数是否正确，正确的配置如下。 [base]name=HCE $releasever basebaseurl=https://repo.huaweicloud.com/hce/$releasever/os/$basearch/enabled=1gpgcheck=1gpgkey=https://repo.huaweicloud.com/hce/$releasever/os/RPM-GPG-KEY-HCE-2[updates]name=HCE $releasever updatesbaseurl=https://repo.huaweicloud.com/hce/$releasever/updates/$basearch/...... 错误的配置内容可能会导致OSMT升级失败，或非预期的升级行为。 执行dnf update osmt -y命令更新OSMT升级工具。 配置/etc/osmt/osmt.conf文件。 OSMT根据配置文件osmt.conf的设置，对RPM包进行更新。请根据需要配置osmt.conf文件。 [auto]#if auto_upgrade is True, the osmt-agent will auto upgrade rpms use osmt.conf and reboot between time interval we specified#the value of cycle_time means the osmt-agent will check upgrade every cycle_time seconds, default 86400s(1 day)#When a configuration item has a line break, you need to leave a space or tab at the beginning of the lineauto_upgrade = Falsecycle_time = 3600minimal_interval = 3600auto_upgrade_window = "22:00-05:00"auto_upgrade_interval = 1[Package]# There are three rules of filters, all enabled by default. severity will be effect only when the types contain security, it is the subtype of security.# The following are the three rules:# 1. white list has the highest priority, if whitelist is configured then ignore other rules and filter out the whitelist packages from the full list of packages to be upgrade# 2. Filter the update range by types, when the types contain security, further filter the severity of security updates severity, only upgrade the severity level of security.# 3. Filter blacklist to remove packages in blacklist from types filter results, and packages which depend on packages in blacklist will also be removed.# filters must contain at least one types rule, if the types rule is empty, the -a option will not upgrade any packages (by default all 3 filters are enabled).filters = "types, blacklist"whitelist = ""# types include: security, bugfix, enhancement, newpackage, unknown# if types is empty, no package will be upgrade# types = security, bugfix, enhancement, newpackage, unknowntypes = "security"# severity is the subtype of security, include: low, moderate, important, criticalseverity = "important, critical"blacklist = ""# The rpm package that requires a system reboot to take effect after the upgradeneed_reboot_rpms = "kernel,kernel-debug,kernel-debuginfo,kernel-debuginfo-common,kernel-devel,kernel-headers,kernel-ori,kernel-tools,kernel-tools-libs,glibc,glibc-utils,glibc-static,glibc-headers,glibc-devel,glibc-common,dbus,dbus-python,dbus-libs,dbus-glib-devel,dbus-glib,dbus-devel,systemd,systemd-devel,systemd-libs,systemd-python,systemd-sysv,grub2,grub2-efi,grub2-tools,openssl,openssl-devel,openssl-libs,gnutls,gnutls-dane,gnutls-devel,gnutls-utils,linux-firmware,openssh,openssh-server,openssh-clients,openssh-keycat,openssh-askpass,python-libs,python,grub2-pc,grub2-common,grub2-tools-minimal,grub2-pc-modules,grub2-tools-extra,grub2-efi-x64,grub2-efi-x64-cdboot,kernel-cross-headers,kernel-source,glibc-all-langpacks,dbus-common,dbus-daemon,dbus-tools,systemd-container,systemd-pam,systemd-udev,grub2-efi-aa64,grub2-efi-aa64-cdboot,grub2-efi-aa64-modules,openssl-perl,openssl-pkcs,kernel-tools-libs-devel,glibc-debugutils,glibc-locale-source,systemd-help,grub2-efi-ia32-modules,grub2-efi-x64-modules,grub2-tools-efi,grub2-help,openssl-pkcs11,grub2-efi-ia32-cdboot,osmt"preinstalled_only = False[backup]store_path = /var/logbackup_dir = /etc,/usr,/boot,/var,/runexclude_dir =recover_service =#the minimum resources required(MB)[resource_needed]#min_req_boot_space = 100#min_req_backup_space = 8192#min_req_root_space = 1536#min_req_memory = 512[cmdline]cmdline_value =[conflict]#conflict_rpm = test1,test2[strategy]timeout_action = "stop"timeout_action_before = 0[check]daemon_whitelist = "sysstat-collect.service, sysstat-summary.service, systemd-tmpfiles-clean.service" 表1 osmt.conf主要配置项 配置项 说明 [auto] auto_upgrade：指定更新RPM包更新方式。默认为False。 True：使用osmt update命令更新和使用后台osmt-agent服务自动更新两种方式都支持。 False：仅支持使用osmt update命令更新RPM包。 auto_upgrade为True时，配套如下参数。 cycle_time：检查是否有待更新软件包的周期，单位是秒。默认值为3600秒。 minimal_interval：指定osmt update -b命令参数中开始时间和截止时间的最小时间间隔，单位是秒。默认值为3600秒。 auto_upgrade_window：配置后台osmt-agent服务自动升级的时间窗，格式为"HH:MM-HH:MM"，表示升级的开始时间和截止时间。 如果截止时间小于开始时间，则表示本次升级时间段跨越自然日。如“22:00-05:00”表示升级时间段为当日22:00到次日凌晨5:00。 auto_upgrade_interval：指定两次自动升级之间的最小间隔（单位：天）。 auto_upgrade为False时，仅配套如下参数，执行配置文件时[auto]配置项中其他参数不生效。 cycle_time：检查是否有待更新软件包的周期，单位是秒。默认值为3600秒。 minimal_interval：指定osmt update -b命令参数中开始时间和截止时间的最小时间间隔，单位是秒。默认值为3600秒。 [Package] filters：指定更新的范围，包括types、blacklist、whitelist。 例如filters = "blacklist"，指升级时不更新黑名单中的RPM包。 types：待更新的RPM包类型。 blacklist：RPM包黑名单列表。 设置黑名单后，不对黑名单中的RPM包进行更新。如果某RPM包依赖黑名单中的包，则不会升级此RPM包。 whitelist：RPM包白名单列表。 如果不设置白名单或者黑名单列表，默认更新所有可更新的RPM包。 白名单优先级大于黑名单，如果某RPM包同时配置在白名单和黑名单，则会升级此RPM包。 说明： 如果使用命令指定了黑名单和白名单，以命令指定的黑名单和白名单为准，不再根据配置文件中的黑名单和白名单列表更新RPM包。 need_reboot_rpms：升级后要重启的RPM包。 后台osmt-agent服务自动升级时，不会更新need_reboot_rpms中的RPM包。若要更新need_reboot_rpms列表中的RPM包，必须使用osmt update --auto --reboot_config always或osmt update --auto --reboot_config “重启时间”命令更新。 preinstalled_only：当设置成True时，只升级/etc/osmt/preinstalled.list中的RPM包。 [backup] store_path：在该目录下创建备份目录。 升级过程中，OSMT会在store_path下创建.osbak目录，如果原先存在该目录，则需要先使用osmt remove将其删除。 backup_dir：需要备份的目录。其中/etc、/usr、/boot、/var、/run为默认的需要备份的目录，且不可以删减。这些目录会在执行版本升级功能的时候自动进行备份。 recover_service：OSMT会检查升级前后此列表中服务的启用状态是否一致，如果服务的启用状态被修改，OSMT会尝试恢复此服务的状态。 说明： [backup]中的路径需要配置为绝对路径的形式。 [cmdline] cmdline_value：指定升级之后系统的启动项。请配置正确的启动项，确保系统能够正常启动。默认值为HCE的默认启动项。 [conflict] conflict_rpm：指定升级过程中冲突的软件包，升级时系统将自动删除冲突的软件包。 其他配置项不建议修改，详情请参见/etc/osmt/osmt.conf配置文件说明。 父主题： 更新RPM包

产品优势 节约成本 随着显卡技术的不断发展，单张GPU卡的算力越来越强，同时价格也越来越高。但在很多的业务场景下，一个AI应用并不需要一整张的GPU卡。XGPU的出现让多个容器共享一张GPU卡，从而实现业务的安全隔离，提升GPU利用率，节约用户成本。 可灵活分配资源 XGPU实现了物理GPU的资源任意划分，您可以按照不同比例灵活配置。 支持按照显存和算力两个维度划分，您可以根据需要灵活分配。 XGPU支持只隔离显存而不隔离算力的策略，同时也支持基于权重的算力分配策略。算力支持最小5%粒度的划分。 兼容性好 不仅适配标准的Docker和Containerd工作方式，而且兼容Kubernetes工作方式。 操作简单 无需重编译AI应用，运行时无需替换CUDA库。

osmt-agent服务自动更新 osmt-agent服务支持周期性检查是否有待更新的RPM包，并自动更新RPM包。检查的周期和执行更新的时间段可以自定义设置。 执行以下命令，确保osmt.conf文件auto_upgrade字段为True。 osmt config -k auto_upgrade -v True 执行systemctl status osmt-agent.service命令确认osmt-agent服务是否正常开启。 Active为active (running)状态，表示osmt-agent正常开启。 如果osmt-agent没有处于active (running)状态，请执行systemctl start osmt-agent.service命令启动osmt-agent。 执行如下命令设置自动更新RPM包的时间段与升级周期。 指定可自动升级的时间段 命令格式：osmt config -k auto_upgrade_window -v "auto_upgrade_window" auto_upgrade_window：配置后台osmt-agent服务自动升级的时间窗，格式为"HH:MM-HH:MM"，表示升级的开始时间和截止时间。 如果截止时间小于开始时间，则表示本次升级时间段跨越自然日。如“22:00-05:00”表示升级时间段为当日22:00到次日凌晨5:00。 例如，配置当日23:00到次日01:00时间段为可升级时间窗为： osmt config -k auto_upgrade_window -v "23:00-01:00" 指定检查升级的时间间隔 命令格式：osmt config -k auto_upgrade_interval -v auto_upgrade_interval auto_upgrade_interval：指定两次自动升级之间的最小间隔（单位：天）。 例如，配置每隔1天进行自动升级的命令为： osmt config -k auto_upgrade_interval -v 1 父主题： 更新RPM包