这一章的内容也会比较多，因为预期三篇文章更完RH134系列，所以每章安排的内容都比较多，并且RH134上面的都是重点，一点也不好写。昨天一天将RH124系列写完了，今天争取将RH134系列写完。至于我为什么要着急将这些写完，那是因为还有很多内容没写。

包括之前说的docker、mysql、shell系列，这些课程我已经学完了，只是还没有做归纳总结。而且之前的k8s系列只写了一半，还有一半内容没写。后面还会增加ansible的系列，和k8s一样内容很多。但是乐观一点，九月份之前一定能够全写完的。

九月份之后，我的云原生俱乐部生涯也要结束了，整个云原生俱乐部系列也就要完结了。计划后面写go语言相关的内容，并争取在b站上更新视频，但是学习是没有止境的，希望我的博客也是没有尽头的。

这一篇主要讲RH134中调优系统性能，管理SELinux安全性，管理基本存储，管理存储堆栈这四部分内容。第一部分主要是和tuned守护进程相关，SELinux上下文会比较难理解一点，至于后两部分则是紧密相关的，会用到fdisk或者parted分区工具以及逻辑卷的概念。

调优系统性能

这节的内容是将如何通过选择由tuned守护进程管理的调优配置集来优化系统性能，tuned守护进程会利用反映特定工作负载要求的调优配置集，以动态和静态两种方式应用调优调整。

[1]动态调优

其中，tuned守护进程附带了三个监控器插件，分别用于监控磁盘负载，监控网络负载，监控cpu负载，并且附带相应的调优插件。这些插件都用于动态调优，默认情况下是处于禁用状态。不过需要注意的是，动态调优会从选定调优配置集的初始值开始，不断调整适应当前工作负载。

[2]调优配置集

可以通过tuned-adm客户端工具和tuned守护进程进行交互，使用tuned-adm active可以查看当前使用的调优配置集，使用tuned-adm list则是列出系统中所有的调优配置集。

使用tuned-adm profile_info name可以查看指定调优配置集的信息，如果不指定调优配置集，默认是当前活跃的配置集。使用tuned-adm recommend可以为系统推荐调优配置集，然后可以使用tuned-adm profile name来切换调优配置集。

[3]进程调度--优先级

用户可以给进程设置nice值，范围是-20~19，值越低优先级越高。只有root可以降低进程的nice值，其他用户只能提高。可以使用nice -n设置值，如nice -15 sleep 15 &，当然也可以重新设置进程nice值，如使用renice -n <PID>。

但是这些进程都是普通进程，而进程分实时进程和普通进程，只有普通进程能够设置nice值。实时进程使用pr值，实际上cpu调度的时候参考的是pr值，pr=nice+20，内核调度器实际使用的是pr值来确定CPU的时间分配顺序。

管理SELinux安全性

SELinux强制执行一组访问规则，明确定义进程和资源之间允许的操作，未经允许的操作都会视为非法。由于仅允许定义的操作，所以使得安全性较差的应用依旧能够得到受到保护。

[1]更改SELinux模式

SELinux具有Enforing、Permissive、Disabled三种模式，在Permissive模式下，非法的访问不会被阻止但会记录，至于Disabled模式下，则既不阻止也不记录。红帽9开始，只能在系统启动时设置内核参数selinux=0来完全禁用。

SELinux的配置文件是/etc/selinux/config，有一个字段是SELINUX，可以设置为enforcing或者permissive，系统会在启动时读取该配置文件（所以修改后需重启才能生效）。

如果在红帽9中将配置文件设置SELINUX=disabled，则会让所有的操作都被拒绝，因此在文件中禁用selinux会导致SELinux拒绝加载任何任何策略，而策略定义了允许的操作。

除了修改配置文件外，还可以使用setenforce 0或者1来设置模式（临时切换，无需重启系统），0代表Permissive，1代表Enforcing，后面可以使用getenforce来查看selinux模式

[2]设置SELinux上下文

SELinux安全上下文的格式有user、role、type、secure level，使用chcon可以临时修改文件上下文，使用restorecon（-R选项用于递归还原）将文件上下文还原成数据库中定义的上下文。

其中我们最需要关注的就是type，如果类型不对就会拒绝进程访问该类型资源。比如设置网站文件，如果文件的类型不对，访问网站时会报403的错误。文件的selinux上下文默认会继承父目录的，比如在目录下touch文件，便会继承目录的selinux。

保留selinux上下文

如果使用mv移动文件，会保留原来的selinux上下文（mv的两个文件目录必须处于同一个文件系统，否则相当于cp+rm），但是通过cp默认就不会保留selinux上下文，除非是用-a选项来保留文件的权限、时间戳以及selinux上下文。

还有创建tar归档的时候默认保留原始上下文（通过 --xattrs 隐式启用），除非是用--no-xattrs来不保留selinux上下文，解压文件时默认恢复原来的seinux上下文。-p选项（归档和解压的时候都要用）则是保留文件的权限、所有者和时间戳。

rsync同步文件的时候也需要注意selinux上下文是否需要保留，通过-a来保留文件权限，-X来保留selinux上下文，两者需要起来使用。

selinux策略规则

可以通过semanage fcontext -a -t type file来给file文件添加上下文策略（修改数据库中的定义），并通过restorecon来应用该selinux上下文策略。

在selinux中由一种动态调整规则，就是在保持上下文不变的前提下，通过布尔值控制是否允许某些上下文之间的交互，每个布尔值背后关联一组 SELinux 策略规则。

例如当 `httpd_enable_homedirs`为 `on`时，策略允许 `httpd_t`进程访问 `user_home_t`类型的文件，使用getsebool -a 可以显示所有布尔值及其状态。

管理基本存储

这里会讲到分区方案GPT和MBR两种方案，以及介绍分区工具fdisk以及parted等，我对parted比较熟悉一点，并且喜欢用命令式而不是交互式的进行分区。

[1]GPT分区和MBR分区

MBR分区方案是运行在BIOS固件的系统的标准分区方案，对于运行UEFI固件的系统，GPT分区方案则是标准。前者可以划分四个主分区，最后一个分区可以作为逻辑分区扩展，在第一个扇区存储分区表，占512kb大小；而后者在磁盘首尾各存储一份分区表，分区表支持CRC检验，支持128个主分区。

[2]parted分区工具

可以使用parted /dev/vdb print来查看该磁盘的分区表情况，如果不接子命令而是parted /dev/vdb则是进入交互式分区会话。默认是使用十进制单位查看分区表情况，可以使用unit s（B、MiB、MB来指定单位），如parted /dev/vdb unit MiB print。

使用parted /dev/vdb mklabel msdos（gpt）写入磁盘标签（会擦除现有分区表），然后可以使用parted /dev/vdb mkpart primary ext4 1MiB 100MiB来创建分区，在MBR方案中，primary后面表示使用主分区还是扩展分区（extended），对于GPT方案来说，则是指的主分区名称。

如果要创建的分区是要作为交换分区的，可以使用parted /dev/vdb mkpart primary linux-swap 1MiB 100MiB来创建分区，同样如果是MBR分区方案，primary表示主分区，GPT分区方案，primary表示分区名称。

创建分区之后，运行udevadm settle等待系统检测新分区并在/dev目录下创建关联的设备文件，之后就可以使用parted /dev/vdb print来查看分区情况了，每个分区会有对应编号，可以通过parted /dev/vdb rm n 删除对应编号的分区。

[3]创建文件系统

此时创建的分区还不能进行挂载，因为parted只是给分区打上文件系统的标签，并没有在该分区创建文件系统。可以通过mkfs.ext4 /dev/vdb1来创建文件系统，如果是交换分区的话，使用mkswap /dev/vdb1来格式化分区。

创建文件系统或者格式化之后，就可以通过/etc/fstab永久挂载或激活了，通过lsblk -fp可以查看设备文件的UUID，推荐使用UUID来持久挂载或激活。编写/etc/fstab文件之后使用mount -a或者swapon -a来验证是否正确挂载或激活（如果不对会报错）。

当然，单独使用mount /dev/vdb1 /mnt/data也可以临时挂载，或者使用swapon /dev/vdb1来临时激活，如果要取消挂载用unmount，取消激活交换空间用swapoff。

管理存储堆栈

这一部分就要讲到LVM逻辑卷管理器的概念了，但还是有相当一部分和上一章的内容相关。首先要讲讲物理卷（PV）、卷组（VG）、逻辑卷（LV）、物理区块（PE）、逻辑区块（LV）等概念，接着讲如何创建逻辑卷。

[1]基本概念

物理卷是实际的磁盘或分区，LVM 允许直接将未分区的磁盘初始化为物理卷，无需预先创建分区表。LVM 会在磁盘的开头写入 LVM 元数据（而非传统分区表），标记该磁盘为物理卷。

LVM工具会将物理卷划分为物理区块PE，默认是4MB大小（不过也可以指定大小），VG 和 LV 的空间分配基于 PE。卷组则由一个或多个PV组成，逻辑卷则从VG中的空闲物理区块创建，LV是逻辑区块的的集合，而LE映射到物理区块PE，两者大小相等。

[2]创建逻辑卷

步骤的话也很简单，就是三步走，主要创建逻辑卷时使用-L选项是绝对大小（默认单位是MB），而使用-l选项是相对大小（PE为单位），如-l 40就是用40个物理区块PE。

先创建物理卷，使用pvcreate /dev/vdb1，可以使用pvs或者pvdisplay来查看；然后创建卷组，使用vgcreate vgname /dev/vdb1，可以使用vgs或者vgdisplay来查看；最后创建逻辑卷，使用lvcreate -L 100MiB -n lvname vgname，通过lvs或者lvdisplay可以查看。

注意这里使用/dev/vdb1分区，虽然创建分区的步骤区别不大（可以不指定文件系统类型，如parted /dev/vdb mkpart primary 1MiB 100MiB），但是多了一步，最后使用parted /dev/vdb set n lvm on来给分区贴lvm标签（其实也可以不写）。

同样需要给逻辑卷创建文件系统，使用mkfs -t xfs /dev/vgname/lvname来创建文件系统，如果要格式化交换分区，则可用mkswap /dev/vgname/lvname，然后就是正常挂载或者激活步骤了。