diff --git "a/docs/zh/docs/A-Ops/AOps\346\231\272\350\203\275\345\256\232\344\275\215\346\241\206\346\236\266\344\275\277\347\224\250\346\211\213\345\206\214.md" "b/docs/zh/docs/A-Ops/AOps\346\231\272\350\203\275\345\256\232\344\275\215\346\241\206\346\236\266\344\275\277\347\224\250\346\211\213\345\206\214.md"
deleted file mode 100644
index 1959066e9c965b47c56a1e1aa7dba5cc14586db5..0000000000000000000000000000000000000000
--- "a/docs/zh/docs/A-Ops/AOps\346\231\272\350\203\275\345\256\232\344\275\215\346\241\206\346\236\266\344\275\277\347\224\250\346\211\213\345\206\214.md"
+++ /dev/null
@@ -1,182 +0,0 @@
-# AOps 智能定位框架使用手册
-
-参照[AOps部署指南](AOps部署指南.md)部署AOps前后端服务后,即可使用AOps智能定位框架。
-
-下文会从页面的维度进行AOps智能定位框架功能的介绍。
-
-## 1. 工作台
-
- 该页面为数据看板页面,用户登录后,仍在该页面。
-
- 
-
-支持操作:
-
-- 当前纳管的主机数量
-- 当前所有未确认的告警数量
-
-- 每个主机组告警情况的统计
-
-- 用户帐户操作
-
- - 修改密码
- - 退出登录
-- 业务域和CVE信息暂不支持
-
-## 2. 资产管理
-
-资产管理分为对主机组进行管理以及对主机进行管理。每个主机在agent侧注册时需指定一个已存在的主机组进行注册,注册完毕后会在前端进行显示。
-
-(1)主机组页面:
-
-
-
-支持如下操作:
-
-- 主机组添加
-- 主机组删除
-- 查看当前所有主机组
-- 查看每个主机组下的主机信息
-
-添加主机组时,需指定主机组的名称和描述。注意:请勿重复名称。
-
-
-
-(2)主机管理页面:
-
-
-
-支持如下操作:
-
-- 查看主机列表(可根据主机组、管理节点进行筛选,可根据主机名称进行排序)
-- 删除主机
-- 点击主机可跳转到主机详情界面
-
-(3)主机详细信息界面:
-
-
-
-详情页的上半部分展示了该主机的操作系统及CPU等的基础信息。
-
-
-
-详情页的下半部分,用户可以看到该主机当前运行的采集插件信息(目前agent只支持gala-gopher插件)。
-
-支持如下操作:
-
-- 查看主机基础信息及插件信息
-- 插件的管理(gala-gopher)
- - 插件资源查看
- - 插件的开启和管理
- - gala-gopher的采集探针的开启和关闭
-- 主机场景的识别
-
-点击场景识别后,系统会生成该主机的场景,并推荐检测该场景所需开启的插件以及采集项,用户可以根据推荐结果进行插件/探针的调整。
-
-注意:修改插件信息如关闭插件或开关探针后,需要点击保存才能生效。
-
-
-
-## 3. 智能定位
-
-AOps项目的智能定位策略采用内置网络诊断应用作为模板,生成个性化工作流的策略进行检测和诊断。
-
-“应用”作为工作流的模板,描述了检测中各步骤的串联情况,内置各步骤中使用的检测模型的推荐逻辑。用户在生成工作流时,可根据各主机的采集项、场景等信息,定制出工作流的详细信息。
-
-(1)工作流列表页面:
-
-
-
-支持操作:
-
-- 查看当前工作流列表,支持按照主机组、应用和状态进行筛选,并支持分页操作
-- 查看当前应用列表
-
-(2)工作流详情页面:
-
-
-
-支持操作:
-
-- 查看工作流所属主机组,主机数量、状态等基础信息
-- 查看单指标检测、多指标检测、集群故障诊断各步骤的详细算法模型信息
-- 修改检测各步骤应用的模型
-- 执行、暂停和删除工作流
-
-修改某检测步骤的模型时,用户可根据模型名或标签搜索系统内置的模型库,选中模型后点击应用进行更改。
-
-
-
-(3)应用详情页面
-
-
-
-支持操作:
-
-- 查看应用的整体流程
-- 基于应用创建工作流
-
-创建工作流时,点击右上角的创建工作流按钮,并在右侧弹出的窗口中输入工作流的名称和描述,选择要检测的主机组。选中主机组后,下方会列出该主机组的所有主机,用户可选中部分主机后移到右侧的列表,最后点击创建,即可在工作流列表中看到新创建的工作流。
-
-
-
-
-
-(4)告警
-
-启动工作流后,会根据工作流的执行周期定时触发诊断,每次诊断若结果为异常,则会作为一条告警存入数据库,同时也会反应在前端告警页面中。
-
-
-
-支持操作:
-
-- 查看当前告警总数
-- 查看各主机组的告警数量
-- 查看告警列表
-- 告警确认
-- 查看告警详情
-- 下载诊断报告
-
-告警确认后,将不在列表中显示
-
-
-
-点击异常详情后,可以根据主机维度查看告警详情,包括异常数据项的展示以及根因节点、根因异常的判断等。
-
-
-
-## 4. 配置溯源
-
-AOps项目的配置溯源用于对目标主机配置文件内容的变动进行检测记录,对于文件配置错误类引发的故障起到很好的支撑作用。
-
-### 创建配置域
-
-
-
-### 添加配置域纳管node
-
-
-
-### 添加配置域配置
-
-
-
-### 查询预期配置
-
-
-
-### 删除配置
-
-
-
-### 查询实际配置
-
-
-
-### 配置校验
-
-
-
-### 配置同步
-
-暂未提供
diff --git "a/docs/zh/docs/A-Ops/AOps\346\274\217\346\264\236\347\256\241\347\220\206\346\250\241\345\235\227\344\275\277\347\224\250\346\211\213\345\206\214.md" "b/docs/zh/docs/A-Ops/AOps\346\274\217\346\264\236\347\256\241\347\220\206\346\250\241\345\235\227\344\275\277\347\224\250\346\211\213\345\206\214.md"
new file mode 100644
index 0000000000000000000000000000000000000000..ef368d4bed2c452e57dbe1df44efd430c6a81369
--- /dev/null
+++ "b/docs/zh/docs/A-Ops/AOps\346\274\217\346\264\236\347\256\241\347\220\206\346\250\241\345\235\227\344\275\277\347\224\250\346\211\213\345\206\214.md"
@@ -0,0 +1,287 @@
+# AOps漏洞管理模块使用手册
+
+参照[AOps部署指南](AOps部署指南.md)部署AOps前后端服务,并参照[AOps资产管理使用手册](AOps资产管理使用手册.md)纳管了主机后,即可使用AOps漏洞管理模块。
+
+A-Ops智能运维工具的智能补丁管理模块(**apollo**)主要集成了**漏洞扫描、CVE修复、任务回退**、**热补丁移除**等核心功能:
+
+- 支持对openEuler已修复并发布的漏洞进行手动/定时扫描。漏洞的详细信息通过**在线/离线**同步社区发布的安全公告进行获取。当前聚焦于内核漏洞的处理,后续支持用户态软件包漏洞。
+
+- 支持漏洞批量修复。修复过程中,客户端会命令行调用基于dnf原生框架的dnf hotpatch插件,实现**冷补丁(需重启)/热补丁(免重启)**的修复。此插件将底层冷、热补丁的管理封装成统一的入口,方便单机用户的使用和集群的调用。
+
+- 支持通过任务粒度回退或移除热补丁的形式,将系统恢复至原状态。
+
+下文将按照漏洞修复的工作流来进行A-Ops智能补丁管理功能的介绍。
+
+## 1. 配置repo源
+
+openEuler的漏洞信息通过安全公告对外发布,同时在update源中发布修复所用的软件包及相应元数据。配置了update源后即可在命令行通过dnf updateinfo list cves命令或dnf hot-updateinfo list cves(需安装A-Ops的dnf热补丁插件)进行漏洞的扫描。
+
+默认的openEuler系统安装后自带对应OS版本的冷补丁update源。对于自定义或离线场景,用户可以通过设置repo来自行配置冷/热补丁的update源。
+
+### 1.1 Repo源添加
+
+漏洞管理界面用于对目标主机存在的CVE进行监控与修复。
+
+当前漏洞管理模块分为以下三个界面:
+
++ 主机列表界面。
++ CVEs界面。
++ 任务列表界面。
+
+进入漏洞管理的主机管理子页面,可以从主机粒度看到当前纳管的所有主机的**已修复和未修复漏洞**情况:
+
+
+
+点击下方CVE REPO的加号框,即可进行repo源的添加:
+
+
+
+若不清楚格式,可以点击下载模板按钮查看。注意baseurl和gpgkey要配置为客户端OS版本的对应地址。用户也可以直接上传编辑好的repo文件。
+
+新建repo完毕后,即可在CVE REPO列表中进行查看或删除。
+
+### 1.2 Repo设置
+
+新建repo源后,点击右上角“设置repo”的按钮,可以创建一个任务,为勾选的主机进行批量的repo设置。
+
+
+
+点击“创建”或“立即执行”后会生成一个repo设置任务,执行完毕后即可在主机列表界面看到已设置好该repo源。
+
+## 2. 漏洞扫描
+
+确认好主机上已配置好repo源(或使用默认安装时自带的repo源)后,我们就可以为主机进行批量扫描了。直接点击右侧的漏洞扫描,默认扫描全部主机。用户也可以勾选部分主机进行扫描。
+
+除了手动扫描,用户也可以配置后台定时任务,进行每日定时扫描。
+
+
+
+扫描完毕后,若用户在创建用户时配置了邮箱信息,apollo会将漏洞情况邮件发送给用户。
+
+
+
+## 3. 漏洞查看
+
+### 3.1 主机详情信息界面
+
+扫描完毕后,除了上文的主机列表可以看到每个主机的已修复和未修复的CVE数量,还可以点击某台主机查看详细的CVE信息:
+
+
+
+支持如下操作:
+
+- 查看主机基本信息与CVE个数。
+- 查看该主机未修复CVE和已修复CVE列表,支持导出。未修复CVE展开后可以看到受影响的RPM包及支持的修复方法,已修复CVE展开后可以看到修复使用的RPM。
+- 生成CVE修复任务(切换至“未修复”时,才可支持CVE修复任务创建),可支持CVE粒度的任务创建,同时也可具体到特定的rpm包修复。
+- 生成热补丁移除任务(切换至“已修复”时,才可支持生成热补丁移除任务)。
+- 单机漏洞扫描。
+
+### 3.2 CVE列表界面
+
+上文介绍了从主机维度查看漏洞情况,我们也可以从**漏洞维度**去查看我们重点关注的漏洞。
+
+点击CVEs子页面,可以看到未修复和已修复两个页签,下方详细介绍了每个CVE的发布时间、影响软件包、严重性等信息,展开后则能看到描述信息及受影响的rpm包和支持的修复方式。
+
+
+
+支持如下操作:
+
++ 查看所有CVE信息(CVE严重性进行筛选、CVE ID、发布时间、CVSS分数、主机数量进行排序,可根据CVE ID或软件包名称进行检索)。
++ 切换至“未修复”列表
+ + 展开某CVE可以看到受影响的RPM包和支持的修复方法,以及该组合对应的主机。
+ + 右侧按钮为“生成修复任务”,支持生成**CVE修复任务**。
+
++ 切换至“已修复”列表
+ + 展开某CVE可以看到修复使用的RPM及对应的主机。
+ + 右侧按钮为“热补丁移除”,针对热补丁修复的CVE,可生成**热补丁移除任务**。
+
+
+- 上传安全公告
+
+这里对安全公告的上传简单说明:
+
+apollo支持定时从openEuler官网下载安全公告信息,针对无法连接外网的环境,提供了安全公告的手动上传功能。当前社区仅对社区软件包受影响的CVE发布了安全公告,用户可以从以下地址下载安全公告并上传压缩包:[https://repo.openeuler.org/security/data/cvrf/](https://gitee.com/link?target=https%3A%2F%2Frepo.openeuler.org%2Fsecurity%2Fdata%2Fcvrf%2F)
+
+
+
+社区也提供了安全公告订阅,订阅后会收到邮件通知:[https://mailweb.openeuler.org/postorius/lists/sa-announce.openeuler.org/](https://mailweb.openeuler.org/postorius/lists/sa-announce.openeuler.org/)
+
+### 3.3 CVE详情信息
+
+和主机详情界面类似,在CVE列表界面点击某一个CVE即可进入CVE详情界面。可以看到此漏洞影响的所有主机和已修复这个漏洞的主机。
+
+
+
+支持如下操作:
+
++ 查看CVE基本信息。
++ 查看关联CVE数量,即影响同样源码包(如kernel)的CVE。
++ 查看受此CVE影响的主机列表以及单个主机上受此CVE影响的rpm包列表。
++ 支持点击主机名称跳转至**主机详情页**。
++ 选择“未修复”列表,右侧按钮为“生成修复任务,支持**生成CVE修复任务**。
++ 选择“已修复”列表,右侧按钮为“热补丁移除任务”,支持**生成热补丁移除任务**。
+
+## 4. 漏洞修复
+
+### 4.1 生成修复任务
+
+在CVE列表、CVE详情、主机详情界面均可进行漏洞的批量修复。这里以CVE列表界面为示例,选中CVE点击“生成修复任务”按钮,右侧会出现弹窗。不选中CVE则默认修复全部CVE。
+
+其中针对热补丁,有2个按钮:
+
+- 是否accept:勾选后会在重启后自动激活此次修复使用的热补丁。
+
+- 冷补丁收编:勾选后,会同步生成热补丁对应的冷补丁的修复任务。
+
+
+
+需额外注意:
+
+- 为了方便执行以及后续的任务回滚,生成任务时会自动将冷、热补丁的修复动作拆分成两个任务,可以通过任务名进行分辨。
+
+### 4.2 执行修复任务
+
+生成任务后可以点击立即跳转到该任务详情,或点击左侧的任务子页面,进入任务列表界面:
+
+
+
+点击刚才生成的修复任务,可以看到此任务的基础信息,以及下方的主机以及该主机要修复的软件包信息。点击右侧的执行按钮即可执行。
+
+
+
+**注意**:针对同一台主机,**热补丁任务应优先与冷补丁任务执行**。由于内核热补丁只能应用在指定版本内核,若先安装冷补丁再安装热补丁,aops客户端会报错,以防重启后内核切换、热补丁失效导致的漏洞重新暴露。而先安装热补丁再安装冷补丁时,客户端调用的dnf upgrade-en 命令会确保冷补丁包含了当前热补丁修复的漏洞。
+
+### 4.3 任务报告查看
+
+执行完毕后,可以看到任务的“上次执行时间”发生更新,并出现“查看报告”按钮。点击查看报告,即可查看各主机的执行情况,如执行结果、执行失败的原因等:
+
+
+
+## 5. 修复任务回滚
+
+进入修复任务详情,点击生成回滚任务,即可对该修复任务进行回退:
+
+
+
+进入回滚任务详情,与修复任务相反,可以看见当前已安装的软件包(修复时安装的rpm),以及回退后的目标软件包(修复前的rpm)。执行时点击“执行”按钮即可。
+
+
+
+## 6. 热补丁移除任务
+
+若对已安装的热补丁不满意,可以在任意“已修复”的列表,勾选使用热补丁修复的CVE或主机,生成热补丁移除任务。
+
+与回滚任务相比,热补丁移除任务只针对热补丁,且不支持对热补丁的升降级处理,只通过dnf操作将热补丁rpm进行移除。
+
+
+
+## 7. 定时任务配置
+
+主体的漏洞处理过程在前台完成之后,用户还可以在apollo服务端针对后台的定时任务进行编辑,修改后`systemctl restart aops-apollo`重启服务生效。
+
+定时任务主要包含3种类型任务,定时任务配置文件位于 /etc/aops/apollo_crontab.ini,内容如下:
+
+```ini
+[cve_scan]
+# timed task name
+id = cve scan
+# value between 0-6, for example, 0 means Monday, 0-6means everyday.
+day_of_week = 0-6
+# value between 0-23, for example, 2 means 2:00 in a day.
+hour = 2
+# value is true or false, for example, true means with service start.
+auto_start = true
+
+[download_sa]
+id = download sa
+day_of_week = 0-6
+hour = 3
+auto_start = true
+cvrf_url = https://repo.openeuler.org/security/data/cvrf
+
+[correct_data]
+id = correct data
+day_of_week = 0-6
+hour = 4
+auto_start = true
+service_timeout_threshold_min = 15
+```
+
+### 7.1 定时巡检,执行漏洞扫描
+
+**定时扫描cve任务的参数**
+
++ id
+
+ > 定时任务的名称,不能与其他定时任务名称重复,不建议修改。
+
++ day_of_week
+
+ > 定时任务在一周中的第几天启动,取值范围0-6,0-6表示每天,0表示周一,以此类推。
+
++ hour
+
+ > 任务启动的时间,取值范围0-23,与24小时制时间格式一致。
+
++ auto_start
+
+ > 任务是否跟随服务启动,true表示同时启动,false表示不同时启动。
+
++ 其他
+
+ > 如果要精确到分钟,秒,需要添加minute(取值范围0-59)和second(取值范围0-59)。
+ >
+ > **示例**
+ >
+ > ```ini
+ > minute = 0
+ > second = 0
+ > ```
+
+**修改配置文件示例**
+
+> 打开配置文件
+
+```shell
+vim /etc/aops/apollo_crontab.ini
+```
+
+> 修改定时任务执行时机
+
+```ini
+[cve_scan]
+id = cve scan
+day_of_week = 5
+hour = 2
+auto_start = true
+```
+
+### 7.2 定时下载安全公告
+
+相同字段含义和使用与[cve_scan]一样。
+
++ cvrf_url
+
+ > 获取安全公告详细信息的基础url,**暂不支持修改。**
+
+### 7.3 定时校正异常数据
+
+相同字段含义和使用与[cve_scan]一样。
+
++ service_timeout_threshold_min
+
+ > 判断异常数据的阈值,取值为正整数,建议最小值为15。
+
+**修改配置文件示例**
+
+> 打开配置文件
+
+```shell
+vim /etc/aops/apollo_crontab.ini
+```
+
+> 设置异常数据阈值
+
+```ini
+service_timeout_threshold_min = 15
+```
diff --git "a/docs/zh/docs/A-Ops/AOps\351\203\250\347\275\262\346\214\207\345\215\227.md" "b/docs/zh/docs/A-Ops/AOps\351\203\250\347\275\262\346\214\207\345\215\227.md"
index 73120be783f7f0f289ae1c7ca62c2636ed408085..5092e7f7e5008b8969e306a5ed85bbac91821a25 100644
--- "a/docs/zh/docs/A-Ops/AOps\351\203\250\347\275\262\346\214\207\345\215\227.md"
+++ "b/docs/zh/docs/A-Ops/AOps\351\203\250\347\275\262\346\214\207\345\215\227.md"
@@ -1,458 +1,1550 @@
-# A-Ops部署指南
+# 一、A-Ops服务介绍
-## 一、环境要求
+A-Ops是用于提升主机整体安全性的服务,通过用户管理、资产管理、漏洞管理、配置溯源等功能,识别并管理主机中的信息资产,监测主机中的软件漏洞、排查主机中遇到的系统故障,使得目标主机能够更加稳定和安全的运行。
-- 2台openEuler 23.09机器
+下表是A-Ops服务涉及服务和RPM包的说明:
- 分别用于部署check模块的两种模式:调度器,执行器。其他服务如mysql、elasticsearch、aops-manager等可在任意一台机器独立部署,为便于操作,将这些服务部署在机器A。
+| 模块 | 说明 |
+| ---------- | ---------------------------------------------------- |
+| aops-ceres | A-Ops服务的客户端。
提供采集主机数据与管理其他数据采集器(如gala-gopher)的功能。
响应管理中心下发的命令,处理管理中心的需求与操作。 |
+| aops-zeus | A-Ops基础应用,主要提供aops-cli命令行工具。
实现微服务的启停、数据库初始化、配置更新热加载、微服务应用一键化部署等。 |
+| aops-hermes | A-Ops可视化操作界面,展示数据信息,提升服务易用性。 |
+| aops-apollo | A-Ops漏洞管理模块相关功能依赖此服务实现,默认端口:11116。
识别客户机周期性获取openEuler社区发布的安全公告,并更新到漏洞库中。
通过与漏洞库比对,检测出系统和软件存在的漏洞。 |
+| aops-vulcanus | A-Ops工具库,**除aops-ceres与aops-hermes模块外,其余模块须与此模块共同安装使用**。 |
+| zeus-user-access | A-Ops用户微服务,提供用户权限管控、集群分层纳管,默认对外端口:11119。 |
+| zeus-host-information | A-Ops主机微服务,主机资产基于集群或主机组维度的管理,默认对外端口:11115。 |
+| async-task | A-Ops异步任务,后台执行耗时较长的任务、定时任务的触发。 |
+| zeus-distribute | A-Ops分发服务,总控端调用集群服务时,需分发服务做中转,实现服务互通,默认端口:11113。 |
+| authhub、authhub-web | 基于oauth2的认证服务,提供应用管理、用户登录等API接口,默认端口:11120。 |
-- 内存尽量为8G+
+# 二、部署环境要求
-## 二、配置部署环境
+服务器资源充足的前提下,可以按照多机器部署,各个服务间主备搭配,实现高可用。同时也支持在单台机器中完成一键化部署应用,具体请参考**[一键化部署安装](#3.7 一键化快速部署)**。
-### 机器A
+建议采用4台openEuler 24.09 机器部署,其中3台用于配置服务端,1台用于纳管(aops服务纳管的主机),**且repo中需要配置update源**([FAQ:配置update源](#Q6 配置update源)),具体用途以及部署方案如下:
-机器A需部署的aops服务有:aops-tools、aops-manager、aops-check、aops-hermes、aops-agent、gala-gopher。
++ 机器A:部署mysql、redis、elasticsearch、zookeeper等,主要提供数据服务支持,建议内存8G+。
++ 机器B:部署A-Ops的微服务模块(漏洞管理、主机服务、用户服务、分发服务、认证中心服务),提供完整的业务功能支持,建议内存8G+。
++ 机器C:部署A-Ops的前端服务+异步任务服务,提供可视化操作及后台执行耗时任务,建议内存4G+。
++ 机器D:部署A-Ops的客户端,用作一个被AOps服务纳管监控的主机(需要监管的机器中都可以安装aops-ceres)。
-需部署的第三方服务有:mysql、elasticsearch、zookeeper、kafka、prometheus。
+| 机器编号 | 配置IP | 部署模块 |
+| -------- | ----------- | ------------------------------------------------------------ |
+| 机器A | 192.168.1.1 | mysql、elasticsearch、 redis、zookeeper |
+| 机器B | 192.168.1.2 | aops-apollo、zeus-user-access、zeus-host-information、zeus-distribute、aops-zeus、authHub |
+| 机器C | 192.168.1.3 | aops-hermes、async-task、canal(选装)、authHub-web |
+| 机器D | 192.168.1.4 | aops-ceres、dnf-hotpatch-plugin |
-具体部署步骤如下:
+**注意:**每台机器在部署前,请先关闭**防火墙**[FAQ:关闭防火墙](#Q8 关闭防火墙))和SELinux([FAQ:禁用SELinux](#Q7 禁用SELinux))。
-#### 2.1 关闭防火墙
+# 三、服务端部署
-关闭本节点防火墙
+## 3.1 认证中心
+
+使用认证中心功能需要部署authhub、authhub-web、mysql、redis服务。
+
+### 3.1.1 节点信息
+
+| 机器编号 | 配置IP | 部署模块 |
+| -------- | ----------- | ------------ |
+| 机器A | 192.168.1.1 | mysql、redis |
+| 机器B | 192.168.1.2 | authhub |
+| 机器C | 192.168.1.3 | authhub-web |
+
+### 3.1.2 部署步骤
+
+#### 3.1.2.1 部署mysql
+
+- 安装mysql
```shell
-systemctl stop firewalld
-systemctl disable firewalld
-systemctl status firewalld
+yum install mysql-server -y
```
-#### 2.2 部署aops-tools
+- 修改mysql配置文件
+
+```bash
+vim /etc/my.cnf
+```
-安装aops-tools:
+- 在mysqld配置节下新增bind-address,值为本机ip
+
+```ini
+[mysqld]
+bind-address=192.168.1.1
+log-bin=mysql-bin
+server-id=1
+default-storage-engine=INNODB
+character-set-server=utf8mb4
+collation-server=utf8mb4_unicode_ci
+```
+
+- 重启mysql服务
+
+```bash
+systemctl restart mysqld
+```
+
+- 设置mysql数据库的root用户访问权限
+
+```mysql
+[root@localhost ~] mysql
+
+mysql> show databases;
+mysql> use mysql;
+mysql> select user,host from user; -- 此处出现host为localhost时,说明mysql只允许本机连接,外网和本地软件客户端则无法连接。
+
++---------------+-----------+
+| user | host |
++---------------+-----------+
+| root | localhost |
+| mysql.session | localhost |
+| mysql.sys | localhost |
++---------------+-----------+
+3 rows in set (0.00 sec)
+mysql> update user set host = '%' where user='root'; -- 设置允许root用户任意IP访问。
+mysql> GRANT system_user on *.* to 'root';
+mysql> DELETE FROM mysql.user WHERE user='canal';
+mysql> CREATE USER canal IDENTIFIED BY 'canal';
+mysql> GRANT ALL PRIVILEGES ON *.* TO 'canal'@'%';
+mysql> flush privileges; -- 刷新权限
+mysql> exit
+```
+
+#### 3.1.2.2 部署redis
+
+- 安装redis
```shell
-yum install aops-tools
+yum install redis -y
```
-#### 2.3 部署数据库[mysql、elasticsearch]
+- 修改配置文件
-##### 2.3.1 部署mysql
+```shell
+vim /etc/redis.conf
+```
+
+- 绑定IP
+
+```ini
+# It is possible to listen to just one or multiple selected interfaces using
+# the "bind" configuration directive, followed by one or more IP addresses.
+#
+# Examples:
+#
+# bind 192.168.1.100 10.0.0.1
+# bind 127.0.0.1 ::1
+#
+# ~~~ WARNING ~~~ If the computer running Redis is directly exposed to the
+# internet, binding to all the interfaces is dangerous and will expose the
+# instance to everybody on the internet. So by default we uncomment the
+# following bind directive, that will force Redis to listen only into
+# the IPv4 lookback interface address (this means Redis will be able to
+# accept connections only from clients running into the same computer it
+# is running).
+#
+# IF YOU ARE SURE YOU WANT YOUR INSTANCE TO LISTEN TO ALL THE INTERFACES
+# JUST COMMENT THE FOLLOWING LINE.
+# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+bind 127.0.0.1 192.168.1.1 # 此处添加机器A的真实IP
+```
-使用安装aops-tools时安装的aops-basedatabase脚本进行安装
+- 启动redis服务
```shell
-cd /opt/aops/aops_tools
-./aops-basedatabase mysql
+systemctl start redis
+```
+
+#### 3.1.2.3 部署authhub
+
+- 安装authhub
+
+```
+yum install authhub -y
+```
+
+- 修改配置文件
+
+```
+vim /etc/aops/conf.d/authhub.yml
+```
+
+- 默认文件内容如下
+
+```yaml
+uwsgi:
+ port: 11120
+ daemonize: /var/log/oauth2/uwsgi/oauthhub.log
+ processes: 1
+mysql:
+ host: 127.0.0.1
+ port: 3306
+ username: root
+ pool_size: 100
+ pool_recycle: 7200
+ database: oauth2
+ username: root
+```
+
+**注意:/etc/aops/aops-config.yml配置项中的domain选项需要与authhub-web机器C的ip保持一致**
+
+```yaml
+infrastructure:
+ redis:
+ host: 192.168.1.1
+ port: 6379
+include: /etc/aops/conf.d
+domain: 192.168.1.3
```
-修改mysql配置文件
+- 启动authhub服务
```shell
-vim /etc/my.cnf
+systemctl start authhub
```
-新增bind-address, 值为本机ip
+**注意:服务启动前请确保已 [初始化authhub数据库](#3.1.2.4 初始化authhub数据库)**
-
+#### 3.1.2.4 初始化authhub数据库
-重启mysql服务
+- 执行数据库初始化
```shell
-systemctl restart mysqld
+aops-cli database --init authhub
```
-连接数据库,设置权限:
+#### 3.1.2.5 部署authhub-web
+
+- 安装authhub-web
```shell
-mysql
-show databases;
-use mysql;
-select user,host from user;//出现user为root,host为localhost时,说明mysql只允许本机连接,外网和本地软件客户端则无法连接。
-update user set host = '%' where user='root';
-flush privileges;//刷新权限
-exit
+yum install authhub-web -y
```
-##### 2.3.2 部署elasticsearch
+#### 3.1.2.6 调整authhub-web服务upstream和代理
-使用安装aops-tools时安装的aops-basedatabase脚本进行安装
+- 修改配置文件
```shell
-cd /opt/aops/aops_tools
-./aops-basedatabase elasticsearch
+vim /etc/nginx/nginx.conf
+```
+
+> **注意: 在安装authhub-web应用的机器上操作(机器C)**
+
+- 服务配置展示,开放与认证中心服务相关的配置
+
+```ini
+user root;
+worker_processes auto;
+error_log /var/log/nginx/error.log;
+pid /var/run/nginx.pid;
+
+# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
+include /usr/share/nginx/modules/*.conf;
+
+events {
+ worker_connections 1024;
+}
+http {
+
+ log_format main '$remote_addr - $remote_user [$time_local] "$request" '
+ '$status $body_bytes_sent "$http_referer" '
+ '"$http_user_agent" "$http_x_forwarded_for"';
+
+ access_log /var/log/nginx/access.log main;
+
+ sendfile on;
+ tcp_nopush on;
+ tcp_nodelay on;
+ keepalive_timeout 65;
+ types_hash_max_size 2048;
+
+ include /etc/nginx/mime.types;
+ default_type application/octet-stream;
+ client_max_body_size 25M;
+ include /etc/nginx/conf.d/*.conf;
+ upstream oauth2server {
+ server 172.168.1.2:11120;
+ }
+
+ #upstream host {
+ # server 192.168.1.2:11115;
+ #}
+
+ #upstream accounts {
+ # server @accounts;
+ #}
+
+ #upstream distribute {
+ # server @distribute;
+ #}
+
+ #upstream apollo {
+ # server @apollo;
+ #}
+ underscores_in_headers on;
+ server {
+ listen 80;
+ listen [::]:80 default_server;
+ server_name localhost;
+
+ # gzip config
+ gzip on;
+ gzip_min_length 1k;
+ gzip_comp_level 6;
+ gzip_types text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml;
+ gzip_vary on;
+ gzip_disable "MSIE [1-6]\.";
+
+ location /authhub {
+ proxy_pass http://192.168.1.3:8000/; # 替换成实际authhub前端部署的地址
+ proxy_set_header Host $host;
+ proxy_set_header X-Real-URL $request_uri;
+ proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ proxy_set_header Request-Header $http_request_header;
+ }
+ #location / {
+ # add_header Access-Control-Allow-Origin *;
+ # add_header Access-Control-Allow-Methods 'GET, POST, DELETE, PUT, OPTIONS';
+ # root /opt/aops/web/dist;
+ # index index.html;
+ # try_files $uri $uri/ /index.html last;
+ #}
+ location /oauth2 {
+ proxy_pass http://oauth2server;
+ proxy_set_header Host $host;
+ proxy_set_header X-Real-URL $request_uri;
+ proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ proxy_set_header Request-Header $http_request_header;
+ }
+ #location /hosts {
+ # proxy_pass http://host;
+ # proxy_set_header Host $host;
+ # proxy_set_header X-Real-IP $remote_addr;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ #location /accounts {
+ # proxy_pass http://accounts;
+ # proxy_set_header Host $host;
+ # proxy_set_header X-Real-IP $remote_addr;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ #location /distribute {
+ # rewrite ^/distribute(.*)$ /distribute break;
+ # proxy_pass http://distribute;
+ # proxy_set_header X-Real-URL $request_uri;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ #location /vulnerabilities {
+ # proxy_pass http://apollo;
+ # proxy_set_header X-Real-URL $request_uri;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ }
+}
+stream {
+ upstream mysql_prod {
+ server 192.168.1.1:3306;
+ }
+ server {
+ listen 3306;
+ proxy_responses 1;
+ proxy_timeout 20s;
+ proxy_pass mysql_prod;
+ }
+}
```
-修改配置文件:
+注意:认证中心API服务在机器B上部署,因此需要调整**upstream host中的server**指向机器B的地址,mysql服务部署在机器A中,因此调整**upstream mysql_prod中的server**指向机器A的地址
-修改elasticsearch配置文件:
+- 开启authhub-web服务
```shell
-vim /etc/elasticsearch/elasticsearch.yml
+systemctl start authhub-web
+systemctl restart nginx
```
-
+## 3.2 资产管理
-
+使用资产管理功能需部署aops-host-information、aops-hermes、zookeeper服务。
-
+### 3.2.1 节点信息
-重启elasticsearch服务:
+| 机器编号 | 配置IP|部署模块|
+| -------- | -------- | -------- |
+| 机器A | 192.168.1.1 |mysql、redis、zookeeper|
+| 机器B | 192.168.1.2 |zeus-host-information|
+| 机器C | 192.168.1.3 |aops-hermes、async-task|
+
+### 3.2.2 部署步骤
+
+#### 3.2.2.1 部署zookeeper
+
+- 安装zookeeper
-```shell
-systemctl restart elasticsearch
+```
+yum install zookeeper -y
```
-#### 2.4 部署aops-manager
+- 修改配置文件
-安装aops-manager
+```
+vim /opt/zookeeper/conf/zoo.cfg
+```
-```shell
-yum install aops-manager
+- 允许任意ip连接
+
+```ini
+# The number of milliseconds of each tick
+tickTime=2000
+# The number of ticks that the initial
+# synchronization phase can take
+initLimit=10
+# The number of ticks that can pass between
+# sending a request and getting an acknowledgement
+syncLimit=5
+# the directory where the snapshot is stored.
+dataDir=/var/lib/zookeeper/data
+# the port at which the clients will connect
+clientPort=2181
+# Enable/disable the ability to accept session-less connections (true/false)
+quorumListenOnAllIPs=true
```
-修改配置文件:
+- 启动zookeeper服务
```shell
-vim /etc/aops/manager.ini
+systemctl start zookeeper
```
-将配置文件中各服务的地址修改为真实地址,由于将所有服务都部署在机器A,故需把IP地址配为机器A的地址。
+#### 3.2.2.2 部署zeus-host-information
-```shell
-[manager]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=11111
-host_vault_dir=/opt/aops
-host_vars=/opt/aops/host_vars
+- 安装zeus-host-information
-[uwsgi]
-wsgi-file=manage.py
-daemonize=/var/log/aops/uwsgi/manager.log
-http-timeout=600
-harakiri=600
+```
+yum install zeus-host-information -y
+```
+
+- 修改配置文件
-[elasticsearch]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=9200
-max_es_query_num=10000000
+```
+vim /etc/aops/conf.d/zeus-host-information.yml
+```
-[mysql]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=3306
-database_name=aops
-engine_format=mysql+pymysql://@%s:%s/%s
-pool_size=10000
-pool_recycle=7200
+- 默认文件内容如下
-[aops_check]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=11112
+```yaml
+uwsgi:
+ port: 11115
+ daemonize: /var/log/aops/uwsgi/host-information.log
+ http_timeout: 60
+ processes: 1
+ gevent: 100
```
-启动aops-manager服务:
+> 默认数据库等连接配置同**全局配置**保持一致,即**/etc/aops/aops-config.yml**中的配置项,如果需要为此服务单独配置连接,可在**/etc/aops/conf.d/zeus-host-information.yml**增加与全局格式一致的配置项,示例如下:
+>
+> ```yaml
+> uwsgi:
+> port: 11115
+> daemonize: /var/log/aops/uwsgi/host-information.log
+> http_timeout: 60
+> processes: 1
+> gevent: 100
+> mysql:
+> host: 192.168.1.1
+> port: 3306
+> username: root
+> pool_size: 100
+> pool_recycle: 7200
+> database: aops
+> username: root
+> ```
+
+**注意:/etc/aops/aops-config.yml配置项中的domain选项需要与hermes机器C的ip保持一致**
+
+```yaml
+infrastructure:
+ mysql:
+ host: 192.168.1.1
+ port: 3306
+ username: root
+ pool_size: 100
+ pool_recycle: 7200
+ database: aops
+ username: root
+ redis:
+ host: 192.168.1.1
+ port: 6379
+ zookeeper:
+ host: 192.168.1.1
+ port: 2181
+include: "/etc/aops/conf.d"
+domain: "http://192.168.1.3"
+services:
+ log:
+ log_level: "INFO"
+ log_dir: "/var/log/aops"
+ max_bytes: 31457280
+ backup_count: 40
+```
+
+- 启动aops-zeus服务
```shell
-systemctl start aops-manager
+systemctl start zeus-host-information
```
-#### 2.5 部署aops-hermes
+**注意:服务启动前请确保已 [初始化zeus-host-information数据库](#3.1.2.3 初始化zeus-host-information数据库)**
+
+#### 3.2.2.3 初始化zeus-host-information数据库
-安装aops-hermes
+- 执行数据库初始化
```shell
-yum install aops-hermes
+aops-cli database --init zeus-host-information
```
-修改配置文件,由于将所有服务都部署在机器A,故需将web访问的各服务地址配置成机器A的真实ip。
+#### 3.2.2.4 部署aops-hermes
+
+- 安装aops-hermes
```shell
-vim /etc/nginx/aops-nginx.conf
+yum install aops-hermes -y
```
-部分服务配置截图:
+#### 3.2.2.5 调整zeus-host-information服务upstream和代理
-
+- 修改配置文件
-开启aops-hermesb服务:
+```shell
+vim /etc/nginx/nginx.conf
+```
+
+> **注意: 在安装aops-hermes应用的机器上操作(机器C)**
+
+- 服务配置展示,开放与主机服务相关的配置
+
+```ini
+user root;
+worker_processes auto;
+error_log /var/log/nginx/error.log;
+pid /var/run/nginx.pid;
+
+# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
+include /usr/share/nginx/modules/*.conf;
+
+events {
+ worker_connections 1024;
+}
+http {
+
+ log_format main '$remote_addr - $remote_user [$time_local] "$request" '
+ '$status $body_bytes_sent "$http_referer" '
+ '"$http_user_agent" "$http_x_forwarded_for"';
+
+ access_log /var/log/nginx/access.log main;
+
+ sendfile on;
+ tcp_nopush on;
+ tcp_nodelay on;
+ keepalive_timeout 65;
+ types_hash_max_size 2048;
+
+ include /etc/nginx/mime.types;
+ default_type application/octet-stream;
+ client_max_body_size 25M;
+ include /etc/nginx/conf.d/*.conf;
+ #upstream oauth2server {
+ # server 172.168.1.2:11120;
+ #}
+
+ upstream host {
+ server 192.168.1.2:11115;
+ }
+
+ #upstream accounts {
+ # server @accounts;
+ #}
+
+ #upstream distribute {
+ # server @distribute;
+ #}
+
+ #upstream apollo {
+ # server @apollo;
+ #}
+ underscores_in_headers on;
+ server {
+ listen 80;
+ listen [::]:80 default_server;
+ server_name localhost;
+
+ # gzip config
+ gzip on;
+ gzip_min_length 1k;
+ gzip_comp_level 6;
+ gzip_types text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml;
+ gzip_vary on;
+ gzip_disable "MSIE [1-6]\.";
+
+ #location /authhub {
+ # proxy_pass http://192.168.1.3:8000/; # 替换成实际authhub前端部署的地址
+ # proxy_set_header Host $host;
+ # proxy_set_header X-Real-URL $request_uri;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ location / {
+ add_header Access-Control-Allow-Origin *;
+ add_header Access-Control-Allow-Methods 'GET, POST, DELETE, PUT, OPTIONS';
+ root /opt/aops/web/dist;
+ index index.html;
+ try_files $uri $uri/ /index.html last;
+ }
+ #location /oauth2 {
+ # proxy_pass http://oauth2server;
+ # proxy_set_header Host $host;
+ # proxy_set_header X-Real-URL $request_uri;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ location /hosts {
+ proxy_pass http://host;
+ proxy_set_header Host $host;
+ proxy_set_header X-Real-IP $remote_addr;
+ proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ proxy_set_header Request-Header $http_request_header;
+ }
+ #location /accounts {
+ # proxy_pass http://accounts;
+ # proxy_set_header Host $host;
+ # proxy_set_header X-Real-IP $remote_addr;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ #location /distribute {
+ # rewrite ^/distribute(.*)$ /distribute break;
+ # proxy_pass http://distribute;
+ # proxy_set_header X-Real-URL $request_uri;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ #location /vulnerabilities {
+ # proxy_pass http://apollo;
+ # proxy_set_header X-Real-URL $request_uri;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ }
+}
+stream {
+ upstream mysql_prod {
+ server 192.168.1.1:3306;
+ }
+ server {
+ listen 3306;
+ proxy_responses 1;
+ proxy_timeout 20s;
+ proxy_pass mysql_prod;
+ }
+}
+```
+
+注意:由于主机服务在机器B上部署,因此需要调整**upstream host中的server**指向机器B的地址,mysql服务部署在机器A中,因此调整**upstream mysql_prod中的server**指向机器A的地址
+
+- 开启aops-hermes服务
```shell
systemctl start aops-hermes
+systemctl restart nginx
```
-#### 2.6 部署kafka
+## 3.3 用户服务
-##### 2.6.1 部署zookeeper
+使用用户服务功能需部署zeus-user-access服务。
-安装:
+### 3.3.1 节点信息
-```shell
-yum install zookeeper
+| 机器编号 | 配置IP | 部署模块 |
+| -------- | ----------- | ----------------------- |
+| 机器A | 192.168.1.1 | mysql、redis、zookeeper |
+| 机器B | 192.168.1.2 | zeus-user-access |
+| 机器C | 192.168.1.3 | aops-hermes |
+
+### 3.3.2 部署步骤
+
+#### 3.3.2.1 部署zeus-user-access
+
+- 安装zeus-user-access
+
+```
+yum install zeus-user-access -y
+```
+
+- 修改配置文件
+
+```
+vim /etc/aops/conf.d/zeus-user-access.yml
```
-启动服务:
+- 默认文件内容如下
+
+```yaml
+uwsgi:
+ port: 11119
+ daemonize: /var/log/aops/uwsgi/user-access.log
+ http_timeout: 60
+ processes: 1
+ threads: 2
+```
+
+> 默认数据库连接配置同**全局配置**保持一致,即**/etc/aops/aops-config.yml**中的配置项,如果需要为该服务单独配置连接,可在**/etc/aops/conf.d/zeus-user-access.yml**增加与全局格式一致的配置项,示例如下:
+>
+> ```yaml
+> uwsgi:
+> port: 11119
+> daemonize: /var/log/aops/uwsgi/user-access.log
+> http_timeout: 60
+> processes: 1
+> threads: 2
+> mysql:
+> host: 192.168.1.1
+> port: 3306
+> username: root
+> pool_size: 100
+> pool_recycle: 7200
+> database: aops
+> username: root
+> ```
+
+**注意:/etc/aops/aops-config.yml配置项中的domain选项需要与hermes机器C的ip保持一致**
+
+```yaml
+infrastructure:
+ mysql:
+ host: 192.168.1.1
+ port: 3306
+ username: root
+ pool_size: 100
+ pool_recycle: 7200
+ database: aops
+ username: root
+ redis:
+ host: 192.168.1.1
+ port: 6379
+ zookeeper:
+ host: 192.168.1.1
+ port: 2181
+ individuation:
+ gitee_client_id: 7420ebbb10f7f196de479bd3fe30f120691321143fdae882bc8b3320b3dbb71c
+ gitee_client_secret: c6466348389db3a2da3a86ec3b544c19c15f50de513da4dc3edbadaa2e5df792
+ redirect_url: http://127.0.0.1:8000/user/account
+ exempt_authentication: ?Ohdc,&S*2O].f%-Y1Z~f%~9^U5uD]AQ
+ private_key: sfwsfs{)sdf_+$%{$^%$NI07&*()@$&^*(*(^&%(
+
+include: "/etc/aops/conf.d"
+domain: 192.168.1.3
+services:
+ log:
+ log_level: "INFO"
+ log_dir: "/var/log/aops"
+ max_bytes: 31457280
+ backup_count: 40
+ email:
+ server: smtp.163.com
+ port: 25
+ sender: xxx@163.com
+ authorization_code: xxx
+ smtp_ssl: false
+ enabled: false
+```
+
+- 启动aops-zeus服务
```shell
-systemctl start zookeeper
+systemctl start zeus-user-access
```
-##### 2.6.2 部署kafka
+**注意:服务启动前请确保已 [初始化zeus-user-access数据库](#3.3.2.2 初始化zeus-user-access数据库)**
-安装:
+#### 3.3.2.2 初始化zeus-user-access数据库
+
+- 执行数据库初始化
```shell
-yum install kafka
+aops-cli database --init zeus-user-access
```
-修改配置文件:
+**注意:若要使用可视化服务,请参考[部署aops-hermes](#3.2.2.4 部署aops-hermes)应用部署**
+
+#### 3.3.2.3 调整zeus-user-access服务upstream和代理
+
+- 修改aops-hermes关联的nginx配置文件
```shell
-vim /opt/kafka/config/server.properties
+vim /etc/nginx/nginx.conf
```
-将listener 改为本机ip
+> **注意: 在安装aops-hermes应用的机器上操作(机器C)**
+
+- 服务配置展示,放开与用户服务关联的配置块
+
+```ini
+user root;
+worker_processes auto;
+error_log /var/log/nginx/error.log;
+pid /var/run/nginx.pid;
+
+# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
+include /usr/share/nginx/modules/*.conf;
+
+events {
+ worker_connections 1024;
+}
+http {
+
+ log_format main '$remote_addr - $remote_user [$time_local] "$request" '
+ '$status $body_bytes_sent "$http_referer" '
+ '"$http_user_agent" "$http_x_forwarded_for"';
+
+ access_log /var/log/nginx/access.log main;
+
+ sendfile on;
+ tcp_nopush on;
+ tcp_nodelay on;
+ keepalive_timeout 65;
+ types_hash_max_size 2048;
+
+ include /etc/nginx/mime.types;
+ default_type application/octet-stream;
+ client_max_body_size 25M;
+ include /etc/nginx/conf.d/*.conf;
+
+ #upstream host {
+ # server @hosts;
+ #}
+
+ upstream accounts {
+ server 192.168.1.2:11119;
+ }
+
+ #upstream distribute {
+ # server @distribute;
+ #}
+
+ #upstream apollo {
+ # server @apollo;
+ #}
+ underscores_in_headers on;
+ server {
+ listen 80;
+ listen [::]:80 default_server;
+ server_name localhost;
+
+ # gzip config
+ gzip on;
+ gzip_min_length 1k;
+ gzip_comp_level 6;
+ gzip_types text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml;
+ gzip_vary on;
+ gzip_disable "MSIE [1-6]\.";
+
+ location ~ .*\.(js|css|ico|png|jpg|eot|svg|ttf|woff|html|txt|pdf|) {
+ root /opt/aops/web/dist;
+ expires 30d;
+ }
+ location / {
+ try_files $uri $uri/ /index.html;
+ if (!-e $request_filename){
+ rewrite ^(.*)$ /index.html last;
+ }
+ }
+ #location /hosts {
+ # proxy_pass http://host;
+ # proxy_set_header Host $host;
+ # proxy_set_header X-Real-IP $remote_addr;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ location /accounts {
+ proxy_pass http://accounts;
+ proxy_set_header Host $host;
+ proxy_set_header X-Real-IP $remote_addr;
+ proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ proxy_set_header Request-Header $http_request_header;
+ }
+ #location /distribute {
+ # rewrite ^/distribute(.*)$ /distribute break;
+ # proxy_pass http://distribute;
+ # proxy_set_header X-Real-URL $request_uri;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ #location /vulnerabilities {
+ # proxy_pass http://apollo;
+ # proxy_set_header X-Real-URL $request_uri;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ }
+}
+stream {
+ upstream mysql_prod {
+ server 192.168.1.1:3306;
+ }
+ server {
+ listen 3306;
+ proxy_responses 1;
+ proxy_timeout 20s;
+ proxy_pass mysql_prod;
+ }
+}
+```
-
+注意:由于用户服务在机器B上部署,因此需要调整**upstream accounts中的server**指向机器B的地址,mysql服务部署在机器A中,因此调整**upstream mysql_prod中的server**指向机器A的地址。
-启动kafka服务:
+- 重启nginx服务
```shell
-cd /opt/kafka/bin
-nohup ./kafka-server-start.sh ../config/server.properties &
-tail -f ./nohup.out # 查看nohup所有的输出出现A本机ip 以及 kafka启动成功INFO;
+systemctl restart nginx
```
-#### 2.7 部署aops-check
+#### 3.3.2.4 异步任务async-task
-安装aops-check:
+- 安装异步任务服务
```shell
-yum install aops-check
+yum install async-task -y
```
-修改配置文件:
+**注意:**异步任务中同时包含了定时任务模块,其中有一项定时任务为动态更新nginx的upstream块,在启用了该定时任务前提下,建议异步任务和nginx在同一台机器上部署,保证定时动态更新nginx配置任务正常执行,在该部署方案中,异步任务需安装在**机器C**上。
+
+- 启用定时任务
```shell
-vim /etc/aops/check.ini
+vim /etc/aops/crontab.yml
```
-将配置文件中各服务的地址修改为真实地址,由于将所有服务都部署在机器A,故需把IP地址配为机器A的地址。
+- 设置enable为true/false
+
+```yaml
+# Timed task configuration file specification (YAML):
+
+# Name of a scheduled task, name should be unique, only 'upstream', 'download-sa' and 'cve-scan' and 'correct-data' e.g
+# task: upstream
+
+# Whether scheduled tasks are allowed to run
+# enable: true
+
+# meta info for the task, it's customised for user
+# meta:
+# cvrf_url: https://repo.openeuler.org/security/data/cvrf
+
+# Timed config, set the scheduled time and polling policy
+# timed:
+# value between 0-6, for example, 0 means Monday, 0-6 means everyday
+# day_of_week: 0-6
+# value between 0-23, for example, 2 means 2:00 in a day
+# hour: 3
+# Polling strategy, The value can only be 'cron' 'date' 'interval', default value is 'cron'
+# trigger: cron
+
+- task: upstream
+ enable: true
+ timed:
+ day_of_week: 0-6
+ hour: 3
+ trigger: cron
+- task: download-sa
+ enable: true
+ meta:
+ cvrf_url: https://repo.openeuler.org/security/data/cvrf
+ timed:
+ day_of_week: 0-6
+ hour: 3
+ trigger: cron
+- task: cve-scan
+ enable: true
+ timed:
+ day_of_week: 0-6
+ hour: 3
+ trigger: cron
+- task: correct-data
+ enable: true
+ timed:
+ minutes: 20
+ trigger: interval
+- task: send-notification
+ enable: true
+ timed:
+ day_of_week: 0-6
+ hour: 4
+ trigger: cron
+```
+
+- 启用异步任务
```shell
-[check]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=11112
-mode=configurable // 该模式为configurable模式,用于常规诊断模式下的调度器
-timing_check=on
+systemctl start async-task
+```
-[default_mode]
-period=30
-step=30
+## 3.4 分发服务
-[elasticsearch]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=9200
+使用分发服务功能需部署zeus-distribute服务。
-[mysql]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=3306
-database_name=aops
-engine_format=mysql+pymysql://@%s:%s/%s
-pool_size=10000
-pool_recycle=7200
+### 3.4.1 节点信息
-[prometheus]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=9090
-query_range_step=15s
+| 机器编号 | 配置IP | 部署模块 |
+| -------- | ----------- | ---------------- |
+| 机器A | 192.168.1.1 | redis、zookeeper |
+| 机器B | 192.168.1.2 | zeus-distribute |
-[agent]
-default_instance_port=8888
+### 3.4.2 部署步骤
-[manager]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=11111
+#### 3.4.2.1 部署zeus-distribute
-[consumer]
-kafka_server_list=192.168.1.1:9092 // 此处及后续服务ip修改为机器A真实ip
-enable_auto_commit=False
-auto_offset_reset=earliest
-timeout_ms=5
-max_records=3
-task_name=CHECK_TASK
-task_group_id=CHECK_TASK_GROUP_ID
-result_name=CHECK_RESULT
-[producer]
-kafka_server_list = 192.168.1.1:9092 // 此处及后续服务ip修改为机器A真实ip
-api_version = 0.11.5
-acks = 1
-retries = 3
-retry_backoff_ms = 100
-task_name=CHECK_TASK
-task_group_id=CHECK_TASK_GROUP_ID
+- 安装zeus-distribute
+
+```
+yum install zeus-distribute -y
```
-启动aops-check服务(configurable模式):
+- 修改配置文件
-```shell
-systemctl start aops-check
+```
+vim /etc/aops/conf.d/zeus-distribute.yml
```
-#### 2.8 部署客户端服务
+- 默认文件内容如下
-客户端机器的服务需要部署aops-agent及gala-gopher,具体可参考[aops-agent部署指南](aops-agent部署指南.md)。
+```yaml
+uwsgi:
+ port: 11113
+ daemonize: /var/log/aops/uwsgi/distribute.log
+ http_timeout: 60
+ processes: 1
+ gevent: 100
+```
-注意:主机注册时需要先在前端添加主机组操作,确保该主机所属的主机组存在。此处只对机器A做部署、纳管。
+> 默认数据库连接配置同**全局配置**保持一致,即**/etc/aops/aops-config.yml**中的配置项,如果需要为该服务单独配置连接,可在**/etc/aops/conf.d/zeus-distribute.yml**增加与全局格式一致的配置项,示例如下:
+>
+> ```yaml
+> uwsgi:
+> port: 11113
+> daemonize: /var/log/aops/uwsgi/distribute.log
+> http_timeout: 60
+> processes: 1
+> gevent: 100
+> redis:
+> host: 192.168.1.1
+> port: 6379
+> ```
+
+**注意:/etc/aops/aops-config.yml配置项中的domain选项需要与hermes机器C的ip保持一致**
+
+```yaml
+infrastructure:
+ redis:
+ host: 192.168.1.1
+ port: 6379
+ zookeeper:
+ host: 192.168.1.1
+ port: 2181
+
+include: "/etc/aops/conf.d"
+domain: "http://192.168.1.3"
+services:
+ log:
+ log_level: "INFO"
+ log_dir: "/var/log/aops"
+ max_bytes: 31457280
+ backup_count: 40
+```
-#### 2.9 部署prometheus
+- 启动aops-zeus服务
-安装prometheus:
+```shell
+systemctl start zeus-distribute
+```
+
+**注意:若要使用可视化服务,请参考[部署aops-hermes](#3.2.2.4 部署aops-hermes)应用部署**
+
+#### 3.4.2.3 调整zeus-distribute服务upstream和代理
+
+- 修改aops-hermes关联的nginx配置文件
```shell
-yum install prometheus2
+vim /etc/nginx/nginx.conf
```
-修改配置文件:
+> **注意: 在安装aops-hermes应用的机器上操作(机器C)**
+
+- 服务配置展示,放开与分发服务关联的配置块
+
+```ini
+user root;
+worker_processes auto;
+error_log /var/log/nginx/error.log;
+pid /var/run/nginx.pid;
+
+# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
+include /usr/share/nginx/modules/*.conf;
+
+events {
+ worker_connections 1024;
+}
+http {
+
+ log_format main '$remote_addr - $remote_user [$time_local] "$request" '
+ '$status $body_bytes_sent "$http_referer" '
+ '"$http_user_agent" "$http_x_forwarded_for"';
+
+ access_log /var/log/nginx/access.log main;
+
+ sendfile on;
+ tcp_nopush on;
+ tcp_nodelay on;
+ keepalive_timeout 65;
+ types_hash_max_size 2048;
+
+ include /etc/nginx/mime.types;
+ default_type application/octet-stream;
+ client_max_body_size 25M;
+ include /etc/nginx/conf.d/*.conf;
+
+ #upstream host {
+ # server @hosts;
+ #}
+
+ #upstream accounts {
+ # server 192.168.1.2:11119;
+ #}
+
+ upstream distribute {
+ server 192.168.1.2:11113;
+ }
+
+ #upstream apollo {
+ # server @apollo;
+ #}
+ underscores_in_headers on;
+ server {
+ listen 80;
+ listen [::]:80 default_server;
+ server_name localhost;
+
+ # gzip config
+ gzip on;
+ gzip_min_length 1k;
+ gzip_comp_level 6;
+ gzip_types text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml;
+ gzip_vary on;
+ gzip_disable "MSIE [1-6]\.";
+
+ location ~ .*\.(js|css|ico|png|jpg|eot|svg|ttf|woff|html|txt|pdf|) {
+ root /opt/aops/web/dist;
+ expires 30d;
+ }
+ location / {
+ try_files $uri $uri/ /index.html;
+ if (!-e $request_filename){
+ rewrite ^(.*)$ /index.html last;
+ }
+ }
+ #location /hosts {
+ # proxy_pass http://host;
+ # proxy_set_header Host $host;
+ # proxy_set_header X-Real-IP $remote_addr;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ #location /accounts {
+ # proxy_pass http://accounts;
+ # proxy_set_header Host $host;
+ # proxy_set_header X-Real-IP $remote_addr;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ location /distribute {
+ rewrite ^/distribute(.*)$ /distribute break;
+ proxy_pass http://distribute;
+ proxy_set_header X-Real-URL $request_uri;
+ proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ proxy_set_header Request-Header $http_request_header;
+ }
+ #location /vulnerabilities {
+ # proxy_pass http://apollo;
+ # proxy_set_header X-Real-URL $request_uri;
+ # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ # proxy_set_header Request-Header $http_request_header;
+ #}
+ }
+}
+stream {
+ upstream mysql_prod {
+ server 192.168.1.1:3306;
+ }
+ server {
+ listen 3306;
+ proxy_responses 1;
+ proxy_timeout 20s;
+ proxy_pass mysql_prod;
+ }
+}
+```
+
+注意:由于用户服务在机器B上部署,因此需要调整**upstream distribute中的server**指向机器B的地址,mysql服务部署在机器A中,因此调整**upstream mysql_prod中的server**指向机器A的地址
+
+- 重启nginx服务
```shell
-vim /etc/prometheus/prometheus.yml
+systemctl restart nginx
```
-将所有客户端的gala-gopher地址新增到prometheus的监控节点中。
+## 3.5 漏洞管理
+
+CVE管理模块在[认证中心](#3.1.2 部署步骤)、[资产管理](#3.2.2 部署步骤)、[用户服务](#3.3.2 部署步骤)模块的基础上实现,在部署CVE管理模块前须完成[认证中心](#3.1.2 部署步骤)、[资产管理](#3.2.2 部署步骤)、[用户服务](#3.3.2 部署步骤)、[分发服务](#3.4.2 部署步骤)模块的部署,然后再部署aops-apollo。
+
+数据服务部分aops-apollo服务的运行需要**mysql、elasticsearch、redis**数据库的支持。
+
+### 3.5.1 节点信息
-
+| 机器编号 | 配置IP | 部署模块 |
+| -------- | ----------- | -------------------------------------- |
+| 机器A | 192.168.1.1 | elasticsearch、redis、mysql、zookeeper |
+| 机器C | 192.168.1.2 | aops-apollo |
-启动服务:
+### 3.5.2 部署步骤
+
+[认证中心](#3.1.2 部署步骤)
+
+[资产管理](#3.2.2 部署步骤)
+
+[用户服务](#3.3.2 部署步骤)
+
+[分发服务](#3.4.2 部署步骤)
+
+#### 3.5.2.1 部署elasticsearch
+
+- 生成elasticsearch的repo源:
```shell
-systemctl start prometheus
+echo "[aops_elasticsearch]
+name=Elasticsearch repository for 7.x packages
+baseurl=https://artifacts.elastic.co/packages/7.x/yum
+gpgcheck=1
+gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
+enabled=1
+autorefresh=1
+type=rpm-md" > "/etc/yum.repos.d/aops_elascticsearch.repo"
```
-#### 2.10 部署gala-ragdoll
+- 安装elasticsearch:
+
+```shell
+yum install elasticsearch-7.14.0-1 -y
+```
+
+- 修改elasticsearch配置文件:
+
+```shell
+vim /etc/elasticsearch/elasticsearch.yml
+# ------------------------------------ Node ------------------------------------
+#
+# Use a descriptive name for the node:
+#
+node.name: node-1
+# ---------------------------------- Network -----------------------------------
+#
+# By default Elasticsearch is only accessible on localhost. Set a different
+# address here to expose this node on the network:
+#
+# 此处修改为机器A真实ip
+network.host: 192.168.1.1
+#
+# By default Elasticsearch listens for HTTP traffic on the first free port it
+# finds starting at 9200. Set a specific HTTP port here:
+#
+http.port: 9200
+#
+# For more information, consult the network module documentation.
+#
+# --------------------------------- Discovery ----------------------------------
+#
+# Pass an initial list of hosts to perform discovery when this node is started:
+# The default list of hosts is ["127.0.0.1", "[::1]"]
+#
+#discovery.seed_hosts: ["host1", "host2"]
+#
+# Bootstrap the cluster using an initial set of master-eligible nodes:
+#
+cluster.initial_master_nodes: ["node-1"]
+# 跨域配置
+http.cors.enabled: true
+http.cors.allow-origin: "*"
+```
-A-Ops配置溯源功能依赖gala-ragdoll实现,通过Git实现配置文件的变动监测。
+**注意:**如果服务器内存较小时,需手动限制elasticsearch运行内存,具体请参考**([FAQ:elasticsearch内存调整](#Q6 elasticsearch内存占用高,系统级kill))
-安装gala-ragdoll:
+- 重启elasticsearch服务
```shell
-yum install gala-ragdoll # A-Ops 配置溯源
+systemctl restart elasticsearch
```
-修改配置文件:
+#### 3.5.2.2 部署aops-apollo
+
+- 安装aops-apollo
```shell
-vim /etc/ragdoll/gala-ragdoll.conf
+yum install aops-apollo -y
```
-将collect节点collect_address中IP地址修改为机器A的地址,collect_api与collect_port修改为实际接口地址。
+- 修改配置文件
-```text
-[git]
-git_dir = "/home/confTraceTest"
-user_name = "user_name"
-user_email = "user_email"
+```
+vim /etc/aops/conf.d/aops-apollo.yml
+```
+
+- 默认文件内容如下
-[collect]
-collect_address = "http://192.168.1.1" //此处修改为机器A的真实IP
-collect_api = "/manage/config/collect" //此处修改为配置文件采集的实际接口
-collect_port = 11111 //此处修改为服务的实际端口
+```ini
+cve:
+ cve_fix_function: yum
+ # value between 0-23, for example, 2 means 2:00 in a day.
+ cve_scan_time: 2
-[sync]
-sync_address = "http://0.0.0.0"
-sync_api = "/demo/syncConf"
-sync_port = 11114
+uwsgi:
+ daemonize: /var/log/aops/uwsgi/apollo.log
+ http_timeout: 600
+ harakiri: 600
+ processes: 1
+ gevent: 100
+ port: 11116
+file:
+ classname: ""
+ path: /opt/aops/scripts/file_manage_support/download.py
+ extra: ""
-[ragdoll]
-port = 11114
+```
+> 默认数据库连接配置同**全局配置**保持一致,即**/etc/aops/aops-config.yml**中的配置项,如果需要为该服务单独配置连接,可在**/etc/aops/conf.d/aops-apollo.yml**增加与全局格式一致的配置项,示例如下:
+>
+> ```yaml
+> uwsgi:
+> port: 11119
+> daemonize: /var/log/aops/uwsgi/user-access.log
+> http_timeout: 60
+> processes: 1
+> threads: 2
+> mysql:
+> host: 192.168.1.1
+> port: 3306
+> username: root
+> pool_size: 100
+> pool_recycle: 7200
+> database: aops
+> username: root
+> elasticsearch:
+> host: 192.168.1.1
+> port: 9200
+> max_es_query_num: 10000000
+> ```
+
+**注意:/etc/aops/aops-config.yml配置项中的domain选项需要与hermes机器C的ip保持一致**
+
+```yaml
+infrastructure:
+ mysql:
+ host: 192.168.1.1
+ port: 3306
+ username: root
+ pool_size: 100
+ pool_recycle: 7200
+ database: aops
+ username: root
+ redis:
+ host: 192.168.1.1
+ port: 6379
+ zookeeper:
+ host: 192.168.1.1
+ port: 2181
+ elasticsearch:
+ host: 192.168.1.1
+ port: 9200
+ max_es_query_num: 10000000
+include: "/etc/aops/conf.d"
+domain: "http://192.168.1.3"
+services:
+ log:
+ log_level: "INFO"
+ log_dir: "/var/log/aops"
+ max_bytes: 31457280
+ backup_count: 40
```
-启动gala-ragdoll服务
+- 启动aops-apollo服务
```shell
-systemctl start gala-ragdoll
+systemctl start aops-apollo
```
-### 机器B
+**注意:服务启动前请确保已 [初始化aops-apollo数据库](#3.5.2.3 初始化aops-apollo数据库)**
-机器B只需部署aops-check作为执行器。
+#### 3.5.2.3 初始化aops-apollo数据库
-#### 2.11 部署aops-check
+- apollo数据库初始化
-安装aops-check:
+```shell
+aops-cli database --init aops-apollo
+```
+
+**注意:如果提示未发现aops-cli命令时,需要安装aops-zeus包**
+
+## 3.6 客户端安装
+
+aops-ceres作为A-Ops模块的客户端,通过ssh协议与AOps管理中心进行数据交互,提供采集主机信息、响应并处理中心命令等功能。
+
+### 3.6.1 节点信息
+
+| 机器编号 | 配置IP | 部署模块 |
+| -------- | ----------- | ---------- |
+| 机器D | 192.168.1.4 | aops-ceres |
+
+### 3.6.2 部署客户端
+
+```shell
+yum install aops-ceres dnf-hotpatch-plugin -y
+```
+
+## 3.7 一键化快速部署
+
+A-Ops为了简化用户的安装部署流程,在aops-zeus包中提供了aops-cli命令行工具,可以通过cli工具一键化快速安装部署服务。
+
+在使用一键化部署时,由于服务和基础环境都同时安装在一台机器上,建议服务器最小配置内存在16G+。
+
+### 3.7.1 节点信息
+
+| 机器编号 | 配置IP | 部署模块 |
+| -------- | ----------- | ------------------------------------------------------------ |
+| 机器A | 192.168.1.1 | aops-apollo、zeus-host-information、zeus-user-access、zeus-distribute、authhub、authhub-web、async-task、redis、mysql、elasticsearch、zookeeper、aops-zeus |
+| 机器D | 192.168.1.4 | aops-ceres |
+
+### 3.7.2 部署步骤
+
+在执行一键化部署前,请先手动关闭**防火墙**和禁用**SELinux**,具体请参考([FAQ:禁用SELinux](#Q7 禁用SELinux))。
+
+#### 3.7.2.1 部署aops-zeus
+
+- 安装aops-zeus
```shell
-yum install aops-check
+yum install aops-zeus -y
```
-修改配置文件:
+- 使用aops-cli一键化部署
```shell
-vim /etc/aops/check.ini
+aops-cli deploy --ip 192.168.1.1
```
-将配置文件中各服务的地址修改为真实地址,除check服务为机器B的地址外,其他服务都部署在机器A,故只需把IP地址配置为机器A的地址即可。
+**温馨提示:等待执行成功后,可打开浏览器访问http://192.168.1.1使用A-Ops**
+
+## FAQ
+
+#### Q1 最大连接数(MaxStartups)
+
+批量添加主机接口服务执行过程中会受到aops-zeus安装所在主机sshd服务配置中最大连接数(MaxStartups)的限制,会出现部分主机不能连接的情况,如有大量添加主机的需求,可考虑临时调增该数值。关于该配置项的修改可参考[ssh文档](https://www.man7.org/linux/man-pages/man5/sshd_config.5.html)。
+
+#### Q2 504网关超时
+
+部分http访问接口执行时间较长,web端可能返回504错误,可向nginx配置中添加proxy_read_timeout配置项,并适当调大该数值,可降低504问题出现概率。
+
+#### Q3 防火墙
+
+若防火墙不方便关闭,请设置放行服务部署过程涉及的所有接口,否则会造成服务不可访问,影响A-Ops的正常使用。
+
+#### Q4 elasticasearch访问拒绝
+
+elasticsearch分布式部署多节点时,需调整配置跨域部分,允许各节点访问。
+
+#### Q5 配置update源
```shell
-[check]
-ip=192.168.1.2 // 此处ip改为机器B真实ip
-port=11112
-mode=executor // executor,用于常规诊断模式下的执行器
-timing_check=on
+echo "[update]
+name=update
+baseurl=http://repo.openeuler.org/openEuler-24.09/update/$basearch/
+enabled=1
+gpgcheck=0
+[update-epol]
+name=update-epol
+baseurl=http://repo.openeuler.org/openEuler-24.09/EPOL/update/main/$basearch/
+enabled=1
+gpgcheck=0" > /etc/yum.repos.d/openEuler-update.repo
+```
-[default_mode]
-period=30
-step=30
+> 注意: 其中**openEuler-24.09** 根据部署的系统版本具体调整,或可直接参与openeuler官网中针对repo源配置介绍
-[elasticsearch]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=9200
+#### Q6 elasticsearch内存占用高,系统级kill
-[mysql]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=3306
-database_name=aops
-engine_format=mysql+pymysql://@%s:%s/%s
-pool_size=10000
-pool_recycle=7200
+elasticsearch在运行过程中,默认会占用系统一半的内存,当系统内存较小时,该默认配置会导致系统频繁的杀掉该进程,为确保系统正常稳定运行,需调整elasticsearch默认内存占用策略。
-[prometheus]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=9090
-query_range_step=15s
+- 修改elasticsearch jvm配置
-[agent]
-default_instance_port=8888
+```shell
+vim /etc/elasticsearch/jvm.options
+```
+
+- 调整内存策略(可根据服务器内存大小自行调整,但不能少于2G)
+
+```ini
+################################################################
+## IMPORTANT: JVM heap size
+################################################################
+##
+## The heap size is automatically configured by Elasticsearch
+## based on the available memory in your system and the roles
+## each node is configured to fulfill. If specifying heap is
+## required, it should be done through a file in jvm.options.d,
+## and the min and max should be set to the same value. For
+## example, to set the heap to 4 GB, create a new file in the
+## jvm.options.d directory containing these lines:
+##
+-Xms4g
+```
-[manager]
-ip=192.168.1.1 // 此处及后续服务ip修改为机器A真实ip
-port=11111
+- 重启elasitcsearch
-[consumer]
-kafka_server_list=192.168.1.1:9092 // 此处及后续服务ip修改为机器A真实ip
-enable_auto_commit=False
-auto_offset_reset=earliest
-timeout_ms=5
-max_records=3
-task_name=CHECK_TASK
-task_group_id=CHECK_TASK_GROUP_ID
-result_name=CHECK_RESULT
-[producer]
-kafka_server_list = 192.168.1.1:9092 // 此处及后续服务ip修改为机器A真实ip
-api_version = 0.11.5
-acks = 1
-retries = 3
-retry_backoff_ms = 100
-task_name=CHECK_TASK
-task_group_id=CHECK_TASK_GROUP_ID
+```shell
+systemctl restart elasticsearch
```
-启动aops-check服务(executor模式):
+#### Q7 禁用SELinux
+
+- 禁用SELinux
```shell
-systemctl start aops-check
+# 修改/etc/selinux/config文件中SELINUX状态为disabled
+
+vi /etc/selinux/config
+SELINUX=disabled
+
```
-至此,两台机器的服务部署完成。
\ No newline at end of file
+**注:此SELINUX状态配置在系统重启后生效。**
+
+#### Q8 关闭防火墙
+
+```shell
+systemctl stop firewalld
+systemctl disable firewalld
+systemctl status firewalld
+setenforce 0
+```
\ No newline at end of file
diff --git "a/docs/zh/docs/A-Ops/aops-agent\351\203\250\347\275\262\346\214\207\345\215\227.md" "b/docs/zh/docs/A-Ops/aops-agent\351\203\250\347\275\262\346\214\207\345\215\227.md"
deleted file mode 100644
index 81ec4dec353887f75eacf0b7e9bf027d0e2afc9a..0000000000000000000000000000000000000000
--- "a/docs/zh/docs/A-Ops/aops-agent\351\203\250\347\275\262\346\214\207\345\215\227.md"
+++ /dev/null
@@ -1,655 +0,0 @@
-# aops-agent部署指南
-
-## 一、环境要求
-
-1台openEuler机器,建议openEuler-20.03及以上版本运行。
-
-## 二、配置环境部署
-
-#### 1. 关闭防火墙
-
-```shell
-systemctl stop firewalld
-systemctl disable firewalld
-systemctl status firewalld
-```
-
-#### 2. aops-agent部署
-
-1. 基于yum源安装:yum install aops-agent
-
-2. 修改配置文件:将agent节点下IP标签值修改为本机IP,
-
- vim /etc/aops/agent.conf,以IP地址为192.168.1.47为例
-
- ```ini
- [agent]
- ;启动aops-agent时,绑定的IP与端口
- ip=192.168.1.47
- port=12000
-
- [gopher]
- ;gala-gopher默认配置文件路径,如需修改请确保文件路径的准确性
- config_path=/opt/gala-gopher/gala-gopher.conf
-
- ;aops-agent采集日志配置
- [log]
- ;采集日志级别,可设置为DEBUG,INFO,WARNING,ERROR,CRITICAL
- log_level=INFO
- ;采集日志存放位置
- log_dir=/var/log/aops
- ;日志文件最大值
- max_bytes=31457280
- ;备份日志的数量
- backup_count=40
- ```
-
-3. 启动服务:systemctl start aops-agent
-
-#### 3. 向aops-manager注册
-
-为了辨别使用者的身份,避免接口被随意调用,aops-agent采用token验证身份,以减轻所部署主机的压力。
-
-基于安全性考虑,项目采用主动注册的方式去获取token。注册前,须在agent侧准备好需要注册的信息,调用register命令向aops-manager注册。由于agent未配置数据库,注册成功后,自动将token保存到指定文件内,并在前台展示注册结果。同时将本机相关信息存入到aops-manager侧的数据库中,以便后续管理。
-
-1. 准备register.json 文件
-
- 在aops-agent侧准备好注册所需信息以json格式存入文件中,数据结构如下:
-
-```JSON
-{
- // 前端登录用户名
- "web_username":"admin",
- // 用户密码
- "web_password": "changeme",
- // 主机名称
- "host_name": "host1",
- // 主机所在组名称
- "host_group_name": "group1",
- // aops-manager运行主机IP地址
- "manager_ip":"192.168.1.23",
- // 是否注册为管理机器
- "management":false,
- // aops-manager运行对外端口
- "manager_port":"11111",
- // agent运行端口
- "agent_port":"12000"
-}
-```
-
-`注意:确保aops-manager已在目标主机运行,如192.168.1.23,且注册的主机组要存在。`
-
-2. 执行:aops_agent register -f register.json,
-3. 前台展示注册结果,注册成功时,保存token字符串至指定文件;注册失败时,根据提示以及日志内容了解具体原因。(/var/log/aops/aops.log)
-
-注册结果示例:
-
-`注册成功`
-
-```shell
-[root@localhost ~]# aops_agent register -f register.json
-Agent Register Success
-```
-
-`注册失败,以aops-manager未启动为示例`
-
-```shell
-[root@localhost ~]# aops_agent register -f register.json
-Agent Register Fail
-[root@localhost ~]#
-```
-
-`对应日志内容`
-
-```shell
-2022-09-05 16:11:52,576 ERROR command_manage/register/331: HTTPConnectionPool(host='192.168.1.23', port=11111): Max retries exceeded with url: /manage/host/add (Caused by NewConnectionError(': Failed to establish a new connection: [Errno 111] Connection refused'))
-[root@localhost ~]#
-```
-
-## 三、插件支持
-
-#### 3.1 gala-gopher
-
-##### 3.1.1 介绍
-
-gala-gopher是基于eBPF的低负载探针框架,可用于对主机的CPU,内存,网络等状态的监控以及数据采集服务。可根据实际业务需求对已有采集探针采集状态进行配置。
-
-##### 3.1.2 部署
-
-1. 基于yum源安装:yum install gala-gopher
-2. 基于实际的业务需求,选择需要探针进行开启,探针信息可在/opt/gala-gopher/gala-gopher.conf下查看。
-3. 启动服务:systemctl start gala-gopher
-
-##### 3.1.3 其他
-
-gala-gopher更多信息可参考文档https://gitee.com/openeuler/gala-gopher/blob/master/README.md
-
-## 四、接口支持
-
-### 4.1 对外接口清单
-
-| 序号 | 接口名称 | 类型 | 说明 |
-| ---- | ------------------------------ | ---- | ----------------------|
-| 1 | /v1/agent/plugin/start | POST | 启动插件 |
-| 2 | /v1/agent/plugin/stop | POST | 停止插件 |
-| 3 | /v1/agent/application/info | GET | 采集目标应用集内正在运行的应用 |
-| 4 | /v1/agent/host/info | GET | 获取主机信息 |
-| 5 | /v1/agent/plugin/info | GET | 获取agent中插件运行信息 |
-| 6 | /v1/agent/file/collect | POST | 采集配置文件内容 |
-| 7 | /v1/agent/collect/items/change | POST | 改变插件采集项的运行状态 |
-
-#### 4.1.1、/v1/agent/plugin/start
-
-+ 描述:启动已安装但未运行的插件,目前仅支持gala-gopher插件。
-
-+ HTTP请求方式:POST
-
-+ 数据提交方式:query
-
-+ 请求参数:
-
- | 参数名 | 必选 | 类型 | 说明 |
- | ----------- | ---- | ---- | ------ |
- | plugin_name | True | str | 插件名 |
-
-+ 请求参数示例
-
- | 参数名 | 参数值 |
- | ----------- | ----------- |
- | plugin_name | gala-gopher |
-
-+ 返回体参数
-
- | 参数名 | 类型 | 说明 |
- | ------ | ---- | ---------------- |
- | code | int/ | 返回码 |
- | msg | str | 状态码对应的信息 |
-
-+ 返回示例
-
- ```json
- {
- "code": 200,
- "msg": "xxxx"
- }
- ```
-
-
-#### 4.1.2、/v1/agent/plugin/stop
-
-+ 描述:使正在运行的插件停止,目前仅支持gala-gopher插件。
-
-+ HTTP请求方式:POST
-
-+ 数据提交方式:query
-
-+ 请求参数:
-
- | 参数名 | 必选 | 类型 | 说明 |
- | ----------- | ---- | ---- | ------ |
- | plugin_name | True | str | 插件名 |
-
-+ 请求参数示例:
-
- | 参数名 | 参数值 |
- | ----------- | ----------- |
- | plugin_name | gala-gopher |
-
-+ 返回体参数:
-
- | 参数名 | 类型 | 说明 |
- | ------ | ---- | ---------------- |
- | code | int | 返回码 |
- | msg | str | 状态码对应的信息 |
-
-+ 返回示例:
-
- ```json
- {
- "code": 200,
- "msg": "xxxx"
- }
- ```
-
-
-#### 4.1.3、/v1/agent/application/info
-
-+ 描述:采集目标应用集内正在运行的应用,当前目标应用集包含mysql, kubernetes, hadoop, nginx, docker, gala-gopher。
-
-+ HTTP请求方式:GET
-
-+ 数据提交方式:query
-
-+ 请求参数:
-
- | 参数名 | 必选 | 类型 | 说明 |
- | ------ | ---- | ---- | ---- |
- | | | | |
-
-+ 请求参数示例:
-
- | 参数名 | 参数值 |
- | ------ | ------ |
- | | |
-
-+ 返回体参数:
-
- | 参数名 | 类型 | 说明 |
- | ------ | ---- | ---------------- |
- | code | int | 返回码 |
- | msg | str | 状态码对应的信息 |
- | resp | dict | 响应数据主体 |
-
- + resp
-
- | 参数名 | 类型 | 说明 |
- | ------- | --------- | -------------------------- |
- | running | List[str] | 包含正在运行应用名称的系列 |
-
-+ 返回示例:
-
- ```json
- {
- "code": 200,
- "msg": "xxxx",
- "resp": {
- "running": [
- "mysql",
- "docker"
- ]
- }
- }
- ```
-
-
-#### 4.1.4、/v1/agent/host/info
-
-+ 描述:获取安装agent主机的信息,包含系统版本,BIOS版本,内核版本,CPU信息以及内存信息。
-
-+ HTTP请求方式:POST
-
-+ 数据提交方式:application/json
-
-+ 请求参数:
-
- | 参数名 | 必选 | 类型 | 说明 |
- | --------- | ---- | --------- | ------------------------------------------------ |
- | info_type | True | List[str] | 需采集信息的名称,目前仅支持cpu、disk、memory、os |
-
-+ 请求参数示例:
-
- ```json
- ["os", "cpu","memory", "disk"]
- ```
-
-+ 返回体参数:
-
- | 参数名 | 类型 | 说明 |
- | ------ | ---- | ---------------- |
- | code | int | 返回码 |
- | msg | str | 状态码对应的信息 |
- | resp | dict | 响应数据主体 |
-
- resp
-
- | 参数名 | 类型 | 说明 |
- | ------ | ---------- | -------- |
- | cpu | dict | cpu信息 |
- | memory | dict | 内存信息 |
- | os | dict | OS信息 |
- | disk | List[dict] | 硬盘信息 |
-
- cpu
-
- | 参数名 | 类型 | 说明 |
- | ------------ | ---- | --------------- |
- | architecture | str | CPU架构 |
- | core_count | int | 核心数 |
- | l1d_cache | str | 1级数据缓存大小 |
- | l1i_cache | str | 1级指令缓存大小 |
- | l2_cache | str | 2级缓存大小 |
- | l3_cache | str | 3级缓存大小 |
- | model_name | str | 模式名称 |
- | vendor_id | str | 厂商ID |
-
- memory
-
- | 参数名 | 类型 | 说明 |
- | ------ | ---------- | -------------- |
- | size | str | 总内存大小 |
- | total | int | 内存条数量 |
- | info | List[dict] | 所有内存条信息 |
-
- info
-
- | 参数名 | 类型 | 说明 |
- | ------------ | ---- | -------- |
- | size | str | 内存大小 |
- | type | str | 类型 |
- | speed | str | 速度 |
- | manufacturer | str | 厂商 |
-
- os
-
- | 参数名 | 类型 | 说明 |
- | ------------ | ---- | -------- |
- | bios_version | str | bios版本 |
- | os_version | str | 系统名称 |
- | kernel | str | 内核版本 |
-
-+ 返回示例:
-
- ```json
- {
- "code": 200,
- "msg": "operate success",
- "resp": {
- "cpu": {
- "architecture": "aarch64",
- "core_count": "128",
- "l1d_cache": "8 MiB (128 instances)",
- "l1i_cache": "8 MiB (128 instances)",
- "l2_cache": "64 MiB (128 instances)",
- "l3_cache": "128 MiB (4 instances)",
- "model_name": "Kunpeng-920",
- "vendor_id": "HiSilicon"
- },
- "memory": {
- "info": [
- {
- "manufacturer": "Hynix",
- "size": "16 GB",
- "speed": "2933 MT/s",
- "type": "DDR4"
- },
- {
- "manufacturer": "Hynix",
- "size": "16 GB",
- "speed": "2933 MT/s",
- "type": "DDR4"
- }
- ],
- "size": "32G",
- "total": 2
- },
- "os": {
- "bios_version": "1.82",
- "kernel": "5.10.0-60.18.0.50",
- "os_version": "openEuler 22.03 LTS"
- },
- "disk": [
- {
- "capacity": "xxGB",
- "model": "xxxxxx"
- }
- ]
- }
- }
- ```
-
-#### 4.1.5、/v1/agent/plugin/info
-
-+ 描述:获取主机的插件运行情况,目前仅支持gala-gopher插件。
-
-+ HTTP请求方式:GET
-
-+ 数据提交方式:query
-
-+ 请求参数:
-
- | 参数名 | 必选 | 类型 | 说明 |
- | ------ | ---- | ---- | ---- |
- | | | | |
-
-+ 请求参数示例:
-
- | 参数名 | 参数值 |
- | ------ | ------ |
- | | |
-
-+ 返回体参数:
-
- | 参数名 | 类型 | 说明 |
- | ------ | ---------- | ---------------- |
- | code | int | 返回码 |
- | msg | str | 状态码对应的信息 |
- | resp | List[dict] | 响应数据主体 |
-
- resp
-
- | 参数名 | 类型 | 说明 |
- | ------------- | ---------- | ------------------ |
- | plugin_name | str | 插件名称 |
- | collect_items | list | 插件采集项运行情况 |
- | is_installed | str | 状态码对应的信息 |
- | resource | List[dict] | 插件资源使用情况 |
- | status | str | 插件运行状态 |
-
- resource
-
- | 参数名 | 类型 | 说明 |
- | ------------- | ---- | ---------- |
- | name | str | 资源名称 |
- | current_value | str | 资源使用值 |
- | limit_value | str | 资源限制值 |
-
-+ 返回示例:
-
- ```json
- {
- "code": 200,
- "msg": "operate success",
- "resp": [
- {
- "collect_items": [
- {
- "probe_name": "system_tcp",
- "probe_status": "off",
- "support_auto": false
- },
- {
- "probe_name": "haproxy",
- "probe_status": "auto",
- "support_auto": true
- },
- {
- "probe_name": "nginx",
- "probe_status": "auto",
- "support_auto": true
- },
- ],
- "is_installed": true,
- "plugin_name": "gala-gopher",
- "resource": [
- {
- "current_value": "0.0%",
- "limit_value": null,
- "name": "cpu"
- },
- {
- "current_value": "13 MB",
- "limit_value": null,
- "name": "memory"
- }
- ],
- "status": "active"
- }
- ]
- }
- ```
-
-#### 4.1.6、/v1/agent/file/collect
-
-+ 描述:采集目标配置文件内容、文件权限、文件所属用户等信息。当前仅支持读取小于1M,无执行权限,且支持UTF8编码的文本文件。
-
-+ HTTP请求方式:POST
-
-+ 数据提交方式:application/json
-
-+ 请求参数:
-
- | 参数名 | 必选 | 类型 | 说明 |
- | --------------- | ---- | --------- | ------------------------ |
- | configfile_path | True | List[str] | 需采集文件完整路径的序列 |
-
-+ 请求参数示例:
-
- ```json
- [ "/home/test.conf", "/home/test.ini", "/home/test.json"]
- ```
-
-+ 返回体参数:
-
- | 参数名 | 类型 | 说明 |
- | ------------- | ---------- | ---------------- |
- | infos | List[dict] | 文件采集信息 |
- | success_files | List[str] | 采集成功文件列表 |
- | fail_files | List[str] | 采集失败文件列表 |
-
- infos
-
- | 参数名 | 类型 | 说明 |
- | --------- | ---- | -------- |
- | path | str | 文件路径 |
- | content | str | 文件内容 |
- | file_attr | dict | 文件属性 |
-
- file_attr
-
- | 参数名 | 类型 | 说明 |
- | ------ | ---- | ------------ |
- | mode | str | 文件类型权限 |
- | owner | str | 文件所属用户 |
- | group | str | 文件所属群组 |
-
-+ 返回示例:
-
- ```json
- {
- "infos": [
- {
- "content": "this is a test file",
- "file_attr": {
- "group": "root",
- "mode": "0644",
- "owner": "root"
- },
- "path": "/home/test.txt"
- }
- ],
- "success_files": [
- "/home/test.txt"
- ],
- "fail_files": [
- "/home/test.txt"
- ]
- }
- ```
-
-#### 4.1.7、/v1/agent/collect/items/change
-
-+ 描述:更改插件采集项的采集状态,当前仅支持对gala-gopher采集项的更改,gala-gopher采集项可在配置文件中查看`/opt/gala-gopher/gala-gopher.conf`。
-
-+ HTTP请求方式:POST
-
-+ 数据提交方式:application/json
-
-+ 请求参数:
-
- | 参数名 | 必选 | 类型 | 说明 |
- | ----------- | ---- | ---- | -------------------------- |
- | plugin_name | True | dict | 插件采集项预期修改结果数据 |
-
- plugin_name
-
- | 参数名 | 必选 | 类型 | 说明 |
- | ------------ | ---- | ------ | ------------------ |
- | collect_item | True | string | 采集项预期修改结果 |
-
-+ 请求参数示例:
-
- ```json
- {
- "gala-gopher":{
- "redis":"auto",
- "system_inode":"on",
- "tcp":"on",
- "haproxy":"auto"
- }
- }
- ```
-
-+ 返回体参数:
-
- | 参数名 | 类型 | 说明 |
- | ------ | ---------- | ---------------- |
- | code | int | 返回码 |
- | msg | str | 状态码对应的信息 |
- | resp | List[dict] | 响应数据主体 |
-
- + resp
-
- | 参数名 | 类型 | 说明 |
- | ----------- | ---- | ------------------ |
- | plugin_name | dict | 对应采集项修改结果 |
-
- + plugin_name
-
- | 参数名 | 类型 | 说明 |
- | ------- | --------- | ---------------- |
- | success | List[str] | 修改成功的采集项 |
- | failure | List[str] | 修改失败的采集项 |
-
-+ 返回示例:
-
- ```json
- {
- "code": 200,
- "msg": "operate success",
- "resp": {
- "gala-gopher": {
- "failure": [
- "redis"
- ],
- "success": [
- "system_inode",
- "tcp",
- "haproxy"
- ]
- }
- }
- }
- ```
-
-## 注意事项
-
-1. 若有报错,请查看日志/var/log/aops/aops.log,根据日志中相关报错提示解决问题,并重启服务。
-
-2. 建议项目在Python3.7以上环境运行,安装Python依赖库时需要注意其版本。
-
-3. access_token值可在注册完成后,从`/etc/aops/agent.conf`文件中获取。
-
-4. 对于插件CPU,以及内存的资源限制目前通过在插件对应service文件中的Service节点下添加MemoryHigh和CPUQuota标签实现。
-
- 如对gala-gopher内存限制为40M,CPU限制为20%。
-
- ```ini
- [Unit]
- Description=a-ops gala gopher service
- After=network.target
-
- [Service]
- Type=exec
- ExecStart=/usr/bin/gala-gopher
- Restart=on-failure
- RestartSec=1
- RemainAfterExit=yes
- ;尽可能限制该单元中的进程最多可以使用多少内存,该限制允许突破,但突破限制后,进程运行速度会收到限制,并且系统会尽可能回收超出的内存
- ;选项值可以是以字节为单位的 绝对内存大小(可以使用以1024为基数的 K, M, G, T 后缀), 也可以是以百分比表示的相对内存大小
- MemoryHigh=40M
- ;为此单元的进程设置CPU时间限额,必须设为一个以"%"结尾的百分数, 表示该单元最多可使用单颗CPU总时间的百分之多少
- CPUQuota=20%
-
- [Install]
- WantedBy=multi-user.target
- ```
diff --git "a/docs/zh/docs/A-Ops/dnf\346\217\222\344\273\266\345\221\275\344\273\244\344\275\277\347\224\250\346\211\213\345\206\214.md" "b/docs/zh/docs/A-Ops/dnf\346\217\222\344\273\266\345\221\275\344\273\244\344\275\277\347\224\250\346\211\213\345\206\214.md"
new file mode 100644
index 0000000000000000000000000000000000000000..80d247e3763ea4fcbe21d7097439681c92f33207
--- /dev/null
+++ "b/docs/zh/docs/A-Ops/dnf\346\217\222\344\273\266\345\221\275\344\273\244\344\275\277\347\224\250\346\211\213\345\206\214.md"
@@ -0,0 +1,738 @@
+# dnf插件命令使用手册
+将dnf-hotpatch-plugin安装部署完成后,可使用dnf命令调用A-ops ceres中的冷/热补丁操作,命令包含热补丁扫描(dnf hot-updateinfo),热补丁状态设置及查询(dnf hotpatch ),热补丁应用(dnf hotupgrade),内核升级前kabi检查(dnf upgrade-en)。本文将介绍上述命令的具体使用方法。
+
+>热补丁包括ACC/SGL(accumulate/single)类型
+>
+>- ACC:增量补丁。目标高版本热补丁包含低版本热补丁所修复问题。
+>- SGL_xxx:单独补丁,xxx为issue id,如果有多个issue id,用多个'_'拼接。目标修复issue id相关问题。
+
+## 热补丁扫描
+`dnf hot-updateinfo`命令支持扫描热补丁并指定cve查询相关热补丁,命令使用方式如下:
+```shell
+dnf hot-updateinfo list cves [--available(default) | --installed] [--cve [cve_id]]
+
+General DNF options:
+ -h, --help, --help-cmd
+ show command help
+ --cve CVES, --cves CVES
+ Include packages needed to fix the given CVE, in updates
+Hot-updateinfo command-specific options:
+ --available
+ cves about newer versions of installed packages
+ (default)
+ --installed
+ cves about equal and older versions of installed packages
+```
+
+
+1、查询主机所有可修复的cve和对应的冷/热补丁。
+
+```shell
+[root@localhost ~]# dnf hot-updateinfo list cves
+# cve-id level cold-patch hot-patch
+Last metadata expiration check: 2:39:04 ago on 2023年12月29日 星期五 07时45分02秒.
+CVE-2022-30594 Important/Sec. kernel-4.19.90-2206.1.0.0153.oe1.x86_64 patch-kernel-4.19.90-2112.8.0.0131.oe1-SGL_CVE_2022_30594-1-1.x86_64
+CVE-2023-1111 Important/Sec. redis-6.2.5-2.x86_64 patch-redis-6.2.5-1-ACC-1-1.x86_64
+CVE-2023-1112 Important/Sec. redis-6.2.5-2.x86_64 patch-redis-6.2.5-1-ACC-1-1.x86_64
+CVE-2023-1111 Important/Sec. redis-6.2.5-2.x86_64 patch-redis-6.2.5-1-SGL_CVE_2023_1111_CVE_2023_1112-1-1.x86_64
+```
+
+2、查询主机所有已修复的cve和对应的冷/热补丁
+
+```shell
+[root@localhost ~]# dnf hot-updateinfo list cves --installed
+# cve-id level cold-patch hot-patch
+Last metadata expiration check: 2:39:04 ago on 2023年12月29日 星期五 07时45分02秒.
+CVE-2022-36298 Important/Sec. - patch-kernel-4.19.90-2112.8.0.0131.oe1-SGL_CVE_2022_36298-1-1.x86_64
+```
+
+3、指定cve查询对应的可修复冷/热补丁。
+
+```shell
+[root@localhost ~]# dnf hot-updateinfo list cves --cve CVE-2022-30594
+# cve-id level cold-patch hot-patch
+Last metadata expiration check: 2:39:04 ago on 2023年12月29日 星期五 07时45分02秒.
+CVE-2022-30594 Important/Sec. kernel-4.19.90-2206.1.0.0153.oe1.x86_64 patch-kernel-4.19.90-2112.8.0.0131.oe1-SGL_CVE_2022_30594-1-1.x86_64
+```
+
+4、cve不存在时列表为空。
+```shell
+[root@localhost ~]# dnf hot-updateinfo list cves --cve CVE-2022-3089
+# cve-id level cold-patch hot-patch
+Last metadata expiration check: 2:39:04 ago on 2023年12月29日 星期五 07时45分02秒.
+```
+
+## 热补丁状态及转换图
+
+- 热补丁状态图
+
+ NOT-APPLIED: 热补丁尚未应用。
+
+ DEACTIVED: 热补丁未被激活。
+
+ ACTIVED: 热补丁已被激活。
+
+ ACCEPTED: 热补丁已被激活,后续重启后会被自动应用激活。
+
+ 
+
+
+## 热补丁状态查询和切换
+`dnf hotpatch`命令支持查询、切换热补丁的状态,命令使用方式如下:
+
+```shell
+dnf hotpatch
+
+General DNF options:
+ -h, --help, --help-cmd
+ show command help
+ --cve CVES, --cves CVES
+ Include packages needed to fix the given CVE, in updates
+
+Hotpatch command-specific options:
+ --list [{cve, cves}] show list of hotpatch
+ --apply APPLY_NAME apply hotpatch
+ --remove REMOVE_NAME remove hotpatch
+ --active ACTIVE_NAME active hotpatch
+ --deactive DEACTIVE_NAME
+ deactive hotpatch
+ --accept ACCEPT_NAME accept hotpatch
+```
+- 使用`dnf hotpatch`命令查询热补丁状态
+
+ - 使用`dnf hotpatch --list`命令查询当前系统中可使用的热补丁状态并展示。
+
+ ```shell
+ [root@localhost ~]# dnf hotpatch --list
+ Last metadata expiration check: 0:09:25 ago on 2023年12月29日 星期五 10时26分45秒.
+ base-pkg/hotpatch status
+ kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1/vmlinux NOT-APPLIED
+ ```
+
+ - 使用`dnf hotpatch --list cves`查询漏洞(CVE-id)对应热补丁及其状态并展示。
+
+ ```shell
+ [root@openEuler ~]# dnf hotpatch --list cves
+ Last metadata expiration check: 0:11:05 ago on 2023年12月29日 星期五 10时26分45秒.
+ CVE-id base-pkg/hotpatch status
+ CVE-2022-30594 kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1/vmlinux NOT-APPLIED
+ ```
+
+ - `dnf hotpatch --list cves --cve `筛选指定CVE对应的热补丁及其状态并展示。
+
+ ```shell
+ [root@openEuler ~]# dnf hotpatch --list cves --cve CVE-2022-30594
+ Last metadata expiration check: 0:12:25 ago on 2023年12月29日 星期五 10时26分45秒.
+ CVE-id base-pkg/hotpatch status
+ CVE-2022-30594 kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1/vmlinux NOT-APPLIED
+ ```
+
+ - 使用`dnf hotpatch --list cves --cve `查询无结果时展示为空。
+
+ ```shell
+ [root@openEuler ~]# dnf hotpatch --list cves --cve CVE-2023-1
+ Last metadata expiration check: 0:13:11 ago on 2023年12月29日 星期五 10时26分45秒.
+ ```
+
+- 使用`dnf hotpatch --apply `命令应用热补丁,可使用 `dnf hotpatch --list`查询应用后的状态变化,变化逻辑见上文的热补丁状态转换图。
+
+```shell
+[root@openEuler ~]# dnf hotpatch --list
+Last metadata expiration check: 0:13:55 ago on 2023年12月29日 星期五 10时26分45秒.
+base-pkg/hotpatch status
+kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1/vmlinux NOT-APPLIED
+[root@openEuler ~]# dnf hotpatch --apply kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1
+Last metadata expiration check: 0:15:37 ago on 2023年12月29日 星期五 10时26分45秒.
+Gonna apply this hot patch: kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1
+apply hot patch 'kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1' succeed
+[root@openEuler ~]# dnf hotpatch --list
+Last metadata expiration check: 0:16:20 ago on 2023年12月29日 星期五 10时26分45秒.
+base-pkg/hotpatch status
+kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1/vmlinux ACTIVED
+```
+- 使用`dnf hotpatch --deactive `停用热补丁,可使用`dnf hotpatch --list`查询停用后的状态变化,变化逻辑见上文的热补丁状态转换图。
+
+```shell
+[root@openEuler ~]# dnf hotpatch --deactive kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1
+Last metadata expiration check: 0:19:00 ago on 2023年12月29日 星期五 10时26分45秒.
+Gonna deactive this hot patch: kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1
+deactive hot patch 'kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1' succeed
+[root@openEuler ~]# dnf hotpatch --list
+Last metadata expiration check: 0:19:12 ago on 2023年12月29日 星期五 10时26分45秒.
+base-pkg/hotpatch status
+kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1/vmlinux DEACTIVED
+```
+- 使用`dnf hotpatch --remove `删除热补丁,可使用`dnf hotpatch --list`查询删除后的状态变化,变化逻辑见上文的热补丁状态转换图。
+
+```shell
+[root@openEuler ~]# dnf hotpatch --remove kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1
+Last metadata expiration check: 0:20:12 ago on 2023年12月29日 星期五 10时26分45秒.
+Gonna remove this hot patch: kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1
+remove hot patch 'kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1' succeed
+[root@openEuler ~]# dnf hotpatch --list
+Last metadata expiration check: 0:20:23 ago on 2023年12月29日 星期五 10时26分45秒.
+base-pkg/hotpatch status
+kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1/vmlinux NOT-APPLIED
+```
+- 使用`dnf hotpatch --active `激活热补丁,可使用`dnf hotpatch --list`查询激活后的状态变化,变化逻辑见上文的热补丁状态转换图。
+
+```shell
+[root@openEuler ~]# dnf hotpatch --active kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1
+Last metadata expiration check: 0:15:37 ago on 2023年12月29日 星期五 10时26分45秒.
+Gonna active this hot patch: kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1
+active hot patch 'kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1' succeed
+[root@openEuler ~]# dnf hotpatch --list
+Last metadata expiration check: 0:16:20 ago on 2023年12月29日 星期五 10时26分45秒.
+base-pkg/hotpatch status
+kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1/vmlinux ACTIVED
+```
+- 使用`dnf hotpatch --accept `接收热补丁,可使用`dnf hotpatch --list`查询接收后的状态变化,变化逻辑见上文的热补丁状态转换图。
+
+```shell
+[root@openEuler ~]# dnf hotpatch --accept kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1
+Last metadata expiration check: 0:14:19 ago on 2023年12月29日 星期五 10时47分38秒.
+Gonna accept this hot patch: kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1
+accept hot patch 'kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1' succeed
+[root@openEuler ~]# dnf hotpatch --list
+Last metadata expiration check: 0:14:34 ago on 2023年12月29日 星期五 10时47分38秒.
+base-pkg/hotpatch status
+kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1/vmlinux ACCEPTED
+```
+
+
+## 热补丁应用
+`hotupgrade`命令根据cve id和热补丁名称进行热补丁修复,同时也支持全量修复。命令使用方式如下:
+```shell
+dnf hotupgrade [--cve [cve_id]] [PACKAGE ...] [--takeover] [-f]
+
+General DNF options:
+ -h, --help, --help-cmd
+ show command help
+ --cve CVES, --cves CVES
+ Include packages needed to fix the given CVE, in updates
+
+command-specific options:
+ --takeover
+ kernel cold patch takeover operation
+ -f
+ force retain kernel rpm package if kernel kabi check fails
+ PACKAGE
+ Package to upgrade
+```
+
+- 使用`dnf hotupgrade PACKAGE`安装目标热补丁。
+
+ - 使用`dnf hotupgrade PACKAGE`安装目标热补丁
+
+ ```shell
+ [root@openEuler ~]# dnf hotupgrade patch-kernel-4.19.90-2112.8.0.0131.oe1-SGL_CVE_2022_30594-1-1.x86_64
+ Last metadata expiration check: 0:26:25 ago on 2023年12月29日 星期五 10时47分38秒.
+ Dependencies resolved.
+ xxxx(Install messgaes)
+ Is this ok [y/N]: y
+ Downloading Packages:
+ xxxx(Install process)
+ Complete!
+ Apply hot patch succeed: kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1.
+ ```
+
+ - 当目标热补丁已经应用激活,使用`dnf hotupgrade PACKAGE`安装目标热补丁
+
+ ```shell
+ [root@openEuler ~]# dnf hotupgrade patch-kernel-4.19.90-2112.8.0.0131.oe1-SGL_CVE_2022_30594-1-1.x86_64
+ Last metadata expiration check: 0:28:35 ago on 2023年12月29日 星期五 10时47分38秒.
+ The hotpatch 'kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1' already has a 'ACTIVED' sub hotpatch of binary file 'vmlinux'
+ Package patch-kernel-4.19.90-2112.8.0.0131.oe1-SGL_CVE_2022_30594-1-1.x86_64 is already installed.
+ Dependencies resolved.
+ Nothing to do.
+ Complete!
+ ```
+
+ - 使用`dnf hotupgrade PACKAGE`安装目标热补丁,自动卸载激活失败的热补丁。
+
+ ```shell
+ [root@openEuler ~]# dnf hotupgrade patch-redis-6.2.5-1-ACC-1-1.x86_64
+ Last metadata expiration check: 0:30:30 ago on 2023年12月29日 星期五 10时47分38秒.
+ Dependencies resolved.
+ xxxx(Install messgaes)
+ Is this ok [y/N]: y
+ Downloading Packages:
+ xxxx(Install process)
+ Complete!
+ Apply hot patch failed: redis-6.2.5-1/ACC-1-1.
+ Error: Operation failed
+
+ Caused by:
+ 0. Transaction "Apply patch 'redis-6.2.5-1/ACC-1-1'" failed
+
+ Caused by:
+ Cannot match any patch named "redis-6.2.5-1/ACC-1-1"
+
+ Gonna remove unsuccessfully activated hotpatch rpm.
+ Remove package succeed: patch-redis-6.2.5-1-ACC-1-1.x86_64.
+ ```
+
+- 使用`--cve `指定cve_id安装CVE对应的热补丁
+
+ - 使用`dnf hotupgrade --cve CVE-2022-30594`安装CVE对应的热补丁
+
+ ```shell
+ [root@openEuler ~]# dnf hotupgrade --cve CVE-2022-30594
+ Last metadata expiration check: 0:26:25 ago on 2023年12月29日 星期五 10时47分38秒.
+ Dependencies resolved.
+ xxxx(Install messgaes)
+ Is this ok [y/N]: y
+ Downloading Packages:
+ xxxx(Install process)
+ Complete!
+ Apply hot patch succeed: kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1.
+ ```
+
+ - 使用`dnf hotupgrade --cve CVE-2022-2021`安装CVE对应的热补丁,对应的CVE不存在。
+
+ ```shell
+ [root@openEuler ~]# dnf hotupgrade --cve CVE-2022-2021
+ Last metadata expiration check: 1:37:44 ago on 2023年12月29日 星期五 13时49分39秒.
+ The cve doesn't exist or cannot be fixed by hotpatch: CVE-2022-2021
+ No hot patches marked for install.
+ Dependencies resolved.
+ Nothing to do.
+ Complete!
+ ```
+
+ - 使用`dnf hotupgrade --cve `指定cve_id安装时,该CVE对应的ACC低版本热补丁已安装时,删除低版本热补丁,安装高版本ACC热补丁包。
+
+ ```shell
+ [root@openEuler ~]# dnf hotupgrade --cve CVE-2023-1070
+ Last metadata expiration check: 0:00:48 ago on 2024年01月02日 星期二 11时21分55秒.
+ Dependencies resolved.
+ xxxx(Install messgaes)
+ Is this ok [y/N]: y
+ Downloading Packages:
+ xxxx (Install messages and process upgrade)
+ Complete!
+ Apply hot patch succeed: kernel-5.10.0-153.12.0.92.oe2203sp2/ACC-1-3.
+ [root@openEuler tmp]#
+ ```
+
+ - 指定cve_id安装时,该CVE对应的最高版本热补丁包已存在
+
+ ```shell
+ [root@openEuler ~]# dnf hotupgrade --cve CVE-2023-1070
+ Last metadata expiration check: 1:37:44 ago on 2023年12月29日 星期五 13时49分39秒.
+ The cve doesn't exist or cannot be fixed by hotpatch: CVE-2023-1070
+ No hot patches marked for install.
+ Dependencies resolved.
+ Nothing to do.
+ Complete!
+ ```
+
+- 使用`dnf hotupgrade`进行热补丁全量修复
+ - 热补丁未安装时,使用`dnf hotupgrade`命令安装所有可安装热补丁。
+
+ - 当部分热补丁已经安装时,使用`dnf hotupgrade`命令进行全量修复,将保留已安装的热补丁,然后安装其他热补丁
+
+- 使用`--takeover`进行内核热补丁收编
+
+ - 使用`dnf hotupgrade PACKAGE --takeover`安装热补丁,收编相应内核冷补丁;由于目标内核冷补丁kabi检查失败,进行自动卸载;accept热补丁,使热补丁重启后仍旧生效;恢复内核默认引导启动项。
+
+ ```shell
+ [root@openEuler ~]# dnf hotupgrade patch-kernel-4.19.90-2112.8.0.0131.oe1-SGL_CVE_2022_30594-1-1.x86_64 --takeover
+ Last metadata expiration check: 2:23:22 ago on 2023年12月29日 星期五 13时49分39秒.
+ Gonna takeover kernel cold patch: ['kernel-4.19.90-2206.1.0.0153.oe1.x86_64']
+ Dependencies resolved.
+ xxxx(Install messgaes)
+ Is this ok [y/N]: y
+ xxxx(Install process)
+ Complete!
+ Apply hot patch succeed: kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1.
+ Kabi check for kernel-4.19.90-2206.1.0.0153.oe1.x86_64:
+ [Fail] Here are 81 loaded kernel modules in this system, 78 pass, 3 fail.
+ Failed modules are as follows:
+ No. Module Difference
+ 1 nf_nat_ipv6 secure_ipv6_port_ephemeral : 0xe1a4f16a != 0x0209f3a7
+ 2 nf_nat_ipv4 secure_ipv4_port_ephemeral : 0x57f70547 != 0xe3840e18
+ 3 kvm_intel kvm_lapic_hv_timer_in_use : 0x54981db4 != 0xf58e6f1f
+ Gonna remove kernel-4.19.90-2206.1.0.0153.oe1.x86_64 due to Kabi check failed.
+ Rebuild rpm database succeed.
+ Remove package succeed: kernel-4.19.90-2206.1.0.0153.oe1.x86_64.
+ Restore the default boot kernel succeed: kernel-4.19.90-2112.8.0.0131.oe1.x86_64.
+ No available kernel cold patch for takeover, gonna accept available kernel hot patch.
+ Accept hot patch succeed: kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1.
+ ```
+
+ - 使用`dnf hotupgrade PACKAGE --takeover -f`安装热补丁,如果内核冷补丁kabi检查未通过,使用`-f`强制保留内核冷补丁
+
+ ```shell
+ [root@openEuler ~]# dnf hotupgrade patch-kernel-4.19.90-2112.8.0.0131.oe1-SGL_CVE_2022_30594-1-1.x86_64 --takeover
+ Last metadata expiration check: 2:23:22 ago on 2023年12月29日 星期五 13时49分39秒.
+ Gonna takeover kernel cold patch: ['kernel-4.19.90-2206.1.0.0153.oe1.x86_64']
+ Dependencies resolved.
+ xxxx(Install messgaes)
+ Is this ok [y/N]: y
+ xxxx(Install process)
+ Complete!
+ Apply hot patch succeed: kernel-4.19.90-2112.8.0.0131.oe1/SGL_CVE_2022_30594-1-1.
+ Kabi check for kernel-4.19.90-2206.1.0.0153.oe1.x86_64:
+ [Fail] Here are 81 loaded kernel modules in this system, 78 pass, 3 fail.
+ Failed modules are as follows:
+ No. Module Difference
+ 1 nf_nat_ipv6 secure_ipv6_port_ephemeral : 0xe1a4f16a != 0x0209f3a7
+ 2 nf_nat_ipv4 secure_ipv4_port_ephemeral : 0x57f70547 != 0xe3840e18
+ 3 kvm_intel kvm_lapic_hv_timer_in_use : 0x54981db4 != 0xf58e6f1f
+ ```
+
+
+## 内核升级前kabi检查
+
+`dnf upgrade-en` 命令支持内核冷补丁升级前kabi检查,命令使用方式如下:
+
+```shell
+dnf upgrade-en [PACKAGE] [--cve [cve_id]]
+
+upgrade with KABI(Kernel Application Binary Interface) check. If the loaded
+kernel modules have KABI compatibility with the new version kernel rpm, the
+kernel modules can be installed and used in the new version kernel without
+recompling.
+
+General DNF options:
+ -h, --help, --help-cmd
+ show command help
+ --cve CVES, --cves CVES
+ Include packages needed to fix the given CVE, in updates
+Upgrade-en command-specific options:
+ PACKAGE
+ Package to upgrade
+```
+
+- 使用`dnf upgrade-en PACKAGE`安装目标冷补丁
+
+ - 使用`dnf upgrade-en`安装目标冷补丁,kabi检查未通过,输出kabi差异性报告,自动卸载目标升级kernel包。
+
+ ```shell
+ [root@openEuler ~]# dnf upgrade-en kernel-4.19.90-2206.1.0.0153.oe1.x86_64
+ Last metadata expiration check: 1:51:54 ago on 2023年12月29日 星期五 13时49分39秒.
+ Dependencies resolved.
+ xxxx(Install messgaes)
+ Is this ok [y/N]: y
+ Downloading Packages:
+ xxxx(Install process)
+ Complete!
+ Kabi check for kernel-4.19.90-2206.1.0.0153.oe1.x86_64:
+ [Fail] Here are 81 loaded kernel modules in this system, 78 pass, 3 fail.
+ Failed modules are as follows:
+ No. Module Difference
+ 1 nf_nat_ipv6 secure_ipv6_port_ephemeral : 0xe1a4f16a != 0x0209f3a7
+ 2 nf_nat_ipv4 secure_ipv4_port_ephemeral : 0x57f70547 != 0xe3840e18
+ 3 kvm_intel kvm_lapic_hv_timer_in_use : 0x54981db4 != 0xf58e6f1f
+ kvm_apic_write_nodecode : 0x56c989a1 != 0x24c9db31
+ kvm_complete_insn_gp : 0x99c2d256 != 0xcd8014bd
+ Gonna remove kernel-4.19.90-2206.1.0.0153.oe1.x86_64 due to kabi check failed.
+ Rebuild rpm database succeed.
+ Remove package succeed: kernel-4.19.90-2206.1.0.0153.oe1.x86_64.
+ Restore the default boot kernel succeed: kernel-4.19.90-2112.8.0.0131.oe1.x86_64.
+ ```
+
+ - 使用`dnf upgrade-en`安装目标冷补丁,kabi检查通过
+
+ ```shell
+ [root@openEuler ~]# dnf upgrade-en kernel-4.19.90-2201.1.0.0132.oe1.x86_64
+ Last metadata expiration check: 2:02:10 ago on 2023年12月29日 星期五 13时49分39秒.
+ Dependencies resolved.
+ xxxx(Install messgaes)
+ Is this ok [y/N]: y
+ Downloading Packages:
+ xxxx(Install process)
+ Complete!
+ Kabi check for kernel-4.19.90-2201.1.0.0132.oe1.x86_64:
+ [Success] Here are 81 loaded kernel modules in this system, 81 pass, 0 fail.
+ ```
+
+- 使用`dnf upgrade-en` 进行全量修复
+
+ 全量修复如果包含目标kernel的升级,输出根据不同的kabi检查情况与`dnf upgrade-en PACKAGE`命令相同。
+
+## 使用场景说明
+
+本段落介绍上述命令的使用场景及顺序介绍,需要提前确认本机的热补丁repo源和相应冷补丁repo源已开启。
+
+- 热补丁修复。
+
+使用热补丁扫描命令查看本机待修复cve。
+
+```shell
+[root@openEuler ~]# dnf hot-updateinfo list cves
+Last metadata expiration check: 0:00:38 ago on 2023年03月25日 星期六 11时53分46秒.
+CVE-2023-22995 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2023-26545 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2022-40897 Important/Sec. python3-setuptools-59.4.0-5.oe2203sp1.noarch -
+CVE-2021-1 Important/Sec. redis-6.2.5-2.x86_64 patch-redis-6.2.5-1-ACC-1-1.x86_64
+CVE-2021-11 Important/Sec. redis-6.2.5-2.x86_64 patch-redis-6.2.5-1-ACC-1-1.x86_64
+CVE-2021-2 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-ACC-1-2.x86_64
+CVE-2021-22 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-ACC-1-2.x86_64
+CVE-2021-33 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2021-3 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2022-38023 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+CVE-2022-37966 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+```
+
+找到提供热补丁的相应cve,发现CVE-2021-1、CVE-2021-11、CVE-2021-2和CVE-2021-22可用热补丁修复。
+
+在安装补丁前测试功能,基于redis.conf配置文件启动redis服务。
+```shell
+[root@openEuler ~]# sudo redis-server ./redis.conf &
+[1] 285075
+[root@openEuler ~]# 285076:C 25 Mar 2023 12:09:51.503 # oO0OoO0OoO0Oo Redis is starting oO0OoO0OoO0Oo
+285076:C 25 Mar 2023 12:09:51.503 # Redis version=255.255.255, bits=64, commit=00000000, modified=0, pid=285076, just started
+285076:C 25 Mar 2023 12:09:51.503 # Configuration loaded
+285076:M 25 Mar 2023 12:09:51.504 * Increased maximum number of open files to 10032 (it was originally set to 1024).
+285076:M 25 Mar 2023 12:09:51.504 * monotonic clock: POSIX clock_gettime
+ _._
+ _.-``__ ''-._
+ _.-`` `. `_. ''-._ Redis 255.255.255 (00000000/0) 64 bit
+ .-`` .-```. ```\/ _.,_ ''-._
+ ( ' , .-` | `, ) Running in standalone mode
+ |`-._`-...-` __...-.``-._|'` _.-'| Port: 6380
+ | `-._ `._ / _.-' | PID: 285076
+ `-._ `-._ `-./ _.-' _.-'
+ |`-._`-._ `-.__.-' _.-'_.-'|
+ | `-._`-._ _.-'_.-' | https://redis.io
+ `-._ `-._`-.__.-'_.-' _.-'
+ |`-._`-._ `-.__.-' _.-'_.-'|
+ | `-._`-._ _.-'_.-' |
+ `-._ `-._`-.__.-'_.-' _.-'
+ `-._ `-.__.-' _.-'
+ `-._ _.-'
+ `-.__.-'
+
+285076:M 25 Mar 2023 12:09:51.505 # Server initialized
+285076:M 25 Mar 2023 12:09:51.505 # WARNING overcommit_memory is set to 0! Background save may fail under low memory condition. To fix this issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf and then reboot or run the command 'sysctl vm.overcommit_memory=1' for this to take effect.
+285076:M 25 Mar 2023 12:09:51.506 * Ready to accept connections
+
+```
+
+安装前测试功能。
+
+```shell
+[root@openEuler ~]# telnet 127.0.0.1 6380
+Trying 127.0.0.1...
+Connected to 127.0.0.1.
+Escape character is '^]'.
+
+*100
+
+-ERR Protocol error: expected '$', got ' '
+Connection closed by foreign host.
+```
+
+指定修复CVE-2021-1,确认关联到对应的热补丁包,显示安装成功。
+```shell
+[root@openEuler ~]# dnf hotupgrade patch-redis-6.2.5-1-ACC-1-1.x86_64
+Last metadata expiration check: 0:01:39 ago on 2024年01月02日 星期二 20时16分45秒.
+The hotpatch 'redis-6.2.5-1/ACC-1-1' already has a 'ACTIVED' sub hotpatch of binary file 'redis-benchmark'
+The hotpatch 'redis-6.2.5-1/ACC-1-1' already has a 'ACTIVED' sub hotpatch of binary file 'redis-cli'
+The hotpatch 'redis-6.2.5-1/ACC-1-1' already has a 'ACTIVED' sub hotpatch of binary file 'redis-server'
+Package patch-redis-6.2.5-1-ACC-1-1.x86_64 is already installed.
+Dependencies resolved.
+Nothing to do.
+Complete!
+```
+
+使用dnf hotpatch --list确认该热补丁是否安装成功,确认Status为ACTIVED。
+```shell
+[root@openEuler ~]# dnf hotpatch --list
+Last metadata expiration check: 0:04:43 ago on 2024年01月02日 星期二 20时16分45秒.
+base-pkg/hotpatch status
+redis-6.2.5-1/ACC-1-1/redis-benchmark ACTIVED
+redis-6.2.5-1/ACC-1-1/redis-cli ACTIVED
+redis-6.2.5-1/ACC-1-1/redis-server ACTIVED
+```
+
+确认该cve是否已被修复,由于CVE-2021-1所使用的热补丁包patch-redis-6.2.5-1-ACC-1-1.x86_64同样修复CVE-2021-11,CVE-2021-1和CVE-2021-11都不予显示。
+```shell
+[root@openEuler ~]# dnf hot-updateinfo list cves
+Last metadata expiration check: 0:08:48 ago on 2023年03月25日 星期六 11时53分46秒.
+CVE-2023-22995 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2023-1076 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2023-26607 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2022-40897 Important/Sec. python3-setuptools-59.4.0-5.oe2203sp1.noarch -
+CVE-2021-22 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-ACC-1-2.x86_64
+CVE-2021-2 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-ACC-1-2.x86_64
+CVE-2021-33 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2021-3 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2022-38023 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+CVE-2022-37966 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+```
+
+激活后测试功能,对比激活前回显内容。
+
+```shell
+[root@openEuler ~]# telnet 127.0.0.1 6380
+Trying 127.0.0.1...
+Connected to 127.0.0.1.
+Escape character is '^]'.
+
+*100
+
+-ERR Protocol error: unauthenticated multibulk length
+Connection closed by foreign host.
+```
+
+使用dnf hotpatch --remove指定热补丁手动卸载。
+```shell
+[root@openEuler ~]# dnf hotpatch --remove redis-6.2.5-1
+Last metadata expiration check: 0:11:52 ago on 2024年01月02日 星期二 20时16分45秒.
+Gonna remove this hot patch: redis-6.2.5-1
+remove hot patch 'redis-6.2.5-1' succeed
+[root@openEuler ~]# dnf hotpatch --list
+Last metadata expiration check: 0:12:00 ago on 2024年01月02日 星期二 20时16分45秒.
+base-pkg/hotpatch status
+redis-6.2.5-1/ACC-1-1/redis-benchmark NOT-APPLIED
+redis-6.2.5-1/ACC-1-1/redis-cli NOT-APPLIED
+redis-6.2.5-1/ACC-1-1/redis-server NOT-APPLIED
+```
+
+使用热补丁扫描命令查看本机待修复cve,确认CVE-2021-1和CVE-2021-11正常显示。
+```shell
+[root@openEuler ~]# dnf hot-updateinfo list cves
+Last metadata expiration check: 0:00:38 ago on 2023年03月25日 星期六 11时53分46秒.
+CVE-2023-22995 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2023-26545 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2022-40897 Important/Sec. python3-setuptools-59.4.0-5.oe2203sp1.noarch -
+CVE-2021-1 Important/Sec. redis-6.2.5-2.x86_64 patch-redis-6.2.5-1-ACC-1-1.x86_64
+CVE-2021-11 Important/Sec. redis-6.2.5-2.x86_64 patch-redis-6.2.5-1-ACC-1-1.x86_64
+CVE-2021-2 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-ACC-1-2.x86_64
+CVE-2021-22 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-ACC-1-2.x86_64
+CVE-2021-33 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2021-3 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2022-38023 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+CVE-2022-37966 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+```
+
+- 安装高版本ACC热补丁
+
+指定安装热补丁包patch-redis-6.2.5-1-ACC-1-2.x86_64。
+```shell
+[root@openEuler ~]# dnf hotupgrade patch-redis-6.2.5-1-ACC-1-2.x86_64
+Last metadata expiration check: 0:36:12 ago on 2024年01月02日 星期二 20时16分45秒.
+The hotpatch 'redis-6.2.5-1/ACC-1-2' already has a 'ACTIVED' sub hotpatch of binary file 'redis-benchmark'
+The hotpatch 'redis-6.2.5-1/ACC-1-2' already has a 'ACTIVED' sub hotpatch of binary file 'redis-cli'
+The hotpatch 'redis-6.2.5-1/ACC-1-2' already has a 'ACTIVED' sub hotpatch of binary file 'redis-server'
+Package patch-redis-6.2.5-1-ACC-1-2.x86_64 is already installed.
+Dependencies resolved.
+Nothing to do.
+Complete!
+```
+
+使用热补丁扫描命令查看本机待修复cve,由于patch-redis-6.2.5-1-ACC-1-2.x86_64比patch-redis-6.2.5-1-ACC-1-1.x86_64的热补丁版本高,低版本热补丁对应的CVE-2021-1和CVE-2021-11,以及高版本热补丁对应的CVE-2021-2和CVE-2021-22都被修复。
+```shell
+[root@openEuler ~]# dnf hot-updateinfo list cves
+Last metadata expiration check: 0:00:38 ago on 2023年03月25日 星期六 11时53分46秒.
+CVE-2023-22995 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2023-26545 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2022-40897 Important/Sec. python3-setuptools-59.4.0-5.oe2203sp1.noarch -
+CVE-2021-33 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2021-3 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2022-38023 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+CVE-2022-37966 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+```
+
+- 热补丁目标软件包版本大于本机安装版本
+
+查看热补丁repo源中repodata目录下的xxx-updateinfo.xml.gz,确认文件中的CVE-2021-33、CVE-2021-3相关信息。
+
+```xml
+
+ openEuler-HotPatchSA-2023-3
+ An update for mariadb is now available for openEuler-22.03-LTS
+ Important
+ openEuler
+
+
+
+
+
+ patch-redis-6.2.5-2-ACC.(CVE-2021-3, CVE-2021-33)
+
+
+ openEuler
+
+ patch-redis-6.2.5-2-ACC-1-1.aarch64.rpm
+
+
+ patch-redis-6.2.5-2-ACC-1-1.x86_64.rpm
+
+
+
+
+```
+package中的name字段"patch-redis-6.2.5-2-ACC"的组成部分为:patch-源码包名-源码包version-源码包release-热补丁patch名,该热补丁包需要本机安装redis-6.2.5-2源码版本,检查本机redis安装版本。
+
+```shell
+[root@openEuler ~]# rpm -qa | grep redis
+redis-6.2.5-1.x86_64
+```
+由于本机安装版本不匹配,大于本机安装版本,该热补丁包名不显示,以'-'显示。
+```shell
+[root@openEuler ~]# dnf hot-updateinfo list cves
+Last metadata expiration check: 0:00:38 ago on 2023年03月25日 星期六 11时53分46秒.
+CVE-2023-22995 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2023-26545 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2022-40897 Important/Sec. python3-setuptools-59.4.0-5.oe2203sp1.noarch -
+CVE-2021-33 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2021-3 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2022-38023 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+CVE-2022-37966 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+```
+
+- 热补丁目标软件包版本小于本机安装版本。
+
+查看热补丁repo源中repodata目录下的xxx-updateinfo.xml.gz,确认文件中的CVE-2021-44、CVE-2021-4相关信息。
+
+```xml
+
+ openEuler-HotPatchSA-2023-4
+ An update for mariadb is now available for openEuler-22.03-LTS
+ Important
+ openEuler
+
+
+
+
+
+ patch-redis-6.2.4-1-ACC.(CVE-2021-44, CVE-2021-4)
+
+
+ openEuler
+
+ patch-redis-6.2.4-1-ACC-1-1.aarch64.rpm
+
+
+ patch-redis-6.2.4-1-ACC-1-1.x86_64.rpm
+
+
+
+
+```
+
+package中的name字段"patch-redis-6.2.4-1-ACC"的组成部分为:patch-源码包名-源码包version-源码包release-热补丁patch名,该热补丁包需要本机安装redis-6.2.4-1源码版本,检查本机redis安装版本。
+
+```shell
+[root@openEuler ~]# rpm -qa | grep redis
+redis-6.2.5-1.x86_64
+```
+
+由于本机安装版本不匹配,小于本机安装版本,该CVE不予显示。
+
+```shell
+[root@openEuler ~]# dnf hot-updateinfo list cves
+Last metadata expiration check: 0:00:38 ago on 2023年03月25日 星期六 11时53分46秒.
+CVE-2023-22995 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2023-26545 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
+CVE-2022-40897 Important/Sec. python3-setuptools-59.4.0-5.oe2203sp1.noarch -
+CVE-2021-33 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2021-3 Important/Sec. redis-6.2.5-4.x86_64 -
+CVE-2022-38023 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+CVE-2022-37966 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
+```
+
diff --git "a/docs/zh/docs/A-Ops/dnf\346\217\222\344\273\266\345\221\275\344\273\244\346\214\207\345\257\274\346\211\213\345\206\214.md" "b/docs/zh/docs/A-Ops/dnf\346\217\222\344\273\266\345\221\275\344\273\244\346\214\207\345\257\274\346\211\213\345\206\214.md"
deleted file mode 100644
index a6782b7ac2ecf52c276baec8f94acc8a0fb1fbcd..0000000000000000000000000000000000000000
--- "a/docs/zh/docs/A-Ops/dnf\346\217\222\344\273\266\345\221\275\344\273\244\346\214\207\345\257\274\346\211\213\345\206\214.md"
+++ /dev/null
@@ -1,550 +0,0 @@
-# dnf插件命令使用手册
-
-首先需要安装dnf插件:
-
-```shell
-dnf install dnf-hotpatch-plugin
-```
-
-将dnf热补丁插件安装完成后,可使用dnf命令调用热补丁操作,命令包含热补丁扫描(dnf hot-updateinfo),热补丁状态设置及查询(dnf hotpatch ),热补丁应用(dnf hotupgrade),本文将介绍上述命令的具体使用方法。
-
-## 热补丁扫描
-
-`hot-updateinfo`命令支持扫描热补丁并指定cve查询相关热补丁,命令使用方式如下:
-
-```shell
-dnf hot-updateinfo list cves [--cve [cve_id]]
-
-General DNF options:
- -h, --help, --help-cmd
- show command help
- --cve CVES, --cves CVES
- Include packages needed to fix the given CVE, in updates
-
-```
-
-- `--list`
-
-1. 查询主机所有可修复的cve和对应的冷/热补丁。
-
-```shell
-[root@localhost dnf]# dnf hot-updateinfo list cves
-# cve-id level cold-patch hot-patch
-Last metadata expiration check: 0:54:46 ago on 2023年03月16日 星期四 09时40分27秒.
-CVE-2022-3080 Important/Sec. bind-libs-9.16.23-10.oe2203.aarch64 patch-bind-libs-9.16.23-09-name-1-111.aarch64
-CVE-2021-25220 Moderate/Sec. bind-9.16.23-10.oe2203.aarch64 -
-CVE-2022-1886 Critical/Sec. vim-common-8.2-39.oe2203.aarch64 patch-vim-common-8.2-38-name-1-233.aarch64
-CVE-2022-1725 Low/Sec. vim-minimal-8.2-58.oe2203.aarch64 patch-vim-minimal-8.2-57-name-2-11.aarch64
-```
-
-2. 指定cve查询对应的冷/热补丁。
-
-```shell
-[root@localhost dnf]# dnf hot-updateinfo list cves --cve CVE-2022-3080
-# cve-id level cold-patch hot-patch
-Last metadata expiration check: 0:54:46 ago on 2023年03月16日 星期四 09时40分27秒.
-CVE-2022-3080 Important/Sec. bind-libs-9.16.23-10.oe2203.aarch64 patch-bind-libs-9.16.23-09-name-1-111.aarch64
-```
-
-3. cve不存在时列表为空。
-
-```shell
-[root@localhost dnf]# dnf hot-updateinfo list cves --cve CVE-2022-3089
-# cve-id level cold-patch hot-patch
-Last metadata expiration check: 0:54:46 ago on 2023年03月16日 星期四 09时40分27秒.
-```
-
-## 热补丁状态及转换图
-
-- 热补丁状态图
-
- NOT-APPLIED: 热补丁尚未安装。
-
- DEACTIVED: 热补丁已被安装。
-
- ACTIVED: 热补丁已被激活。
-
- ACCEPT: 热补丁已被接受,后续重启后会被自动应用。
-
- 
-
-## 热补丁状态查询和切换
-
-`hotpatch`命令支持查询、切换热补丁的状态,命令使用方式如下:
-
-```shell
-dnf hotpatch
-
-General DNF options:
- -h, --help, --help-cmd
- show command help
- --cve CVES, --cves CVES
- Include packages needed to fix the given CVE, in updates
-
-Hotpatch command-specific opetions:
- --list [{cve, cves}] show list of hotpatch
- --apply APPLY_NAME apply hotpatch
- --remove REMOVE_NAME remove hotpatch
- --active ACTIVE_NAME active hotpatch
- --deactive DEACTIVE_NAME
- deactive hotpatch
- --accept ACCEPT_NAME accept hotpatch
-```
-
-1. 使用`dnf hotpatch --list`命令查询当前系统中可使用的热补丁状态并展示。
-
- ```shell
- [root@localhost dnf]# dnf hotpatch --list
- Last metadata expiration check: 0:54:46 ago on 2023年03月16日 星期四 09时40分27秒.
- base-pkg/hotpatch status
- redis-6.2.5-1/HP001 NOT-APPLIED
- redis-6.2.5-1/HP001 NOT-APPLIED
- redis-6.2.5-1/HP002 ACTIVED
- redis-6.2.5-1/HP002 ACTIVED
- ```
-
-2. 使用`dnf hotpatch --list cves`查询漏洞(CVE-id)对应热补丁及其状态并展示。
-
- ```shell
- [root@localhost dnf]# dnf hotpatch --list cves
- Last metadata expiration check: 0:54:46 ago on 2023年03月16日 星期四 09时40分27秒.
- CVE-id base-pkg/hotpatch status
- CVE-2023-1111 redis-6.2.5-1/HP001 NOT-APPLIED
- CVE-2023-1112 redis-6.2.5-1/HP001 NOT-APPLIED
- CVE-2023-2221 redis-6.2.5-1/HP002 ACTIVED
- CVE-2023-2222 redis-6.2.5-1/HP002 ACTIVED
- ```
-
-3. 使用`dnf hotpatch --list cves --cve `筛选指定CVE对应的热补丁及其状态并展示。
-
- ```shell
- [root@localhost dnf]# dnf hotpatch --list cves --cve CVE-2023-1111
- Last metadata expiration check: 0:54:46 ago on 2023年03月16日 星期四 09时40分27秒.
- CVE-id base-pkg/hotpatch status
- CVE-2023-1111 redis-6.2.5-1/HP001 NOT-APPLIED
- ```
-
-4. 使用`dnf hotpatch --list cves --cve `查询无结果时展示为空。
-
- ```shell
- [root@localhost dnf]# dnf hotpatch --list cves --cve CVE-2023-1
- Last metadata expiration check: 0:54:46 ago on 2023年03月16日 星期四 09时40分27秒.
- ```
-
-5. 使用`dnf hotpatch --apply `命令应用热补丁,可使用`syscare list`查询应用后的状态变化,变化逻辑见上文的热补丁状态转换图。
-
- ```shell
- [root@openEuler dnf-plugins]# dnf hotpatch --apply redis-6.2.5-1/HP2
- Last metadata expiration check: 2:38:51 ago on 2023年05月25日 星期四 13时49分28秒.
- Gonna apply this hot patch: redis-6.2.5-1/HP2
- apply hot patch 'redis-6.2.5-1/HP2' succeed
- [root@openEuler dnf-plugins]# syscare list
- Uuid Name Status
- 25209ddc-b1e4-48e0-b715-e759ec8db401 redis-6.2.5-1/HP2 ACTIVED
- ```
-
-6. 使用`dnf hotpatch --deactive `停用热补丁,可使用`syscare list`查询停用后的状态变化,变化逻辑见上文的热补丁状态转换图。
-
- ```shell
- [root@openEuler dnf-plugins]# dnf hotpatch --deactive redis-6.2.5-1/HP2
- Last metadata expiration check: 2:39:10 ago on 2023年05月25日 星期四 13时49分28秒.
- Gonna deactive this hot patch: redis-6.2.5-1/HP2
- deactive hot patch 'redis-6.2.5-1/HP2' succeed
- [root@openEuler dnf-plugins]# syscare list
- Uuid Name Status
- 25209ddc-b1e4-48e0-b715-e759ec8db401 redis-6.2.5-1/HP2 DEACTIVED
- ```
-
-7. 使用`dnf hotpatch --remove `删除热补丁,可使用`syscare list`查询删除后的状态变化,变化逻辑见上文的热补丁状态转换图。
-
- ```shell
- [root@openEuler dnf-plugins]# dnf hotpatch --remove redis-6.2.5-1/HP2
- Last metadata expiration check: 2:53:25 ago on 2023年05月25日 星期四 13时49分28秒.
- Gonna remove this hot patch: redis-6.2.5-1/HP2
- remove hot patch 'redis-6.2.5-1/HP2' succeed
- [root@openEuler dnf-plugins]# syscare list
- Uuid Name Status
- 25209ddc-b1e4-48e0-b715-e759ec8db401 redis-6.2.5-1/HP2 NOT-APPLIED
- ```
-
-8. 使用`dnf hotpatch --active `激活热补丁,可使用`syscare list`查询激活后的状态变化,变化逻辑见上文的热补丁状态转换图。
-
- ```shell
- [root@openEuler dnf-plugins]# dnf hotpatch --active redis-6.2.5-1/HP2
- Last metadata expiration check: 2:53:37 ago on 2023年05月25日 星期四 13时49分28秒.
- Gonna active this hot patch: redis-6.2.5-1/HP2
- active hot patch 'redis-6.2.5-1/HP2' failed, remain original status.
- [root@openEuler dnf-plugins]# syscare list
- Uuid Name Status
- 25209ddc-b1e4-48e0-b715-e759ec8db401 redis-6.2.5-1/HP2 ACTIVED
- ```
-
-9. 使用`dnf hotpatch --accept `接收热补丁,可使用`syscare list`查询接收后的状态变化,变化逻辑见上文的热补丁状态转换图。
-
- ```shell
- [root@openEuler dnf-plugins]# dnf hotpatch --accept redis-6.2.5-1/HP2
- Last metadata expiration check: 2:53:25 ago on 2023年05月25日 星期四 13时49分28秒.
- Gonna accept this hot patch: redis-6.2.5-1/HP2
- remove hot patch 'redis-6.2.5-1/HP2' succeed
- [root@openEuler dnf-plugins]# syscare list
- Uuid Name Status
- 25209ddc-b1e4-48e0-b715-e759ec8db401 redis-6.2.5-1/HP2 ACCEPTED
- ```
-
-## 热补丁应用
-
-`hotupgrade`命令根据cve id和热补丁名称进行热补丁修复,同时也支持全量修复。命令使用方式如下:
-
-```shell
-dnf hotupgrade [--cve [cve_id]] [SPEC ...]
-
-General DNF options:
- -h, --help, --help-cmd
- show command help
- --cve CVES, --cves CVES
- Include packages needed to fix the given CVE, in updates
-
-command-specific options:
- SPEC Hotpatch specification
-```
-
-- Case1:当热补丁已经安装时,使用`dnf hotupgrade`安装所有存在的热补丁。这时dnf hotupgrade会返回形如"Package xx is already installed."提示信息,告诉用户该软件包已安装。
-
- ```shell
- [root@openEuler aops-ceres]# dnf hotupgrade
- Last metadata expiration check: 4:04:34 ago on 2023年06月02日 星期五 06时33分41秒.
- Gonna apply these hot patches:['patch-redis-6.2.5-1-HP001-1-1.x86_64', 'patch-redis-6.2.5-1-HP002-1-1.x86_64']
- The target package 'redis-6.2.5-1' has a hotpatch 'HP001' applied
- Gonna remove these hot patches: ['redis-6.2.5-1/HP001']
- Remove hot patch redis-6.2.5-1/HP001.
- Package patch-redis-6.2.5-1-HP001-1-1.x86_64 is already installed.
- Package patch-redis-6.2.5-1-HP002-1-1.x86_64 is already installed.
- Dependencies resolved.
- Nothing to do.
- Complete!
- Applying hot patch
- Apply hot patch succeed: redis-6.2.5-1/HP001.
- Apply hot patch failed: redis-6.2.5-1/HP002.
- ```
-
-- Case2: 热补丁未安装时,使用`dnf hotupgrade`命令安装存在的所有热补丁,将显示安装信息。(补充:使用hotupgrade命令时,如果热补丁已安装,会提示case1中的返回信息,如果未安装,则会返回次case中的信息。)
-
- ```shell
- [root@openEuler A-ops]# dnf hotupgrade
- Last metadata expiration check: 4:13:16 ago on 2023年06月02日 星期五 06时33分41秒.
- Gonna apply these hot patches:['patch-redis-6.2.5-1-HP002-1-1.x86_64', 'patch-redis-6.2.5-1-HP001-1-1.x86_64']
- Package patch-redis-6.2.5-1-HP002-1-1.x86_64 is already installed.
- Dependencies resolved.
- xxxx(Install messgaes)
- Is this ok [y/N]: y
- Downloading Packages:
- xxxx(Install process)
- Complete!
-
- Applying hot patch
- Apply hot patch succeed: redis-6.2.5-1/HP001.
- ```
-
-- Case3: 使用`dnf hotupgrade `升级指定热补丁包。
-
- ```shell
- [root@openEuler ~]# dnf hotupgrade patch-redis-6.2.5-1-HP001-1-1.x86_64
- Last metadata expiration check: 0:07:49 ago on 2023年06月08日 星期四 12时03分46秒.
- Package patch-redis-6.2.5-1-HP001-1-1.x86_64 is already installed.
- Dependencies resolved.
- Nothing to do.
- Complete!
- Applying hot patch
- Apply hot patch succeed: redis-6.2.5-1/HP001.
- ```
-
-- `--cve`
-
- - Case1:使用`dnf hotupgrade --cve `指定cve_id安装指定CVE对应的热补丁。
-
- ```shell
- [root@localhost dnf]# dnf hotupgrade --cve CVE-2021-11
- Last metadata expiration check: xxx
- Dependencies resolved.
- xxxx(Install messgaes)
- Is this ok [y/N]: y
- Downloading Packages:
- xxxx(Install process)
- Complete!
- Applying hot patch
- Apply hot patch succeed: redis-6.2.5-1/HP001
- ```
-
- - Case2:使用`dnf hotupgrade --cve `指定cve_id安装时cve不存在。
-
- ```shell
- [root@localhost dnf]# dnf hotupgrade --cve CVE-2021-11
- Last metadata expiration check: xxx
- The cve doesnt exist: CVE-2021-11
- Error: No hot patches marked for install.
- ```
-
- - Case3:使用`dnf hotupgrade --cve `指定cve_id安装时,该CVE对应的低版本热补丁已安装时,删除低版本热补丁包,安装高版本热补丁包。
-
- ```shell
- [root@localhost dnf]# dnf hotupgrade --cve CVE-2021-22
- Last metadata expiration check: xxx
- The target package 'redis-6.2.5-1' has a hotpatch 'HP001' applied
- Gonna remove these hot patches: ['redis-6.2.5-1/HP001']
- Is this ok [y/N]: y
- Remove hot patch redis-6.2.5-1/HP001
- xxxx (install messages and process install)
- Apply hot patch
- apply hot patch succeed: redis-6.2.5-1/HP002
- ```
-
- - Case4:使用`dnf hotupgrade --cve `指定cve_id安装时,该CVE对应的最高版本热补丁包已存在。
-
- ```shell
- [root@localhost dnf]# dnf hotupgrade --cve CVE-2021-22
- Package patch -redis-6.2.5-1-HP002-1-1.x86_64 is already installed.
- Dependencies resolved.
- Nothing to do.
- Complete!
- Applying hot patch
- Apply hot patch succeed: redis-6.2.5-1/HP002
- ```
-
-- `SPEC`
-
- ```shell
- [root@localhost dnf]# dnf hotupgrade bind-libs-hotpatch
- ```
-
-子命令的输出根据不同的情况与"--cve"命令相同。
-
-## 使用场景说明
-
-本段落介绍上述命令的使用场景及顺序介绍,需要提前确认本机的热补丁repo源和相应冷补丁repo源已开启。
-
-使用热补丁扫描命令查看本机待修复cve。
-
-```shell
-[root@openEuler aops-apollo_src]# dnf hot-updateinfo list cves
-Last metadata expiration check: 0:00:38 ago on 2023年03月25日 星期六 11时53分46秒.
-CVE-2023-22995 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
-CVE-2023-26545 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
-CVE-2022-40897 Important/Sec. python3-setuptools-59.4.0-5.oe2203sp1.noarch -
-CVE-2021-1 Important/Sec. redis-6.2.5-2.x86_64 patch-redis-6.2.5-1-HP001-1-1.x86_64
-CVE-2021-11 Important/Sec. redis-6.2.5-2.x86_64 patch-redis-6.2.5-1-HP001-1-1.x86_64
-CVE-2021-2 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-HP002-1-1.x86_64
-CVE-2021-22 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-HP002-1-1.x86_64
-CVE-2021-33 Important/Sec. redis-6.2.5-4.x86_64 -
-CVE-2021-3 Important/Sec. redis-6.2.5-4.x86_64 -
-CVE-2022-38023 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
-CVE-2022-37966 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
-```
-
-找到提供热补丁的相应cve,发现CVE-2021-1、CVE-2021-11、CVE-2021-2和CVE-2021-22可用热补丁修复。
-
-在安装补丁前测试功能,基于redis.conf配置文件启动redis服务。
-
-```shell
-[root@openEuler redis_patch]# sudo redis-server ./redis.conf &
-[1] 285075
-[root@openEuler redis_patch]# 285076:C 25 Mar 2023 12:09:51.503 # oO0OoO0OoO0Oo Redis is starting oO0OoO0OoO0Oo
-285076:C 25 Mar 2023 12:09:51.503 # Redis version=255.255.255, bits=64, commit=00000000, modified=0, pid=285076, just started
-285076:C 25 Mar 2023 12:09:51.503 # Configuration loaded
-285076:M 25 Mar 2023 12:09:51.504 * Increased maximum number of open files to 10032 (it was originally set to 1024).
-285076:M 25 Mar 2023 12:09:51.504 * monotonic clock: POSIX clock_gettime
- _._
- _.-``__ ''-._
- _.-`` `. `_. ''-._ Redis 255.255.255 (00000000/0) 64 bit
- .-`` .-```. ```\/ _.,_ ''-._
- ( ' , .-` | `, ) Running in standalone mode
- |`-._`-...-` __...-.``-._|'` _.-'| Port: 6380
- | `-._ `._ / _.-' | PID: 285076
- `-._ `-._ `-./ _.-' _.-'
- |`-._`-._ `-.__.-' _.-'_.-'|
- | `-._`-._ _.-'_.-' | https://redis.io
- `-._ `-._`-.__.-'_.-' _.-'
- |`-._`-._ `-.__.-' _.-'_.-'|
- | `-._`-._ _.-'_.-' |
- `-._ `-._`-.__.-'_.-' _.-'
- `-._ `-.__.-' _.-'
- `-._ _.-'
- `-.__.-'
-
-285076:M 25 Mar 2023 12:09:51.505 # Server initialized
-285076:M 25 Mar 2023 12:09:51.505 # WARNING overcommit_memory is set to 0! Background save may fail under low memory condition. To fix this issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf and then reboot or run the command 'sysctl vm.overcommit_memory=1' for this to take effect.
-285076:M 25 Mar 2023 12:09:51.506 * Ready to accept connections
-
-```
-
-安装前测试功能。
-
-```shell
-[root@openEuler ~]# telnet 127.0.0.1 6380
-Trying 127.0.0.1...
-Connected to 127.0.0.1.
-Escape character is '^]'.
-
-*100
-
--ERR Protocol error: expected '$', got ' '
-Connection closed by foreign host.
-```
-
-指定修复CVE-2021-1,确认关联到对应的热补丁包,显示安装成功。
-
-```shell
-[root@openEuler aops-apollo_src]# dnf hotupgrade --cve CVE-2021-1
-Last metadata expiration check: 0:05:19 ago on 2023年03月25日 星期六 11时53分46秒.
-Package patch-redis-6.2.5-1-HP001-1-1.x86_64 is already installed.
-Dependencies resolved.
-Nothing to do.
-Complete!
-Applying hot patch
-Apply hot patch succeed: redis-6.2.5-1/HP001.
-```
-
-使用syscare确认该热补丁是否安装成功,确认Status为ACTIVED。
-
-```shell
-[root@openEuler ~]# syscare list
-Uuid Name Status
-cf47649c-b370-4f5a-a914-d2ca4d8f1f3a redis-6.2.5-1/HP001 ACTIVED
-```
-
-确认该cve是否已被修复,由于CVE-2021-1所使用的热补丁包patch-redis-6.2.5-1-HP001-1-1.x86_64同样修复CVE-2021-11,CVE-2021-1和CVE-2021-11都不予显示。
-
-```shell
-[root@openEuler dnf-plugins]# dnf hot-updateinfo list cves
-Last metadata expiration check: 0:08:48 ago on 2023年03月25日 星期六 11时53分46秒.
-CVE-2023-22995 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
-CVE-2023-1076 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
-CVE-2023-26607 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
-CVE-2022-40897 Important/Sec. python3-setuptools-59.4.0-5.oe2203sp1.noarch -
-CVE-2021-22 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-HP002-1-1.x86_64
-CVE-2021-2 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-HP002-1-1.x86_64
-CVE-2021-33 Important/Sec. redis-6.2.5-4.x86_64 -
-CVE-2021-3 Important/Sec. redis-6.2.5-4.x86_64 -
-CVE-2022-38023 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
-CVE-2022-37966 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
-```
-
-激活后测试功能,对比激活前回显内容。
-
-```shell
-[root@openEuler ~]# telnet 127.0.0.1 6380
-Trying 127.0.0.1...
-Connected to 127.0.0.1.
-Escape character is '^]'.
-
-*100
-
--ERR Protocol error: unauthenticated multibulk length
-Connection closed by foreign host.
-```
-
-由于热补丁还未开发完卸载功能,使用syscare指定Name手动卸载。
-
-```shell
-[root@openEuler ~]# syscare remove redis-6.2.5-1/HP001
-[root@openEuler ~]# syscare list
-Uuid Name Status
-cf47649c-b370-4f5a-a914-d2ca4d8f1f3a redis-6.2.5-1/HP001 NOT-APPLIED
-```
-
-使用热补丁扫描命令查看本机待修复cve,确认CVE-2021-1和CVE-2021-11正常显示。
-
-```shell
-[root@openEuler aops-apollo_src]# dnf hot-updateinfo list cves
-Last metadata expiration check: 0:00:38 ago on 2023年03月25日 星期六 11时53分46秒.
-CVE-2023-22995 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
-CVE-2023-26545 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
-CVE-2022-40897 Important/Sec. python3-setuptools-59.4.0-5.oe2203sp1.noarch -
-CVE-2021-1 Important/Sec. redis-6.2.5-2.x86_64 patch-redis-6.2.5-1-HP001-1-1.x86_64
-CVE-2021-11 Important/Sec. redis-6.2.5-2.x86_64 patch-redis-6.2.5-1-HP001-1-1.x86_64
-CVE-2021-2 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-HP002-1-1.x86_64
-CVE-2021-22 Important/Sec. redis-6.2.5-3.x86_64 patch-redis-6.2.5-1-HP002-1-1.x86_64
-CVE-2021-33 Important/Sec. redis-6.2.5-4.x86_64 -
-CVE-2021-3 Important/Sec. redis-6.2.5-4.x86_64 -
-CVE-2022-38023 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
-CVE-2022-37966 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
-```
-
-- case 1
-
-指定安装热补丁包patch-redis-6.2.5-1-HP002-1-1.x86_64。
-
-```shell
-[root@openEuler aops-apollo_src]# dnf hotupgrade patch-redis-6.2.5-1-HP002-1-1.x86_64
-Last metadata expiration check: 0:05:19 ago on 2023年03月25日 星期六 11时53分46秒.
-Package patch-redis-6.2.5-1-HP002-1-1.x86_64 is already installed.
-Dependencies resolved.
-Nothing to do.
-Complete!
-Applying hot patch
-Apply hot patch succeed: redis-6.2.5-1/HP002.
-```
-
-使用热补丁扫描命令查看本机待修复cve,由于patch-redis-6.2.5-1-HP002-1-1.x86_64对应的冷补丁redis-6.2.5-3.x86_64比redis-6.2.5-2.x86_64版本高,redis-6.2.5-2.x86_64对应的CVE-2021-1和CVE-2021-11,以及CVE-2021-2和CVE-2021-22都被修复。
-
-```shell
-[root@openEuler aops-apollo_src]# dnf hot-updateinfo list cves
-Last metadata expiration check: 0:00:38 ago on 2023年03月25日 星期六 11时53分46秒.
-CVE-2023-22995 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
-CVE-2023-26545 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
-CVE-2022-40897 Important/Sec. python3-setuptools-59.4.0-5.oe2203sp1.noarch -
-CVE-2021-33 Important/Sec. redis-6.2.5-4.x86_64 -
-CVE-2021-3 Important/Sec. redis-6.2.5-4.x86_64 -
-CVE-2022-38023 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
-CVE-2022-37966 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
-```
-
-- case 2
-
-查看热补丁repo源中repodata目录下的xxx-updateinfo.xml.gz,确认文件中的CVE-2021-33、CVE-2021-3相关信息。
-
-```xml
-
- openEuler-SA-2022-3
- An update for mariadb is now available for openEuler-22.03-LTS
- Important
- openEuler
-
-
-
-
-
- patch-redis-6.2.5-2-HP001.(CVE-2022-24048)
-
-
- openEuler
-
- patch-redis-6.2.5-2-HP001-1-1.aarch64.rpm
-
-
- patch-redis-6.2.5-2-HP001-1-1.x86_64.rpm
-
-
-
-
-```
-
-package中的name字段"patch-redis-6.2.5-2-HP001"的组成部分为:patch-源码包名-源码包版本-源码包release-热补丁包名,该热补丁包需要本机安装redis-6.2.5-2源码版本,检查本机redis安装版本。
-
-```shell
-[root@openEuler ~]# rpm -qa | grep redis
-redis-6.2.5-1.x86_64
-```
-
-由于本机安装版本不匹配,该热补丁包名不显示,以'-'显示。
-
-```shell
-[root@openEuler aops-apollo_src]# dnf hot-updateinfo list cves
-Last metadata expiration check: 0:00:38 ago on 2023年03月25日 星期六 11时53分46秒.
-CVE-2023-22995 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
-CVE-2023-26545 Important/Sec. python3-perf-5.10.0-136.22.0.98.oe2203sp1.x86_64 -
-CVE-2022-40897 Important/Sec. python3-setuptools-59.4.0-5.oe2203sp1.noarch -
-CVE-2021-33 Important/Sec. redis-6.2.5-4.x86_64 -
-CVE-2021-3 Important/Sec. redis-6.2.5-4.x86_64 -
-CVE-2022-38023 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
-CVE-2022-37966 Important/Sec. samba-client-4.17.2-5.oe2203sp1.x86_64 -
-```
diff --git a/docs/zh/docs/A-Ops/figures/029B66B9-5A3E-447E-B33C-98B894FC4833.png b/docs/zh/docs/A-Ops/figures/029B66B9-5A3E-447E-B33C-98B894FC4833.png
deleted file mode 100644
index 230489c21dba54311356bbf2df56e817c0975f91..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/029B66B9-5A3E-447E-B33C-98B894FC4833.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/0BFA7C40-D404-4772-9C47-76EAD7D24E69.png b/docs/zh/docs/A-Ops/figures/0BFA7C40-D404-4772-9C47-76EAD7D24E69.png
deleted file mode 100644
index 528bf4e30dc6221c496dd9a6d637359f592856db..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/0BFA7C40-D404-4772-9C47-76EAD7D24E69.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/1631073636579.png b/docs/zh/docs/A-Ops/figures/1631073636579.png
deleted file mode 100644
index 5aacc487264ac63fbe5322b4f89fca3ebf9c7cd9..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/1631073636579.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/1631073840656.png b/docs/zh/docs/A-Ops/figures/1631073840656.png
deleted file mode 100644
index 122e391eafe7c0d8d081030a240df90aea260150..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/1631073840656.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/1631101736624.png b/docs/zh/docs/A-Ops/figures/1631101736624.png
deleted file mode 100644
index 74e2f2ded2ea254c66b221e8ac27a0d8bed9362a..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/1631101736624.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/1631101865366.png b/docs/zh/docs/A-Ops/figures/1631101865366.png
deleted file mode 100644
index abfbc280a368b93af1e1165385af3a9cac89391d..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/1631101865366.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/1631101982829.png b/docs/zh/docs/A-Ops/figures/1631101982829.png
deleted file mode 100644
index 0b1c9c7c3676b804dbdf19afbe4f3ec9dbe0627f..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/1631101982829.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/1631102019026.png b/docs/zh/docs/A-Ops/figures/1631102019026.png
deleted file mode 100644
index 54e8e7d1cffbb28711074e511b08c73f66c1fb75..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/1631102019026.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/20210908212726.png b/docs/zh/docs/A-Ops/figures/20210908212726.png
deleted file mode 100644
index f7d399aecd46605c09fe2d1f50a1a8670cd80432..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/20210908212726.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/D466AC8C-2FAF-4797-9A48-F6C346A1EC77.png b/docs/zh/docs/A-Ops/figures/D466AC8C-2FAF-4797-9A48-F6C346A1EC77.png
deleted file mode 100644
index d87c5e04fa8cf4f2af0884226be66ddfb5f481e1..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/D466AC8C-2FAF-4797-9A48-F6C346A1EC77.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/check.PNG b/docs/zh/docs/A-Ops/figures/check.PNG
deleted file mode 100644
index 2dce821dd43eec6f0d13cd6b2dc1e30653f35489..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/check.PNG and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/chuangjianyewuyu.png b/docs/zh/docs/A-Ops/figures/chuangjianyewuyu.png
index 8849a2fc81dbd14328c6c66c53033164a0b67b52..4f5b8de2d2c4ddb9bfdfba1ac17258a834561e2d 100644
Binary files a/docs/zh/docs/A-Ops/figures/chuangjianyewuyu.png and b/docs/zh/docs/A-Ops/figures/chuangjianyewuyu.png differ
diff --git a/docs/zh/docs/A-Ops/figures/dashboard.PNG b/docs/zh/docs/A-Ops/figures/dashboard.PNG
deleted file mode 100644
index 2a4a827191367309aad28a8a6c1835df602bdf72..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/dashboard.PNG and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/deploy.PNG b/docs/zh/docs/A-Ops/figures/deploy.PNG
deleted file mode 100644
index e30dcb0eb05eb4f41202c736863f3e0ff216398d..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/deploy.PNG and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/diag.PNG b/docs/zh/docs/A-Ops/figures/diag.PNG
deleted file mode 100644
index a67e8515b8313a50b06cb985611ef9c166851811..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/diag.PNG and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/domain.PNG b/docs/zh/docs/A-Ops/figures/domain.PNG
deleted file mode 100644
index bad499f96df5934565d36edf2308cec5e4147719..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/domain.PNG and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/domain_config.PNG b/docs/zh/docs/A-Ops/figures/domain_config.PNG
deleted file mode 100644
index 8995424b35cda75f08881037446b7816a0ca09dc..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/domain_config.PNG and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/elasticsearch3.png b/docs/zh/docs/A-Ops/figures/elasticsearch3.png
deleted file mode 100644
index 893aae242aa9117c64f323374d4728d230894973..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/elasticsearch3.png and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/elasticsearch\351\205\215\347\275\2561.png" "b/docs/zh/docs/A-Ops/figures/elasticsearch\351\205\215\347\275\2561.png"
deleted file mode 100644
index 1b7e0eab093b2f0455b8f3972884e5f757fbec3d..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/elasticsearch\351\205\215\347\275\2561.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/elasticsearch\351\205\215\347\275\2562.png" "b/docs/zh/docs/A-Ops/figures/elasticsearch\351\205\215\347\275\2562.png"
deleted file mode 100644
index 620dbbda71259e3b6ee6a2efb646a9692adf2456..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/elasticsearch\351\205\215\347\275\2562.png" and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/host.PNG b/docs/zh/docs/A-Ops/figures/host.PNG
deleted file mode 100644
index 3c00681a567cf8f1e1baddfb6fdb7b6cf7df43de..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/host.PNG and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/jiemi.png b/docs/zh/docs/A-Ops/figures/jiemi.png
deleted file mode 100644
index da07cfdf9296e201a82cceb210e651261fe7ecee..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/jiemi.png and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/kafka\351\205\215\347\275\256.png" "b/docs/zh/docs/A-Ops/figures/kafka\351\205\215\347\275\256.png"
deleted file mode 100644
index 57eb17ccbd2fa63d97f700c29847fac7f08042ff..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/kafka\351\205\215\347\275\256.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/prometheus\351\205\215\347\275\256.png" "b/docs/zh/docs/A-Ops/figures/prometheus\351\205\215\347\275\256.png"
deleted file mode 100644
index 7c8d0328967e8eb9bc4aa7465a273b9ef5a30b58..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/prometheus\351\205\215\347\275\256.png" and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/shanchuzhuji.png b/docs/zh/docs/A-Ops/figures/shanchuzhuji.png
deleted file mode 100644
index b3da935739369dad1318fe135146755ede13c694..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/shanchuzhuji.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/shanchuzhujizu.png b/docs/zh/docs/A-Ops/figures/shanchuzhujizu.png
deleted file mode 100644
index e4d85f6e3f1a269a483943f5115f54daa3de51de..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/shanchuzhujizu.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/spider.PNG b/docs/zh/docs/A-Ops/figures/spider.PNG
deleted file mode 100644
index 53bad6dd38e36db9cadfdbeda21cbc3ef59eddf7..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/spider.PNG and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/spider_detail.jpg b/docs/zh/docs/A-Ops/figures/spider_detail.jpg
deleted file mode 100644
index 6d4d2e2b9e79c53dbd359faa03e1c90f07c0ade6..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/spider_detail.jpg and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/syscare\347\203\255\350\241\245\344\270\201\347\212\266\346\200\201\345\233\276.png" "b/docs/zh/docs/A-Ops/figures/syscare\347\203\255\350\241\245\344\270\201\347\212\266\346\200\201\345\233\276.png"
new file mode 100644
index 0000000000000000000000000000000000000000..bbd0600fc5c913198dfe1e1bf2aba9c652576a98
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/syscare\347\203\255\350\241\245\344\270\201\347\212\266\346\200\201\345\233\276.png" differ
diff --git a/docs/zh/docs/A-Ops/figures/tianjiazhujizu.png b/docs/zh/docs/A-Ops/figures/tianjiazhujizu.png
deleted file mode 100644
index ed4ab3616d418ecf33a006fee3985b8b6d2d965d..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/tianjiazhujizu.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/zhuji.png b/docs/zh/docs/A-Ops/figures/zhuji.png
deleted file mode 100644
index f4c7b9103baab7748c83392f6120c8f00880860f..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/zhuji.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/figures/zuneizhuji.png b/docs/zh/docs/A-Ops/figures/zuneizhuji.png
deleted file mode 100644
index 9f188d207162fa1418a61a10f83ef9c51a512e65..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/figures/zuneizhuji.png and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\344\270\273\346\234\272\347\256\241\347\220\206.jpg" "b/docs/zh/docs/A-Ops/figures/\344\270\273\346\234\272\347\256\241\347\220\206.jpg"
deleted file mode 100644
index 9f6d8858468c0cc72c1bd395403f064cc63f82bd..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\344\270\273\346\234\272\347\256\241\347\220\206.jpg" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\344\270\273\346\234\272\347\273\204.jpg" "b/docs/zh/docs/A-Ops/figures/\344\270\273\346\234\272\347\273\204.jpg"
deleted file mode 100644
index fb5472de6b3d30abf6af73e286f70ac8e1d58c15..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\344\270\273\346\234\272\347\273\204.jpg" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\344\270\273\346\234\272\350\257\246\346\203\205.jpg" "b/docs/zh/docs/A-Ops/figures/\344\270\273\346\234\272\350\257\246\346\203\205.jpg"
deleted file mode 100644
index effd8c29aba14c2e8f301f9f60d8f25ce8c533f0..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\344\270\273\346\234\272\350\257\246\346\203\205.jpg" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\344\277\256\346\224\271mysql\351\205\215\347\275\256\346\226\207\344\273\266.png" "b/docs/zh/docs/A-Ops/figures/\344\277\256\346\224\271mysql\351\205\215\347\275\256\346\226\207\344\273\266.png"
deleted file mode 100644
index d83425ee0622be329782620318818662b292e88b..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\344\277\256\346\224\271mysql\351\205\215\347\275\256\346\226\207\344\273\266.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\344\277\256\346\224\271\346\217\222\344\273\266.png" "b/docs/zh/docs/A-Ops/figures/\344\277\256\346\224\271\346\217\222\344\273\266.png"
deleted file mode 100644
index ba4a8d4d9aadb7f712bdcb4b193f05f956d38841..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\344\277\256\346\224\271\346\217\222\344\273\266.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\345\267\245\344\275\234\345\217\260.jpg" "b/docs/zh/docs/A-Ops/figures/\345\267\245\344\275\234\345\217\260.jpg"
deleted file mode 100644
index 998b81e3b88d888d0915dcff48dc8cc5df30d91c..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\345\267\245\344\275\234\345\217\260.jpg" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\211\247\350\241\214\350\257\212\346\226\255.png" "b/docs/zh/docs/A-Ops/figures/\346\211\247\350\241\214\350\257\212\346\226\255.png"
deleted file mode 100644
index afb5f7e9fbfb1d1ce46d096a61729766b4940cd3..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\346\211\247\350\241\214\350\257\212\346\226\255.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\212\245\345\221\212\345\206\205\345\256\271.png" "b/docs/zh/docs/A-Ops/figures/\346\212\245\345\221\212\345\206\205\345\256\271.png"
deleted file mode 100644
index 2029141179302ecef45d34cb0c9dc916b9142e7b..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\346\212\245\345\221\212\345\206\205\345\256\271.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\217\222\344\273\266\347\256\241\347\220\206.jpg" "b/docs/zh/docs/A-Ops/figures/\346\217\222\344\273\266\347\256\241\347\220\206.jpg"
deleted file mode 100644
index 2258d03976902052aaf39d36b6374fa680b9f8aa..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\346\217\222\344\273\266\347\256\241\347\220\206.jpg" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/app\350\257\246\346\203\205.jpg" "b/docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/app\350\257\246\346\203\205.jpg"
similarity index 100%
rename from "docs/zh/docs/A-Ops/figures/app\350\257\246\346\203\205.jpg"
rename to "docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/app\350\257\246\346\203\205.jpg"
diff --git "a/docs/zh/docs/A-Ops/figures/\344\277\256\346\224\271\346\250\241\345\236\213.png" "b/docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\344\277\256\346\224\271\346\250\241\345\236\213.png"
similarity index 100%
rename from "docs/zh/docs/A-Ops/figures/\344\277\256\346\224\271\346\250\241\345\236\213.png"
rename to "docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\344\277\256\346\224\271\346\250\241\345\236\213.png"
diff --git "a/docs/zh/docs/A-Ops/figures/\345\210\233\345\273\272\345\267\245\344\275\234\346\265\201.jpg" "b/docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\210\233\345\273\272\345\267\245\344\275\234\346\265\201.jpg"
similarity index 100%
rename from "docs/zh/docs/A-Ops/figures/\345\210\233\345\273\272\345\267\245\344\275\234\346\265\201.jpg"
rename to "docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\210\233\345\273\272\345\267\245\344\275\234\346\265\201.jpg"
diff --git "a/docs/zh/docs/A-Ops/figures/\345\221\212\350\255\246.jpg" "b/docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\221\212\350\255\246.jpg"
similarity index 100%
rename from "docs/zh/docs/A-Ops/figures/\345\221\212\350\255\246.jpg"
rename to "docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\221\212\350\255\246.jpg"
diff --git "a/docs/zh/docs/A-Ops/figures/\345\221\212\350\255\246\347\241\256\350\256\244.jpg" "b/docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\221\212\350\255\246\347\241\256\350\256\244.jpg"
similarity index 100%
rename from "docs/zh/docs/A-Ops/figures/\345\221\212\350\255\246\347\241\256\350\256\244.jpg"
rename to "docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\221\212\350\255\246\347\241\256\350\256\244.jpg"
diff --git "a/docs/zh/docs/A-Ops/figures/\345\221\212\350\255\246\350\257\246\346\203\205.jpg" "b/docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\221\212\350\255\246\350\257\246\346\203\205.jpg"
similarity index 100%
rename from "docs/zh/docs/A-Ops/figures/\345\221\212\350\255\246\350\257\246\346\203\205.jpg"
rename to "docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\221\212\350\255\246\350\257\246\346\203\205.jpg"
diff --git "a/docs/zh/docs/A-Ops/figures/\345\267\245\344\275\234\346\265\201.jpg" "b/docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\267\245\344\275\234\346\265\201.jpg"
similarity index 100%
rename from "docs/zh/docs/A-Ops/figures/\345\267\245\344\275\234\346\265\201.jpg"
rename to "docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\267\245\344\275\234\346\265\201.jpg"
diff --git "a/docs/zh/docs/A-Ops/figures/\345\267\245\344\275\234\346\265\201\350\257\246\346\203\205.jpg" "b/docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\267\245\344\275\234\346\265\201\350\257\246\346\203\205.jpg"
similarity index 100%
rename from "docs/zh/docs/A-Ops/figures/\345\267\245\344\275\234\346\265\201\350\257\246\346\203\205.jpg"
rename to "docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\267\245\344\275\234\346\265\201\350\257\246\346\203\205.jpg"
diff --git "a/docs/zh/docs/A-Ops/figures/\345\272\224\347\224\250.png" "b/docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\272\224\347\224\250.png"
similarity index 100%
rename from "docs/zh/docs/A-Ops/figures/\345\272\224\347\224\250.png"
rename to "docs/zh/docs/A-Ops/figures/\346\225\205\351\232\234\350\257\212\346\226\255/\345\272\224\347\224\250.png"
diff --git "a/docs/zh/docs/A-Ops/figures/\346\226\260\345\242\236\346\225\205\351\232\234\346\240\221.png" "b/docs/zh/docs/A-Ops/figures/\346\226\260\345\242\236\346\225\205\351\232\234\346\240\221.png"
deleted file mode 100644
index 664efd5150fcb96f009ce0eddc3d9ac91b9e622f..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\346\226\260\345\242\236\346\225\205\351\232\234\346\240\221.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\237\245\347\234\213\346\212\245\345\221\212\345\210\227\350\241\250.png" "b/docs/zh/docs/A-Ops/figures/\346\237\245\347\234\213\346\212\245\345\221\212\345\210\227\350\241\250.png"
deleted file mode 100644
index 58307ec6ef4c73b6b0f039b1052e5870629ac2e8..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\346\237\245\347\234\213\346\212\245\345\221\212\345\210\227\350\241\250.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\237\245\347\234\213\346\225\205\351\232\234\346\240\221.png" "b/docs/zh/docs/A-Ops/figures/\346\237\245\347\234\213\346\225\205\351\232\234\346\240\221.png"
deleted file mode 100644
index a566417b18e8bcf19153730904893fc8d827d885..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\346\237\245\347\234\213\346\225\205\351\232\234\346\240\221.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\267\273\345\212\240\344\270\273\346\234\272\347\273\204.jpg" "b/docs/zh/docs/A-Ops/figures/\346\267\273\345\212\240\344\270\273\346\234\272\347\273\204.jpg"
deleted file mode 100644
index 9fcd24d949e500323e7a466be7cbfaf48d257ad0..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\346\267\273\345\212\240\344\270\273\346\234\272\347\273\204.jpg" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/CVE\350\257\246\346\203\205\347\225\214\351\235\242.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/CVE\350\257\246\346\203\205\347\225\214\351\235\242.png"
new file mode 100644
index 0000000000000000000000000000000000000000..05859540cb88e11bd8dedaeb8e03253254574c40
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/CVE\350\257\246\346\203\205\347\225\214\351\235\242.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/cve\345\210\227\350\241\250.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/cve\345\210\227\350\241\250.png"
new file mode 100644
index 0000000000000000000000000000000000000000..f556e0e7e3c4096a89597cb08ba29133375aab07
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/cve\345\210\227\350\241\250.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\270\212\344\274\240\345\256\211\345\205\250\345\205\254\345\221\212.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\270\212\344\274\240\345\256\211\345\205\250\345\205\254\345\221\212.png"
new file mode 100644
index 0000000000000000000000000000000000000000..801c7f917d717499c86708b419101be3773348ac
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\270\212\344\274\240\345\256\211\345\205\250\345\205\254\345\221\212.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\270\273\346\234\272\345\210\227\350\241\250\347\225\214\351\235\242.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\270\273\346\234\272\345\210\227\350\241\250\347\225\214\351\235\242.png"
new file mode 100644
index 0000000000000000000000000000000000000000..0719bb8c0b71d0503d5d3a7d8e9e83da71169c64
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\270\273\346\234\272\345\210\227\350\241\250\347\225\214\351\235\242.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\270\273\346\234\272\350\257\246\346\203\205.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\270\273\346\234\272\350\257\246\346\203\205.png"
new file mode 100644
index 0000000000000000000000000000000000000000..21c9468ce4378bcadf537e543c756cf7a1347499
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\270\273\346\234\272\350\257\246\346\203\205.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\273\273\345\212\241\345\210\227\350\241\250.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\273\273\345\212\241\345\210\227\350\241\250.png"
new file mode 100644
index 0000000000000000000000000000000000000000..9cfd080d1a658544c559e83429a14b35dc931fc6
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\273\273\345\212\241\345\210\227\350\241\250.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\273\273\345\212\241\350\257\246\346\203\205.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\273\273\345\212\241\350\257\246\346\203\205.png"
new file mode 100644
index 0000000000000000000000000000000000000000..7ca43b0a82b7c4dd3e43a5e46cf3b4a79d55d033
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\273\273\345\212\241\350\257\246\346\203\205.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\277\256\345\244\215\344\273\273\345\212\241\346\212\245\345\221\212.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\277\256\345\244\215\344\273\273\345\212\241\346\212\245\345\221\212.png"
new file mode 100644
index 0000000000000000000000000000000000000000..b9acfbcd7d8e3b2b551c8bb9700142dfba681afe
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\344\277\256\345\244\215\344\273\273\345\212\241\346\212\245\345\221\212.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\345\233\236\346\273\232\344\273\273\345\212\241\350\257\246\346\203\205.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\345\233\236\346\273\232\344\273\273\345\212\241\350\257\246\346\203\205.png"
new file mode 100644
index 0000000000000000000000000000000000000000..6bc8cc31e05d06dbd5ee4c0f62f281683db048da
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\345\233\236\346\273\232\344\273\273\345\212\241\350\257\246\346\203\205.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\346\267\273\345\212\240repo\346\272\220.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\346\267\273\345\212\240repo\346\272\220.png"
new file mode 100644
index 0000000000000000000000000000000000000000..3bf992f586f7fb4d87bc01cc29f961755a315c9d
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\346\267\273\345\212\240repo\346\272\220.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\346\274\217\346\264\236\346\211\253\346\217\217.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\346\274\217\346\264\236\346\211\253\346\217\217.png"
new file mode 100644
index 0000000000000000000000000000000000000000..f73ccaf984e8ab55f8b78f7da5a570ce43685221
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\346\274\217\346\264\236\346\211\253\346\217\217.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\347\224\237\346\210\220\344\277\256\345\244\215\344\273\273\345\212\241.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\347\224\237\346\210\220\344\277\256\345\244\215\344\273\273\345\212\241.png"
new file mode 100644
index 0000000000000000000000000000000000000000..b183298d96b8ced8954852540c891310aeda05be
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\347\224\237\346\210\220\344\277\256\345\244\215\344\273\273\345\212\241.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\347\224\237\346\210\220\345\233\236\346\273\232\344\273\273\345\212\241.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\347\224\237\346\210\220\345\233\236\346\273\232\344\273\273\345\212\241.png"
new file mode 100644
index 0000000000000000000000000000000000000000..c8aa813bc228326b3e8db19e303e03507873a893
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\347\224\237\346\210\220\345\233\236\346\273\232\344\273\273\345\212\241.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\347\224\237\346\210\220\347\203\255\350\241\245\344\270\201\347\247\273\351\231\244\344\273\273\345\212\241.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\347\224\237\346\210\220\347\203\255\350\241\245\344\270\201\347\247\273\351\231\244\344\273\273\345\212\241.png"
new file mode 100644
index 0000000000000000000000000000000000000000..8ccebe84f60b21737414b2cb3f972472114a40c5
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\347\224\237\346\210\220\347\203\255\350\241\245\344\270\201\347\247\273\351\231\244\344\273\273\345\212\241.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\350\256\276\347\275\256repo\346\272\220.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\350\256\276\347\275\256repo\346\272\220.png"
new file mode 100644
index 0000000000000000000000000000000000000000..619cc6d42b646df3d9c4e601f40a6ec452712668
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\350\256\276\347\275\256repo\346\272\220.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\351\202\256\344\273\266\351\200\232\347\237\245.png" "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\351\202\256\344\273\266\351\200\232\347\237\245.png"
new file mode 100644
index 0000000000000000000000000000000000000000..34b1d4095b8c017f3c66ebfb3c44d114bc8d6ca7
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\346\274\217\346\264\236\347\256\241\347\220\206/\351\202\256\344\273\266\351\200\232\347\237\245.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\257\212\346\226\255error1.png" "b/docs/zh/docs/A-Ops/figures/\350\257\212\346\226\255error1.png"
deleted file mode 100644
index 9e5b1139febe9f00156b37f3268269ac30a78737..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\350\257\212\346\226\255error1.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\257\212\346\226\255\344\270\273\347\225\214\351\235\242.png" "b/docs/zh/docs/A-Ops/figures/\350\257\212\346\226\255\344\270\273\347\225\214\351\235\242.png"
deleted file mode 100644
index b536af938250004bac3053b234bf20bcbf075c9b..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\350\257\212\346\226\255\344\270\273\347\225\214\351\235\242.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\257\212\346\226\255\345\233\276\347\211\207.png" "b/docs/zh/docs/A-Ops/figures/\350\257\212\346\226\255\345\233\276\347\211\207.png"
deleted file mode 100644
index 6cef6216522407997d705d29131287f3a30b0f8f..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\350\257\212\346\226\255\345\233\276\347\211\207.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\345\210\227\350\241\250.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\345\210\227\350\241\250.png"
new file mode 100644
index 0000000000000000000000000000000000000000..b8f0a87e00d73961907167fcbe43d82b60caf445
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\345\210\227\350\241\250.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\256\241\347\220\206-\346\267\273\345\212\240.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\256\241\347\220\206-\346\267\273\345\212\240.png"
new file mode 100644
index 0000000000000000000000000000000000000000..ce25657a0627e9dfc3dc9ebf323e086103c2ecdf
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\256\241\347\220\206-\346\267\273\345\212\240.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\273\204\345\206\205\344\270\273\346\234\272\346\237\245\347\234\213.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\273\204\345\206\205\344\270\273\346\234\272\346\237\245\347\234\213.png"
new file mode 100644
index 0000000000000000000000000000000000000000..2f2e2e67a98a16e1ad464c794a8ef45ebb229d7f
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\273\204\345\206\205\344\270\273\346\234\272\346\237\245\347\234\213.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\273\204\347\256\241\347\220\206\345\210\227\350\241\250.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\273\204\347\256\241\347\220\206\345\210\227\350\241\250.png"
new file mode 100644
index 0000000000000000000000000000000000000000..94c9b65719050b79d2cdb9d1e8f67c459925cda7
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\273\204\347\256\241\347\220\206\345\210\227\350\241\250.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\274\226\350\276\221\347\225\214\351\235\242.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\274\226\350\276\221\347\225\214\351\235\242.png"
new file mode 100644
index 0000000000000000000000000000000000000000..7e4f0da4e88da6f18495a4fb23bd400d0da0a8da
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\347\274\226\350\276\221\347\225\214\351\235\242.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\350\257\246\346\203\205.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\350\257\246\346\203\205.png"
new file mode 100644
index 0000000000000000000000000000000000000000..1ee8f7bb2456efe6318074f46f5008da355a2cb1
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\344\270\273\346\234\272\350\257\246\346\203\205.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\345\267\245\344\275\234\345\217\260.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\345\267\245\344\275\234\345\217\260.png"
new file mode 100644
index 0000000000000000000000000000000000000000..a916eebf306cca9ffa54f733143a0ac2c44313a4
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\345\267\245\344\275\234\345\217\260.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\211\271\351\207\217\346\267\273\345\212\240-\346\226\207\344\273\266\350\247\243\346\236\220.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\211\271\351\207\217\346\267\273\345\212\240-\346\226\207\344\273\266\350\247\243\346\236\220.png"
new file mode 100644
index 0000000000000000000000000000000000000000..31684136510cfe6248adf9b8cd086140ab5b26ef
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\211\271\351\207\217\346\267\273\345\212\240-\346\226\207\344\273\266\350\247\243\346\236\220.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\211\271\351\207\217\346\267\273\345\212\240-\346\267\273\345\212\240\347\273\223\346\236\234.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\211\271\351\207\217\346\267\273\345\212\240-\346\267\273\345\212\240\347\273\223\346\236\234.png"
new file mode 100644
index 0000000000000000000000000000000000000000..df3991eb16d32d9f2296fbb36873ff26bc82fa18
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\211\271\351\207\217\346\267\273\345\212\240-\346\267\273\345\212\240\347\273\223\346\236\234.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\211\271\351\207\217\346\267\273\345\212\240\344\270\273\346\234\272.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\211\271\351\207\217\346\267\273\345\212\240\344\270\273\346\234\272.png"
new file mode 100644
index 0000000000000000000000000000000000000000..c83daeeb5f8a4d9ab4f40e3debbe7a96f427ce74
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\211\271\351\207\217\346\267\273\345\212\240\344\270\273\346\234\272.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\214\207\346\240\207\346\263\242\345\275\242.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\214\207\346\240\207\346\263\242\345\275\242.png"
new file mode 100644
index 0000000000000000000000000000000000000000..5ab697c8f9c292097356a26140750f7f615c5d81
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\214\207\346\240\207\346\263\242\345\275\242.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\217\222\344\273\266\345\274\200\345\205\263.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\217\222\344\273\266\345\274\200\345\205\263.png"
new file mode 100644
index 0000000000000000000000000000000000000000..4bde1fd7330491fda6f4ed73a2be2e8c0bfabc8d
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\217\222\344\273\266\345\274\200\345\205\263.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\267\273\345\212\240\344\270\273\346\234\272\347\273\204.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\267\273\345\212\240\344\270\273\346\234\272\347\273\204.png"
new file mode 100644
index 0000000000000000000000000000000000000000..2890e4934ba903324ea134d3ebee85307665270e
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\346\267\273\345\212\240\344\270\273\346\234\272\347\273\204.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\347\231\273\351\231\206\347\225\214\351\235\242.png" "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\347\231\273\351\231\206\347\225\214\351\235\242.png"
new file mode 100644
index 0000000000000000000000000000000000000000..24f94c0a9ff05897b01786aa4bc8adfe4bc8db09
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\350\265\204\344\272\247\347\256\241\347\220\206/\347\231\273\351\231\206\347\225\214\351\235\242.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256web.png" "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256web.png"
deleted file mode 100644
index 721335115922e03f255e67e6b775c1ac0cfbbc50..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256web.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/chakanyuqi.png" "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/chakanyuqi.png"
new file mode 100644
index 0000000000000000000000000000000000000000..bbead6a91468d5dee570cfdc66faf9a4ab155d7c
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/chakanyuqi.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/chaxunshijipeizhi.png" "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/chaxunshijipeizhi.png"
new file mode 100644
index 0000000000000000000000000000000000000000..d5f6e450fc0e1e246492ca71a6fcd8db572eb469
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/chaxunshijipeizhi.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/chuangjianyewuyu.png" "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/chuangjianyewuyu.png"
new file mode 100644
index 0000000000000000000000000000000000000000..8849a2fc81dbd14328c6c66c53033164a0b67b52
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/chuangjianyewuyu.png" differ
diff --git a/docs/zh/docs/A-Ops/figures/conf_file_trace.png "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/conf_file_trace.png"
similarity index 100%
rename from docs/zh/docs/A-Ops/figures/conf_file_trace.png
rename to "docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/conf_file_trace.png"
diff --git a/docs/zh/docs/A-Ops/figures/peizhitongbu.png "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/peizhitongbu.png"
similarity index 100%
rename from docs/zh/docs/A-Ops/figures/peizhitongbu.png
rename to "docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/peizhitongbu.png"
diff --git "a/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/shanchupeizhi.png" "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/shanchupeizhi.png"
new file mode 100644
index 0000000000000000000000000000000000000000..cfea2eb44f7b8aa809404b8b49b4bd2e24172568
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/shanchupeizhi.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/tianjianode.png" "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/tianjianode.png"
new file mode 100644
index 0000000000000000000000000000000000000000..d68f5e12a62548f2ec59374bda9ab07f43b8b5cb
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/tianjianode.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/xinzengpeizhi.png" "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/xinzengpeizhi.png"
new file mode 100644
index 0000000000000000000000000000000000000000..18d71c2e099c19b5d28848eec6a8d11f29ccee27
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/xinzengpeizhi.png" differ
diff --git "a/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/zhuangtaichaxun.png" "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/zhuangtaichaxun.png"
new file mode 100644
index 0000000000000000000000000000000000000000..a3d0b3294bf6e0eeec50a2c2f8c5059bdc256376
Binary files /dev/null and "b/docs/zh/docs/A-Ops/figures/\351\205\215\347\275\256\346\272\257\346\272\220/zhuangtaichaxun.png" differ
diff --git "a/docs/zh/docs/A-Ops/gala-anteater\344\275\277\347\224\250\346\211\213\345\206\214.md" "b/docs/zh/docs/A-Ops/gala-anteater\344\275\277\347\224\250\346\211\213\345\206\214.md"
index 61b34c457baa792cae2fb9b70ed0b913da4c4d2c..b911fda30c39df6c45f8dd021bd0896b2a0da786 100644
--- "a/docs/zh/docs/A-Ops/gala-anteater\344\275\277\347\224\250\346\211\213\345\206\214.md"
+++ "b/docs/zh/docs/A-Ops/gala-anteater\344\275\277\347\224\250\346\211\213\345\206\214.md"
@@ -1,396 +1,396 @@
-# gala-anteater使用手册
-
-gala-anteater是一款基于AI的操作系统异常检测平台。主要提供时序数据预处理、异常点发现、异常上报等功能。基于线下预训练、线上模型的增量学习与模型更新,能够很好地适用于多维多模态数据故障诊断。
-
-本文主要介绍如何部署和使用gala-anteater服务。
-
-## 安装
-
-挂载repo源:
-
-```basic
-[everything]
-name=everything
-baseurl=http://121.36.84.172/dailybuild/EBS-openEuler-24.09/EBS-openEuler-24.09/everything/$basearch/
-enabled=1
-gpgcheck=0
-priority=1
-
-[EPOL]
-name=EPOL
-baseurl=http://repo.openeuler.org/openEuler-22.03-LTS-SP4/EPOL/main/$basearch/
-enabled=1
-gpgcheck=0
-priority=1
-
-```
-
-安装gala-anteater:
-
-```bash
-yum install gala-anteater
-```
-
-## 配置
-
->**说明:**
->
-> gala-anteater采用配置的config文件设置参数启动,配置文件位置: /etc/gala-anteater/config/gala-anteater.yaml。
-
-##### 配置文件默认参数
-
-```yaml
-Global:
- data_source: "prometheus"
-
-Arangodb:
- url: "http://localhost:8529"
- db_name: "spider"
-
-Kafka:
- server: "192.168.122.100"
- port: "9092"
- model_topic: "gala_anteater_hybrid_model"
- rca_topic: "gala_cause_inference"
- meta_topic: "gala_gopher_metadata"
- group_id: "gala_anteater_kafka"
- # auth_type: plaintext/sasl_plaintext, please set "" for no auth
- auth_type: ""
- username: ""
- password: ""
-
-Prometheus:
- server: "localhost"
- port: "9090"
- steps: "5"
-
-Aom:
- base_url: ""
- project_id: ""
- auth_type: "token"
- auth_info:
- iam_server: ""
- iam_domain: ""
- iam_user_name: ""
- iam_password: ""
- ssl_verify: 0
-
-Schedule:
- duration: 1
-
-```
-
-| 参数 | 含义 | 默认值 |
-| ----------- | --------------------------------------------------- | ---------------------------- |
-| Global | | |
-| data_source | 设置数据来源 | “prometheus” |
-| Arangodb | | |
-| url | 图数据库Arangodb的ip地址 | "http://localhost:8529" |
-| db_name | 图数据库名 | "spider" |
-| Kafka | | |
-| server | Kafka Server的ip地址,根据安装节点ip配置 | |
-| port | Kafka Server的port,如:9092 | |
-| model_topic | 故障检测结果上报topic | "gala_anteater_hybrid_model" |
-| rca_topic | 根因定位结果上报topic | "gala_cause_inference" |
-| meta_topic | gopher采集指标数据topic | "gala_gopher_metadata" |
-| group_id | kafka设置组名 | "gala_anteater_kafka" |
-| Prometheus | | |
-| server | Prometheus Server的ip地址,根据安装节点ip配置 | |
-| port | Prometheus Server的port,如:9090 | |
-| steps | 指标采样间隔 | |
-| Schedule | | |
-| duration | 异常检测模型执行频率(单位:分),每x分钟,检测一次 | 1 |
-
-## 启动
-
-执行如下命令启动gala-anteater
-
-```
-systemctl start gala-anteater
-```
-
->**说明:**
->
->gala-anteater支持启动一个进程实例,启动多个会导致内存占用过大,日志混乱。
-
-### 故障注入
-gala-anteater为故障检测与根因定位模块,测试阶段需要通过故障注入来构造故障,从而通过故障检测和根因定位模块获得故障节点信息和故障传播根因节点信息。
-* 故障注入(仅提供参考)
- ```bash
- chaosblade create disk burn --size 10 --read --write --path /var/lib/docker/overlay2/cf0a469be8a84cabe1d057216505f8d64735e9c63159e170743353a208f6c268/merged --timeout 120
-
- ```
- *chaosblade 为故障注入工具, 可以模拟各种故障, 包括但不限于磁盘故障、网络故障、IO故障等待。
- 备注: 通过注入不一样的故障, 指标采集器(例如 gala-gopher) 监控关联指标并上报到 promethues 模块, prometheus graph 指标图部分关联指标会存在明显波动。
-
-### 查询gala-anteater服务状态
-
-若日志显示如下内容,说明服务启动成功,启动日志也会保存到当前运行目录下`logs/anteater.log`文件中。
-
-```log
-2022-09-01 17:52:54,435 - root - INFO - Run gala_anteater main function...
-2022-09-01 17:52:54,436 - root - INFO - Start to try updating global configurations by querying data from Kafka!
-2022-09-01 17:52:54,994 - root - INFO - Loads metric and operators from file: xxx\metrics.csv
-2022-09-01 17:52:54,997 - root - INFO - Loads metric and operators from file: xxx\metrics.csv
-2022-09-01 17:52:54,998 - root - INFO - Start to re-train the model based on last day metrics dataset!
-2022-09-01 17:52:54,998 - root - INFO - Get training data during 2022-08-31 17:52:00+08:00 to 2022-09-01 17:52:00+08:00!
-2022-09-01 17:53:06,994 - root - INFO - Spends: 11.995422840118408 seconds to get unique machine_ids!
-2022-09-01 17:53:06,995 - root - INFO - The number of unique machine ids is: 1!
-2022-09-01 17:53:06,996 - root - INFO - Fetch metric values from machine: xxxx.
-2022-09-01 17:53:38,385 - root - INFO - Spends: 31.3896164894104 seconds to get get all metric values!
-2022-09-01 17:53:38,392 - root - INFO - The shape of training data: (17281, 136)
-2022-09-01 17:53:38,444 - root - INFO - Start to execute vae model training...
-2022-09-01 17:53:38,456 - root - INFO - Using cpu device
-2022-09-01 17:53:38,658 - root - INFO - Epoch(s): 0 train Loss: 136.68 validate Loss: 117.00
-2022-09-01 17:53:38,852 - root - INFO - Epoch(s): 1 train Loss: 113.73 validate Loss: 110.05
-2022-09-01 17:53:39,044 - root - INFO - Epoch(s): 2 train Loss: 110.60 validate Loss: 108.76
-2022-09-01 17:53:39,235 - root - INFO - Epoch(s): 3 train Loss: 109.39 validate Loss: 106.93
-2022-09-01 17:53:39,419 - root - INFO - Epoch(s): 4 train Loss: 106.48 validate Loss: 103.37
-...
-2022-09-01 17:53:57,744 - root - INFO - Epoch(s): 98 train Loss: 97.63 validate Loss: 96.76
-2022-09-01 17:53:57,945 - root - INFO - Epoch(s): 99 train Loss: 97.75 validate Loss: 96.58
-2022-09-01 17:53:57,969 - root - INFO - Schedule recurrent job with time interval 1 minute(s).
-2022-09-01 17:53:57,973 - apscheduler.scheduler - INFO - Adding job tentatively -- it will be properly scheduled when the scheduler starts
-2022-09-01 17:53:57,974 - apscheduler.scheduler - INFO - Added job "partial" to job store "default"
-2022-09-01 17:53:57,974 - apscheduler.scheduler - INFO - Scheduler started
-2022-09-01 17:53:57,975 - apscheduler.scheduler - DEBUG - Looking for jobs to run
-2022-09-01 17:53:57,975 - apscheduler.scheduler - DEBUG - Next wakeup is due at 2022-09-01 17:54:57.973533+08:00 (in 59.998006 seconds)
-```
-
-## 异常检测输出数据
-
-gala-anteater如果检测到异常点,会将结果输出至kafka的model_topic,输出数据格式如下:
-
-```json
-{
- "Timestamp":1659075600000,
- "Attributes":{
- "entity_id":"xxxxxx_sli_1513_18",
- "event_id":"1659075600000_1fd37742xxxx_sli_1513_18",
- "event_type":"app"
- },
- "Resource":{
- "anomaly_score":1.0,
- "anomaly_count":13,
- "total_count":13,
- "duration":60,
- "anomaly_ratio":1.0,
- "metric_label":{
- "machine_id":"1fd37742xxxx",
- "tgid":"1513",
- "conn_fd":"18"
- },
- "recommend_metrics":{
- "gala_gopher_tcp_link_notack_bytes":{
- "label":{
- "__name__":"gala_gopher_tcp_link_notack_bytes",
- "client_ip":"x.x.x.165",
- "client_port":"51352",
- "hostname":"localhost.localdomain",
- "instance":"x.x.x.172:8888",
- "job":"prometheus-x.x.x.172",
- "machine_id":"xxxxxx",
- "protocol":"2",
- "role":"0",
- "server_ip":"x.x.x.172",
- "server_port":"8888",
- "tgid":"3381701"
- },
- "score":0.24421279500639545
- },
- ...
- },
- "metrics":"gala_gopher_ksliprobe_recent_rtt_nsec"
- },
- "SeverityText":"WARN",
- "SeverityNumber":14,
- "Body":"TimeStamp, WARN, APP may be impacting sli performance issues."
-}
-```
-
-## 根因定位输出数据
-
-异常检测结果的每个异常节点都会触发根因定位,根因定位的结果会上报至kafka的rca_topic。输出数据格式如下:
-
-```yaml
-{
- "Timestamp": 1724287883452,
- "event_id": "1721125159975_475ae627-7e88-41ed-8bb8-ff0fee95a69d_l7_3459438_192.168.11.103_192.168.11.102_26_tcp_server_server_http",
- "Attributes": {
- "event_id": "1721125159975_475ae627-7e88-41ed-8bb8-ff0fee95a69d_l7_3459438_192.168.11.103_192.168.11.102_26_tcp_server_server_http",
- "event_source": "root-cause-inference"
- },
- "Resource": {
- "abnormal_kpi": {
- "metric_id": "gala_gopher_l7_latency_sum",
- "entity_id": "",
- "metric_labels": {
- "client_ip": "192.168.11.103",
- "comm": "python",
- "container_id": "83d0c2f4a7f4",
- "container_image": "ba2d060a624e",
- "container_name": "/k8s_backend_backend-node2-01-5bcb47fd7c-4jxxs_default_475ae627",
- "instance": "192.168.122.102:8888",
- "job": "192.168.122.102",
- "l4_role": "tcp_server",
- "l7_role": "server",
- "machine_id": "66086618-3bad-489e-b17d-05245224f29a-192.168.122.102",
- "pod": "default/backend-node2-01-5bcb47fd7c-4jxxs",
- "pod_id": "475ae627-7e88-41ed-8bb8-ff0fee95a69d",
- "pod_namespace": "default",
- "protocol": "http",
- "server_ip": "192.168.11.102",
- "server_port": "26",
- "ssl": "no_ssl",
- "tgid": "3459438"
- },
- "desc": "L7 session averaged latency.",
- "score": 0.3498585816683402
- },
- "cause_metrics": [
- {
- "metric_id": "gala_gopher_container_cpu_user_seconds_total@4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929",
- "entity_id": "",
- "metric_labels": {
- "container_id": "1319ff912a6f",
- "container_image": "ba2d060a624e",
- "container_name": "/k8s_backend_backend-node3-02-654dd97bf9-s8jg5_default_4a9fcc23",
- "instance": "192.168.122.103:8888",
- "job": "192.168.122.103",
- "machine_id": "494a61be-23cc-4c97-a871-902866e43747-192.168.122.103",
- "pod": "default/backend-node3-02-654dd97bf9-s8jg5",
- "pod_id": "4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929",
- "pod_namespace": "default"
- },
- "desc": "\u5bb9\u56681s\u5185\u7528\u6237\u6001CPU\u8d1f\u8f7d",
- "keyword": "process",
- "score": 0.1194249668036936,
- "path": [
- {
- "pod_id": "4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929",
- "pod": "default/backend-node3-02-654dd97bf9-s8jg5",
- "instance": "192.168.122.103:8888",
- "job": "192.168.122.103",
- "pod_state": "normal"
- },
- {
- "pod_id": "475ae627-7e88-41ed-8bb8-ff0fee95a69d",
- "pod": "default/backend-node2-01-5bcb47fd7c-4jxxs",
- "instance": "192.168.122.102:8888",
- "job": "192.168.122.102",
- "pod_state": "abnormal"
- }
- ]
- },
- {
- "metric_id": "gala_gopher_proc_wchar_bytes@67134fb4-b2a3-43c5-a5b3-b3b463ad7d43",
- "entity_id": "",
- "metric_labels": {
- "cmdline": "python ./backend.py ",
- "comm": "python",
- "container_id": "de570c7328bb",
- "container_image": "ba2d060a624e",
- "container_name": "/k8s_backend_backend-node2-02-548c79d989-bnl9g_default_67134fb4",
- "instance": "192.168.122.102:8888",
- "job": "192.168.122.102",
- "machine_id": "66086618-3bad-489e-b17d-05245224f29a-192.168.122.102",
- "pgid": "3459969",
- "pod": "default/backend-node2-02-548c79d989-bnl9g",
- "pod_id": "67134fb4-b2a3-43c5-a5b3-b3b463ad7d43",
- "pod_namespace": "default",
- "ppid": "3459936",
- "start_time": "1139543501",
- "tgid": "3459969"
- },
- "desc": "\u8fdb\u7a0b\u7cfb\u7edf\u8c03\u7528\u81f3FS\u7684\u5199\u5b57\u8282\u6570",
- "keyword": "process",
- "score": 0.37121879175399997,
- "path": [
- {
- "pod_id": "67134fb4-b2a3-43c5-a5b3-b3b463ad7d43",
- "pod": "default/backend-node2-02-548c79d989-bnl9g",
- "instance": "192.168.122.102:8888",
- "job": "192.168.122.102",
- "pod_state": "normal"
- },
- {
- "pod_id": "4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929",
- "pod": "default/backend-node3-02-654dd97bf9-s8jg5",
- "instance": "192.168.122.103:8888",
- "job": "192.168.122.103",
- "pod_state": "normal"
- },
- {
- "pod_id": "475ae627-7e88-41ed-8bb8-ff0fee95a69d",
- "pod": "default/backend-node2-01-5bcb47fd7c-4jxxs",
- "instance": "192.168.122.102:8888",
- "job": "192.168.122.102",
- "pod_state": "abnormal"
- }
- ]
- },
- {
- "metric_id": "gala_gopher_l7_latency_avg@956c70a2-9918-459c-a0a8-39396251f952",
- "entity_id": "",
- "metric_labels": {
- "client_ip": "192.168.11.103",
- "comm": "python",
- "container_id": "eef1ca1082a7",
- "container_image": "ba2d060a624e",
- "container_name": "/k8s_backend_backend-node2-03-584f4c6cfd-w4d2b_default_956c70a2",
- "instance": "192.168.122.102:8888",
- "job": "192.168.122.102",
- "l4_role": "tcp_server",
- "l7_role": "server",
- "machine_id": "66086618-3bad-489e-b17d-05245224f29a-192.168.122.102",
- "pod": "default/backend-node2-03-584f4c6cfd-w4d2b",
- "pod_id": "956c70a2-9918-459c-a0a8-39396251f952",
- "pod_namespace": "default",
- "protocol": "http",
- "server_ip": "192.168.11.113",
- "server_port": "26",
- "ssl": "no_ssl",
- "tgid": "3460169"
- },
- "desc": "L7 session averaged latency.",
- "keyword": null,
- "score": 0.5624857367147617,
- "path": [
- {
- "pod_id": "956c70a2-9918-459c-a0a8-39396251f952",
- "pod": "default/backend-node2-03-584f4c6cfd-w4d2b",
- "instance": "192.168.122.102:8888",
- "job": "192.168.122.102",
- "pod_state": "abnormal"
- },
- {
- "pod_id": "4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929",
- "pod": "default/backend-node3-02-654dd97bf9-s8jg5",
- "instance": "192.168.122.103:8888",
- "job": "192.168.122.103",
- "pod_state": "normal"
- },
- {
- "pod_id": "475ae627-7e88-41ed-8bb8-ff0fee95a69d",
- "pod": "default/backend-node2-01-5bcb47fd7c-4jxxs",
- "instance": "192.168.122.102:8888",
- "job": "192.168.122.102",
- "pod_state": "abnormal"
- }
- ]
- }
- ]
- },
- "desc": "L7 session averaged latency.",
- "top1": "gala_gopher_container_cpu_user_seconds_total@4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929\u5f02\u5e38",
- "top2": "gala_gopher_proc_wchar_bytes@67134fb4-b2a3-43c5-a5b3-b3b463ad7d43\u5f02\u5e38",
- "top3": "gala_gopher_l7_latency_avg@956c70a2-9918-459c-a0a8-39396251f952\u5f02\u5e38",
- "keywords": [
- "process",
- null
- ],
- "SeverityText": "WARN",
- "SeverityNumber": 13,
- "Body": "A cause inferring event for an abnormal event"
-}
+# gala-anteater使用手册
+
+gala-anteater是一款基于AI的操作系统异常检测平台。主要提供时序数据预处理、异常点发现、异常上报等功能。基于线下预训练、线上模型的增量学习与模型更新,能够很好地适用于多维多模态数据故障诊断。
+
+本文主要介绍如何部署和使用gala-anteater服务。
+
+## 安装
+
+挂载repo源:
+
+```basic
+[everything]
+name=everything
+baseurl=http://121.36.84.172/dailybuild/EBS-openEuler-24.09/EBS-openEuler-24.09/everything/$basearch/
+enabled=1
+gpgcheck=0
+priority=1
+
+[EPOL]
+name=EPOL
+baseurl=http://repo.openeuler.org/openEuler-22.03-LTS-SP4/EPOL/main/$basearch/
+enabled=1
+gpgcheck=0
+priority=1
+
+```
+
+安装gala-anteater:
+
+```bash
+yum install gala-anteater
+```
+
+## 配置
+
+>**说明:**
+>
+> gala-anteater采用配置的config文件设置参数启动,配置文件位置: /etc/gala-anteater/config/gala-anteater.yaml。
+
+##### 配置文件默认参数
+
+```yaml
+Global:
+ data_source: "prometheus"
+
+Arangodb:
+ url: "http://localhost:8529"
+ db_name: "spider"
+
+Kafka:
+ server: "192.168.122.100"
+ port: "9092"
+ model_topic: "gala_anteater_hybrid_model"
+ rca_topic: "gala_cause_inference"
+ meta_topic: "gala_gopher_metadata"
+ group_id: "gala_anteater_kafka"
+ # auth_type: plaintext/sasl_plaintext, please set "" for no auth
+ auth_type: ""
+ username: ""
+ password: ""
+
+Prometheus:
+ server: "localhost"
+ port: "9090"
+ steps: "5"
+
+Aom:
+ base_url: ""
+ project_id: ""
+ auth_type: "token"
+ auth_info:
+ iam_server: ""
+ iam_domain: ""
+ iam_user_name: ""
+ iam_password: ""
+ ssl_verify: 0
+
+Schedule:
+ duration: 1
+
+```
+
+| 参数 | 含义 | 默认值 |
+| ----------- | --------------------------------------------------- | ---------------------------- |
+| Global | | |
+| data_source | 设置数据来源 | “prometheus” |
+| Arangodb | | |
+| url | 图数据库Arangodb的ip地址 | "http://localhost:8529" |
+| db_name | 图数据库名 | "spider" |
+| Kafka | | |
+| server | Kafka Server的ip地址,根据安装节点ip配置 | |
+| port | Kafka Server的port,如:9092 | |
+| model_topic | 故障检测结果上报topic | "gala_anteater_hybrid_model" |
+| rca_topic | 根因定位结果上报topic | "gala_cause_inference" |
+| meta_topic | gopher采集指标数据topic | "gala_gopher_metadata" |
+| group_id | kafka设置组名 | "gala_anteater_kafka" |
+| Prometheus | | |
+| server | Prometheus Server的ip地址,根据安装节点ip配置 | |
+| port | Prometheus Server的port,如:9090 | |
+| steps | 指标采样间隔 | |
+| Schedule | | |
+| duration | 异常检测模型执行频率(单位:分),每x分钟,检测一次 | 1 |
+
+## 启动
+
+执行如下命令启动gala-anteater
+
+```
+systemctl start gala-anteater
+```
+
+>**说明:**
+>
+>gala-anteater支持启动一个进程实例,启动多个会导致内存占用过大,日志混乱。
+
+### 故障注入
+gala-anteater为故障检测与根因定位模块,测试阶段需要通过故障注入来构造故障,从而通过故障检测和根因定位模块获得故障节点信息和故障传播根因节点信息。
+* 故障注入(仅提供参考)
+ ```bash
+ chaosblade create disk burn --size 10 --read --write --path /var/lib/docker/overlay2/cf0a469be8a84cabe1d057216505f8d64735e9c63159e170743353a208f6c268/merged --timeout 120
+
+ ```
+ *chaosblade 为故障注入工具, 可以模拟各种故障, 包括但不限于磁盘故障、网络故障、IO故障等待。
+ 备注: 通过注入不一样的故障, 指标采集器(例如 gala-gopher) 监控关联指标并上报到 promethues 模块, prometheus graph 指标图部分关联指标会存在明显波动。
+
+### 查询gala-anteater服务状态
+
+若日志显示如下内容,说明服务启动成功,启动日志也会保存到当前运行目录下`logs/anteater.log`文件中。
+
+```log
+2022-09-01 17:52:54,435 - root - INFO - Run gala_anteater main function...
+2022-09-01 17:52:54,436 - root - INFO - Start to try updating global configurations by querying data from Kafka!
+2022-09-01 17:52:54,994 - root - INFO - Loads metric and operators from file: xxx\metrics.csv
+2022-09-01 17:52:54,997 - root - INFO - Loads metric and operators from file: xxx\metrics.csv
+2022-09-01 17:52:54,998 - root - INFO - Start to re-train the model based on last day metrics dataset!
+2022-09-01 17:52:54,998 - root - INFO - Get training data during 2022-08-31 17:52:00+08:00 to 2022-09-01 17:52:00+08:00!
+2022-09-01 17:53:06,994 - root - INFO - Spends: 11.995422840118408 seconds to get unique machine_ids!
+2022-09-01 17:53:06,995 - root - INFO - The number of unique machine ids is: 1!
+2022-09-01 17:53:06,996 - root - INFO - Fetch metric values from machine: xxxx.
+2022-09-01 17:53:38,385 - root - INFO - Spends: 31.3896164894104 seconds to get get all metric values!
+2022-09-01 17:53:38,392 - root - INFO - The shape of training data: (17281, 136)
+2022-09-01 17:53:38,444 - root - INFO - Start to execute vae model training...
+2022-09-01 17:53:38,456 - root - INFO - Using cpu device
+2022-09-01 17:53:38,658 - root - INFO - Epoch(s): 0 train Loss: 136.68 validate Loss: 117.00
+2022-09-01 17:53:38,852 - root - INFO - Epoch(s): 1 train Loss: 113.73 validate Loss: 110.05
+2022-09-01 17:53:39,044 - root - INFO - Epoch(s): 2 train Loss: 110.60 validate Loss: 108.76
+2022-09-01 17:53:39,235 - root - INFO - Epoch(s): 3 train Loss: 109.39 validate Loss: 106.93
+2022-09-01 17:53:39,419 - root - INFO - Epoch(s): 4 train Loss: 106.48 validate Loss: 103.37
+...
+2022-09-01 17:53:57,744 - root - INFO - Epoch(s): 98 train Loss: 97.63 validate Loss: 96.76
+2022-09-01 17:53:57,945 - root - INFO - Epoch(s): 99 train Loss: 97.75 validate Loss: 96.58
+2022-09-01 17:53:57,969 - root - INFO - Schedule recurrent job with time interval 1 minute(s).
+2022-09-01 17:53:57,973 - apscheduler.scheduler - INFO - Adding job tentatively -- it will be properly scheduled when the scheduler starts
+2022-09-01 17:53:57,974 - apscheduler.scheduler - INFO - Added job "partial" to job store "default"
+2022-09-01 17:53:57,974 - apscheduler.scheduler - INFO - Scheduler started
+2022-09-01 17:53:57,975 - apscheduler.scheduler - DEBUG - Looking for jobs to run
+2022-09-01 17:53:57,975 - apscheduler.scheduler - DEBUG - Next wakeup is due at 2022-09-01 17:54:57.973533+08:00 (in 59.998006 seconds)
+```
+
+## 异常检测输出数据
+
+gala-anteater如果检测到异常点,会将结果输出至kafka的model_topic,输出数据格式如下:
+
+```json
+{
+ "Timestamp":1659075600000,
+ "Attributes":{
+ "entity_id":"xxxxxx_sli_1513_18",
+ "event_id":"1659075600000_1fd37742xxxx_sli_1513_18",
+ "event_type":"app"
+ },
+ "Resource":{
+ "anomaly_score":1.0,
+ "anomaly_count":13,
+ "total_count":13,
+ "duration":60,
+ "anomaly_ratio":1.0,
+ "metric_label":{
+ "machine_id":"1fd37742xxxx",
+ "tgid":"1513",
+ "conn_fd":"18"
+ },
+ "recommend_metrics":{
+ "gala_gopher_tcp_link_notack_bytes":{
+ "label":{
+ "__name__":"gala_gopher_tcp_link_notack_bytes",
+ "client_ip":"x.x.x.165",
+ "client_port":"51352",
+ "hostname":"localhost.localdomain",
+ "instance":"x.x.x.172:8888",
+ "job":"prometheus-x.x.x.172",
+ "machine_id":"xxxxxx",
+ "protocol":"2",
+ "role":"0",
+ "server_ip":"x.x.x.172",
+ "server_port":"8888",
+ "tgid":"3381701"
+ },
+ "score":0.24421279500639545
+ },
+ ...
+ },
+ "metrics":"gala_gopher_ksliprobe_recent_rtt_nsec"
+ },
+ "SeverityText":"WARN",
+ "SeverityNumber":14,
+ "Body":"TimeStamp, WARN, APP may be impacting sli performance issues."
+}
+```
+
+## 根因定位输出数据
+
+异常检测结果的每个异常节点都会触发根因定位,根因定位的结果会上报至kafka的rca_topic。输出数据格式如下:
+
+```yaml
+{
+ "Timestamp": 1724287883452,
+ "event_id": "1721125159975_475ae627-7e88-41ed-8bb8-ff0fee95a69d_l7_3459438_192.168.11.103_192.168.11.102_26_tcp_server_server_http",
+ "Attributes": {
+ "event_id": "1721125159975_475ae627-7e88-41ed-8bb8-ff0fee95a69d_l7_3459438_192.168.11.103_192.168.11.102_26_tcp_server_server_http",
+ "event_source": "root-cause-inference"
+ },
+ "Resource": {
+ "abnormal_kpi": {
+ "metric_id": "gala_gopher_l7_latency_sum",
+ "entity_id": "",
+ "metric_labels": {
+ "client_ip": "192.168.11.103",
+ "comm": "python",
+ "container_id": "83d0c2f4a7f4",
+ "container_image": "ba2d060a624e",
+ "container_name": "/k8s_backend_backend-node2-01-5bcb47fd7c-4jxxs_default_475ae627",
+ "instance": "192.168.122.102:8888",
+ "job": "192.168.122.102",
+ "l4_role": "tcp_server",
+ "l7_role": "server",
+ "machine_id": "66086618-3bad-489e-b17d-05245224f29a-192.168.122.102",
+ "pod": "default/backend-node2-01-5bcb47fd7c-4jxxs",
+ "pod_id": "475ae627-7e88-41ed-8bb8-ff0fee95a69d",
+ "pod_namespace": "default",
+ "protocol": "http",
+ "server_ip": "192.168.11.102",
+ "server_port": "26",
+ "ssl": "no_ssl",
+ "tgid": "3459438"
+ },
+ "desc": "L7 session averaged latency.",
+ "score": 0.3498585816683402
+ },
+ "cause_metrics": [
+ {
+ "metric_id": "gala_gopher_container_cpu_user_seconds_total@4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929",
+ "entity_id": "",
+ "metric_labels": {
+ "container_id": "1319ff912a6f",
+ "container_image": "ba2d060a624e",
+ "container_name": "/k8s_backend_backend-node3-02-654dd97bf9-s8jg5_default_4a9fcc23",
+ "instance": "192.168.122.103:8888",
+ "job": "192.168.122.103",
+ "machine_id": "494a61be-23cc-4c97-a871-902866e43747-192.168.122.103",
+ "pod": "default/backend-node3-02-654dd97bf9-s8jg5",
+ "pod_id": "4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929",
+ "pod_namespace": "default"
+ },
+ "desc": "\u5bb9\u56681s\u5185\u7528\u6237\u6001CPU\u8d1f\u8f7d",
+ "keyword": "process",
+ "score": 0.1194249668036936,
+ "path": [
+ {
+ "pod_id": "4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929",
+ "pod": "default/backend-node3-02-654dd97bf9-s8jg5",
+ "instance": "192.168.122.103:8888",
+ "job": "192.168.122.103",
+ "pod_state": "normal"
+ },
+ {
+ "pod_id": "475ae627-7e88-41ed-8bb8-ff0fee95a69d",
+ "pod": "default/backend-node2-01-5bcb47fd7c-4jxxs",
+ "instance": "192.168.122.102:8888",
+ "job": "192.168.122.102",
+ "pod_state": "abnormal"
+ }
+ ]
+ },
+ {
+ "metric_id": "gala_gopher_proc_wchar_bytes@67134fb4-b2a3-43c5-a5b3-b3b463ad7d43",
+ "entity_id": "",
+ "metric_labels": {
+ "cmdline": "python ./backend.py ",
+ "comm": "python",
+ "container_id": "de570c7328bb",
+ "container_image": "ba2d060a624e",
+ "container_name": "/k8s_backend_backend-node2-02-548c79d989-bnl9g_default_67134fb4",
+ "instance": "192.168.122.102:8888",
+ "job": "192.168.122.102",
+ "machine_id": "66086618-3bad-489e-b17d-05245224f29a-192.168.122.102",
+ "pgid": "3459969",
+ "pod": "default/backend-node2-02-548c79d989-bnl9g",
+ "pod_id": "67134fb4-b2a3-43c5-a5b3-b3b463ad7d43",
+ "pod_namespace": "default",
+ "ppid": "3459936",
+ "start_time": "1139543501",
+ "tgid": "3459969"
+ },
+ "desc": "\u8fdb\u7a0b\u7cfb\u7edf\u8c03\u7528\u81f3FS\u7684\u5199\u5b57\u8282\u6570",
+ "keyword": "process",
+ "score": 0.37121879175399997,
+ "path": [
+ {
+ "pod_id": "67134fb4-b2a3-43c5-a5b3-b3b463ad7d43",
+ "pod": "default/backend-node2-02-548c79d989-bnl9g",
+ "instance": "192.168.122.102:8888",
+ "job": "192.168.122.102",
+ "pod_state": "normal"
+ },
+ {
+ "pod_id": "4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929",
+ "pod": "default/backend-node3-02-654dd97bf9-s8jg5",
+ "instance": "192.168.122.103:8888",
+ "job": "192.168.122.103",
+ "pod_state": "normal"
+ },
+ {
+ "pod_id": "475ae627-7e88-41ed-8bb8-ff0fee95a69d",
+ "pod": "default/backend-node2-01-5bcb47fd7c-4jxxs",
+ "instance": "192.168.122.102:8888",
+ "job": "192.168.122.102",
+ "pod_state": "abnormal"
+ }
+ ]
+ },
+ {
+ "metric_id": "gala_gopher_l7_latency_avg@956c70a2-9918-459c-a0a8-39396251f952",
+ "entity_id": "",
+ "metric_labels": {
+ "client_ip": "192.168.11.103",
+ "comm": "python",
+ "container_id": "eef1ca1082a7",
+ "container_image": "ba2d060a624e",
+ "container_name": "/k8s_backend_backend-node2-03-584f4c6cfd-w4d2b_default_956c70a2",
+ "instance": "192.168.122.102:8888",
+ "job": "192.168.122.102",
+ "l4_role": "tcp_server",
+ "l7_role": "server",
+ "machine_id": "66086618-3bad-489e-b17d-05245224f29a-192.168.122.102",
+ "pod": "default/backend-node2-03-584f4c6cfd-w4d2b",
+ "pod_id": "956c70a2-9918-459c-a0a8-39396251f952",
+ "pod_namespace": "default",
+ "protocol": "http",
+ "server_ip": "192.168.11.113",
+ "server_port": "26",
+ "ssl": "no_ssl",
+ "tgid": "3460169"
+ },
+ "desc": "L7 session averaged latency.",
+ "keyword": null,
+ "score": 0.5624857367147617,
+ "path": [
+ {
+ "pod_id": "956c70a2-9918-459c-a0a8-39396251f952",
+ "pod": "default/backend-node2-03-584f4c6cfd-w4d2b",
+ "instance": "192.168.122.102:8888",
+ "job": "192.168.122.102",
+ "pod_state": "abnormal"
+ },
+ {
+ "pod_id": "4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929",
+ "pod": "default/backend-node3-02-654dd97bf9-s8jg5",
+ "instance": "192.168.122.103:8888",
+ "job": "192.168.122.103",
+ "pod_state": "normal"
+ },
+ {
+ "pod_id": "475ae627-7e88-41ed-8bb8-ff0fee95a69d",
+ "pod": "default/backend-node2-01-5bcb47fd7c-4jxxs",
+ "instance": "192.168.122.102:8888",
+ "job": "192.168.122.102",
+ "pod_state": "abnormal"
+ }
+ ]
+ }
+ ]
+ },
+ "desc": "L7 session averaged latency.",
+ "top1": "gala_gopher_container_cpu_user_seconds_total@4a9fcc23-8ba2-4b0a-bcb0-b1bfd89ed929\u5f02\u5e38",
+ "top2": "gala_gopher_proc_wchar_bytes@67134fb4-b2a3-43c5-a5b3-b3b463ad7d43\u5f02\u5e38",
+ "top3": "gala_gopher_l7_latency_avg@956c70a2-9918-459c-a0a8-39396251f952\u5f02\u5e38",
+ "keywords": [
+ "process",
+ null
+ ],
+ "SeverityText": "WARN",
+ "SeverityNumber": 13,
+ "Body": "A cause inferring event for an abnormal event"
+}
```
\ No newline at end of file
diff --git "a/docs/zh/docs/A-Ops/gala-gopher\344\275\277\347\224\250\346\211\213\345\206\214.md" "b/docs/zh/docs/A-Ops/gala-gopher\344\275\277\347\224\250\346\211\213\345\206\214.md"
index 2702f9d0c282df86c5daf452a97189724674b3a4..b1bf569618e7fee40d78f46c1cec7b5013500dee 100644
--- "a/docs/zh/docs/A-Ops/gala-gopher\344\275\277\347\224\250\346\211\213\345\206\214.md"
+++ "b/docs/zh/docs/A-Ops/gala-gopher\344\275\277\347\224\250\346\211\213\345\206\214.md"
@@ -1,1164 +1,1164 @@
-# gala-gopher使用手册
-
-gala-gopher作为数据采集模块提供OS级的监控能力,支持动态加 /卸载探针,可无侵入式地集成第三方探针,快速扩展监控范围。
-
-本文介绍如何部署和使用gala-gopher服务。
-
-## 安装
-
-挂载repo源:
-
-```basic
-[oe-2309] # openEuler 2309 官方发布源
-name=oe2309
-baseurl=http://119.3.219.20:82/openEuler:/23.09/standard_x86_64
-enabled=1
-gpgcheck=0
-priority=1
-
-[oe-2309:Epol] # openEuler 2309:Epol 官方发布源
-name=oe2309_epol
-baseurl=http://119.3.219.20:82/openEuler:/23.09:/Epol/standard_x86_64/
-enabled=1
-gpgcheck=0
-priority=1
-```
-
-安装gala-gopher:
-
-```bash
-# yum install gala-gopher
-```
-
-## 配置
-
-### 配置介绍
-
-gala-gopher配置文件为`/opt/gala-gopher/gala-gopher.conf`,该文件配置项说明如下(省略无需用户配置的部分)。
-
-如下配置可以根据需要进行修改:
-
-- global:gala-gopher全局配置信息
- - log_file_name:gala-gopher日志文件名
- - log_level:gala-gopher日志级别(暂未开放此功能)
- - pin_path:ebpf探针共享map存放路径(建议维持默认配置)
-- metric:指标数据metrics输出方式配置
- - out_channel:metrics输出通道,支持配置web_server|logs|kafka,配置为空则输出通道关闭
- - kafka_topic:若输出通道为kafka,此为topic配置信息
-- event:异常事件event输出方式配置
- - out_channel:event输出通道,支持配置logs|kafka,配置为空则输出通道关闭
- - kafka_topic:若输出通道为kafka,此为topic配置信息
- - timeout:同一异常事件上报间隔设置
- - desc_language:异常事件描述信息语言选择,当前支持配置zh_CN|en_US
-- meta:元数据metadata输出方式配置
- - out_channel:metadata输出通道,支持logs|kafka,配置为空则输出通道关闭
- - kafka_topic:若输出通道为kafka,此为topic配置信息
-- ingress:探针数据上报相关配置
- - interval:暂未使用
-- egress:上报数据库相关配置
- - interval:暂未使用
- - time_range:暂未使用
-- imdb:cache缓存规格配置
- - max_tables_num:最大的cache表个数,/opt/gala-gopher/meta目录下每个meta对应一个表
- - max_records_num:每张cache表最大记录数,通常每个探针在一个观测周期内产生至少1条观测记录
- - max_metrics_num:每条观测记录包含的最大的metric指标个数
- - record_timeout:cache表老化时间,若cache表中某条记录超过该时间未刷新则删除记录,单位为秒
-- web_server:输出通道web_server配置
- - port:监听端口
-- rest_api_server
- - port:RestFul API监听端口
- - ssl_auth:设置RestFul API开启https加密以及鉴权,on为开启,off为不开启,建议用户在实际生产环境开启
- - private_key:用于RestFul API https加密的服务端私钥文件绝对路径,当ssl_auth为“on”必配
- - cert_file:用于RestFul API https加密的服务端证书绝对路径,当ssl_auth为“on”必配
- - ca_file:用于RestFul API对客户端进行鉴权的CA中心证书绝对路径,当ssl_auth为“on”必配
-- kafka:输出通道kafka配置
- - kafka_broker:kafka服务器的IP和port
- - batch_num_messages:每个批次发送的消息数量
- - compression_codec:消息压缩类型
- - queue_buffering_max_messages:生产者缓冲区中允许的最大消息数
- - queue_buffering_max_kbytes:生产者缓冲区中允许的最大字节数
- - queue_buffering_max_ms:生产者在发送批次之前等待更多消息加入的最大时间
-- logs:输出通道logs配置
- - metric_dir:metrics指标数据日志路径
- - event_dir:异常事件数据日志路径
- - meta_dir:metadata元数据日志路径
- - debug_dir:gala-gopher运行日志路径
-
-
-
-#### 配置文件示例
-
-- 配置选择数据输出通道:
-
- ```yaml
- metric =
- {
- out_channel = "web_server";
- kafka_topic = "gala_gopher";
- };
-
- event =
- {
- out_channel = "kafka";
- kafka_topic = "gala_gopher_event";
- };
-
- meta =
- {
- out_channel = "kafka";
- kafka_topic = "gala_gopher_metadata";
- };
- ```
-
-- 配置kafka和webServer:
-
- ```yaml
- web_server =
- {
- port = 8888;
- };
-
- kafka =
- {
- kafka_broker = ":9092";
- };
- ```
-### 启动
-
-配置完成后,执行如下命令启动gala-gopher。
-
-```bash
-# systemctl start gala-gopher.service
-```
-
-查询gala-gopher服务状态。
-
-```bash
-# systemctl status gala-gopher.service
-```
-
-若显示结果如下,说明服务启动成功。需要关注开启的探针是否已启动,如果探针线程不存在,请检查配置文件及gala-gopher运行日志文件。
-
-
-
-> 说明:gala-gopher部署和运行均需要root权限。
-
-### REST 动态配置接口
-
-WEB server端口可配置(缺省9999),URL组织方式 http://[gala-gopher所在节点ip]:[端口号]/[function(采集特性)],比如火焰图的URL:(以下文档均以火焰图举例)。
-
-#### 配置探针监控范围
-
-探针默认关闭,可以通过API动态开启、设置监控范围。以火焰图为例,通过REST分别开启oncpu/offcpu/mem火焰图能力。并且监控范围支持进程ID、进程名、容器ID、POD四个维度来设置。
-
-下面是火焰图同时开启oncpu, offcpu采集特性的API举例:
-
-```
-curl -X PUT http://localhost:9999/flamegraph --data-urlencode json='
-{
- "cmd": {
- "bin": "/opt/gala-gopher/extend_probes/stackprobe",
- "check_cmd": "",
- "probe": [
- "oncpu",
- "offcpu"
- ]
- },
- "snoopers": {
- "proc_id": [
- 101,
- 102
- ],
- "proc_name": [
- {
- "comm": "app1",
- "cmdline": "",
- "debugging_dir": ""
- },
- {
- "comm": "app2",
- "cmdline": "",
- "debugging_dir": ""
- }
- ],
- "pod_id": [
- "pod1",
- "pod2"
- ],
- "container_id": [
- "container1",
- "container2"
- ]
- }
-}'
-
-```
-
-全量采集特性说明如下:
-
-| 采集特性 | 采集特性说明 | 采集子项范围 | 监控对象 | 启动文件 | 启动条件 |
-| ------------- | ------------------------------------- | ------------------------------------------------------------ | ---------------------------------------- | ---------------------------------- | ------------------------- |
-| flamegraph | 在线性能火焰图观测能力 | oncpu, offcpu, mem | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/stackprobe | NA |
-| l7 | 应用7层协议观测能力 | l7_bytes_metrics、l7_rpc_metrics、l7_rpc_trace | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/l7probe | NA |
-| tcp | TCP异常、状态观测能力 | tcp_abnormal, tcp_rtt, tcp_windows, tcp_rate, tcp_srtt, tcp_sockbuf, tcp_stats,tcp_delay | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/tcpprobe | NA |
-| socket | Socket(TCP/UDP)异常观测能力 | tcp_socket, udp_socket | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/endpoint | NA |
-| io | Block层I/O观测能力 | io_trace, io_err, io_count, page_cache | NA | $gala-gopher-dir/ioprobe | NA |
-| proc | 进程系统调用、I/O、DNS、VFS等观测能力 | base_metrics, proc_syscall, proc_fs, proc_io, proc_dns,proc_pagecache | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/taskprobe | NA |
-| jvm | JVM层GC, 线程, 内存, 缓存等观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/jvmprobe | NA |
-| ksli | Redis性能SLI(访问时延)观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/ksliprobe | NA |
-| postgre_sli | PG DB性能SLI(访问时延)观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/pgsliprobe | NA |
-| opengauss_sli | openGauss访问吞吐量观测能力 | NA | [ip, port, dbname, user,password] | $gala-gopher-dir/pg_stat_probe.py | NA |
-| dnsmasq | DNS会话观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/rabbitmq_probe.sh | NA |
-| lvs | lvs会话观测能力 | NA | NA | $gala-gopher-dir/trace_lvs | lsmod\|grep ip_vs\| wc -l |
-| nginx | Nginx L4/L7层会话观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/nginx_probe | NA |
-| haproxy | Haproxy L4/7层会话观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/trace_haproxy | NA |
-| kafka | kafka 生产者/消费者topic观测能力 | NA | dev, port | $gala-gopher-dir/kafkaprobe | NA |
-| baseinfo | 系统基础信息 | cpu, mem, nic, disk, net, fs, proc,host | proc_id, proc_name, pod_id, container_id | system_infos | NA |
-| virt | 虚拟化管理信息 | NA | NA | virtualized_infos | NA |
-| tprofiling | 线程级性能profiling观测能力 | oncpu, syscall_file, syscall_net, syscall_lock, syscall_sched | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/tprofiling | NA |
-| container | 容器信息 | NA | proc_id, proc_name, container_id | $gala-gopher-dir/cadvisor_probe.py | NA |
-
-#### 配置探针运行参数
-
-探针在运行期间还需要设置一些参数设置,例如:设置火焰图的采样周期、上报周期。
-
-```
-curl -X PUT http://localhost:9999/flamegraph --data-urlencode json='
-{
- "params": {
- "report_period": 180,
- "sample_period": 180,
- "metrics_type": [
- "raw",
- "telemetry"
- ]
- }
-}'
-```
-
-详细参数运行参数如下:
-
-| 参数 | 含义 | 缺省值&范围 | 单位 | 支持的监控范围 | gala-gopher是否支持 |
-| ------------------ | ------------------------------------------------------ | ------------------------------------------------------------ | ------- | ------------------------ | ------------------- |
-| sample_period | 采样周期 | 5000, [100~10000] | ms | io, tcp | Y |
-| report_period | 上报周期 | 60, [5~600] | s | ALL | Y |
-| latency_thr | 时延上报门限 | 0, [10~100000] | ms | tcp, io, proc, ksli | Y |
-| offline_thr | 进程离线上报门限 | 0, [10~100000] | ms | proc | Y |
-| drops_thr | 丢包上送门限 | 0, [10~100000] | package | tcp, nic | Y |
-| res_lower_thr | 资源百分比下限 | 0%, [0%~100%] | percent | ALL | Y |
-| res_upper_thr | 资源百分比上限 | 0%, [0%~100%] | percent | ALL | Y |
-| report_event | 上报异常事件 | 0, [0, 1] | NA | ALL | Y |
-| metrics_type | 上报telemetry metrics | raw, [raw, telemetry] | NA | ALL | N |
-| env | 工作环境类型 | node, [node, container, kubenet] | NA | ALL | N |
-| report_source_port | 是否上报源端口 | 0, [0, 1] | NA | tcp | Y |
-| l7_protocol | L7层协议范围 | http, [http, pgsql, mysql, redis, kafka, mongo, rocketmq, dns] | NA | l7 | Y |
-| support_ssl | 支持SSL加密协议观测 | 0, [0, 1] | NA | l7 | Y |
-| multi_instance | 是否每个进程输出独立火焰图 | 0, [0, 1] | NA | flamegraph | Y |
-| native_stack | 是否显示本地语言堆栈(针对JAVA进程) | 0, [0, 1] | NA | flamegraph | Y |
-| cluster_ip_backend | 执行Cluster IP backend转换 | 0, [0, 1] | NA | tcp,l7 | Y |
-| pyroscope_server | 设置火焰图UI服务端地址 | localhost:4040 | NA | flamegraph | Y |
-| svg_period | 火焰图svg文件生成周期 | 180, [30, 600] | s | flamegraph | Y |
-| perf_sample_period | oncpu火焰图采集堆栈信息的周期 | 10, [10, 1000] | ms | flamegraph | Y |
-| svg_dir | 火焰图svg文件存储目录 | "/var/log/gala-gopher/stacktrace" | NA | flamegraph | Y |
-| flame_dir | 火焰图原始堆栈信息存储目录 | "/var/log/gala-gopher/flamegraph" | NA | flamegraph | Y |
-| dev_name | 观测的网卡/磁盘设备名 | "" | NA | io, kafka, ksli, postgre_sli,baseinfo, tcp | Y |
-| continuous_sampling | 是否持续采样 | 0, [0, 1] | NA | ksli | Y |
-| elf_path | 要观测的可执行文件的路径 | "" | NA | nginx, haproxy, dnsmasq | Y |
-| kafka_port | 要观测的kafka端口号 | 9092, [1, 65535] | NA | kafka | Y |
-| cadvisor_port | 启动的cadvisor端口号 | 8080, [1, 65535] | NA | cadvisor | Y |
-
-
-
-#### 启动、停止探针
-
-```
-curl -X PUT http://localhost:9999/flamegraph --data-urlencode json='
-{
- "state": "running" // optional: running,stopped
-}'
-```
-
-
-
-#### 约束与限制说明
-
-1. 接口为无状态形式,每次上传的设置为该探针的最终运行结果,包括状态、参数、监控范围。
-2. 监控对象可以任意组合,监控范围取合集。
-3. 启动文件必须真实有效。
-4. 采集特性可以按需开启全部/部分能力,关闭时只能整体关闭某个采集特性。
-5. opengauss监控对象是DB实例(IP/Port/dbname/user/password)。
-6. 接口每次最多接收2048长度的数据。
-
-
-
-#### 获取探针配置与运行状态
-
-```
-curl -X GET http://localhost:9999/flamegraph
-{
- "cmd": {
- "bin": "/opt/gala-gopher/extend_probes/stackprobe",
- "check_cmd": ""
- "probe": [
- "oncpu",
- "offcpu"
- ]
- },
- "snoopers": {
- "proc_id": [
- 101,
- 102
- ],
- "proc_name": [
- {
- "comm": "app1",
- "cmdline": "",
- "debugging_dir": ""
- },
- {
- "comm": "app2",
- "cmdline": "",
- "debugging_dir": ""
- }
- ],
- "pod_id": [
- "pod1",
- "pod2"
- ],
- "container_id": [
- "container1",
- "container2"
- ]
- },
- "params": {
- "report_period": 180,
- "sample_period": 180,
- "metrics_type": [
- "raw",
- "telemetry"
- ]
- },
- "state": "running"
-}
-```
-
-## stackprobe 介绍
-
-适用于云原生环境的性能火焰图。
-
-### 特性
-
-- 支持观测C/C++、Go、Rust、Java语言应用。
-
-- 调用栈支持容器、进程粒度:对于容器内进程,在调用栈底部分别以[Pod]和[Con]前缀标记工作负载Pod名称、容器Container名称。进程名以[]前缀标识,线程及函数(方法)无前缀。
-
-- 支持本地生成svg格式火焰图或上传调用栈数据到中间件。
-
-- 支持依照进程粒度多实例生成/上传火焰图。
-
-- 对于Java进程的火焰图,支持同时显示本地方法和Java方法。
-
-- 支持oncpu/offcpu/mem等多类型火焰图。
-
-- 支持自定义采样周期。
-
-### 使用说明
-
-启动命令示例(基本):使用默认参数启动性能火焰图。
-
-```shell
-curl -X PUT http://localhost:9999/flamegraph -d json='{ "cmd": {"probe": ["oncpu"] }, "snoopers": {"proc_name": [{ "comm": "cadvisor"}] }, "state": "running"}'
-```
-
-启动命令示例(进阶):使用自定义参数启动性能火焰图。完整可配置参数列表参见[配置探针运行参数](#配置探针运行参数)。
-
-```shell
-curl -X PUT http://localhost:9999/flamegraph -d json='{ "cmd": { "check_cmd": "", "probe": ["oncpu", "offcpu", "mem"] }, "snoopers": { "proc_name": [{ "comm": "cadvisor", "cmdline": "", "debugging_dir": "" }, { "comm": "java", "cmdline": "", "debugging_dir": "" }] }, "params": { "perf_sample_period": 100, "svg_period": 300, "svg_dir": "/var/log/gala-gopher/stacktrace", "flame_dir": "/var/log/gala-gopher/flamegraph", "pyroscope_server": "localhost:4040", "multi_instance": 1, "native_stack": 0 }, "state": "running"}'
-```
-
-下面说明主要配置项:
-
-- 设置开启的火焰图类型
-
- 通过probe参数设置,参数值为`oncpu`,`offcpu`,`mem`,分别代表进程cpu占用时间,进程被阻塞时间,进程申请内存大小的统计。
-
- 示例:
-
- ` "probe": ["oncpu", "offcpu", "mem"]`
-
-- 设置生成本地火焰图svg文件的周期
-
- 通过svg_period参数设置,单位为秒,默认值180,可选设置范围为[30, 600]的整数。
-
- 示例:
-
- `"svg_period": 300`
-
-- 开启/关闭堆栈信息上传到pyroscope
-
- 通过pyroscope_server参数设置,参数值需要包含addr和port,参数为空或格式错误则探针不会尝试上传堆栈信息。
-
- 上传周期30s。
-
- 示例:
-
- `"pyroscope_server": "localhost:4040"`
-
-- 设置调用栈采样周期
-
- 通过perf_sample_period设置,单位为毫秒,默认值10,可选设置范围为[10, 1000]的整数,此参数仅对oncpu类型的火焰图有效。
-
- 示例:
-
- `"perf_sample_period": 100`
-
-- 开启/关闭多实例生成火焰图
-
- 通过multi_instance设置,参数值为0或1,默认值为0。值为0表示所有进程的火焰图会合并在一起,值为1表示分开生成每个进程的火焰图。
-
- 示例:
-
- `"multi_instance": 1`
-
-- 开启/关闭本地调用栈采集
-
- 通过native_stack设置,参数值为0或1,默认值为0。此参数仅对JAVA进程有效。值为0表示不采集JVM自身的调用栈,值为1表示采集JVM自身的调用栈。
-
- 示例:
-
- `"native_stack": 1`
-
- 显示效果:(左"native_stack": 1,右"native_stack": 0)
-
- 
-
-
-
-
-### 实现方案
-
-#### 1. 用户态程序逻辑
-
-周期性地(30s)根据符号表将内核态上报的堆栈信息从地址转换为符号。然后使用flamegraph插件或pyroscope将符号化的调用栈转换为火焰图。
-
-其中,对于代码段类型获取符号表的方法不同。
-
-- 内核符号表获取:读取/proc/kallsyms。
-
-- 本地语言符号表获取:查询进程的虚拟内存映射文件(/proc/{pid}/maps),获取进程内存中各个代码段的地址映射,然后利用libelf库加载每个代码段对应模块的符号表。
-
-- Java语言符号表获取:
-
- 由于 Java 方法没有静态映射到进程的虚拟地址空间,因此我们采用其他方式获取符号化的Java调用栈。
-
- ##### 方式一:perf观测
-
- 通过往Java进程加载JVM agent动态库来跟踪JVM的方法编译加载事件,获取并记录内存地址到Java符号的映射,从而实时生成Java进程的符号表。这种方法需要Java进程开启-XX:+PreserveFramePointer启动参数。本方式的优点是火焰图中可显示JVM自身的调用栈,而且这种方式生成的Java火焰图可以和其他进程的火焰图合并显示。
-
- ##### 方式二:JFR观测
-
- 通过动态开启JVM内置分析器JFR来跟踪Java应用程序的各种事件和指标。开启JFR的方式为往Java进程加载Java agent,Java agent中会调用JFR API。本方式的优点是对Java方法调用栈的采集会更加准确详尽。
-
- 上述两种针对Java进程的性能分析方法都可以实时加载(不需要重启Java进程)且具有低底噪的优点。当stackprobe的启动参数为"multi_instance": 1且"native_stack": 0时,stackprobe会使用方法二生成Java进程火焰图,否则会使用方法一。
-
-#### 2. 内核态程序逻辑
-
-内核态基于eBPF实现。不同火焰图类型对应不同的eBPF程序。eBPF程序会周期性地或通过事件触发的方式遍历当前用户态和内核态的调用栈,并上报用户态。
-
-##### 2.1 oncpu火焰图:
-
-在perf SW事件PERF_COUNT_SW_CPU_CLOCK上挂载采样eBPF程序,周期性采样调用栈。
-
-##### 2.2 offcpu火焰图:
-
-在进程调度的tracepoint(sched_switch)上挂载采样eBPF程序,采样eBPF程序中记录进程被调度出去时间和进程id,在进程被调度回来时采样调用栈。
-
-#### 2.3 mem火焰图:
-
-在缺页异常的tracepoint(page_fault_user)上挂载采样eBPF程序,事件触发时采样调用栈。
-
-#### 3. Java语言支持:
-
-- stackprobe主进程:
-
- 1. 接收到ipc消息获取要观测的Java进程。
- 2. 使用Java代理加载模块向待观测的Java进程加载JVM代理程序:jvm_agent.so(对应[方式一](#方式一perf观测))或JstackProbeAgent.jar(对应[方式二](#方式二jfr观测))。
- 3. 方式一主进程会加载对应java进程的java-symbols.bin文件,供地址转换符号时查询。方式二主进程会加载对应java进程的stacks-{flame_type}.txt文件,可直接供火焰图生成。
-
-- Java代理加载模块
-
- 1. 发现新增java进程则将JVM代理程序复制到该进程空间下/proc/\/root/tmp(因为attach时容器内JVM需要可见此代理程序)。
-
- 2. 设置上述目录和JVM代理程序的owner和被观测java进程一致。
- 3. 启动jvm_attach子进程,并传入被观测java进程相关参数。
-
-- JVM代理程序
-
- - jvm_agent.so:注册JVMTI回调函数
-
- 当JVM加载一个Java方法或者动态编译一个本地方法时JVM会调用回调函数,回调函数会将java类名和方法名以及对应的内存地址写入到被观测java进程空间下(/proc/\/root/tmp/java-data-\/java-symbols.bin)。
-
- - JstackProbeAgent.jar:调用JFR API
-
- 开启持续30s的JFR功能,并转换JFR统计结果为火焰图可用的堆栈格式,结果输出到到被观测java进程空间下(/proc/\/root/tmp/java-data-\/stacks-\.txt)。详见[JstackProbe简介](https://gitee.com/openeuler/gala-gopher/blob/dev/src/probes/extends/java.probe/jstack.probe/readme.md)。
-
-- jvm_attach:用于实时加载JVM代理程序到被观测进程的JVM上
- (参考jdk源码中sun.tools.attach.LinuxVirtualMachine和jattach工具)。
-
- 1. 设置自身的namespace(JVM加载agent时要求加载进程和被观测进程的namespace一致)。
-
- 2. 检查JVM attach listener是否启动(是否存在UNIX socket文件:/proc/\/root/tmp/.java_pid\)。
-
- 3. 未启动则创建/proc/\/cwd/.attach_pid\,并发送SIGQUIT信号给JVM。
-
- 4. 连接UNIX socket。
-
- 5. 读取响应为0表示attach成功。
-
- attach agent流程图示:
-
- 
-
-
-
-
-### 注意事项
-
-- 对于Java应用的观测,为获取最佳观测效果,请设置stackprobe启动选项为"multi_instance": 1, "native_stack": 0来使能JFR观测(JDK8u262+)。否则stackprobe会以perf方式来生成Java火焰图。perf方式下,请开启JVM选项XX:+PreserveFramePointer(JDK8以上)。
-
-### 约束条件
-
-- 支持基于hotspot JVM的Java应用观测。
-
-
-## tprofiling 介绍
-
-tprofiling 是 gala-gopher 提供的一个基于 ebpf 的线程级应用性能诊断工具,它使用 ebpf 技术观测线程的关键系统性能事件,并关联丰富的事件内容,从而实时地记录线程的运行状态和关键行为,帮助用户快速识别应用性能问题。
-
-### 功能特性
-
-从操作系统的视角来看,一个运行的应用程序是由多个进程组成,每个进程是由多个运行的线程组成。tprofiling 通过观测这些线程运行过程中执行的一些关键行为(后面称之为**事件**)并记录下来,然后在前端界面以时间线的方式进行展示,进而就可以很直观地分析这些线程在某段时间内正在做什么,是在 CPU 上执行还是阻塞在某个文件、网络操作上。当应用程序出现性能问题时,通过分析对应线程的关键性能事件的执行序列,快速地进行定界定位。
-
-基于当前已实现的事件观测范围, tprofiling 能够定位的应用性能问题场景主要包括:
-
-- 文件 I/O 耗时、阻塞问题
-- 网络 I/O 耗时、阻塞问题
-- 锁竞争问题
-- 死锁问题
-
-随着更多类型的事件不断地补充和完善,tprofiling 将能够覆盖更多类型的应用性能问题场景。
-
-### 事件观测范围
-
-tprofiling 当前支持的系统性能事件包括两大类:系统调用事件和 oncpu 事件。
-
-**系统调用事件**
-
-应用性能问题通常是由于系统资源出现瓶颈导致,比如 CPU 资源占用过高、I/O 资源等待。应用程序往往通过系统调用访问这些系统资源,因此可以对关键的系统调用事件进行观测来识别耗时、阻塞的资源访问操作。
-
-tprofiling 当前已观测的系统调用事件参见章节: [支持的系统调用事件](#支持的系统调用事件) ,大致分为几个类型:文件操作(file)、网络操作(net)、锁操作(lock)和调度操作(sched)。下面列出部分已观测的系统调用事件:
-
-- 文件操作(file)
- - read/write:读写磁盘文件或网络,可能会耗时、阻塞。
- - sync/fsync:对文件进行同步刷盘操作,完成前线程会阻塞。
-- 网络操作(net)
- - send/recv:读写网络,可能会耗时、阻塞。
-- 锁操作(lock)
- - futex:用户态锁实现相关的系统调用,触发 futex 往往意味出现锁竞争,线程可能进入阻塞状态。
-- 调度操作(sched):这里泛指那些可能会引起线程状态变化的系统调用事件,如线程让出 cpu 、睡眠、或等待其他线程等。
- - nanosleep:线程进入睡眠状态。
- - epoll_wait:等待 I/O 事件到达,事件到达之前线程会阻塞。
-
-**oncpu 事件**
-
-此外,根据线程是否在 CPU 上运行可以将线程的运行状态分为两种:oncpu 和 offcpu ,前者表示线程正在 CPU 上运行,后者表示线程不在 CPU 上运行。通过观测线程的 oncpu 事件,可以识别线程是否正在执行耗时的 cpu 操作。
-
-### 事件内容
-
-线程 profiling 事件主要包括以下几部分内容。
-
-- 事件来源信息:包括事件所属的线程ID、线程名、进程ID、进程名、容器ID、容器名、主机ID、主机名等信息。
-
- - `thread.pid`:事件所属的线程ID。
- - `thread.comm`:事件所属的线程名。
- - `thread.tgid`:事件所属的进程ID。
- - `proc.name`:事件所属的进程名。
- - `container.id`:事件所属的容器ID。
- - `container.name`:事件所属的容器名。
- - `host.id`:事件所属的主机ID。
- - `host.name`:事件所属的主机名。
-
-- 事件属性信息:包括公共的事件属性和扩展的事件属性。
-
- - 公共的事件属性:包括事件名、事件类型、事件开始时间、事件结束时间、事件执行时间等。
-
- - `event.name`:事件名。
- - `event.type`:事件类型,目前支持 oncpu、file、net、lock、sched 五种。
- - `start_time`:事件开始时间,聚合事件中第一个事件的开始时间,关于聚合事件的说明参见章节:[聚合事件](#聚合事件) 。
- - `end_time`:事件结束时间,聚合事件中最后一个事件的结束时间。
- - `duration`:事件执行时间,值为(end_time - start_time)。
- - `count`:事件聚合数量。
-
- - 扩展的事件属性:针对不同的系统调用事件,补充更加丰富的事件内容。如 read/write 文件或网络时,提供文件路径、网络连接以及函数调用栈等信息。
-
- - `func.stack`:事件的函数调用栈信息。
- - `file.path`:文件类事件的文件路径信息。
- - `sock.conn`:网络类事件的tcp连接信息。
- - `futex.op`:futex系统调用事件的操作类型,取值为 wait 或 wake 。
-
- 不同事件类型支持的扩展事件属性的详细情况参见章节:[支持的系统调用事件](#支持的系统调用事件) 。
-
-### 事件输出
-
-tprofiling 作为 gala-gopher 提供的一个扩展的 ebpf 探针程序,产生的系统事件会发送至 gala-gopher 处理,并由 gala-gopher 按照开源的 openTelemetry 事件格式对外输出,并通过 json 格式发送到 kafka 消息队列中。前端可以通过对接 kafka 消费 tprofiling 事件。
-
-下面是线程 profiling 事件的一个输出示例:
-
-```json
-{
- "Timestamp": 1661088145000,
- "SeverityText": "INFO",
- "SeverityNumber": 9,
- "Body": "",
- "Resource": {
- "host.id": "",
- "host.name": "",
- "thread.pid": 10,
- "thread.tgid": 10,
- "thread.comm": "java",
- "proc.name": "xxx.jar",
- "container.id": "",
- "container.name": "",
- },
- "Attributes": {
- values: [
- {
- // common info
- "event.name": "read",
- "event.type": "file",
- "start_time": 1661088145000,
- "end_time": 1661088146000,
- "duration": 0.1,
- "count": 1,
- // extend info
- "func.stack": "read;",
- "file.path": "/test.txt"
- },
- {
- "event.name": "oncpu",
- "event.type": "oncpu",
- "start_time": 1661088146000,
- "end_time": 1661088147000,
- "duration": 0.1,
- "count": 1,
- }
- ]
- }
-}
-```
-
-部分字段说明:
-
-- `Timestamp`:事件上报的事件点。
-- `Resource`:包括事件来源信息。
-- `Attributes`:包括事件属性信息,它包含一个 `values` 列表字段,列表中的每一项表示一个属于相同来源的 tprofiling 事件,其中包含该事件的属性信息。
-
-### 快速开始
-
-#### 安装部署
-
-tprofiling 是 gala-gopher 提供的一个扩展的 ebpf 探针程序,因此,需要先安装部署好 gala-gopher 软件,然后再开启 tprofiling 功能。
-
-另外,为了能够在前端用户界面使用 tprofiling 的能力,[gala-ops](https://gitee.com/openeuler/gala-docs) 基于开源的 `kafka + logstash + elasticsearch + grafana` 可观测软件搭建了用于演示的 tprofiling 功能的用户界面,用户可以使用 gala-ops 提供的部署工具进行快速部署。
-
-#### 运行架构
-
-
-
-前端软件说明:
-
-- kafka:一个开源的消息队列中间件,用于接收并存储 gala-gopher 采集的 tprofiling 事件。
-- logstash:一个实时的开源日志收集引擎,用于从 kafka 消费 tprofiling 事件,经过过滤、转换等处理后发送至 elasticsearch 。
-- elasticsearch:一个开放的分布式搜索和分析引擎,用于储存经过处理后的 tprofiling 事件,供 grafana 查询和可视化展示。
-- grafana:一个开源的可视化工具,用于查询并可视化展示采集的 tprofiling 事件。用户最终通过 grafana 提供的用户界面来使用 tprofiling 的功能,分析应用性能问题。
-
-#### 部署 tprofiling 探针
-
-用户需要先安装好 gala-gopher,具体的安装部署说明可参考 [gala-gopher文档](https://gitee.com/openeuler/gala-gopher#快速开始) 。由于 tprofiling 事件会发送到 kafka 中,因此部署时需要配置好 kafka 的服务地址。
-
-安装并运行 gala-gopher 后,使用 gala-gopher 提供的基于 HTTP 的动态配置接口启动 tprofiling 探针。
-
-```sh
-curl -X PUT http://:9999/tprofiling -d json='{"cmd": {"probe": ["oncpu", "syscall_file", "syscall_net", "syscall_sched", "syscall_lock"]}, "snoopers": {"proc_name": [{"comm": "java"}]}, "state": "running"}'
-```
-
-配置参数说明:
-
-- ``:部署 gala-gopher 的节点 IP。
-- `probe`:`cmd` 下的 `probe` 配置项指定了 tprofiling 探针观测的系统事件范围。其中,oncpu、syscall_file、syscall_net、syscall_sched、syscall_lock 分别对应 oncpu 事件、以及 file、net、sched、lock 四类系统调用事件。用户可根据需要只开启部分 tprofiling 事件类型的观测。
-- `proc_name`:`snoopers` 下的 `proc_name` 配置项用于过滤要观测的进程名。另外也可以通过 `proc_id` 配置项来过滤要观测的进程ID,详情参考:[REST 动态配置接口](#rest-动态配置接口)。
-
-要关闭 tprofiling 探针,执行如下命令:
-
-```sh
-curl -X PUT http://:9999/tprofiling -d json='{"state": "stopped"}'
-```
-
-#### 部署前端软件
-
-使用 tprofiling 功能的用户界面需要用到的软件包括:kafka、logstash、elasticsearch、grafana。这些软件安装在管理节点,用户可以使用 gala-ops 提供的部署工具进行快速安装部署,参考:[在线部署文档](https://gitee.com/openeuler/gala-docs#%E5%9C%A8%E7%BA%BF%E9%83%A8%E7%BD%B2)。
-
-在管理节点上,通过 [在线部署文档](https://gitee.com/openeuler/gala-docs#%E5%9C%A8%E7%BA%BF%E9%83%A8%E7%BD%B2) 获取部署脚本后,执行如下命令一键安装中间件:kafka、logstash、elasticsearch。
-
-```sh
-sh deploy.sh middleware -K <部署节点管理IP> -E <部署节点管理IP> -A -p
-```
-
-执行如下命令一键安装 grafana 。
-
-```sh
-sh deploy.sh grafana -P -E
-```
-
-#### 使用
-
-完成上述部署动作后,即可通过浏览器访问 `http://[部署节点管理IP]:3000` 登录 grafana 来使用 A-Ops,登录用户名、密码默认均为 admin。
-
-登录 grafana 界面后,找到名为 `ThreadProfiling` 的 dashboard。
-
-
-
-点击进入 tprofiling 功能的前端界面,接下来就可以探索 tprofiling 的功能了。
-
-
-
-### 使用案例
-
-#### 案例1:死锁问题定位
-
-
-
-上图是一个死锁 Demo 进程的线程 profiling 运行结果,从饼图中进程事件执行时间的统计结果可以看到,这段时间内 lock 类型事件(灰色部分)占比比较高。下半部分是整个进程的线程 profiling 展示结果,纵轴展示了进程内不同线程的 profiling 事件的执行序列。其中,线程 `java` 为主线程一直处于阻塞状态,业务线程 `LockThd1` 和 `LockThd2` 在执行一些 oncpu 事件和 file 类事件后会间歇性的同时执行一段长时间的 lock 类事件。将光标悬浮到 lock 类型事件上可以查看事件内容,(如下图所示)它触发了 futex 系统调用事件,执行时间为 60 秒。
-
-
-
-基于上述观测,我们可以发现业务线程 `LockThd1` 和 `LockThd2` 可能存在异常行为。接下来,我们可以进入线程视图,查看这两个业务线程 `LockThd1` 和 `LockThd2` 的线程 profiling 结果。
-
-
-
-上图是每个线程的 profiling 结果展示,纵轴展示线程内不同事件类型的执行序列。从图中可以看到,线程 `LockThd1` 和 `LockThd2` 正常情况下会定期执行 oncpu 事件,其中包括执行一些 file 类事件和 lock 类事件。但是在某个时间点(10:17:00附近)它们会同时执行一个长时间的 lock 类型的 futex 事件,而且这段时间内都没有 oncpu 事件发生,说明它们都进入了阻塞状态。futex 是用户态锁实现相关的系统调用,触发 futex 往往意味出现锁竞争,线程可能进入阻塞状态。
-
-基于上述分析,线程 `LockThd1` 和 `LockThd2` 很可能是出现了死锁问题。
-
-#### 案例2:锁竞争问题定位
-
-
-
-上图是一个锁竞争 Demo 进程的线程 profiling 运行结果。从图中可以看到,该进程在这段时间内主要执行了 lock、net、oncpu 三类事件,该进程包括 3 个运行的业务线程。在11:05:45 - 11:06:45 这段时间内,我们发现这 3 个业务线程的事件执行时间都变得很长了,这里面可能存在性能问题。同样,我们进入线程视图,查看每个线程的线程 profiling 结果,同时我们将时间范围缩小到可能有异常的时间点附近。
-
-
-
-通过查看每个线程的事件执行序列,可以大致了解每个线程这段时间在执行什么功能。
-
-- 线程 CompeteThd1:每隔一段时间触发短时的 oncpu 事件,执行一次计算任务;但是在 11:05:45 时间点附近开始触发长时的 oncpu 事件,说明正在执行耗时的计算任务。
-
- 
-
-- 线程 CompeteThd2:每隔一段时间触发短时的 net 类事件,点击事件内容可以看到,该线程正在通过 write 系统调用发送网络消息,且可以看到对应的 tcp 连接信息;同样在 11:05:45 时间点附近开始执行长时的 futex 事件并进入阻塞状态,此时 write 网络事件的执行间隔变长了。
-
- 
-
- 
-
-- 线程 tcp-server:tcp 服务器,不断通过 read 系统调用读取客户端发送的请求;同样在 11:05:45 时间点附近开始,read 事件执行时间变长,说明此时正在等待接收网络请求。
-
- 
-
-基于上述分析,我们可以发现,每当线程 CompeteThd1 在执行耗时较长的 oncpu 操作时,线程 CompeteThd2 都会调用 futex 系统调用进入阻塞状态,一旦线程 CompeteThd1 完成 oncpu 操作时,线程 CompeteThd2 将获取 cpu 并执行网络 write 操作。因此,大概率是因为线程 CompeteThd1 和线程 CompeteThd2 之间存在锁竞争的问题。而线程 tcp-server 与线程 CompeteThd2 之间存在 tcp 网络通信,由于线程 CompeteThd2 等待锁资源无法发送网络请求,从而导致线程 tcp-server 大部分时间都在等待 read 网络请求。
-
-
-### topics
-
-#### 支持的系统调用事件
-
-选择需要加入观测的系统调用事件的基本原则为:
-
-1. 选择可能会比较耗时、阻塞的事件(如文件操作、网络操作、锁操作等),这类事件通常涉及对系统资源的访问。
-2. 选择影响线程运行状态的事件。
-
-| 事件名/系统调用名 | 描述 | 默认的事件类型 | 扩展的事件内容 |
-| ----------------- | ----------------------------------------------------- | -------------- | -------------------------------- |
-| read | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
-| write | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
-| readv | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
-| writev | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
-| preadv | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
-| pwritev | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
-| sync | 对文件进行同步刷盘操作,完成前线程会阻塞 | file | func.stack |
-| fsync | 对文件进行同步刷盘操作,完成前线程会阻塞 | file | file.path, sock.conn, func.stack |
-| fdatasync | 对文件进行同步刷盘操作,完成前线程会阻塞 | file | file.path, sock.conn, func.stack |
-| sched_yield | 线程主动让出 CPU 重新进行调度 | sched | func.stack |
-| nanosleep | 线程进入睡眠状态 | sched | func.stack |
-| clock_nanosleep | 线程进入睡眠状态 | sched | func.stack |
-| wait4 | 线程阻塞 | sched | func.stack |
-| waitpid | 线程阻塞 | sched | func.stack |
-| select | 无事件到达时线程会阻塞等待 | sched | func.stack |
-| pselect6 | 无事件到达时线程会阻塞等待 | sched | func.stack |
-| poll | 无事件到达时线程会阻塞等待 | sched | func.stack |
-| ppoll | 无事件到达时线程会阻塞等待 | sched | func.stack |
-| epoll_wait | 无事件到达时线程会阻塞等待 | sched | func.stack |
-| sendto | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
-| recvfrom | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
-| sendmsg | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
-| recvmsg | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
-| sendmmsg | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
-| recvmmsg | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
-| futex | 触发 futex 往往意味着出现锁等待,线程可能进入阻塞状态 | lock | futex.op, func.stack |
-
-#### 聚合事件
-
-tprofiling 当前支持的系统性能事件包括两大类:系统调用事件和 oncpu 事件。其中,oncpu 事件以及部分系统调用事件(比如read/write)在特定的应用场景下可能会频繁触发,从而产生大量的系统事件,这会对观测的应用程序性能以及 tprofiling 探针本身的性能造成较大的影响。
-
-为了优化性能,tprofiling 将一段时间内(1s)属于同一个线程的具有相同事件名的多个系统事件聚合为一个事件进行上报。因此,一个 tprofiling 事件实际上指的是一个聚合事件,它包含一个或多个相同的系统事件。相比于一个真实的系统事件,一个聚合事件的部分属性的含义有如下变化,
-
-- `start_time`:事件开始时间,在聚合事件中是指第一个系统事件的开始时间。
-- `end_time`:事件结束时间,在聚合事件中是指(`start_time + duration`)。
-- `duration`:事件执行时间,在聚合事件中是指所有系统事件实际执行时间的累加值。
-- `count`:聚合事件中系统事件的数量,当值为 1 时,聚合事件就等价于一个系统事件。
-- 扩展的事件属性:在聚合事件中是指第一个系统事件的扩展属性。
-
-## L7Probe 介绍
-
-定位:L7流量观测,覆盖常见的HTTP1.X、PG、MySQL、Redis、Kafka、HTTP2.0、MongoDB、RocketMQ协议,支持加密流观测。
-
-场景:覆盖Node、Container、Pod(K8S)三类场景。
-
-
-
-### 代码框架设计
-```
-L7Probe
- | --- included // 公共头文件
-
- | --- connect.h // L7 connect对象定义
-
- | --- pod.h // pod/container对象定义
-
- | --- conn_tracker.h // L7协议跟踪对象定义
-
- | --- protocol // L7协议解析
-
- | --- http // HTTP1.X L7 message结构定义及解析
-
- | --- mysql // mysql L7 message结构定义及解析
-
- | --- pgsql // pgsql L7 message结构定义及解析
-
- | --- bpf // 内核bpf代码
-
- | --- L7.h // BPF程序解析L7层协议类型
-
- | --- kern_sock.bpf.c // 内核socket层观测
-
- | --- libssl.bpf.c // openSSL层观测
-
- | --- gossl.bpf.c // GO SSL层观测
-
- | --- cgroup.bpf.c // pod 生命周期观测
-
- | --- pod_mng.c // pod/container实例管理(感知pod/container生命周期)
-
- | --- conn_mng.c // L7 Connect实例管理(处理BPF观测事件,比如Open/Close事件、Stats统计)
-
- | --- conn_tracker.c // L7 流量跟踪(跟踪BPF观测数据,比如send/write、read/recv等系统事件产生的数据)
-
- | --- bpf_mng.c // BPF程序生命周期管理(按需、实时open、load、attach、unload BPF程序,包括uprobe BPF程序)
-
- | --- session_conn.c // 管理jsse Session(记录jsse Session和sock连接的对应关系,上报jsse连接信息)
-
- | --- L7Probe.c // 探针主程序
-
-```
-
-
-### 探针输出
-
-| metrics_name | table_name | metrics_type | unit | metrics description |
-| --------------- | ---------- | ------------ | ---- | ------------------------------------------------------------ |
-| tgid | NA | key | NA | Process ID of l7 session. |
-| client_ip | NA | key | NA | Client IP address of l7 session. |
-| server_ip | NA | key | NA | Server IP address of l7 session.
备注:K8S场景支持Cluster IP转换成Backend IP |
-| server_port | NA | key | NA | Server Port of l7 session.
备注:K8S场景支持Cluster Port转换成Backend Port |
-| l4_role | NA | key | NA | Role of l4 protocol(TCP Client/Server or UDP) |
-| l7_role | NA | key | NA | Role of l7 protocol(Client or Server) |
-| protocol | NA | key | NA | Name of l7 protocol(http/http2/mysql...) |
-| ssl | NA | label | NA | Indicates whether an SSL-encrypted l7 session is used. |
-| bytes_sent | l7_link | gauge | NA | Number of bytes sent by a l7 session. |
-| bytes_recv | l7_link | gauge | NA | Number of bytes recv by a l7 session. |
-| segs_sent | l7_link | gauge | NA | Number of segs sent by a l7 session. |
-| segs_recv | l7_link | gauge | NA | Number of segs recv by a l7 session. |
-| throughput_req | l7_rpc | gauge | qps | Request throughput of l7 session. |
-| throughput_resp | l7_rpc | gauge | qps | Response throughput of l7 session. |
-| req_count | l7_rpc | gauge | NA | Request num of l7 session. |
-| resp_count | l7_rpc | gauge | NA | Response num of l7 session. |
-| latency_avg | l7_rpc | gauge | ns | L7 session averaged latency. |
-| latency | l7_rpc | histogram | ns | L7 session histogram latency. |
-| latency_sum | l7_rpc | gauge | ns | L7 session sum latency. |
-| err_ratio | l7_rpc | gauge | % | L7 session error rate. |
-| err_count | l7_rpc | gauge | NA | L7 session error count. |
-### 动态控制
-
-#### 控制观测Pod范围
-
-1. REST->gala-gopher。
-1. gala-gopher->L7Probe。
-1. L7Probe 基于Pod获取相关Container。
-2. L7Probe 基于Container获取其 CGroup id(cpuacct_cgrp_id),并写入object模块(API: cgrp_add)。
-2. Socket系统事件上下文中,获取进程所属CGroup(cpuacct_cgrp_id),参考Linux代码(task_cgroup)。
-2. 观测过程中,通过object模块过滤(API: is_cgrp_exist)。
-
-#### 控制观测能力
-
-1. REST->gala-gopher。
-2. gala-gopher->L7Probe。
-3. L7Probe根据输入参数动态的开启、关闭BPF观测能力(包括吞吐量、时延、Trace、协议类型)。
-
-### 观测点
-
-#### 内核Socket系统调用
-
-TCP相关系统调用
-
-// int connect(int sockfd, const struct sockaddr *addr, socklen_t addrlen);
-
-// int accept(int sockfd, struct sockaddr *addr, socklen_t *addrlen);
-
-// int accept4(int sockfd, struct sockaddr *addr, socklen_t *addrlen, int flags);
-
-// ssize_t write(int fd, const void *buf, size_t count);
-
-// ssize_t send(int sockfd, const void *buf, size_t len, int flags);
-
-// ssize_t read(int fd, void *buf, size_t count);
-
-// ssize_t recv(int sockfd, void *buf, size_t len, int flags);
-
-// ssize_t writev(int fd, const struct iovec *iov, int iovcnt);
-
-// ssize_t readv(int fd, const struct iovec *iov, int iovcnt);
-
-
-
-TCP&UDP相关系统调用
-
-// ssize_t sendto(int sockfd, const void *buf, size_t len, int flags, const struct sockaddr *dest_addr, socklen_t addrlen);
-
-// ssize_t recvfrom(int sockfd, void *buf, size_t len, int flags, struct sockaddr *src_addr, socklen_t *addrlen);
-
-// ssize_t sendmsg(int sockfd, const struct msghdr *msg, int flags);
-
-// ssize_t recvmsg(int sockfd, struct msghdr *msg, int flags);
-
-// int close(int fd);
-
-
-
-注意点:
-
-1. read/write、readv/writev 与普通的文件I/O操作会混淆,通过观测内核security_socket_sendmsg函数区分FD是否属于socket操作。
-2. sendto/recvfrom、sendmsg/recvmsg TCP/UDP均会使用,参考下面手册的介绍。
-3. sendmmsg/recvmmsg、sendfile 暂不支持。
-
-[sendto manual](https://man7.org/linux/man-pages/man2/send.2.html) :If sendto() is used on a connection-mode (SOCK_STREAM, SOCK_SEQPACKET) socket, the arguments dest_addr and addrlen are ignored (and the error EISCONN may be returned when they are not NULL and 0), and the error ENOTCONN is returned when the socket was not actually connected. otherwise, the address of the target is given by dest_addr with addrlen specifying its size.
-
-sendto 判断dest_addr参数为NULL则为TCP,否则为UDP。
-
-
-
-[recvfrom manual](https://linux.die.net/man/2/recvfrom):The recvfrom() and recvmsg() calls are used to receive messages from a socket, and may be used to receive data on a socket whether or not it is connection-oriented.
-
-recvfrom判断src_addr参数为NULL则为TCP,否则为UDP。
-
-
-
-[sendmsg manual](https://man7.org/linux/man-pages/man3/sendmsg.3p.html):The sendmsg() function shall send a message through a connection-mode or connectionless-mode socket. If the socket is a connectionless-mode socket, the message shall be sent to the address specified by msghdr if no pre-specified peer address has been set. If a peer address has been pre-specified, either themessage shall be sent to the address specified in msghdr (overriding the pre-specified peer address), or the function shall return -1 and set errno to [EISCONN]. If the socket is connection-mode, the destination address in msghdr shall be ignored.
-
-sendmsg判断msghdr->msg_name参数为NULL则为TCP,否则为UDP。
-
-
-
-[recvmsg manual](https://man7.org/linux/man-pages/man3/recvmsg.3p.html): The recvmsg() function shall receive a message from a connection-mode or connectionless-mode socket. It is normally used with connectionless-mode sockets because it permits the application to retrieve the source address of received data.
-
-recvmsg判断msghdr->msg_name参数为NULL则为TCP,否则为UDP。
-
-#### libSSL API
-
-SSL_write
-
-SSL_read
-
-#### Go SSL API
-
-#### JSSE API
-
-sun/security/ssl/SSLSocketImpl$AppInputStream
-
-sun/security/ssl/SSLSocketImpl$AppOutputStream
-
-### JSSE观测方案
-
-#### 加载JSSEProbe探针
-
-main函数中通过l7_load_jsse_agent加载JSSEProbe探针。
-
-轮询观测白名单(g_proc_obj_map_fd)中的进程,若为java进程,则通过jvm_attach将JSSEProbeAgent.jar加载到此观测进程上。加载成功后,该java进程会在指定观测点(参见[JSSE API](#jsse-api))将观测信息输出到jsse-metrics输出文件(/tmp/java-data-/jsse-metrics.txt)中。
-
-#### 处理JSSEProbe消息
-
-l7_jsse_msg_handler线程中处理JSSEProbe消息。
-
-轮询观测白名单(g_proc_obj_map_fd)中的进程,若该进程有对应的jsse-metrics输出文件,则按行读取此文件并解析、转换、上报jsse读写信息。
-
-##### 1. 解析jsse读写信息
-
-jsse-metrics.txt的输出格式如下,从中解析出一次jsse请求的pid, sessionId, time, read/write操作, IP, port, payload信息:
-```|jsse_msg|662220|Session(1688648699909|TLS_AES_256_GCM_SHA384)|1688648699989|Write|127.0.0.1|58302|This is test message|```
-
-解析出的原始信息存储于session_data_args_s中。
-
-##### 2. 转换jsse读写信息
-
-将session_data_args_s中的信息转换为sock_conn和conn_data。
-
-转化时需要查询如下两个hash map:
-
-session_head:记录jsse连接的session Id和sock connection Id的对应关系。若进程id和四元组信息一致,则认为session和sock connection对应。
-
-file_conn_head:记录java进程的最后一个sessionId,以备L7probe读jsseProbe输出时,没有从请求开头开始读取,找不到sessionId信息。
-
-##### 3. 上报jsse读写信息
-
-将sock_conn和conn_data上报到map中。
-
-## sliprobe 介绍
-
-基于 ebpf 采集并周期性上报容器粒度的 SLI 指标。
-
-### 特性
-
-- 按照容器粒度采集周期内CPU调度事件的时延总计和统计直方图,关注的事件包括:调度等待,主动睡眠,锁/IO引起的阻塞,调度延迟,长系统调用等
-- 按照容器粒度采集周期内Memory分配事件的时延总计和统计直方图,关注的事件包括:内存回收,换页,内存规整等
-- 按照容器粒度采集周期内BIO层IO操作的时延总计和统计直方图
-
-### 使用说明
-
-启动命令示例:指定上报周期为15秒,观测容器id为abcd12345678和abcd87654321的两个容器的SLI指标。
-
-```shell
-curl -X PUT http://localhost:9999/sli -d json='{"params":{"report_period":15}, "snoopers":{"container_id":[{"container_id": "abcd12345678","abcd87654321"}]}, "state":"running"}'
-```
-
-### 代码逻辑
-#### 总体思路
-
-1. 用户态接收待观测的容器列表,将容器的cpuacct子系统目录inode记录在ebpf map中,共享给内核态。
-
-2. 通过ebpf kprobe/tracepoint跟踪相关内核事件,判断当前进程是否属于待观测范围,记录事件类型,时间戳等信息。每隔一定周期将同一cgroup内进程的SLI指标进行聚合上报。
-3. 用户态接收并打印内核态上报的SLI指标信息。
-
-#### SLI指标计算方式
-
-##### CPU SLI
-
-1. **cpu_wait**
-
- 在sched_stat_wait观测点,获取第二个参数delay的值
-
-2. **cpu_sleep**
-
- 在sched_stat_sleep观测点,获取第二个参数delay的值
-
-3. **cpu_iowait**
-
- 在sched_stat_blocked观测点,判断当前进程in_iowait,则获取第二个参数delay的值
-
-4. **cpu_block**
-
- 在sched_stat_blocked观测点,判断当前进程非in_iowait,则获取第二个参数delay的值
-
-5. **cpu_rundelay**
-
- 在sched_switch观测点,通过第三个参数next获取将被调度进程的run_delay值:next->sched_info.run_delay,记录在task_sched_map中。计算同一进程两次被调度时run_delay的差值
-
-6. **cpu_longsys**
-
- 在sched_switch观测点,通过第三个参数next获取将被调度进程的task结构体,从task结构体中获取上下文切换次数(nvcsw+nivcsw)和用户态执行时间utime。如果同一进程两次被调度时的上下文切换次数和用户态执行时间都不变,则说明在该进程在执行一个较长的系统调用,累积该进程处在内核态的时间
-
-##### MEM SLI
-
-1. **mem_reclaim**
-
- 计算mem_cgroup_handle_over_high函数返回时间戳和进入时间戳的差值
-
- 计算mm_vmscan_memcg_reclaim_end观测点和mm_vmscan_memcg_reclaim_begin观测点时间戳的差值
-
-2. **mem_swapin**
-
- 计算do_swap_page函数返回时间戳和进入时间戳的差值
-
-3. **mem_compact**
-
- 计算try_to_compact_pages函数返回时间戳和进入时间戳的差值
-
-##### IO SLI
-
-1. **bio_latency**
-
- 计算进入bio_endio函数和触发block_bio_queue观测点的时间戳差值
-
- 计算进入bio_endio函数和退出generic_make_request_checks函数的时间戳差值
-
-
-## 使用方法
-
-### 外部依赖软件部署
-
-
-
-如上图所示,绿色部分为gala-gopher的外部依赖组件。gala-gopher会将指标数据metrics输出到prometheus,将元数据metadata、异常事件event输出到kafka,灰色部分的gala-anteater和gala-spider会从prometheus和kafka获取数据。
-
-> 说明:安装kafka、prometheus软件包时,需要从官网获取安装包进行部署。
-
-### 输出数据
-
-- **指标数据metrics**
-
- Prometheus Server内置了Express Browser UI,用户可以通过PromQL查询语句查询指标数据内容。详细教程参见官方文档:[Using the expression browser](https://prometheus.io/docs/prometheus/latest/getting_started/#using-the-expression-browser)。示例如下:
-
- 指定指标名称为`gala_gopher_tcp_link_rcv_rtt`,UI显示的指标数据为:
-
- ```basic
- gala_gopher_tcp_link_rcv_rtt{client_ip="x.x.x.165",client_port="1234",hostname="openEuler",instance="x.x.x.172:8888",job="prometheus",machine_id="1fd3774xx",protocol="2",role="0",server_ip="x.x.x.172",server_port="3742",tgid="1516"} 1
- ```
-
-- **元数据metadata**
-
- 可以直接从kafka消费topic为`gala_gopher_metadata`的数据来看。示例如下:
-
- ```bash
- # 输入请求
- ./bin/kafka-console-consumer.sh --bootstrap-server x.x.x.165:9092 --topic gala_gopher_metadata
- # 输出数据
- {"timestamp": 1655888408000, "meta_name": "thread", "entity_name": "thread", "version": "1.0.0", "keys": ["machine_id", "pid"], "labels": ["hostname", "tgid", "comm", "major", "minor"], "metrics": ["fork_count", "task_io_wait_time_us", "task_io_count", "task_io_time_us", "task_hang_count"]}
- ```
-
-- **异常事件event**
-
- 可以直接从kafka消费topic为`gala_gopher_event`的数据来看。示例如下:
-
- ```bash
- # 输入请求
- ./bin/kafka-console-consumer.sh --bootstrap-server x.x.x.165:9092 --topic gala_gopher_event
- # 输出数据
- {"timestamp": 1655888408000, "meta_name": "thread", "entity_name": "thread", "version": "1.0.0", "keys": ["machine_id", "pid"], "labels": ["hostname", "tgid", "comm", "major", "minor"], "metrics": ["fork_count", "task_io_wait_time_us", "task_io_count", "task_io_time_us", "task_hang_count"]}
- ```
+# gala-gopher使用手册
+
+gala-gopher作为数据采集模块提供OS级的监控能力,支持动态加 /卸载探针,可无侵入式地集成第三方探针,快速扩展监控范围。
+
+本文介绍如何部署和使用gala-gopher服务。
+
+## 安装
+
+挂载repo源:
+
+```basic
+[oe-2309] # openEuler 2309 官方发布源
+name=oe2309
+baseurl=http://119.3.219.20:82/openEuler:/23.09/standard_x86_64
+enabled=1
+gpgcheck=0
+priority=1
+
+[oe-2309:Epol] # openEuler 2309:Epol 官方发布源
+name=oe2309_epol
+baseurl=http://119.3.219.20:82/openEuler:/23.09:/Epol/standard_x86_64/
+enabled=1
+gpgcheck=0
+priority=1
+```
+
+安装gala-gopher:
+
+```bash
+# yum install gala-gopher
+```
+
+## 配置
+
+### 配置介绍
+
+gala-gopher配置文件为`/opt/gala-gopher/gala-gopher.conf`,该文件配置项说明如下(省略无需用户配置的部分)。
+
+如下配置可以根据需要进行修改:
+
+- global:gala-gopher全局配置信息
+ - log_file_name:gala-gopher日志文件名
+ - log_level:gala-gopher日志级别(暂未开放此功能)
+ - pin_path:ebpf探针共享map存放路径(建议维持默认配置)
+- metric:指标数据metrics输出方式配置
+ - out_channel:metrics输出通道,支持配置web_server|logs|kafka,配置为空则输出通道关闭
+ - kafka_topic:若输出通道为kafka,此为topic配置信息
+- event:异常事件event输出方式配置
+ - out_channel:event输出通道,支持配置logs|kafka,配置为空则输出通道关闭
+ - kafka_topic:若输出通道为kafka,此为topic配置信息
+ - timeout:同一异常事件上报间隔设置
+ - desc_language:异常事件描述信息语言选择,当前支持配置zh_CN|en_US
+- meta:元数据metadata输出方式配置
+ - out_channel:metadata输出通道,支持logs|kafka,配置为空则输出通道关闭
+ - kafka_topic:若输出通道为kafka,此为topic配置信息
+- ingress:探针数据上报相关配置
+ - interval:暂未使用
+- egress:上报数据库相关配置
+ - interval:暂未使用
+ - time_range:暂未使用
+- imdb:cache缓存规格配置
+ - max_tables_num:最大的cache表个数,/opt/gala-gopher/meta目录下每个meta对应一个表
+ - max_records_num:每张cache表最大记录数,通常每个探针在一个观测周期内产生至少1条观测记录
+ - max_metrics_num:每条观测记录包含的最大的metric指标个数
+ - record_timeout:cache表老化时间,若cache表中某条记录超过该时间未刷新则删除记录,单位为秒
+- web_server:输出通道web_server配置
+ - port:监听端口
+- rest_api_server
+ - port:RestFul API监听端口
+ - ssl_auth:设置RestFul API开启https加密以及鉴权,on为开启,off为不开启,建议用户在实际生产环境开启
+ - private_key:用于RestFul API https加密的服务端私钥文件绝对路径,当ssl_auth为“on”必配
+ - cert_file:用于RestFul API https加密的服务端证书绝对路径,当ssl_auth为“on”必配
+ - ca_file:用于RestFul API对客户端进行鉴权的CA中心证书绝对路径,当ssl_auth为“on”必配
+- kafka:输出通道kafka配置
+ - kafka_broker:kafka服务器的IP和port
+ - batch_num_messages:每个批次发送的消息数量
+ - compression_codec:消息压缩类型
+ - queue_buffering_max_messages:生产者缓冲区中允许的最大消息数
+ - queue_buffering_max_kbytes:生产者缓冲区中允许的最大字节数
+ - queue_buffering_max_ms:生产者在发送批次之前等待更多消息加入的最大时间
+- logs:输出通道logs配置
+ - metric_dir:metrics指标数据日志路径
+ - event_dir:异常事件数据日志路径
+ - meta_dir:metadata元数据日志路径
+ - debug_dir:gala-gopher运行日志路径
+
+
+
+#### 配置文件示例
+
+- 配置选择数据输出通道:
+
+ ```yaml
+ metric =
+ {
+ out_channel = "web_server";
+ kafka_topic = "gala_gopher";
+ };
+
+ event =
+ {
+ out_channel = "kafka";
+ kafka_topic = "gala_gopher_event";
+ };
+
+ meta =
+ {
+ out_channel = "kafka";
+ kafka_topic = "gala_gopher_metadata";
+ };
+ ```
+
+- 配置kafka和webServer:
+
+ ```yaml
+ web_server =
+ {
+ port = 8888;
+ };
+
+ kafka =
+ {
+ kafka_broker = ":9092";
+ };
+ ```
+### 启动
+
+配置完成后,执行如下命令启动gala-gopher。
+
+```bash
+# systemctl start gala-gopher.service
+```
+
+查询gala-gopher服务状态。
+
+```bash
+# systemctl status gala-gopher.service
+```
+
+若显示结果如下,说明服务启动成功。需要关注开启的探针是否已启动,如果探针线程不存在,请检查配置文件及gala-gopher运行日志文件。
+
+
+
+> 说明:gala-gopher部署和运行均需要root权限。
+
+### REST 动态配置接口
+
+WEB server端口可配置(缺省9999),URL组织方式 http://[gala-gopher所在节点ip]:[端口号]/[function(采集特性)],比如火焰图的URL:(以下文档均以火焰图举例)。
+
+#### 配置探针监控范围
+
+探针默认关闭,可以通过API动态开启、设置监控范围。以火焰图为例,通过REST分别开启oncpu/offcpu/mem火焰图能力。并且监控范围支持进程ID、进程名、容器ID、POD四个维度来设置。
+
+下面是火焰图同时开启oncpu, offcpu采集特性的API举例:
+
+```
+curl -X PUT http://localhost:9999/flamegraph --data-urlencode json='
+{
+ "cmd": {
+ "bin": "/opt/gala-gopher/extend_probes/stackprobe",
+ "check_cmd": "",
+ "probe": [
+ "oncpu",
+ "offcpu"
+ ]
+ },
+ "snoopers": {
+ "proc_id": [
+ 101,
+ 102
+ ],
+ "proc_name": [
+ {
+ "comm": "app1",
+ "cmdline": "",
+ "debugging_dir": ""
+ },
+ {
+ "comm": "app2",
+ "cmdline": "",
+ "debugging_dir": ""
+ }
+ ],
+ "pod_id": [
+ "pod1",
+ "pod2"
+ ],
+ "container_id": [
+ "container1",
+ "container2"
+ ]
+ }
+}'
+
+```
+
+全量采集特性说明如下:
+
+| 采集特性 | 采集特性说明 | 采集子项范围 | 监控对象 | 启动文件 | 启动条件 |
+| ------------- | ------------------------------------- | ------------------------------------------------------------ | ---------------------------------------- | ---------------------------------- | ------------------------- |
+| flamegraph | 在线性能火焰图观测能力 | oncpu, offcpu, mem | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/stackprobe | NA |
+| l7 | 应用7层协议观测能力 | l7_bytes_metrics、l7_rpc_metrics、l7_rpc_trace | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/l7probe | NA |
+| tcp | TCP异常、状态观测能力 | tcp_abnormal, tcp_rtt, tcp_windows, tcp_rate, tcp_srtt, tcp_sockbuf, tcp_stats,tcp_delay | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/tcpprobe | NA |
+| socket | Socket(TCP/UDP)异常观测能力 | tcp_socket, udp_socket | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/endpoint | NA |
+| io | Block层I/O观测能力 | io_trace, io_err, io_count, page_cache | NA | $gala-gopher-dir/ioprobe | NA |
+| proc | 进程系统调用、I/O、DNS、VFS等观测能力 | base_metrics, proc_syscall, proc_fs, proc_io, proc_dns,proc_pagecache | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/taskprobe | NA |
+| jvm | JVM层GC, 线程, 内存, 缓存等观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/jvmprobe | NA |
+| ksli | Redis性能SLI(访问时延)观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/ksliprobe | NA |
+| postgre_sli | PG DB性能SLI(访问时延)观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/pgsliprobe | NA |
+| opengauss_sli | openGauss访问吞吐量观测能力 | NA | [ip, port, dbname, user,password] | $gala-gopher-dir/pg_stat_probe.py | NA |
+| dnsmasq | DNS会话观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/rabbitmq_probe.sh | NA |
+| lvs | lvs会话观测能力 | NA | NA | $gala-gopher-dir/trace_lvs | lsmod\|grep ip_vs\| wc -l |
+| nginx | Nginx L4/L7层会话观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/nginx_probe | NA |
+| haproxy | Haproxy L4/7层会话观测能力 | NA | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/trace_haproxy | NA |
+| kafka | kafka 生产者/消费者topic观测能力 | NA | dev, port | $gala-gopher-dir/kafkaprobe | NA |
+| baseinfo | 系统基础信息 | cpu, mem, nic, disk, net, fs, proc,host | proc_id, proc_name, pod_id, container_id | system_infos | NA |
+| virt | 虚拟化管理信息 | NA | NA | virtualized_infos | NA |
+| tprofiling | 线程级性能profiling观测能力 | oncpu, syscall_file, syscall_net, syscall_lock, syscall_sched | proc_id, proc_name, pod_id, container_id | $gala-gopher-dir/tprofiling | NA |
+| container | 容器信息 | NA | proc_id, proc_name, container_id | $gala-gopher-dir/cadvisor_probe.py | NA |
+
+#### 配置探针运行参数
+
+探针在运行期间还需要设置一些参数设置,例如:设置火焰图的采样周期、上报周期。
+
+```
+curl -X PUT http://localhost:9999/flamegraph --data-urlencode json='
+{
+ "params": {
+ "report_period": 180,
+ "sample_period": 180,
+ "metrics_type": [
+ "raw",
+ "telemetry"
+ ]
+ }
+}'
+```
+
+详细参数运行参数如下:
+
+| 参数 | 含义 | 缺省值&范围 | 单位 | 支持的监控范围 | gala-gopher是否支持 |
+| ------------------ | ------------------------------------------------------ | ------------------------------------------------------------ | ------- | ------------------------ | ------------------- |
+| sample_period | 采样周期 | 5000, [100~10000] | ms | io, tcp | Y |
+| report_period | 上报周期 | 60, [5~600] | s | ALL | Y |
+| latency_thr | 时延上报门限 | 0, [10~100000] | ms | tcp, io, proc, ksli | Y |
+| offline_thr | 进程离线上报门限 | 0, [10~100000] | ms | proc | Y |
+| drops_thr | 丢包上送门限 | 0, [10~100000] | package | tcp, nic | Y |
+| res_lower_thr | 资源百分比下限 | 0%, [0%~100%] | percent | ALL | Y |
+| res_upper_thr | 资源百分比上限 | 0%, [0%~100%] | percent | ALL | Y |
+| report_event | 上报异常事件 | 0, [0, 1] | NA | ALL | Y |
+| metrics_type | 上报telemetry metrics | raw, [raw, telemetry] | NA | ALL | N |
+| env | 工作环境类型 | node, [node, container, kubenet] | NA | ALL | N |
+| report_source_port | 是否上报源端口 | 0, [0, 1] | NA | tcp | Y |
+| l7_protocol | L7层协议范围 | http, [http, pgsql, mysql, redis, kafka, mongo, rocketmq, dns] | NA | l7 | Y |
+| support_ssl | 支持SSL加密协议观测 | 0, [0, 1] | NA | l7 | Y |
+| multi_instance | 是否每个进程输出独立火焰图 | 0, [0, 1] | NA | flamegraph | Y |
+| native_stack | 是否显示本地语言堆栈(针对JAVA进程) | 0, [0, 1] | NA | flamegraph | Y |
+| cluster_ip_backend | 执行Cluster IP backend转换 | 0, [0, 1] | NA | tcp,l7 | Y |
+| pyroscope_server | 设置火焰图UI服务端地址 | localhost:4040 | NA | flamegraph | Y |
+| svg_period | 火焰图svg文件生成周期 | 180, [30, 600] | s | flamegraph | Y |
+| perf_sample_period | oncpu火焰图采集堆栈信息的周期 | 10, [10, 1000] | ms | flamegraph | Y |
+| svg_dir | 火焰图svg文件存储目录 | "/var/log/gala-gopher/stacktrace" | NA | flamegraph | Y |
+| flame_dir | 火焰图原始堆栈信息存储目录 | "/var/log/gala-gopher/flamegraph" | NA | flamegraph | Y |
+| dev_name | 观测的网卡/磁盘设备名 | "" | NA | io, kafka, ksli, postgre_sli,baseinfo, tcp | Y |
+| continuous_sampling | 是否持续采样 | 0, [0, 1] | NA | ksli | Y |
+| elf_path | 要观测的可执行文件的路径 | "" | NA | nginx, haproxy, dnsmasq | Y |
+| kafka_port | 要观测的kafka端口号 | 9092, [1, 65535] | NA | kafka | Y |
+| cadvisor_port | 启动的cadvisor端口号 | 8080, [1, 65535] | NA | cadvisor | Y |
+
+
+
+#### 启动、停止探针
+
+```
+curl -X PUT http://localhost:9999/flamegraph --data-urlencode json='
+{
+ "state": "running" // optional: running,stopped
+}'
+```
+
+
+
+#### 约束与限制说明
+
+1. 接口为无状态形式,每次上传的设置为该探针的最终运行结果,包括状态、参数、监控范围。
+2. 监控对象可以任意组合,监控范围取合集。
+3. 启动文件必须真实有效。
+4. 采集特性可以按需开启全部/部分能力,关闭时只能整体关闭某个采集特性。
+5. opengauss监控对象是DB实例(IP/Port/dbname/user/password)。
+6. 接口每次最多接收2048长度的数据。
+
+
+
+#### 获取探针配置与运行状态
+
+```
+curl -X GET http://localhost:9999/flamegraph
+{
+ "cmd": {
+ "bin": "/opt/gala-gopher/extend_probes/stackprobe",
+ "check_cmd": ""
+ "probe": [
+ "oncpu",
+ "offcpu"
+ ]
+ },
+ "snoopers": {
+ "proc_id": [
+ 101,
+ 102
+ ],
+ "proc_name": [
+ {
+ "comm": "app1",
+ "cmdline": "",
+ "debugging_dir": ""
+ },
+ {
+ "comm": "app2",
+ "cmdline": "",
+ "debugging_dir": ""
+ }
+ ],
+ "pod_id": [
+ "pod1",
+ "pod2"
+ ],
+ "container_id": [
+ "container1",
+ "container2"
+ ]
+ },
+ "params": {
+ "report_period": 180,
+ "sample_period": 180,
+ "metrics_type": [
+ "raw",
+ "telemetry"
+ ]
+ },
+ "state": "running"
+}
+```
+
+## stackprobe 介绍
+
+适用于云原生环境的性能火焰图。
+
+### 特性
+
+- 支持观测C/C++、Go、Rust、Java语言应用。
+
+- 调用栈支持容器、进程粒度:对于容器内进程,在调用栈底部分别以[Pod]和[Con]前缀标记工作负载Pod名称、容器Container名称。进程名以[]前缀标识,线程及函数(方法)无前缀。
+
+- 支持本地生成svg格式火焰图或上传调用栈数据到中间件。
+
+- 支持依照进程粒度多实例生成/上传火焰图。
+
+- 对于Java进程的火焰图,支持同时显示本地方法和Java方法。
+
+- 支持oncpu/offcpu/mem等多类型火焰图。
+
+- 支持自定义采样周期。
+
+### 使用说明
+
+启动命令示例(基本):使用默认参数启动性能火焰图。
+
+```shell
+curl -X PUT http://localhost:9999/flamegraph -d json='{ "cmd": {"probe": ["oncpu"] }, "snoopers": {"proc_name": [{ "comm": "cadvisor"}] }, "state": "running"}'
+```
+
+启动命令示例(进阶):使用自定义参数启动性能火焰图。完整可配置参数列表参见[配置探针运行参数](#配置探针运行参数)。
+
+```shell
+curl -X PUT http://localhost:9999/flamegraph -d json='{ "cmd": { "check_cmd": "", "probe": ["oncpu", "offcpu", "mem"] }, "snoopers": { "proc_name": [{ "comm": "cadvisor", "cmdline": "", "debugging_dir": "" }, { "comm": "java", "cmdline": "", "debugging_dir": "" }] }, "params": { "perf_sample_period": 100, "svg_period": 300, "svg_dir": "/var/log/gala-gopher/stacktrace", "flame_dir": "/var/log/gala-gopher/flamegraph", "pyroscope_server": "localhost:4040", "multi_instance": 1, "native_stack": 0 }, "state": "running"}'
+```
+
+下面说明主要配置项:
+
+- 设置开启的火焰图类型
+
+ 通过probe参数设置,参数值为`oncpu`,`offcpu`,`mem`,分别代表进程cpu占用时间,进程被阻塞时间,进程申请内存大小的统计。
+
+ 示例:
+
+ ` "probe": ["oncpu", "offcpu", "mem"]`
+
+- 设置生成本地火焰图svg文件的周期
+
+ 通过svg_period参数设置,单位为秒,默认值180,可选设置范围为[30, 600]的整数。
+
+ 示例:
+
+ `"svg_period": 300`
+
+- 开启/关闭堆栈信息上传到pyroscope
+
+ 通过pyroscope_server参数设置,参数值需要包含addr和port,参数为空或格式错误则探针不会尝试上传堆栈信息。
+
+ 上传周期30s。
+
+ 示例:
+
+ `"pyroscope_server": "localhost:4040"`
+
+- 设置调用栈采样周期
+
+ 通过perf_sample_period设置,单位为毫秒,默认值10,可选设置范围为[10, 1000]的整数,此参数仅对oncpu类型的火焰图有效。
+
+ 示例:
+
+ `"perf_sample_period": 100`
+
+- 开启/关闭多实例生成火焰图
+
+ 通过multi_instance设置,参数值为0或1,默认值为0。值为0表示所有进程的火焰图会合并在一起,值为1表示分开生成每个进程的火焰图。
+
+ 示例:
+
+ `"multi_instance": 1`
+
+- 开启/关闭本地调用栈采集
+
+ 通过native_stack设置,参数值为0或1,默认值为0。此参数仅对JAVA进程有效。值为0表示不采集JVM自身的调用栈,值为1表示采集JVM自身的调用栈。
+
+ 示例:
+
+ `"native_stack": 1`
+
+ 显示效果:(左"native_stack": 1,右"native_stack": 0)
+
+ 
+
+
+
+
+### 实现方案
+
+#### 1. 用户态程序逻辑
+
+周期性地(30s)根据符号表将内核态上报的堆栈信息从地址转换为符号。然后使用flamegraph插件或pyroscope将符号化的调用栈转换为火焰图。
+
+其中,对于代码段类型获取符号表的方法不同。
+
+- 内核符号表获取:读取/proc/kallsyms。
+
+- 本地语言符号表获取:查询进程的虚拟内存映射文件(/proc/{pid}/maps),获取进程内存中各个代码段的地址映射,然后利用libelf库加载每个代码段对应模块的符号表。
+
+- Java语言符号表获取:
+
+ 由于 Java 方法没有静态映射到进程的虚拟地址空间,因此我们采用其他方式获取符号化的Java调用栈。
+
+ ##### 方式一:perf观测
+
+ 通过往Java进程加载JVM agent动态库来跟踪JVM的方法编译加载事件,获取并记录内存地址到Java符号的映射,从而实时生成Java进程的符号表。这种方法需要Java进程开启-XX:+PreserveFramePointer启动参数。本方式的优点是火焰图中可显示JVM自身的调用栈,而且这种方式生成的Java火焰图可以和其他进程的火焰图合并显示。
+
+ ##### 方式二:JFR观测
+
+ 通过动态开启JVM内置分析器JFR来跟踪Java应用程序的各种事件和指标。开启JFR的方式为往Java进程加载Java agent,Java agent中会调用JFR API。本方式的优点是对Java方法调用栈的采集会更加准确详尽。
+
+ 上述两种针对Java进程的性能分析方法都可以实时加载(不需要重启Java进程)且具有低底噪的优点。当stackprobe的启动参数为"multi_instance": 1且"native_stack": 0时,stackprobe会使用方法二生成Java进程火焰图,否则会使用方法一。
+
+#### 2. 内核态程序逻辑
+
+内核态基于eBPF实现。不同火焰图类型对应不同的eBPF程序。eBPF程序会周期性地或通过事件触发的方式遍历当前用户态和内核态的调用栈,并上报用户态。
+
+##### 2.1 oncpu火焰图:
+
+在perf SW事件PERF_COUNT_SW_CPU_CLOCK上挂载采样eBPF程序,周期性采样调用栈。
+
+##### 2.2 offcpu火焰图:
+
+在进程调度的tracepoint(sched_switch)上挂载采样eBPF程序,采样eBPF程序中记录进程被调度出去时间和进程id,在进程被调度回来时采样调用栈。
+
+#### 2.3 mem火焰图:
+
+在缺页异常的tracepoint(page_fault_user)上挂载采样eBPF程序,事件触发时采样调用栈。
+
+#### 3. Java语言支持:
+
+- stackprobe主进程:
+
+ 1. 接收到ipc消息获取要观测的Java进程。
+ 2. 使用Java代理加载模块向待观测的Java进程加载JVM代理程序:jvm_agent.so(对应[方式一](#方式一perf观测))或JstackProbeAgent.jar(对应[方式二](#方式二jfr观测))。
+ 3. 方式一主进程会加载对应java进程的java-symbols.bin文件,供地址转换符号时查询。方式二主进程会加载对应java进程的stacks-{flame_type}.txt文件,可直接供火焰图生成。
+
+- Java代理加载模块
+
+ 1. 发现新增java进程则将JVM代理程序复制到该进程空间下/proc/\/root/tmp(因为attach时容器内JVM需要可见此代理程序)。
+
+ 2. 设置上述目录和JVM代理程序的owner和被观测java进程一致。
+ 3. 启动jvm_attach子进程,并传入被观测java进程相关参数。
+
+- JVM代理程序
+
+ - jvm_agent.so:注册JVMTI回调函数
+
+ 当JVM加载一个Java方法或者动态编译一个本地方法时JVM会调用回调函数,回调函数会将java类名和方法名以及对应的内存地址写入到被观测java进程空间下(/proc/\/root/tmp/java-data-\/java-symbols.bin)。
+
+ - JstackProbeAgent.jar:调用JFR API
+
+ 开启持续30s的JFR功能,并转换JFR统计结果为火焰图可用的堆栈格式,结果输出到到被观测java进程空间下(/proc/\/root/tmp/java-data-\/stacks-\.txt)。详见[JstackProbe简介](https://gitee.com/openeuler/gala-gopher/blob/dev/src/probes/extends/java.probe/jstack.probe/readme.md)。
+
+- jvm_attach:用于实时加载JVM代理程序到被观测进程的JVM上
+ (参考jdk源码中sun.tools.attach.LinuxVirtualMachine和jattach工具)。
+
+ 1. 设置自身的namespace(JVM加载agent时要求加载进程和被观测进程的namespace一致)。
+
+ 2. 检查JVM attach listener是否启动(是否存在UNIX socket文件:/proc/\/root/tmp/.java_pid\)。
+
+ 3. 未启动则创建/proc/\/cwd/.attach_pid\,并发送SIGQUIT信号给JVM。
+
+ 4. 连接UNIX socket。
+
+ 5. 读取响应为0表示attach成功。
+
+ attach agent流程图示:
+
+ 
+
+
+
+
+### 注意事项
+
+- 对于Java应用的观测,为获取最佳观测效果,请设置stackprobe启动选项为"multi_instance": 1, "native_stack": 0来使能JFR观测(JDK8u262+)。否则stackprobe会以perf方式来生成Java火焰图。perf方式下,请开启JVM选项XX:+PreserveFramePointer(JDK8以上)。
+
+### 约束条件
+
+- 支持基于hotspot JVM的Java应用观测。
+
+
+## tprofiling 介绍
+
+tprofiling 是 gala-gopher 提供的一个基于 ebpf 的线程级应用性能诊断工具,它使用 ebpf 技术观测线程的关键系统性能事件,并关联丰富的事件内容,从而实时地记录线程的运行状态和关键行为,帮助用户快速识别应用性能问题。
+
+### 功能特性
+
+从操作系统的视角来看,一个运行的应用程序是由多个进程组成,每个进程是由多个运行的线程组成。tprofiling 通过观测这些线程运行过程中执行的一些关键行为(后面称之为**事件**)并记录下来,然后在前端界面以时间线的方式进行展示,进而就可以很直观地分析这些线程在某段时间内正在做什么,是在 CPU 上执行还是阻塞在某个文件、网络操作上。当应用程序出现性能问题时,通过分析对应线程的关键性能事件的执行序列,快速地进行定界定位。
+
+基于当前已实现的事件观测范围, tprofiling 能够定位的应用性能问题场景主要包括:
+
+- 文件 I/O 耗时、阻塞问题
+- 网络 I/O 耗时、阻塞问题
+- 锁竞争问题
+- 死锁问题
+
+随着更多类型的事件不断地补充和完善,tprofiling 将能够覆盖更多类型的应用性能问题场景。
+
+### 事件观测范围
+
+tprofiling 当前支持的系统性能事件包括两大类:系统调用事件和 oncpu 事件。
+
+**系统调用事件**
+
+应用性能问题通常是由于系统资源出现瓶颈导致,比如 CPU 资源占用过高、I/O 资源等待。应用程序往往通过系统调用访问这些系统资源,因此可以对关键的系统调用事件进行观测来识别耗时、阻塞的资源访问操作。
+
+tprofiling 当前已观测的系统调用事件参见章节: [支持的系统调用事件](#支持的系统调用事件) ,大致分为几个类型:文件操作(file)、网络操作(net)、锁操作(lock)和调度操作(sched)。下面列出部分已观测的系统调用事件:
+
+- 文件操作(file)
+ - read/write:读写磁盘文件或网络,可能会耗时、阻塞。
+ - sync/fsync:对文件进行同步刷盘操作,完成前线程会阻塞。
+- 网络操作(net)
+ - send/recv:读写网络,可能会耗时、阻塞。
+- 锁操作(lock)
+ - futex:用户态锁实现相关的系统调用,触发 futex 往往意味出现锁竞争,线程可能进入阻塞状态。
+- 调度操作(sched):这里泛指那些可能会引起线程状态变化的系统调用事件,如线程让出 cpu 、睡眠、或等待其他线程等。
+ - nanosleep:线程进入睡眠状态。
+ - epoll_wait:等待 I/O 事件到达,事件到达之前线程会阻塞。
+
+**oncpu 事件**
+
+此外,根据线程是否在 CPU 上运行可以将线程的运行状态分为两种:oncpu 和 offcpu ,前者表示线程正在 CPU 上运行,后者表示线程不在 CPU 上运行。通过观测线程的 oncpu 事件,可以识别线程是否正在执行耗时的 cpu 操作。
+
+### 事件内容
+
+线程 profiling 事件主要包括以下几部分内容。
+
+- 事件来源信息:包括事件所属的线程ID、线程名、进程ID、进程名、容器ID、容器名、主机ID、主机名等信息。
+
+ - `thread.pid`:事件所属的线程ID。
+ - `thread.comm`:事件所属的线程名。
+ - `thread.tgid`:事件所属的进程ID。
+ - `proc.name`:事件所属的进程名。
+ - `container.id`:事件所属的容器ID。
+ - `container.name`:事件所属的容器名。
+ - `host.id`:事件所属的主机ID。
+ - `host.name`:事件所属的主机名。
+
+- 事件属性信息:包括公共的事件属性和扩展的事件属性。
+
+ - 公共的事件属性:包括事件名、事件类型、事件开始时间、事件结束时间、事件执行时间等。
+
+ - `event.name`:事件名。
+ - `event.type`:事件类型,目前支持 oncpu、file、net、lock、sched 五种。
+ - `start_time`:事件开始时间,聚合事件中第一个事件的开始时间,关于聚合事件的说明参见章节:[聚合事件](#聚合事件) 。
+ - `end_time`:事件结束时间,聚合事件中最后一个事件的结束时间。
+ - `duration`:事件执行时间,值为(end_time - start_time)。
+ - `count`:事件聚合数量。
+
+ - 扩展的事件属性:针对不同的系统调用事件,补充更加丰富的事件内容。如 read/write 文件或网络时,提供文件路径、网络连接以及函数调用栈等信息。
+
+ - `func.stack`:事件的函数调用栈信息。
+ - `file.path`:文件类事件的文件路径信息。
+ - `sock.conn`:网络类事件的tcp连接信息。
+ - `futex.op`:futex系统调用事件的操作类型,取值为 wait 或 wake 。
+
+ 不同事件类型支持的扩展事件属性的详细情况参见章节:[支持的系统调用事件](#支持的系统调用事件) 。
+
+### 事件输出
+
+tprofiling 作为 gala-gopher 提供的一个扩展的 ebpf 探针程序,产生的系统事件会发送至 gala-gopher 处理,并由 gala-gopher 按照开源的 openTelemetry 事件格式对外输出,并通过 json 格式发送到 kafka 消息队列中。前端可以通过对接 kafka 消费 tprofiling 事件。
+
+下面是线程 profiling 事件的一个输出示例:
+
+```json
+{
+ "Timestamp": 1661088145000,
+ "SeverityText": "INFO",
+ "SeverityNumber": 9,
+ "Body": "",
+ "Resource": {
+ "host.id": "",
+ "host.name": "",
+ "thread.pid": 10,
+ "thread.tgid": 10,
+ "thread.comm": "java",
+ "proc.name": "xxx.jar",
+ "container.id": "",
+ "container.name": "",
+ },
+ "Attributes": {
+ values: [
+ {
+ // common info
+ "event.name": "read",
+ "event.type": "file",
+ "start_time": 1661088145000,
+ "end_time": 1661088146000,
+ "duration": 0.1,
+ "count": 1,
+ // extend info
+ "func.stack": "read;",
+ "file.path": "/test.txt"
+ },
+ {
+ "event.name": "oncpu",
+ "event.type": "oncpu",
+ "start_time": 1661088146000,
+ "end_time": 1661088147000,
+ "duration": 0.1,
+ "count": 1,
+ }
+ ]
+ }
+}
+```
+
+部分字段说明:
+
+- `Timestamp`:事件上报的事件点。
+- `Resource`:包括事件来源信息。
+- `Attributes`:包括事件属性信息,它包含一个 `values` 列表字段,列表中的每一项表示一个属于相同来源的 tprofiling 事件,其中包含该事件的属性信息。
+
+### 快速开始
+
+#### 安装部署
+
+tprofiling 是 gala-gopher 提供的一个扩展的 ebpf 探针程序,因此,需要先安装部署好 gala-gopher 软件,然后再开启 tprofiling 功能。
+
+另外,为了能够在前端用户界面使用 tprofiling 的能力,[gala-ops](https://gitee.com/openeuler/gala-docs) 基于开源的 `kafka + logstash + elasticsearch + grafana` 可观测软件搭建了用于演示的 tprofiling 功能的用户界面,用户可以使用 gala-ops 提供的部署工具进行快速部署。
+
+#### 运行架构
+
+
+
+前端软件说明:
+
+- kafka:一个开源的消息队列中间件,用于接收并存储 gala-gopher 采集的 tprofiling 事件。
+- logstash:一个实时的开源日志收集引擎,用于从 kafka 消费 tprofiling 事件,经过过滤、转换等处理后发送至 elasticsearch 。
+- elasticsearch:一个开放的分布式搜索和分析引擎,用于储存经过处理后的 tprofiling 事件,供 grafana 查询和可视化展示。
+- grafana:一个开源的可视化工具,用于查询并可视化展示采集的 tprofiling 事件。用户最终通过 grafana 提供的用户界面来使用 tprofiling 的功能,分析应用性能问题。
+
+#### 部署 tprofiling 探针
+
+用户需要先安装好 gala-gopher,具体的安装部署说明可参考 [gala-gopher文档](https://gitee.com/openeuler/gala-gopher#快速开始) 。由于 tprofiling 事件会发送到 kafka 中,因此部署时需要配置好 kafka 的服务地址。
+
+安装并运行 gala-gopher 后,使用 gala-gopher 提供的基于 HTTP 的动态配置接口启动 tprofiling 探针。
+
+```sh
+curl -X PUT http://:9999/tprofiling -d json='{"cmd": {"probe": ["oncpu", "syscall_file", "syscall_net", "syscall_sched", "syscall_lock"]}, "snoopers": {"proc_name": [{"comm": "java"}]}, "state": "running"}'
+```
+
+配置参数说明:
+
+- ``:部署 gala-gopher 的节点 IP。
+- `probe`:`cmd` 下的 `probe` 配置项指定了 tprofiling 探针观测的系统事件范围。其中,oncpu、syscall_file、syscall_net、syscall_sched、syscall_lock 分别对应 oncpu 事件、以及 file、net、sched、lock 四类系统调用事件。用户可根据需要只开启部分 tprofiling 事件类型的观测。
+- `proc_name`:`snoopers` 下的 `proc_name` 配置项用于过滤要观测的进程名。另外也可以通过 `proc_id` 配置项来过滤要观测的进程ID,详情参考:[REST 动态配置接口](#rest-动态配置接口)。
+
+要关闭 tprofiling 探针,执行如下命令:
+
+```sh
+curl -X PUT http://:9999/tprofiling -d json='{"state": "stopped"}'
+```
+
+#### 部署前端软件
+
+使用 tprofiling 功能的用户界面需要用到的软件包括:kafka、logstash、elasticsearch、grafana。这些软件安装在管理节点,用户可以使用 gala-ops 提供的部署工具进行快速安装部署,参考:[在线部署文档](https://gitee.com/openeuler/gala-docs#%E5%9C%A8%E7%BA%BF%E9%83%A8%E7%BD%B2)。
+
+在管理节点上,通过 [在线部署文档](https://gitee.com/openeuler/gala-docs#%E5%9C%A8%E7%BA%BF%E9%83%A8%E7%BD%B2) 获取部署脚本后,执行如下命令一键安装中间件:kafka、logstash、elasticsearch。
+
+```sh
+sh deploy.sh middleware -K <部署节点管理IP> -E <部署节点管理IP> -A -p
+```
+
+执行如下命令一键安装 grafana 。
+
+```sh
+sh deploy.sh grafana -P -E
+```
+
+#### 使用
+
+完成上述部署动作后,即可通过浏览器访问 `http://[部署节点管理IP]:3000` 登录 grafana 来使用 A-Ops,登录用户名、密码默认均为 admin。
+
+登录 grafana 界面后,找到名为 `ThreadProfiling` 的 dashboard。
+
+
+
+点击进入 tprofiling 功能的前端界面,接下来就可以探索 tprofiling 的功能了。
+
+
+
+### 使用案例
+
+#### 案例1:死锁问题定位
+
+
+
+上图是一个死锁 Demo 进程的线程 profiling 运行结果,从饼图中进程事件执行时间的统计结果可以看到,这段时间内 lock 类型事件(灰色部分)占比比较高。下半部分是整个进程的线程 profiling 展示结果,纵轴展示了进程内不同线程的 profiling 事件的执行序列。其中,线程 `java` 为主线程一直处于阻塞状态,业务线程 `LockThd1` 和 `LockThd2` 在执行一些 oncpu 事件和 file 类事件后会间歇性的同时执行一段长时间的 lock 类事件。将光标悬浮到 lock 类型事件上可以查看事件内容,(如下图所示)它触发了 futex 系统调用事件,执行时间为 60 秒。
+
+
+
+基于上述观测,我们可以发现业务线程 `LockThd1` 和 `LockThd2` 可能存在异常行为。接下来,我们可以进入线程视图,查看这两个业务线程 `LockThd1` 和 `LockThd2` 的线程 profiling 结果。
+
+
+
+上图是每个线程的 profiling 结果展示,纵轴展示线程内不同事件类型的执行序列。从图中可以看到,线程 `LockThd1` 和 `LockThd2` 正常情况下会定期执行 oncpu 事件,其中包括执行一些 file 类事件和 lock 类事件。但是在某个时间点(10:17:00附近)它们会同时执行一个长时间的 lock 类型的 futex 事件,而且这段时间内都没有 oncpu 事件发生,说明它们都进入了阻塞状态。futex 是用户态锁实现相关的系统调用,触发 futex 往往意味出现锁竞争,线程可能进入阻塞状态。
+
+基于上述分析,线程 `LockThd1` 和 `LockThd2` 很可能是出现了死锁问题。
+
+#### 案例2:锁竞争问题定位
+
+
+
+上图是一个锁竞争 Demo 进程的线程 profiling 运行结果。从图中可以看到,该进程在这段时间内主要执行了 lock、net、oncpu 三类事件,该进程包括 3 个运行的业务线程。在11:05:45 - 11:06:45 这段时间内,我们发现这 3 个业务线程的事件执行时间都变得很长了,这里面可能存在性能问题。同样,我们进入线程视图,查看每个线程的线程 profiling 结果,同时我们将时间范围缩小到可能有异常的时间点附近。
+
+
+
+通过查看每个线程的事件执行序列,可以大致了解每个线程这段时间在执行什么功能。
+
+- 线程 CompeteThd1:每隔一段时间触发短时的 oncpu 事件,执行一次计算任务;但是在 11:05:45 时间点附近开始触发长时的 oncpu 事件,说明正在执行耗时的计算任务。
+
+ 
+
+- 线程 CompeteThd2:每隔一段时间触发短时的 net 类事件,点击事件内容可以看到,该线程正在通过 write 系统调用发送网络消息,且可以看到对应的 tcp 连接信息;同样在 11:05:45 时间点附近开始执行长时的 futex 事件并进入阻塞状态,此时 write 网络事件的执行间隔变长了。
+
+ 
+
+ 
+
+- 线程 tcp-server:tcp 服务器,不断通过 read 系统调用读取客户端发送的请求;同样在 11:05:45 时间点附近开始,read 事件执行时间变长,说明此时正在等待接收网络请求。
+
+ 
+
+基于上述分析,我们可以发现,每当线程 CompeteThd1 在执行耗时较长的 oncpu 操作时,线程 CompeteThd2 都会调用 futex 系统调用进入阻塞状态,一旦线程 CompeteThd1 完成 oncpu 操作时,线程 CompeteThd2 将获取 cpu 并执行网络 write 操作。因此,大概率是因为线程 CompeteThd1 和线程 CompeteThd2 之间存在锁竞争的问题。而线程 tcp-server 与线程 CompeteThd2 之间存在 tcp 网络通信,由于线程 CompeteThd2 等待锁资源无法发送网络请求,从而导致线程 tcp-server 大部分时间都在等待 read 网络请求。
+
+
+### topics
+
+#### 支持的系统调用事件
+
+选择需要加入观测的系统调用事件的基本原则为:
+
+1. 选择可能会比较耗时、阻塞的事件(如文件操作、网络操作、锁操作等),这类事件通常涉及对系统资源的访问。
+2. 选择影响线程运行状态的事件。
+
+| 事件名/系统调用名 | 描述 | 默认的事件类型 | 扩展的事件内容 |
+| ----------------- | ----------------------------------------------------- | -------------- | -------------------------------- |
+| read | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
+| write | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
+| readv | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
+| writev | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
+| preadv | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
+| pwritev | 读写磁盘文件或网络,线程可能会耗时、阻塞 | file | file.path, sock.conn, func.stack |
+| sync | 对文件进行同步刷盘操作,完成前线程会阻塞 | file | func.stack |
+| fsync | 对文件进行同步刷盘操作,完成前线程会阻塞 | file | file.path, sock.conn, func.stack |
+| fdatasync | 对文件进行同步刷盘操作,完成前线程会阻塞 | file | file.path, sock.conn, func.stack |
+| sched_yield | 线程主动让出 CPU 重新进行调度 | sched | func.stack |
+| nanosleep | 线程进入睡眠状态 | sched | func.stack |
+| clock_nanosleep | 线程进入睡眠状态 | sched | func.stack |
+| wait4 | 线程阻塞 | sched | func.stack |
+| waitpid | 线程阻塞 | sched | func.stack |
+| select | 无事件到达时线程会阻塞等待 | sched | func.stack |
+| pselect6 | 无事件到达时线程会阻塞等待 | sched | func.stack |
+| poll | 无事件到达时线程会阻塞等待 | sched | func.stack |
+| ppoll | 无事件到达时线程会阻塞等待 | sched | func.stack |
+| epoll_wait | 无事件到达时线程会阻塞等待 | sched | func.stack |
+| sendto | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
+| recvfrom | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
+| sendmsg | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
+| recvmsg | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
+| sendmmsg | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
+| recvmmsg | 读写网络时,线程可能会耗时、阻塞 | net | sock.conn, func.stack |
+| futex | 触发 futex 往往意味着出现锁等待,线程可能进入阻塞状态 | lock | futex.op, func.stack |
+
+#### 聚合事件
+
+tprofiling 当前支持的系统性能事件包括两大类:系统调用事件和 oncpu 事件。其中,oncpu 事件以及部分系统调用事件(比如read/write)在特定的应用场景下可能会频繁触发,从而产生大量的系统事件,这会对观测的应用程序性能以及 tprofiling 探针本身的性能造成较大的影响。
+
+为了优化性能,tprofiling 将一段时间内(1s)属于同一个线程的具有相同事件名的多个系统事件聚合为一个事件进行上报。因此,一个 tprofiling 事件实际上指的是一个聚合事件,它包含一个或多个相同的系统事件。相比于一个真实的系统事件,一个聚合事件的部分属性的含义有如下变化,
+
+- `start_time`:事件开始时间,在聚合事件中是指第一个系统事件的开始时间。
+- `end_time`:事件结束时间,在聚合事件中是指(`start_time + duration`)。
+- `duration`:事件执行时间,在聚合事件中是指所有系统事件实际执行时间的累加值。
+- `count`:聚合事件中系统事件的数量,当值为 1 时,聚合事件就等价于一个系统事件。
+- 扩展的事件属性:在聚合事件中是指第一个系统事件的扩展属性。
+
+## L7Probe 介绍
+
+定位:L7流量观测,覆盖常见的HTTP1.X、PG、MySQL、Redis、Kafka、HTTP2.0、MongoDB、RocketMQ协议,支持加密流观测。
+
+场景:覆盖Node、Container、Pod(K8S)三类场景。
+
+
+
+### 代码框架设计
+```
+L7Probe
+ | --- included // 公共头文件
+
+ | --- connect.h // L7 connect对象定义
+
+ | --- pod.h // pod/container对象定义
+
+ | --- conn_tracker.h // L7协议跟踪对象定义
+
+ | --- protocol // L7协议解析
+
+ | --- http // HTTP1.X L7 message结构定义及解析
+
+ | --- mysql // mysql L7 message结构定义及解析
+
+ | --- pgsql // pgsql L7 message结构定义及解析
+
+ | --- bpf // 内核bpf代码
+
+ | --- L7.h // BPF程序解析L7层协议类型
+
+ | --- kern_sock.bpf.c // 内核socket层观测
+
+ | --- libssl.bpf.c // openSSL层观测
+
+ | --- gossl.bpf.c // GO SSL层观测
+
+ | --- cgroup.bpf.c // pod 生命周期观测
+
+ | --- pod_mng.c // pod/container实例管理(感知pod/container生命周期)
+
+ | --- conn_mng.c // L7 Connect实例管理(处理BPF观测事件,比如Open/Close事件、Stats统计)
+
+ | --- conn_tracker.c // L7 流量跟踪(跟踪BPF观测数据,比如send/write、read/recv等系统事件产生的数据)
+
+ | --- bpf_mng.c // BPF程序生命周期管理(按需、实时open、load、attach、unload BPF程序,包括uprobe BPF程序)
+
+ | --- session_conn.c // 管理jsse Session(记录jsse Session和sock连接的对应关系,上报jsse连接信息)
+
+ | --- L7Probe.c // 探针主程序
+
+```
+
+
+### 探针输出
+
+| metrics_name | table_name | metrics_type | unit | metrics description |
+| --------------- | ---------- | ------------ | ---- | ------------------------------------------------------------ |
+| tgid | NA | key | NA | Process ID of l7 session. |
+| client_ip | NA | key | NA | Client IP address of l7 session. |
+| server_ip | NA | key | NA | Server IP address of l7 session.
备注:K8S场景支持Cluster IP转换成Backend IP |
+| server_port | NA | key | NA | Server Port of l7 session.
备注:K8S场景支持Cluster Port转换成Backend Port |
+| l4_role | NA | key | NA | Role of l4 protocol(TCP Client/Server or UDP) |
+| l7_role | NA | key | NA | Role of l7 protocol(Client or Server) |
+| protocol | NA | key | NA | Name of l7 protocol(http/http2/mysql...) |
+| ssl | NA | label | NA | Indicates whether an SSL-encrypted l7 session is used. |
+| bytes_sent | l7_link | gauge | NA | Number of bytes sent by a l7 session. |
+| bytes_recv | l7_link | gauge | NA | Number of bytes recv by a l7 session. |
+| segs_sent | l7_link | gauge | NA | Number of segs sent by a l7 session. |
+| segs_recv | l7_link | gauge | NA | Number of segs recv by a l7 session. |
+| throughput_req | l7_rpc | gauge | qps | Request throughput of l7 session. |
+| throughput_resp | l7_rpc | gauge | qps | Response throughput of l7 session. |
+| req_count | l7_rpc | gauge | NA | Request num of l7 session. |
+| resp_count | l7_rpc | gauge | NA | Response num of l7 session. |
+| latency_avg | l7_rpc | gauge | ns | L7 session averaged latency. |
+| latency | l7_rpc | histogram | ns | L7 session histogram latency. |
+| latency_sum | l7_rpc | gauge | ns | L7 session sum latency. |
+| err_ratio | l7_rpc | gauge | % | L7 session error rate. |
+| err_count | l7_rpc | gauge | NA | L7 session error count. |
+### 动态控制
+
+#### 控制观测Pod范围
+
+1. REST->gala-gopher。
+1. gala-gopher->L7Probe。
+1. L7Probe 基于Pod获取相关Container。
+2. L7Probe 基于Container获取其 CGroup id(cpuacct_cgrp_id),并写入object模块(API: cgrp_add)。
+2. Socket系统事件上下文中,获取进程所属CGroup(cpuacct_cgrp_id),参考Linux代码(task_cgroup)。
+2. 观测过程中,通过object模块过滤(API: is_cgrp_exist)。
+
+#### 控制观测能力
+
+1. REST->gala-gopher。
+2. gala-gopher->L7Probe。
+3. L7Probe根据输入参数动态的开启、关闭BPF观测能力(包括吞吐量、时延、Trace、协议类型)。
+
+### 观测点
+
+#### 内核Socket系统调用
+
+TCP相关系统调用
+
+// int connect(int sockfd, const struct sockaddr *addr, socklen_t addrlen);
+
+// int accept(int sockfd, struct sockaddr *addr, socklen_t *addrlen);
+
+// int accept4(int sockfd, struct sockaddr *addr, socklen_t *addrlen, int flags);
+
+// ssize_t write(int fd, const void *buf, size_t count);
+
+// ssize_t send(int sockfd, const void *buf, size_t len, int flags);
+
+// ssize_t read(int fd, void *buf, size_t count);
+
+// ssize_t recv(int sockfd, void *buf, size_t len, int flags);
+
+// ssize_t writev(int fd, const struct iovec *iov, int iovcnt);
+
+// ssize_t readv(int fd, const struct iovec *iov, int iovcnt);
+
+
+
+TCP&UDP相关系统调用
+
+// ssize_t sendto(int sockfd, const void *buf, size_t len, int flags, const struct sockaddr *dest_addr, socklen_t addrlen);
+
+// ssize_t recvfrom(int sockfd, void *buf, size_t len, int flags, struct sockaddr *src_addr, socklen_t *addrlen);
+
+// ssize_t sendmsg(int sockfd, const struct msghdr *msg, int flags);
+
+// ssize_t recvmsg(int sockfd, struct msghdr *msg, int flags);
+
+// int close(int fd);
+
+
+
+注意点:
+
+1. read/write、readv/writev 与普通的文件I/O操作会混淆,通过观测内核security_socket_sendmsg函数区分FD是否属于socket操作。
+2. sendto/recvfrom、sendmsg/recvmsg TCP/UDP均会使用,参考下面手册的介绍。
+3. sendmmsg/recvmmsg、sendfile 暂不支持。
+
+[sendto manual](https://man7.org/linux/man-pages/man2/send.2.html) :If sendto() is used on a connection-mode (SOCK_STREAM, SOCK_SEQPACKET) socket, the arguments dest_addr and addrlen are ignored (and the error EISCONN may be returned when they are not NULL and 0), and the error ENOTCONN is returned when the socket was not actually connected. otherwise, the address of the target is given by dest_addr with addrlen specifying its size.
+
+sendto 判断dest_addr参数为NULL则为TCP,否则为UDP。
+
+
+
+[recvfrom manual](https://linux.die.net/man/2/recvfrom):The recvfrom() and recvmsg() calls are used to receive messages from a socket, and may be used to receive data on a socket whether or not it is connection-oriented.
+
+recvfrom判断src_addr参数为NULL则为TCP,否则为UDP。
+
+
+
+[sendmsg manual](https://man7.org/linux/man-pages/man3/sendmsg.3p.html):The sendmsg() function shall send a message through a connection-mode or connectionless-mode socket. If the socket is a connectionless-mode socket, the message shall be sent to the address specified by msghdr if no pre-specified peer address has been set. If a peer address has been pre-specified, either themessage shall be sent to the address specified in msghdr (overriding the pre-specified peer address), or the function shall return -1 and set errno to [EISCONN]. If the socket is connection-mode, the destination address in msghdr shall be ignored.
+
+sendmsg判断msghdr->msg_name参数为NULL则为TCP,否则为UDP。
+
+
+
+[recvmsg manual](https://man7.org/linux/man-pages/man3/recvmsg.3p.html): The recvmsg() function shall receive a message from a connection-mode or connectionless-mode socket. It is normally used with connectionless-mode sockets because it permits the application to retrieve the source address of received data.
+
+recvmsg判断msghdr->msg_name参数为NULL则为TCP,否则为UDP。
+
+#### libSSL API
+
+SSL_write
+
+SSL_read
+
+#### Go SSL API
+
+#### JSSE API
+
+sun/security/ssl/SSLSocketImpl$AppInputStream
+
+sun/security/ssl/SSLSocketImpl$AppOutputStream
+
+### JSSE观测方案
+
+#### 加载JSSEProbe探针
+
+main函数中通过l7_load_jsse_agent加载JSSEProbe探针。
+
+轮询观测白名单(g_proc_obj_map_fd)中的进程,若为java进程,则通过jvm_attach将JSSEProbeAgent.jar加载到此观测进程上。加载成功后,该java进程会在指定观测点(参见[JSSE API](#jsse-api))将观测信息输出到jsse-metrics输出文件(/tmp/java-data-/jsse-metrics.txt)中。
+
+#### 处理JSSEProbe消息
+
+l7_jsse_msg_handler线程中处理JSSEProbe消息。
+
+轮询观测白名单(g_proc_obj_map_fd)中的进程,若该进程有对应的jsse-metrics输出文件,则按行读取此文件并解析、转换、上报jsse读写信息。
+
+##### 1. 解析jsse读写信息
+
+jsse-metrics.txt的输出格式如下,从中解析出一次jsse请求的pid, sessionId, time, read/write操作, IP, port, payload信息:
+```|jsse_msg|662220|Session(1688648699909|TLS_AES_256_GCM_SHA384)|1688648699989|Write|127.0.0.1|58302|This is test message|```
+
+解析出的原始信息存储于session_data_args_s中。
+
+##### 2. 转换jsse读写信息
+
+将session_data_args_s中的信息转换为sock_conn和conn_data。
+
+转化时需要查询如下两个hash map:
+
+session_head:记录jsse连接的session Id和sock connection Id的对应关系。若进程id和四元组信息一致,则认为session和sock connection对应。
+
+file_conn_head:记录java进程的最后一个sessionId,以备L7probe读jsseProbe输出时,没有从请求开头开始读取,找不到sessionId信息。
+
+##### 3. 上报jsse读写信息
+
+将sock_conn和conn_data上报到map中。
+
+## sliprobe 介绍
+
+基于 ebpf 采集并周期性上报容器粒度的 SLI 指标。
+
+### 特性
+
+- 按照容器粒度采集周期内CPU调度事件的时延总计和统计直方图,关注的事件包括:调度等待,主动睡眠,锁/IO引起的阻塞,调度延迟,长系统调用等
+- 按照容器粒度采集周期内Memory分配事件的时延总计和统计直方图,关注的事件包括:内存回收,换页,内存规整等
+- 按照容器粒度采集周期内BIO层IO操作的时延总计和统计直方图
+
+### 使用说明
+
+启动命令示例:指定上报周期为15秒,观测容器id为abcd12345678和abcd87654321的两个容器的SLI指标。
+
+```shell
+curl -X PUT http://localhost:9999/sli -d json='{"params":{"report_period":15}, "snoopers":{"container_id":[{"container_id": "abcd12345678","abcd87654321"}]}, "state":"running"}'
+```
+
+### 代码逻辑
+#### 总体思路
+
+1. 用户态接收待观测的容器列表,将容器的cpuacct子系统目录inode记录在ebpf map中,共享给内核态。
+
+2. 通过ebpf kprobe/tracepoint跟踪相关内核事件,判断当前进程是否属于待观测范围,记录事件类型,时间戳等信息。每隔一定周期将同一cgroup内进程的SLI指标进行聚合上报。
+3. 用户态接收并打印内核态上报的SLI指标信息。
+
+#### SLI指标计算方式
+
+##### CPU SLI
+
+1. **cpu_wait**
+
+ 在sched_stat_wait观测点,获取第二个参数delay的值
+
+2. **cpu_sleep**
+
+ 在sched_stat_sleep观测点,获取第二个参数delay的值
+
+3. **cpu_iowait**
+
+ 在sched_stat_blocked观测点,判断当前进程in_iowait,则获取第二个参数delay的值
+
+4. **cpu_block**
+
+ 在sched_stat_blocked观测点,判断当前进程非in_iowait,则获取第二个参数delay的值
+
+5. **cpu_rundelay**
+
+ 在sched_switch观测点,通过第三个参数next获取将被调度进程的run_delay值:next->sched_info.run_delay,记录在task_sched_map中。计算同一进程两次被调度时run_delay的差值
+
+6. **cpu_longsys**
+
+ 在sched_switch观测点,通过第三个参数next获取将被调度进程的task结构体,从task结构体中获取上下文切换次数(nvcsw+nivcsw)和用户态执行时间utime。如果同一进程两次被调度时的上下文切换次数和用户态执行时间都不变,则说明在该进程在执行一个较长的系统调用,累积该进程处在内核态的时间
+
+##### MEM SLI
+
+1. **mem_reclaim**
+
+ 计算mem_cgroup_handle_over_high函数返回时间戳和进入时间戳的差值
+
+ 计算mm_vmscan_memcg_reclaim_end观测点和mm_vmscan_memcg_reclaim_begin观测点时间戳的差值
+
+2. **mem_swapin**
+
+ 计算do_swap_page函数返回时间戳和进入时间戳的差值
+
+3. **mem_compact**
+
+ 计算try_to_compact_pages函数返回时间戳和进入时间戳的差值
+
+##### IO SLI
+
+1. **bio_latency**
+
+ 计算进入bio_endio函数和触发block_bio_queue观测点的时间戳差值
+
+ 计算进入bio_endio函数和退出generic_make_request_checks函数的时间戳差值
+
+
+## 使用方法
+
+### 外部依赖软件部署
+
+
+
+如上图所示,绿色部分为gala-gopher的外部依赖组件。gala-gopher会将指标数据metrics输出到prometheus,将元数据metadata、异常事件event输出到kafka,灰色部分的gala-anteater和gala-spider会从prometheus和kafka获取数据。
+
+> 说明:安装kafka、prometheus软件包时,需要从官网获取安装包进行部署。
+
+### 输出数据
+
+- **指标数据metrics**
+
+ Prometheus Server内置了Express Browser UI,用户可以通过PromQL查询语句查询指标数据内容。详细教程参见官方文档:[Using the expression browser](https://prometheus.io/docs/prometheus/latest/getting_started/#using-the-expression-browser)。示例如下:
+
+ 指定指标名称为`gala_gopher_tcp_link_rcv_rtt`,UI显示的指标数据为:
+
+ ```basic
+ gala_gopher_tcp_link_rcv_rtt{client_ip="x.x.x.165",client_port="1234",hostname="openEuler",instance="x.x.x.172:8888",job="prometheus",machine_id="1fd3774xx",protocol="2",role="0",server_ip="x.x.x.172",server_port="3742",tgid="1516"} 1
+ ```
+
+- **元数据metadata**
+
+ 可以直接从kafka消费topic为`gala_gopher_metadata`的数据来看。示例如下:
+
+ ```bash
+ # 输入请求
+ ./bin/kafka-console-consumer.sh --bootstrap-server x.x.x.165:9092 --topic gala_gopher_metadata
+ # 输出数据
+ {"timestamp": 1655888408000, "meta_name": "thread", "entity_name": "thread", "version": "1.0.0", "keys": ["machine_id", "pid"], "labels": ["hostname", "tgid", "comm", "major", "minor"], "metrics": ["fork_count", "task_io_wait_time_us", "task_io_count", "task_io_time_us", "task_hang_count"]}
+ ```
+
+- **异常事件event**
+
+ 可以直接从kafka消费topic为`gala_gopher_event`的数据来看。示例如下:
+
+ ```bash
+ # 输入请求
+ ./bin/kafka-console-consumer.sh --bootstrap-server x.x.x.165:9092 --topic gala_gopher_event
+ # 输出数据
+ {"timestamp": 1655888408000, "meta_name": "thread", "entity_name": "thread", "version": "1.0.0", "keys": ["machine_id", "pid"], "labels": ["hostname", "tgid", "comm", "major", "minor"], "metrics": ["fork_count", "task_io_wait_time_us", "task_io_count", "task_io_time_us", "task_hang_count"]}
+ ```
diff --git "a/docs/zh/docs/A-Ops/gala-spider\344\275\277\347\224\250\346\211\213\345\206\214.md" "b/docs/zh/docs/A-Ops/gala-spider\344\275\277\347\224\250\346\211\213\345\206\214.md"
index 656ab5dfbccb95b5505b8bf76b16affb402d96d3..ad5ee916cfdbde36210f8c294e2b48d91165fe94 100644
--- "a/docs/zh/docs/A-Ops/gala-spider\344\275\277\347\224\250\346\211\213\345\206\214.md"
+++ "b/docs/zh/docs/A-Ops/gala-spider\344\275\277\347\224\250\346\211\213\345\206\214.md"
@@ -1,527 +1,527 @@
-# gala-spider使用手册
-
-本文档主要介绍如何部署和使用gala-spider和gala-inference。
-
-## gala-spider
-
-gala-spider 提供 OS 级别的拓扑图绘制功能,它将定期获取 gala-gopher (一个 OS 层面的数据采集软件)在某个时间点采集的所有观测对象的数据,并计算它们之间的拓扑关系,最终将生成的拓扑图保存到图数据库 arangodb 中。
-
-### 安装
-
-挂载 yum 源:
-
-```basic
-[oe-2309] # openEuler 2309 官方发布源
-name=oe2309
-baseurl=http://119.3.219.20:82/openEuler:/23.09/standard_x86_64
-enabled=1
-gpgcheck=0
-priority=1
-
-[oe-2309:Epol] # openEuler 2309:Epol 官方发布源
-name=oe2309_epol
-baseurl=http://119.3.219.20:82/openEuler:/23.09:/Epol/standard_x86_64/
-enabled=1
-gpgcheck=0
-priority=1
-```
-
-安装 gala-spider:
-
-```sh
-# yum install gala-spider
-```
-
-### 配置
-
-#### 配置文件说明
-
-gala-spider 配置文件为 `/etc/gala-spider/gala-spider.yaml` ,该文件配置项说明如下。
-
-- global:全局配置信息。
- - data_source:指定观测指标采集的数据库,当前只支持 prometheus。
- - data_agent:指定观测指标采集代理,当前只支持 gala_gopher。
-- spider:spider配置信息。
- - log_conf:日志配置信息。
- - log_path:日志文件路径。
- - log_level:日志打印级别,值包括 DEBUG/INFO/WARNING/ERROR/CRITICAL 。
- - max_size:日志文件大小,单位为兆字节(MB)。
- - backup_count:日志备份文件数量。
-- storage:拓扑图存储服务的配置信息。
- - period:存储周期,单位为秒,表示每隔多少秒存储一次拓扑图。
- - database:存储的图数据库,当前只支持 arangodb。
- - db_conf:图数据库的配置信息。
- - url:图数据库的服务器地址。
- - db_name:拓扑图存储的数据库名称。
-- kafka:kafka配置信息。
- - server:kafka服务器地址。
- - metadata_topic:观测对象元数据消息的topic名称。
- - metadata_group_id:观测对象元数据消息的消费者组ID。
-- prometheus:prometheus数据库配置信息。
- - base_url:prometheus服务器地址。
- - instant_api:单个时间点采集API。
- - range_api:区间采集API。
- - step:采集时间步长,用于区间采集API。
-
-#### 配置文件示例
-
-```yaml
-global:
- data_source: "prometheus"
- data_agent: "gala_gopher"
-
-prometheus:
- base_url: "http://localhost:9090/"
- instant_api: "/api/v1/query"
- range_api: "/api/v1/query_range"
- step: 1
-
-spider:
- log_conf:
- log_path: "/var/log/gala-spider/spider.log"
- # log level: DEBUG/INFO/WARNING/ERROR/CRITICAL
- log_level: INFO
- # unit: MB
- max_size: 10
- backup_count: 10
-
-storage:
- # unit: second
- period: 60
- database: arangodb
- db_conf:
- url: "http://localhost:8529"
- db_name: "spider"
-
-kafka:
- server: "localhost:9092"
- metadata_topic: "gala_gopher_metadata"
- metadata_group_id: "metadata-spider"
-```
-
-### 启动
-
-1. 通过命令启动。
-
- ```sh
- # spider-storage
- ```
-
-2. 通过 systemd 服务启动。
-
- ```sh
- # systemctl start gala-spider
- ```
-
-### 使用方法
-
-#### 外部依赖软件部署
-
-gala-spider 运行时需要依赖多个外部软件进行交互。因此,在启动 gala-spider 之前,用户需要将gala-spider依赖的软件部署完成。下图为 gala-spider 项目的软件依赖图。
-
-
-
-其中,右侧虚线框内为 gala-spider 项目的 2 个功能组件,绿色部分为 gala-spider 项目直接依赖的外部组件,灰色部分为 gala-spider 项目间接依赖的外部组件。
-
-- **spider-storage**:gala-spider 核心组件,提供拓扑图存储功能。
- 1. 从 kafka 中获取观测对象的元数据信息。
- 2. 从 Prometheus 中获取所有的观测实例信息。
- 3. 将生成的拓扑图存储到图数据库 arangodb 中。
-- **gala-inference**:gala-spider 核心组件,提供根因定位功能。它通过订阅 kafka 的异常 KPI 事件触发异常 KPI 的根因定位流程,并基于 arangodb 获取的拓扑图来构建故障传播图,最终将根因定位的结果输出到 kafka 中。
-- **prometheus**:时序数据库,gala-gopher 组件采集的观测指标数据会上报到 prometheus,再由 gala-spider 做进一步处理。
-- **kafka**:消息中间件,用于存储 gala-gopher 上报的观测对象元数据信息,异常检测组件上报的异常事件,以及 cause-inference 组件上报的根因定位结果。
-- **arangodb**:图数据库,用于存储 spider-storage 生成的拓扑图。
-- **gala-gopher**:数据采集组件,请提前部署gala-gopher。
-- **arangodb-ui**:arangodb 提供的 UI 界面,可用于查询拓扑图。
-
-gala-spider 项目中的 2 个功能组件会作为独立的软件包分别发布。
-
-**spider-storage** 组件对应本节中的 gala-spider 软件包。
-
-**gala-inference** 组件对应 gala-inference 软件包。
-
-gala-gopher软件的部署参见[gala-gopher使用手册](gala-gopher使用手册.md),此处只介绍 arangodb 的部署。
-
-当前使用的 arangodb 版本是 3.8.7 ,该版本对运行环境有如下要求:
-
-- 只支持 x86 系统
-- gcc10 以上
-
-arangodb 官方部署文档参见:[arangodb部署](https://www.arangodb.com/docs/3.9/deployment.html) 。
-
-arangodb 基于 rpm 的部署流程如下:
-
-1. 配置 yum 源。
-
- ```basic
- [oe-2309] # openEuler 2309 官方发布源
- name=oe2309
- baseurl=http://119.3.219.20:82/openEuler:/23.09/standard_x86_64
- enabled=1
- gpgcheck=0
- priority=1
-
- [oe-2309:Epol] # openEuler 2309:Epol 官方发布源
- name=oe2309_epol
- baseurl=http://119.3.219.20:82/openEuler:/23.09:/Epol/standard_x86_64/
- enabled=1
- gpgcheck=0
- priority=1
- ```
-
-2. 安装 arangodb3。
-
- ```sh
- # yum install arangodb3
- ```
-
-3. 配置修改。
-
- arangodb3 服务器的配置文件路径为 `/etc/arangodb3/arangod.conf` ,需要修改如下的配置信息:
-
- - endpoint:配置 arangodb3 的服务器地址
- - authentication:访问 arangodb3 服务器是否需要进行身份认证,当前 gala-spider 还不支持身份认证,故此处将authentication设置为 false。
-
- 示例配置如下:
-
- ```yaml
- [server]
- endpoint = tcp://0.0.0.0:8529
- authentication = false
- ```
-
-4. 启动 arangodb3。
-
- ```sh
- # systemctl start arangodb3
- ```
-
-#### gala-spider配置项修改
-
-依赖软件启动后,需要修改 gala-spider 配置文件的部分配置项内容。示例如下:
-
-配置 kafka 服务器地址:
-
-```yaml
-kafka:
- server: "localhost:9092"
-```
-
-配置 prometheus 服务器地址:
-
-```yaml
-prometheus:
- base_url: "http://localhost:9090/"
-```
-
-配置 arangodb 服务器地址:
-
-```yaml
-storage:
- db_conf:
- url: "http://localhost:8529"
-```
-
-#### 启动服务
-
-运行 `systemctl start gala-spider` 。查看启动状态可执行 `systemctl status gala-spider` ,输出如下信息说明启动成功。
-
-```sh
-[root@openEuler ~]# systemctl status gala-spider
-● gala-spider.service - a-ops gala spider service
- Loaded: loaded (/usr/lib/systemd/system/gala-spider.service; enabled; vendor preset: disabled)
- Active: active (running) since Tue 2022-08-30 17:28:38 CST; 1 day 22h ago
- Main PID: 2263793 (spider-storage)
- Tasks: 3 (limit: 98900)
- Memory: 44.2M
- CGroup: /system.slice/gala-spider.service
- └─2263793 /usr/bin/python3 /usr/bin/spider-storage
-```
-
-#### 输出示例
-
-用户可以通过 arangodb 提供的 UI 界面来查询 gala-spider 输出的拓扑图。使用流程如下:
-
-1. 在浏览器输入 arangodb 服务器地址,如:http://localhost:8529 ,进入 arangodb 的 UI 界面。
-
-2. 界面右上角切换至 `spider` 数据库。
-
-3. 在 `Collections` 面板可以看到在不同时间段存储的观测对象实例的集合、拓扑关系的集合,如下图所示:
-
- 
-
-4. 可进一步根据 arangodb 提供的 AQL 查询语句查询存储的拓扑关系图,详细教程参见官方文档: [aql文档](https://www.arangodb.com/docs/3.8/aql/)。
-
-## gala-inference
-
-gala-inference 提供异常 KPI 根因定位能力,它将基于异常检测的结果和拓扑图作为输入,根因定位的结果作为输出,输出到 kafka 中。gala-inference 组件在 gala-spider 项目下进行归档。
-
-### 安装
-
-挂载 yum 源:
-
-```basic
-[oe-2309] # openEuler 2309 官方发布源
-name=oe2309
-baseurl=http://119.3.219.20:82/openEuler:/23.09/standard_x86_64
-enabled=1
-gpgcheck=0
-priority=1
-
-[oe-2309:Epol] # openEuler 2309:Epol 官方发布源
-name=oe2309_epol
-baseurl=http://119.3.219.20:82/openEuler:/23.09:/Epol/standard_x86_64/
-enabled=1
-gpgcheck=0
-priority=1
-```
-
-安装 gala-inference:
-
-```sh
-# yum install gala-inference
-```
-
-### 配置
-
-#### 配置文件说明
-
-gala-inference 配置文件 `/etc/gala-inference/gala-inference.yaml` 配置项说明如下。
-
-- inference:根因定位算法的配置信息。
- - tolerated_bias:异常时间点的拓扑图查询所容忍的时间偏移,单位为秒。
- - topo_depth:拓扑图查询的最大深度。
- - root_topk:根因定位结果输出前 K 个根因指标。
- - infer_policy:根因推导策略,包括 dfs 和 rw 。
- - sample_duration:指标的历史数据的采样周期,单位为秒。
- - evt_valid_duration:根因定位时,有效的系统异常指标事件周期,单位为秒。
- - evt_aging_duration:根因定位时,系统异常指标事件的老化周期,单位为秒。
-- kafka:kafka配置信息。
- - server:kafka服务器地址。
- - metadata_topic:观测对象元数据消息的配置信息。
- - topic_id:观测对象元数据消息的topic名称。
- - group_id:观测对象元数据消息的消费者组ID。
- - abnormal_kpi_topic:异常 KPI 事件消息的配置信息。
- - topic_id:异常 KPI 事件消息的topic名称。
- - group_id:异常 KPI 事件消息的消费者组ID。
- - abnormal_metric_topic:系统异常指标事件消息的配置信息。
- - topic_id:系统异常指标事件消息的topic名称。
- - group_id:系统异常指标事件消息的消费者组ID。
- - consumer_to:消费系统异常指标事件消息的超时时间,单位为秒。
- - inference_topic:根因定位结果输出事件消息的配置信息。
- - topic_id:根因定位结果输出事件消息的topic名称。
-- arangodb:arangodb图数据库的配置信息,用于查询根因定位所需要的拓扑子图。
- - url:图数据库的服务器地址。
- - db_name:拓扑图存储的数据库名称。
-- log_conf:日志配置信息。
- - log_path:日志文件路径。
- - log_level:日志打印级别,值包括 DEBUG/INFO/WARNING/ERROR/CRITICAL。
- - max_size:日志文件大小,单位为兆字节(MB)。
- - backup_count:日志备份文件数量。
-- prometheus:prometheus数据库配置信息,用于获取指标的历史时序数据。
- - base_url:prometheus服务器地址。
- - range_api:区间采集API。
- - step:采集时间步长,用于区间采集API。
-
-#### 配置文件示例
-
-```yaml
-inference:
- # 异常时间点的拓扑图查询所容忍的时间偏移,单位:秒
- tolerated_bias: 120
- topo_depth: 10
- root_topk: 3
- infer_policy: "dfs"
- # 单位: 秒
- sample_duration: 600
- # 根因定位时,有效的异常指标事件周期,单位:秒
- evt_valid_duration: 120
- # 异常指标事件的老化周期,单位:秒
- evt_aging_duration: 600
-
-kafka:
- server: "localhost:9092"
- metadata_topic:
- topic_id: "gala_gopher_metadata"
- group_id: "metadata-inference"
- abnormal_kpi_topic:
- topic_id: "gala_anteater_hybrid_model"
- group_id: "abn-kpi-inference"
- abnormal_metric_topic:
- topic_id: "gala_anteater_metric"
- group_id: "abn-metric-inference"
- consumer_to: 1
- inference_topic:
- topic_id: "gala_cause_inference"
-
-arangodb:
- url: "http://localhost:8529"
- db_name: "spider"
-
-log:
- log_path: "/var/log/gala-inference/inference.log"
- # log level: DEBUG/INFO/WARNING/ERROR/CRITICAL
- log_level: INFO
- # unit: MB
- max_size: 10
- backup_count: 10
-
-prometheus:
- base_url: "http://localhost:9090/"
- range_api: "/api/v1/query_range"
- step: 5
-```
-
-### 启动
-
-1. 通过命令启动。
-
- ```sh
- # gala-inference
- ```
-
-2. 通过 systemd 服务启动。
-
- ```sh
- # systemctl start gala-inference
- ```
-
-### 使用方法
-
-#### 依赖软件部署
-
-gala-inference 的运行依赖和 gala-spider一样,请参见[外部依赖软件部署](#外部依赖软件部署)。此外,gala-inference 还间接依赖 [gala-spider](#gala-spider) 和 [gala-anteater](gala-anteater使用手册.md) 软件的运行,请提前部署gala-spider和gala-anteater软件。
-
-#### 配置项修改
-
-修改 gala-inference 的配置文件中部分配置项。示例如下:
-
-配置 kafka 服务器地址:
-
-```yaml
-kafka:
- server: "localhost:9092"
-```
-
-配置 prometheus 服务器地址:
-
-```yaml
-prometheus:
- base_url: "http://localhost:9090/"
-```
-
-配置 arangodb 服务器地址:
-
-```yaml
-arangodb:
- url: "http://localhost:8529"
-```
-
-#### 启动服务
-
-直接运行 `systemctl start gala-inference` 即可。可通过执行 `systemctl status gala-inference` 查看启动状态,如下打印表示启动成功。
-
-```sh
-[root@openEuler ~]# systemctl status gala-inference
-● gala-inference.service - a-ops gala inference service
- Loaded: loaded (/usr/lib/systemd/system/gala-inference.service; enabled; vendor preset: disabled)
- Active: active (running) since Tue 2022-08-30 17:55:33 CST; 1 day 22h ago
- Main PID: 2445875 (gala-inference)
- Tasks: 10 (limit: 98900)
- Memory: 48.7M
- CGroup: /system.slice/gala-inference.service
- └─2445875 /usr/bin/python3 /usr/bin/gala-inference
-```
-
-#### 输出示例
-
-当异常检测模块 gala-anteater 检测到 KPI 异常后,会将对应的异常 KPI 事件输出到 kafka 中,gala-inference 会一直监测该异常 KPI 事件的消息,如果收到异常 KPI 事件的消息,就会触发根因定位。根因定位会将定位结果输出到 kafka 中,用户可以在 kafka 服务器中查看根因定位的输出结果,基本步骤如下:
-
-1. 若通过源码安装 kafka ,需要进入 kafka 的安装目录下。
-
- ```sh
- cd /root/kafka_2.13-2.8.0
- ```
-
-2. 执行消费 topic 的命令获取根因定位的输出结果。
-
- ```sh
- ./bin/kafka-console-consumer.sh --bootstrap-server localhost:9092 --topic gala_cause_inference
- ```
-
- 输出示例如下:
-
- ```json
- {
- "Timestamp": 1661853360000,
- "event_id": "1661853360000_1fd37742xxxx_sli_12154_19",
- "Atrributes": {
- "event_id": "1661853360000_1fd37742xxxx_sli_12154_19"
- },
- "Resource": {
- "abnormal_kpi": {
- "metric_id": "gala_gopher_sli_rtt_nsec",
- "entity_id": "1fd37742xxxx_sli_12154_19",
- "timestamp": 1661853360000,
- "metric_labels": {
- "machine_id": "1fd37742xxxx",
- "tgid": "12154",
- "conn_fd": "19"
- }
- },
- "cause_metrics": [
- {
- "metric_id": "gala_gopher_proc_write_bytes",
- "entity_id": "1fd37742xxxx_proc_12154",
- "metric_labels": {
- "__name__": "gala_gopher_proc_write_bytes",
- "cmdline": "/opt/redis/redis-server x.x.x.172:3742",
- "comm": "redis-server",
- "container_id": "5a10635e2c43",
- "hostname": "openEuler",
- "instance": "x.x.x.172:8888",
- "job": "prometheus",
- "machine_id": "1fd37742xxxx",
- "pgid": "12154",
- "ppid": "12126",
- "tgid": "12154"
- },
- "timestamp": 1661853360000,
- "path": [
- {
- "metric_id": "gala_gopher_proc_write_bytes",
- "entity_id": "1fd37742xxxx_proc_12154",
- "metric_labels": {
- "__name__": "gala_gopher_proc_write_bytes",
- "cmdline": "/opt/redis/redis-server x.x.x.172:3742",
- "comm": "redis-server",
- "container_id": "5a10635e2c43",
- "hostname": "openEuler",
- "instance": "x.x.x.172:8888",
- "job": "prometheus",
- "machine_id": "1fd37742xxxx",
- "pgid": "12154",
- "ppid": "12126",
- "tgid": "12154"
- },
- "timestamp": 1661853360000
- },
- {
- "metric_id": "gala_gopher_sli_rtt_nsec",
- "entity_id": "1fd37742xxxx_sli_12154_19",
- "metric_labels": {
- "machine_id": "1fd37742xxxx",
- "tgid": "12154",
- "conn_fd": "19"
- },
- "timestamp": 1661853360000
- }
- ]
- }
- ]
- },
- "SeverityText": "WARN",
- "SeverityNumber": 13,
- "Body": "A cause inferring event for an abnormal event"
- }
- ```
+# gala-spider使用手册
+
+本文档主要介绍如何部署和使用gala-spider和gala-inference。
+
+## gala-spider
+
+gala-spider 提供 OS 级别的拓扑图绘制功能,它将定期获取 gala-gopher (一个 OS 层面的数据采集软件)在某个时间点采集的所有观测对象的数据,并计算它们之间的拓扑关系,最终将生成的拓扑图保存到图数据库 arangodb 中。
+
+### 安装
+
+挂载 yum 源:
+
+```basic
+[oe-2309] # openEuler 2309 官方发布源
+name=oe2309
+baseurl=http://119.3.219.20:82/openEuler:/23.09/standard_x86_64
+enabled=1
+gpgcheck=0
+priority=1
+
+[oe-2309:Epol] # openEuler 2309:Epol 官方发布源
+name=oe2309_epol
+baseurl=http://119.3.219.20:82/openEuler:/23.09:/Epol/standard_x86_64/
+enabled=1
+gpgcheck=0
+priority=1
+```
+
+安装 gala-spider:
+
+```sh
+# yum install gala-spider
+```
+
+### 配置
+
+#### 配置文件说明
+
+gala-spider 配置文件为 `/etc/gala-spider/gala-spider.yaml` ,该文件配置项说明如下。
+
+- global:全局配置信息。
+ - data_source:指定观测指标采集的数据库,当前只支持 prometheus。
+ - data_agent:指定观测指标采集代理,当前只支持 gala_gopher。
+- spider:spider配置信息。
+ - log_conf:日志配置信息。
+ - log_path:日志文件路径。
+ - log_level:日志打印级别,值包括 DEBUG/INFO/WARNING/ERROR/CRITICAL 。
+ - max_size:日志文件大小,单位为兆字节(MB)。
+ - backup_count:日志备份文件数量。
+- storage:拓扑图存储服务的配置信息。
+ - period:存储周期,单位为秒,表示每隔多少秒存储一次拓扑图。
+ - database:存储的图数据库,当前只支持 arangodb。
+ - db_conf:图数据库的配置信息。
+ - url:图数据库的服务器地址。
+ - db_name:拓扑图存储的数据库名称。
+- kafka:kafka配置信息。
+ - server:kafka服务器地址。
+ - metadata_topic:观测对象元数据消息的topic名称。
+ - metadata_group_id:观测对象元数据消息的消费者组ID。
+- prometheus:prometheus数据库配置信息。
+ - base_url:prometheus服务器地址。
+ - instant_api:单个时间点采集API。
+ - range_api:区间采集API。
+ - step:采集时间步长,用于区间采集API。
+
+#### 配置文件示例
+
+```yaml
+global:
+ data_source: "prometheus"
+ data_agent: "gala_gopher"
+
+prometheus:
+ base_url: "http://localhost:9090/"
+ instant_api: "/api/v1/query"
+ range_api: "/api/v1/query_range"
+ step: 1
+
+spider:
+ log_conf:
+ log_path: "/var/log/gala-spider/spider.log"
+ # log level: DEBUG/INFO/WARNING/ERROR/CRITICAL
+ log_level: INFO
+ # unit: MB
+ max_size: 10
+ backup_count: 10
+
+storage:
+ # unit: second
+ period: 60
+ database: arangodb
+ db_conf:
+ url: "http://localhost:8529"
+ db_name: "spider"
+
+kafka:
+ server: "localhost:9092"
+ metadata_topic: "gala_gopher_metadata"
+ metadata_group_id: "metadata-spider"
+```
+
+### 启动
+
+1. 通过命令启动。
+
+ ```sh
+ # spider-storage
+ ```
+
+2. 通过 systemd 服务启动。
+
+ ```sh
+ # systemctl start gala-spider
+ ```
+
+### 使用方法
+
+#### 外部依赖软件部署
+
+gala-spider 运行时需要依赖多个外部软件进行交互。因此,在启动 gala-spider 之前,用户需要将gala-spider依赖的软件部署完成。下图为 gala-spider 项目的软件依赖图。
+
+
+
+其中,右侧虚线框内为 gala-spider 项目的 2 个功能组件,绿色部分为 gala-spider 项目直接依赖的外部组件,灰色部分为 gala-spider 项目间接依赖的外部组件。
+
+- **spider-storage**:gala-spider 核心组件,提供拓扑图存储功能。
+ 1. 从 kafka 中获取观测对象的元数据信息。
+ 2. 从 Prometheus 中获取所有的观测实例信息。
+ 3. 将生成的拓扑图存储到图数据库 arangodb 中。
+- **gala-inference**:gala-spider 核心组件,提供根因定位功能。它通过订阅 kafka 的异常 KPI 事件触发异常 KPI 的根因定位流程,并基于 arangodb 获取的拓扑图来构建故障传播图,最终将根因定位的结果输出到 kafka 中。
+- **prometheus**:时序数据库,gala-gopher 组件采集的观测指标数据会上报到 prometheus,再由 gala-spider 做进一步处理。
+- **kafka**:消息中间件,用于存储 gala-gopher 上报的观测对象元数据信息,异常检测组件上报的异常事件,以及 cause-inference 组件上报的根因定位结果。
+- **arangodb**:图数据库,用于存储 spider-storage 生成的拓扑图。
+- **gala-gopher**:数据采集组件,请提前部署gala-gopher。
+- **arangodb-ui**:arangodb 提供的 UI 界面,可用于查询拓扑图。
+
+gala-spider 项目中的 2 个功能组件会作为独立的软件包分别发布。
+
+**spider-storage** 组件对应本节中的 gala-spider 软件包。
+
+**gala-inference** 组件对应 gala-inference 软件包。
+
+gala-gopher软件的部署参见[gala-gopher使用手册](gala-gopher使用手册.md),此处只介绍 arangodb 的部署。
+
+当前使用的 arangodb 版本是 3.8.7 ,该版本对运行环境有如下要求:
+
+- 只支持 x86 系统
+- gcc10 以上
+
+arangodb 官方部署文档参见:[arangodb部署](https://www.arangodb.com/docs/3.9/deployment.html) 。
+
+arangodb 基于 rpm 的部署流程如下:
+
+1. 配置 yum 源。
+
+ ```basic
+ [oe-2309] # openEuler 2309 官方发布源
+ name=oe2309
+ baseurl=http://119.3.219.20:82/openEuler:/23.09/standard_x86_64
+ enabled=1
+ gpgcheck=0
+ priority=1
+
+ [oe-2309:Epol] # openEuler 2309:Epol 官方发布源
+ name=oe2309_epol
+ baseurl=http://119.3.219.20:82/openEuler:/23.09:/Epol/standard_x86_64/
+ enabled=1
+ gpgcheck=0
+ priority=1
+ ```
+
+2. 安装 arangodb3。
+
+ ```sh
+ # yum install arangodb3
+ ```
+
+3. 配置修改。
+
+ arangodb3 服务器的配置文件路径为 `/etc/arangodb3/arangod.conf` ,需要修改如下的配置信息:
+
+ - endpoint:配置 arangodb3 的服务器地址
+ - authentication:访问 arangodb3 服务器是否需要进行身份认证,当前 gala-spider 还不支持身份认证,故此处将authentication设置为 false。
+
+ 示例配置如下:
+
+ ```yaml
+ [server]
+ endpoint = tcp://0.0.0.0:8529
+ authentication = false
+ ```
+
+4. 启动 arangodb3。
+
+ ```sh
+ # systemctl start arangodb3
+ ```
+
+#### gala-spider配置项修改
+
+依赖软件启动后,需要修改 gala-spider 配置文件的部分配置项内容。示例如下:
+
+配置 kafka 服务器地址:
+
+```yaml
+kafka:
+ server: "localhost:9092"
+```
+
+配置 prometheus 服务器地址:
+
+```yaml
+prometheus:
+ base_url: "http://localhost:9090/"
+```
+
+配置 arangodb 服务器地址:
+
+```yaml
+storage:
+ db_conf:
+ url: "http://localhost:8529"
+```
+
+#### 启动服务
+
+运行 `systemctl start gala-spider` 。查看启动状态可执行 `systemctl status gala-spider` ,输出如下信息说明启动成功。
+
+```sh
+[root@openEuler ~]# systemctl status gala-spider
+● gala-spider.service - a-ops gala spider service
+ Loaded: loaded (/usr/lib/systemd/system/gala-spider.service; enabled; vendor preset: disabled)
+ Active: active (running) since Tue 2022-08-30 17:28:38 CST; 1 day 22h ago
+ Main PID: 2263793 (spider-storage)
+ Tasks: 3 (limit: 98900)
+ Memory: 44.2M
+ CGroup: /system.slice/gala-spider.service
+ └─2263793 /usr/bin/python3 /usr/bin/spider-storage
+```
+
+#### 输出示例
+
+用户可以通过 arangodb 提供的 UI 界面来查询 gala-spider 输出的拓扑图。使用流程如下:
+
+1. 在浏览器输入 arangodb 服务器地址,如:http://localhost:8529 ,进入 arangodb 的 UI 界面。
+
+2. 界面右上角切换至 `spider` 数据库。
+
+3. 在 `Collections` 面板可以看到在不同时间段存储的观测对象实例的集合、拓扑关系的集合,如下图所示:
+
+ 
+
+4. 可进一步根据 arangodb 提供的 AQL 查询语句查询存储的拓扑关系图,详细教程参见官方文档: [aql文档](https://www.arangodb.com/docs/3.8/aql/)。
+
+## gala-inference
+
+gala-inference 提供异常 KPI 根因定位能力,它将基于异常检测的结果和拓扑图作为输入,根因定位的结果作为输出,输出到 kafka 中。gala-inference 组件在 gala-spider 项目下进行归档。
+
+### 安装
+
+挂载 yum 源:
+
+```basic
+[oe-2309] # openEuler 2309 官方发布源
+name=oe2309
+baseurl=http://119.3.219.20:82/openEuler:/23.09/standard_x86_64
+enabled=1
+gpgcheck=0
+priority=1
+
+[oe-2309:Epol] # openEuler 2309:Epol 官方发布源
+name=oe2309_epol
+baseurl=http://119.3.219.20:82/openEuler:/23.09:/Epol/standard_x86_64/
+enabled=1
+gpgcheck=0
+priority=1
+```
+
+安装 gala-inference:
+
+```sh
+# yum install gala-inference
+```
+
+### 配置
+
+#### 配置文件说明
+
+gala-inference 配置文件 `/etc/gala-inference/gala-inference.yaml` 配置项说明如下。
+
+- inference:根因定位算法的配置信息。
+ - tolerated_bias:异常时间点的拓扑图查询所容忍的时间偏移,单位为秒。
+ - topo_depth:拓扑图查询的最大深度。
+ - root_topk:根因定位结果输出前 K 个根因指标。
+ - infer_policy:根因推导策略,包括 dfs 和 rw 。
+ - sample_duration:指标的历史数据的采样周期,单位为秒。
+ - evt_valid_duration:根因定位时,有效的系统异常指标事件周期,单位为秒。
+ - evt_aging_duration:根因定位时,系统异常指标事件的老化周期,单位为秒。
+- kafka:kafka配置信息。
+ - server:kafka服务器地址。
+ - metadata_topic:观测对象元数据消息的配置信息。
+ - topic_id:观测对象元数据消息的topic名称。
+ - group_id:观测对象元数据消息的消费者组ID。
+ - abnormal_kpi_topic:异常 KPI 事件消息的配置信息。
+ - topic_id:异常 KPI 事件消息的topic名称。
+ - group_id:异常 KPI 事件消息的消费者组ID。
+ - abnormal_metric_topic:系统异常指标事件消息的配置信息。
+ - topic_id:系统异常指标事件消息的topic名称。
+ - group_id:系统异常指标事件消息的消费者组ID。
+ - consumer_to:消费系统异常指标事件消息的超时时间,单位为秒。
+ - inference_topic:根因定位结果输出事件消息的配置信息。
+ - topic_id:根因定位结果输出事件消息的topic名称。
+- arangodb:arangodb图数据库的配置信息,用于查询根因定位所需要的拓扑子图。
+ - url:图数据库的服务器地址。
+ - db_name:拓扑图存储的数据库名称。
+- log_conf:日志配置信息。
+ - log_path:日志文件路径。
+ - log_level:日志打印级别,值包括 DEBUG/INFO/WARNING/ERROR/CRITICAL。
+ - max_size:日志文件大小,单位为兆字节(MB)。
+ - backup_count:日志备份文件数量。
+- prometheus:prometheus数据库配置信息,用于获取指标的历史时序数据。
+ - base_url:prometheus服务器地址。
+ - range_api:区间采集API。
+ - step:采集时间步长,用于区间采集API。
+
+#### 配置文件示例
+
+```yaml
+inference:
+ # 异常时间点的拓扑图查询所容忍的时间偏移,单位:秒
+ tolerated_bias: 120
+ topo_depth: 10
+ root_topk: 3
+ infer_policy: "dfs"
+ # 单位: 秒
+ sample_duration: 600
+ # 根因定位时,有效的异常指标事件周期,单位:秒
+ evt_valid_duration: 120
+ # 异常指标事件的老化周期,单位:秒
+ evt_aging_duration: 600
+
+kafka:
+ server: "localhost:9092"
+ metadata_topic:
+ topic_id: "gala_gopher_metadata"
+ group_id: "metadata-inference"
+ abnormal_kpi_topic:
+ topic_id: "gala_anteater_hybrid_model"
+ group_id: "abn-kpi-inference"
+ abnormal_metric_topic:
+ topic_id: "gala_anteater_metric"
+ group_id: "abn-metric-inference"
+ consumer_to: 1
+ inference_topic:
+ topic_id: "gala_cause_inference"
+
+arangodb:
+ url: "http://localhost:8529"
+ db_name: "spider"
+
+log:
+ log_path: "/var/log/gala-inference/inference.log"
+ # log level: DEBUG/INFO/WARNING/ERROR/CRITICAL
+ log_level: INFO
+ # unit: MB
+ max_size: 10
+ backup_count: 10
+
+prometheus:
+ base_url: "http://localhost:9090/"
+ range_api: "/api/v1/query_range"
+ step: 5
+```
+
+### 启动
+
+1. 通过命令启动。
+
+ ```sh
+ # gala-inference
+ ```
+
+2. 通过 systemd 服务启动。
+
+ ```sh
+ # systemctl start gala-inference
+ ```
+
+### 使用方法
+
+#### 依赖软件部署
+
+gala-inference 的运行依赖和 gala-spider一样,请参见[外部依赖软件部署](#外部依赖软件部署)。此外,gala-inference 还间接依赖 [gala-spider](#gala-spider) 和 [gala-anteater](gala-anteater使用手册.md) 软件的运行,请提前部署gala-spider和gala-anteater软件。
+
+#### 配置项修改
+
+修改 gala-inference 的配置文件中部分配置项。示例如下:
+
+配置 kafka 服务器地址:
+
+```yaml
+kafka:
+ server: "localhost:9092"
+```
+
+配置 prometheus 服务器地址:
+
+```yaml
+prometheus:
+ base_url: "http://localhost:9090/"
+```
+
+配置 arangodb 服务器地址:
+
+```yaml
+arangodb:
+ url: "http://localhost:8529"
+```
+
+#### 启动服务
+
+直接运行 `systemctl start gala-inference` 即可。可通过执行 `systemctl status gala-inference` 查看启动状态,如下打印表示启动成功。
+
+```sh
+[root@openEuler ~]# systemctl status gala-inference
+● gala-inference.service - a-ops gala inference service
+ Loaded: loaded (/usr/lib/systemd/system/gala-inference.service; enabled; vendor preset: disabled)
+ Active: active (running) since Tue 2022-08-30 17:55:33 CST; 1 day 22h ago
+ Main PID: 2445875 (gala-inference)
+ Tasks: 10 (limit: 98900)
+ Memory: 48.7M
+ CGroup: /system.slice/gala-inference.service
+ └─2445875 /usr/bin/python3 /usr/bin/gala-inference
+```
+
+#### 输出示例
+
+当异常检测模块 gala-anteater 检测到 KPI 异常后,会将对应的异常 KPI 事件输出到 kafka 中,gala-inference 会一直监测该异常 KPI 事件的消息,如果收到异常 KPI 事件的消息,就会触发根因定位。根因定位会将定位结果输出到 kafka 中,用户可以在 kafka 服务器中查看根因定位的输出结果,基本步骤如下:
+
+1. 若通过源码安装 kafka ,需要进入 kafka 的安装目录下。
+
+ ```sh
+ cd /root/kafka_2.13-2.8.0
+ ```
+
+2. 执行消费 topic 的命令获取根因定位的输出结果。
+
+ ```sh
+ ./bin/kafka-console-consumer.sh --bootstrap-server localhost:9092 --topic gala_cause_inference
+ ```
+
+ 输出示例如下:
+
+ ```json
+ {
+ "Timestamp": 1661853360000,
+ "event_id": "1661853360000_1fd37742xxxx_sli_12154_19",
+ "Atrributes": {
+ "event_id": "1661853360000_1fd37742xxxx_sli_12154_19"
+ },
+ "Resource": {
+ "abnormal_kpi": {
+ "metric_id": "gala_gopher_sli_rtt_nsec",
+ "entity_id": "1fd37742xxxx_sli_12154_19",
+ "timestamp": 1661853360000,
+ "metric_labels": {
+ "machine_id": "1fd37742xxxx",
+ "tgid": "12154",
+ "conn_fd": "19"
+ }
+ },
+ "cause_metrics": [
+ {
+ "metric_id": "gala_gopher_proc_write_bytes",
+ "entity_id": "1fd37742xxxx_proc_12154",
+ "metric_labels": {
+ "__name__": "gala_gopher_proc_write_bytes",
+ "cmdline": "/opt/redis/redis-server x.x.x.172:3742",
+ "comm": "redis-server",
+ "container_id": "5a10635e2c43",
+ "hostname": "openEuler",
+ "instance": "x.x.x.172:8888",
+ "job": "prometheus",
+ "machine_id": "1fd37742xxxx",
+ "pgid": "12154",
+ "ppid": "12126",
+ "tgid": "12154"
+ },
+ "timestamp": 1661853360000,
+ "path": [
+ {
+ "metric_id": "gala_gopher_proc_write_bytes",
+ "entity_id": "1fd37742xxxx_proc_12154",
+ "metric_labels": {
+ "__name__": "gala_gopher_proc_write_bytes",
+ "cmdline": "/opt/redis/redis-server x.x.x.172:3742",
+ "comm": "redis-server",
+ "container_id": "5a10635e2c43",
+ "hostname": "openEuler",
+ "instance": "x.x.x.172:8888",
+ "job": "prometheus",
+ "machine_id": "1fd37742xxxx",
+ "pgid": "12154",
+ "ppid": "12126",
+ "tgid": "12154"
+ },
+ "timestamp": 1661853360000
+ },
+ {
+ "metric_id": "gala_gopher_sli_rtt_nsec",
+ "entity_id": "1fd37742xxxx_sli_12154_19",
+ "metric_labels": {
+ "machine_id": "1fd37742xxxx",
+ "tgid": "12154",
+ "conn_fd": "19"
+ },
+ "timestamp": 1661853360000
+ }
+ ]
+ }
+ ]
+ },
+ "SeverityText": "WARN",
+ "SeverityNumber": 13,
+ "Body": "A cause inferring event for an abnormal event"
+ }
+ ```
diff --git "a/docs/zh/docs/A-Ops/image/ACC\347\232\204hotpatchmetadata\346\226\207\344\273\266\347\244\272\344\276\213.png" "b/docs/zh/docs/A-Ops/image/ACC\347\232\204hotpatchmetadata\346\226\207\344\273\266\347\244\272\344\276\213.png"
new file mode 100644
index 0000000000000000000000000000000000000000..790df6fd5781ca008124cff14635165a71abf126
Binary files /dev/null and "b/docs/zh/docs/A-Ops/image/ACC\347\232\204hotpatchmetadata\346\226\207\344\273\266\347\244\272\344\276\213.png" differ
diff --git a/docs/zh/docs/A-Ops/image/hotpatch-fix-pr.png b/docs/zh/docs/A-Ops/image/hotpatch-fix-pr.png
index 209c73f7b4522819c52662a9038bdf19a88eacfd..d10fd1ec44416f6b59cfd21cca8721d001f7ed19 100644
Binary files a/docs/zh/docs/A-Ops/image/hotpatch-fix-pr.png and b/docs/zh/docs/A-Ops/image/hotpatch-fix-pr.png differ
diff --git a/docs/zh/docs/A-Ops/image/image-20230607161545732.png b/docs/zh/docs/A-Ops/image/image-20230607161545732.png
deleted file mode 100644
index ba6992bea8d2a1d7ca4769ebfdd850b98d1a372f..0000000000000000000000000000000000000000
Binary files a/docs/zh/docs/A-Ops/image/image-20230607161545732.png and /dev/null differ
diff --git a/docs/zh/docs/A-Ops/image/image-20230908163402743.png b/docs/zh/docs/A-Ops/image/image-20230908163402743.png
new file mode 100644
index 0000000000000000000000000000000000000000..c17667178689c6384a039bf0f8025ea7eb360236
Binary files /dev/null and b/docs/zh/docs/A-Ops/image/image-20230908163402743.png differ
diff --git a/docs/zh/docs/A-Ops/image/image-20230908163914778.png b/docs/zh/docs/A-Ops/image/image-20230908163914778.png
new file mode 100644
index 0000000000000000000000000000000000000000..a06c7e49b32286ceec9ff0e9a08f73a76c179daf
Binary files /dev/null and b/docs/zh/docs/A-Ops/image/image-20230908163914778.png differ
diff --git a/docs/zh/docs/A-Ops/image/image-20230908164216528.png b/docs/zh/docs/A-Ops/image/image-20230908164216528.png
new file mode 100644
index 0000000000000000000000000000000000000000..15fbc694603837095244451d4f5d7e7af70789be
Binary files /dev/null and b/docs/zh/docs/A-Ops/image/image-20230908164216528.png differ
diff --git "a/docs/zh/docs/A-Ops/image/src-openEuler\344\273\223\350\257\204\350\256\272.png" "b/docs/zh/docs/A-Ops/image/src-openEuler\344\273\223\350\257\204\350\256\272.png"
index 3f8fbd534e8f8a48fdd60a5c3f13b33531a4112a..ba3a44433117f0a23fc6048cd3b093fe6af7250c 100644
Binary files "a/docs/zh/docs/A-Ops/image/src-openEuler\344\273\223\350\257\204\350\256\272.png" and "b/docs/zh/docs/A-Ops/image/src-openEuler\344\273\223\350\257\204\350\256\272.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\344\273\273\345\212\241\347\273\223\346\236\234\346\237\245\347\234\213.png" "b/docs/zh/docs/A-Ops/image/\344\273\273\345\212\241\347\273\223\346\236\234\346\237\245\347\234\213.png"
deleted file mode 100644
index 31fe24f44facaaa62fbeddd3eef0090a3be88908..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\344\273\273\345\212\241\347\273\223\346\236\234\346\237\245\347\234\213.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\345\210\233\345\273\272\350\204\232\346\234\254.png" "b/docs/zh/docs/A-Ops/image/\345\210\233\345\273\272\350\204\232\346\234\254.png"
deleted file mode 100644
index feb95836d056335d9d7ef673acc5fdf39e29bd8e..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\345\210\233\345\273\272\350\204\232\346\234\254.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\345\210\233\345\273\272\350\204\232\346\234\254\344\273\273\345\212\241.png" "b/docs/zh/docs/A-Ops/image/\345\210\233\345\273\272\350\204\232\346\234\254\344\273\273\345\212\241.png"
deleted file mode 100644
index e7b1c5fc77c4027f1cdb96941440220db8637e5f..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\345\210\233\345\273\272\350\204\232\346\234\254\344\273\273\345\212\241.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\345\215\225\346\254\241\346\211\247\350\241\214.png" "b/docs/zh/docs/A-Ops/image/\345\215\225\346\254\241\346\211\247\350\241\214.png"
deleted file mode 100644
index 8020c60843c11e566778a1a03c1fa7516de9dd6b..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\345\215\225\346\254\241\346\211\247\350\241\214.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\345\220\214\346\204\217\345\220\210\345\205\245pr.png" "b/docs/zh/docs/A-Ops/image/\345\220\214\346\204\217\345\220\210\345\205\245pr.png"
new file mode 100644
index 0000000000000000000000000000000000000000..2c2e2dd78242f538c21809614e917bef769256ba
Binary files /dev/null and "b/docs/zh/docs/A-Ops/image/\345\220\214\346\204\217\345\220\210\345\205\245pr.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\345\220\257\345\212\250\347\203\255\350\241\245\344\270\201\345\267\245\347\250\213\346\265\201\347\250\213.png" "b/docs/zh/docs/A-Ops/image/\345\220\257\345\212\250\347\203\255\350\241\245\344\270\201\345\267\245\347\250\213\346\265\201\347\250\213.png"
index 1405eced0a14e3956191e111b7c1d588e5b3d27b..2914c3eef44bb3d3528686b44157a5f9276da9c6 100644
Binary files "a/docs/zh/docs/A-Ops/image/\345\220\257\345\212\250\347\203\255\350\241\245\344\270\201\345\267\245\347\250\213\346\265\201\347\250\213.png" and "b/docs/zh/docs/A-Ops/image/\345\220\257\345\212\250\347\203\255\350\241\245\344\270\201\345\267\245\347\250\213\346\265\201\347\250\213.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\345\221\250\346\234\237\346\211\247\350\241\214.png" "b/docs/zh/docs/A-Ops/image/\345\221\250\346\234\237\346\211\247\350\241\214.png"
deleted file mode 100644
index b75743556384fe58690847b3794607ef9a890d6d..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\345\221\250\346\234\237\346\211\247\350\241\214.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\345\221\275\344\273\244\346\211\247\350\241\214.png" "b/docs/zh/docs/A-Ops/image/\345\221\275\344\273\244\346\211\247\350\241\214.png"
deleted file mode 100644
index b5c9fbbeb5a4bba5f81d753fa5aa620ad261804c..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\345\221\275\344\273\244\346\211\247\350\241\214.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\345\221\275\344\273\244\347\256\241\347\220\206\347\225\214\351\235\242.png" "b/docs/zh/docs/A-Ops/image/\345\221\275\344\273\244\347\256\241\347\220\206\347\225\214\351\235\242.png"
deleted file mode 100644
index c0357fc88d33c8b706203b70016d53629a3db70c..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\345\221\275\344\273\244\347\256\241\347\220\206\347\225\214\351\235\242.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\346\223\215\344\275\234\347\256\241\347\220\206.png" "b/docs/zh/docs/A-Ops/image/\346\223\215\344\275\234\347\256\241\347\220\206.png"
deleted file mode 100644
index 3a1b8c3accdfb688da2e8e54eb17e86d18ee4d0b..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\346\223\215\344\275\234\347\256\241\347\220\206.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\346\226\207\344\273\266\346\216\250\351\200\201.png" "b/docs/zh/docs/A-Ops/image/\346\226\207\344\273\266\346\216\250\351\200\201.png"
deleted file mode 100644
index c449eb18608e0146275f1b9f4ca41d05d48af021..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\346\226\207\344\273\266\346\216\250\351\200\201.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\346\226\260\345\273\272\345\221\275\344\273\244.png" "b/docs/zh/docs/A-Ops/image/\346\226\260\345\273\272\345\221\275\344\273\244.png"
deleted file mode 100644
index 50d5bd4ce5499512acf2b8af86445fe6df6ce29f..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\346\226\260\345\273\272\345\221\275\344\273\244.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\346\226\260\345\273\272\345\221\275\344\273\244\344\273\273\345\212\241.png" "b/docs/zh/docs/A-Ops/image/\346\226\260\345\273\272\345\221\275\344\273\244\344\273\273\345\212\241.png"
deleted file mode 100644
index 792ec4e81017575fd27466a275c0502563808296..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\346\226\260\345\273\272\345\221\275\344\273\244\344\273\273\345\212\241.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201issue\345\210\235\345\247\213\345\206\205\345\256\271.png" "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201issue\345\210\235\345\247\213\345\206\205\345\256\271.png"
new file mode 100644
index 0000000000000000000000000000000000000000..044be7ccd001ddc2bb69ba53b34f3c2a72511f39
Binary files /dev/null and "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201issue\345\210\235\345\247\213\345\206\205\345\256\271.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201issue\345\233\236\345\241\253.png" "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201issue\345\233\236\345\241\253.png"
new file mode 100644
index 0000000000000000000000000000000000000000..779c2fddcb02968358492e70f6aa9261be26fe48
Binary files /dev/null and "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201issue\345\233\236\345\241\253.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201issue\351\223\276\346\216\245\345\222\214pr\351\223\276\346\216\245.png" "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201issue\351\223\276\346\216\245\345\222\214pr\351\223\276\346\216\245.png"
index c9f6dc0a0f1a1758bb936b61ec939f8f5eeee633..d97fbd1fbb5a20b97ec88989f3c7a0776bb9cdc0 100644
Binary files "a/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201issue\351\223\276\346\216\245\345\222\214pr\351\223\276\346\216\245.png" and "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201issue\351\223\276\346\216\245\345\222\214pr\351\223\276\346\216\245.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\345\210\266\344\275\234\345\244\261\350\264\245.png" "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\345\210\266\344\275\234\345\244\261\350\264\245.png"
new file mode 100644
index 0000000000000000000000000000000000000000..3acf2e93550e4962d0a5f927fd6fd0460a64b889
Binary files /dev/null and "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\345\210\266\344\275\234\345\244\261\350\264\245.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\345\210\266\344\275\234\347\273\223\346\236\234.png" "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\345\210\266\344\275\234\347\273\223\346\236\234.png"
new file mode 100644
index 0000000000000000000000000000000000000000..5b167be8a40762823223ccdd700d5b62f7e1aa38
Binary files /dev/null and "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\345\210\266\344\275\234\347\273\223\346\236\234.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\347\232\204chroot\347\216\257\345\242\203.png" "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\347\232\204chroot\347\216\257\345\242\203.png"
new file mode 100644
index 0000000000000000000000000000000000000000..a96a4d229b54b301bbf4e7f7a2c41ea1e9faf43d
Binary files /dev/null and "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\347\232\204chroot\347\216\257\345\242\203.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\350\247\246\345\217\221\346\265\201\347\250\213.png" "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\350\247\246\345\217\221\346\265\201\347\250\213.png"
new file mode 100644
index 0000000000000000000000000000000000000000..d77335d0097f7504f0c37dd8aca1691d9f1f0a23
Binary files /dev/null and "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201pr\350\247\246\345\217\221\346\265\201\347\250\213.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201\344\273\223\346\217\220pr\350\257\264\346\230\216.png" "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201\344\273\223\346\217\220pr\350\257\264\346\230\216.png"
new file mode 100644
index 0000000000000000000000000000000000000000..aa74c2859588ff2a49d6341dd2a2ac6fe2049eac
Binary files /dev/null and "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201\344\273\223\346\217\220pr\350\257\264\346\230\216.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201\350\207\252\351\252\214\344\270\213\350\275\275\351\223\276\346\216\245.png" "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201\350\207\252\351\252\214\344\270\213\350\275\275\351\223\276\346\216\245.png"
new file mode 100644
index 0000000000000000000000000000000000000000..404ac733fae66bda9ceac2d6c2fa18897c58dc70
Binary files /dev/null and "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201\350\207\252\351\252\214\344\270\213\350\275\275\351\223\276\346\216\245.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201\350\207\252\351\252\214\345\214\205\344\270\213\350\275\275\351\223\276\346\216\245.png" "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201\350\207\252\351\252\214\345\214\205\344\270\213\350\275\275\351\223\276\346\216\245.png"
new file mode 100644
index 0000000000000000000000000000000000000000..6d32e8874e8e5e7f7fb5c350fca0063da9a77176
Binary files /dev/null and "b/docs/zh/docs/A-Ops/image/\347\203\255\350\241\245\344\270\201\350\207\252\351\252\214\345\214\205\344\270\213\350\275\275\351\223\276\346\216\245.png" differ
diff --git "a/docs/zh/docs/A-Ops/image/\350\204\232\346\234\254\346\211\247\350\241\214.png" "b/docs/zh/docs/A-Ops/image/\350\204\232\346\234\254\346\211\247\350\241\214.png"
deleted file mode 100644
index 4ab626ad5949e17a5d486431ae4c0481ca42a442..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\350\204\232\346\234\254\346\211\247\350\241\214.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/image/\350\204\232\346\234\254\347\256\241\347\220\206.png" "b/docs/zh/docs/A-Ops/image/\350\204\232\346\234\254\347\256\241\347\220\206.png"
deleted file mode 100644
index 62c60399dc58a79a9ab48a7eb584ce615c11b05c..0000000000000000000000000000000000000000
Binary files "a/docs/zh/docs/A-Ops/image/\350\204\232\346\234\254\347\256\241\347\220\206.png" and /dev/null differ
diff --git "a/docs/zh/docs/A-Ops/\346\236\266\346\236\204\346\204\237\347\237\245\346\234\215\345\212\241\344\275\277\347\224\250\346\211\213\345\206\214.md" "b/docs/zh/docs/A-Ops/\346\236\266\346\236\204\346\204\237\347\237\245\346\234\215\345\212\241\344\275\277\347\224\250\346\211\213\345\206\214.md"
deleted file mode 100644
index 1a1439dc4e777c3bd14ea503c86cc427b7e7b4c6..0000000000000000000000000000000000000000
--- "a/docs/zh/docs/A-Ops/\346\236\266\346\236\204\346\204\237\347\237\245\346\234\215\345\212\241\344\275\277\347\224\250\346\211\213\345\206\214.md"
+++ /dev/null
@@ -1,74 +0,0 @@
-# 架构感知服务使用手册
-
-## 安装
-
-### 手动安装
-
-- 通过yum挂载repo源实现
-
- 配置yum源:openEuler23.09 和 openEuler23.09:Epol,repo源路径:/etc/yum.repos.d/openEuler.repo。
-
- ```ini
- [everything] # openEuler 23.09 官方发布源
- name=openEuler23.09
- baseurl=https://repo.openeuler.org/openEuler-23.09/everything/$basearch/
- enabled=1
- gpgcheck=1
- gpgkey=https://repo.openeuler.org/openEuler-23.09/everything/$basearch/RPM-GPG-KEY-openEuler
-
- [Epol] # openEuler 23.09:Epol 官方发布源
- name=Epol
- baseurl=https://repo.openeuler.org/openEuler-23.09/EPOL/main/$basearch/
- enabled=1
- gpgcheck=1
- gpgkey=https://repo.openeuler.org/openEuler-23.09/OS/$basearch/RPM-GPG-KEY-openEuler
- ```
-
- 然后执行如下指令下载以及安装gala-spider及其依赖。
-
- ```shell
- # A-Ops 架构感知,通常安装在主节点上
- yum install gala-spider
- yum install python3-gala-spider
-
- # A-Ops 架构感知探针,通常安装在主节点上
- yum install gala-gopher
- ```
-
-- 通过安装rpm包实现。先下载gala-spider-vx.x.x-x.oe1.aarch64.rpm,然后执行如下命令进行安装(其中x.x-x表示版本号,请用实际情况替代)。
-
- ```shell
- rpm -ivh gala-spider-vx.x.x-x.oe1.aarch64.rpm
- rpm -ivh gala-gopher-vx.x.x-x.oe1.aarch64.rpm
- ```
-
-### 使用Aops部署服务安装
-
-#### 编辑任务列表
-
-修改部署任务列表,打开gala_spider步骤开关:
-
-```yaml
----
-step_list:
- ...
- gala_gopher:
- enable: false
- continue: false
- gala_spider:
- enable: false
- continue: false
- ...
-```
-
-#### 编辑主机清单
-
-具体步骤参见[部署管理使用手册](部署管理使用手册.md)章节2.2.2.11章节gala-spider与gala-gopher模块主机配置。
-
-#### 编辑变量列表
-
-具体步骤参见[部署管理使用手册](部署管理使用手册.md)章节2.2.2.11章节gala-spider与gala-gopher模块变量配置。
-
-#### 执行部署任务
-
-具体步骤参见[部署管理使用手册](部署管理使用手册.md)章节3执行部署任务。
diff --git "a/docs/zh/docs/A-Ops/\347\244\276\345\214\272\347\203\255\350\241\245\344\270\201\345\210\266\344\275\234\345\217\221\345\270\203\346\265\201\347\250\213.md" "b/docs/zh/docs/A-Ops/\347\244\276\345\214\272\347\203\255\350\241\245\344\270\201\345\210\266\344\275\234\345\217\221\345\270\203\346\265\201\347\250\213.md"
index 1c2d4ab7fabed91e8dce2ed214ec26afd1dea637..59859282976d14924055670d9596a925e4db0647 100644
--- "a/docs/zh/docs/A-Ops/\347\244\276\345\214\272\347\203\255\350\241\245\344\270\201\345\210\266\344\275\234\345\217\221\345\270\203\346\265\201\347\250\213.md"
+++ "b/docs/zh/docs/A-Ops/\347\244\276\345\214\272\347\203\255\350\241\245\344\270\201\345\210\266\344\275\234\345\217\221\345\270\203\346\265\201\347\250\213.md"
@@ -1,19 +1,22 @@
+
+
# 社区热补丁制作发布流程
## 制作内核态/用户态热补丁
+> 热补丁仓库:
+
### 场景1. 在src-openEuler/openEuler仓下评论pr制作新版本热补丁
> 制作内核态热补丁需在**openEuler/kernel**仓评论pr。
>
> 制作用户态热补丁需在src-openEuler仓评论pr,现在支持**src-openEuler/openssl,src-openEuler/glibc,src-openEuler/systemd**。
-#### 1. 在已合入pr下评论制作热补丁
+##### 1. 在已合入pr下评论制作热补丁
- 从src-openeuler仓【支持openssl, glibc, systemd】评论已合入pr制作新版本热补丁。
-
-```shell
-/makehotpatch [软件包版本号] [patch list] [cve/bug] [issue id] [os_branch]
+```
+/makehotpatch [软件包版本号] [ACC/SGL] [patch list] [cve/bugfix/feature] [issue id] [os_branch]
```
命令说明:使用多个patch用','分隔,需注意patch的先后顺序。
@@ -22,239 +25,275 @@
- 从openeuler仓【支持kernel】评论已合入pr制作新版本热补丁。
-```shell
-/makehotpatch [软件包版本号] [cve/bug] [issue id] [os_branch]
```
+/makehotpatch [软件包版本号] [ACC/SGL] [cve/bugfix/feature] [issue id] [os_branch]
+```
+
+
-
+评论后,门禁触发hotpatch_meta仓创建热补丁issue以及同步该pr。
-评论后,门禁触发hotpatch_metadata仓创建热补丁issue以及同步该pr。
-#### 2. hotpatch_metadata仓自动创建热补丁issue、同步该pr
+
+##### 2. hotpatch_metadata仓自动创建热补丁issue、同步该pr
pr评论区提示启动热补丁制作流程。
-
+
-随后,hotpatch_metadata仓自动创建热补丁issue,并在hotpatch_metadata仓同步该pr。
+随后,hotpatch_meta仓自动创建热补丁issue,并在hotpatch_meta仓同步该pr。
> 热补丁issue用于跟踪热补丁制作流程。
>
-> hotpatch_metadata仓用于触发制作热补丁。
+> hotpatch_meta仓用于触发制作热补丁。
-
+
点击查看热补丁issue链接内容。
-- 热补丁Issue类别为hotpatch。
-
+
+
-点击查看在hotpatch_metadata仓自动创建的pr。
-
+点击查看在hotpatch_meta仓自动创建的pr。
-#### 3. 触发制作热补丁
+
-打开hotpatch_metadata仓自动创建的pr,评论区可以查看热补丁制作信息。
+##### 3. 触发制作热补丁
-
+打开hotpatch_meta仓自动创建的pr,评论区可以查看热补丁制作信息。
+
+
查看热补丁制作结果。
-
+如果热补丁制作失败,可以根据相关日志信息、下载chroot环境自行修改patch进行调试,重新修改pr提交后或者评论 /retest直到热补丁可以被成功制作。
+
+
-如果热补丁制作失败,可以根据相关日志信息修改pr、评论 /retest直到热补丁可以被成功制作。
+
如果热补丁制作成功,可以通过Download link下载热补丁进行自验。
-
+
+
+打开Download link链接。
+
+
+
+进入Packages目录,可以下载制作成功的热补丁。
+
+
**若热补丁制作成功,可以对热补丁进行审阅**。
-### 场景2、从hotpatch_metadata仓提pr修改热补丁
-> 从hotpatch_metadata仓提pr只能修改还未正式发布的热补丁。
->
-#### 1. 提pr
+### 场景2. 从hotpatch_meta仓提pr制作新版本热补丁
-用户需要手动创建热补丁issue。
+> hotpatch_meta仓地址:https://gitee.com/openeuler/hotpatch_meta
-(1)阅读readme,根据热补丁issue模版创建热补丁。
+##### 1. 提pr
-
+在hotpatch_metadata仓提pr。
-> 用户不允许修改热补丁元数据文件中已被正式发布的热补丁的相关内容。
->
+(1)阅读readme,根据热补丁issue模版和元数据文件hotmetadata_ACC.xml/hotmetadata_SGL.xml模板创建热补丁。
+
+
pr内容:
- patch文件。
-- 修改热补丁元数据hotmetadata.xml文件。
+- 如果没有相应热补丁元数据hotmetadata_ACC.xml/hotmetadata_SGL.xml文件,则手动创建;否则修改热补丁元数据hotmetadata_ACC.xml/hotmetadata_SGL.xml文件。
+
-#### 2. 触发制作热补丁
+
+##### 2. 触发制作热补丁
**若热补丁制作成功,可以对热补丁进行审阅**。
-### 场景3、从hotpatch_metadata仓提pr制作新版本热补丁
-#### 1. 提pr
-在hotpatch_metadata仓提pr。
+### 场景3. 从hotpatch_metadata仓提pr修改热补丁
+
+> hotpatch_meta仓地址:https://gitee.com/openeuler/hotpatch_meta
+>
+> 从hotpatch_meta仓提pr只能修改还未正式发布的热补丁。
+
+##### 1. 提pr
+
+在hotpatch_meta仓提pr。
+
+(1)如果修改过程涉及元数据文件hotmetadata_ACC.xml/hotmetadata_SGL.xml文件内容变动,请阅读readme,按照元数据文件hotmetadata_ACC.xml/hotmetadata_SGL.xml模板进行修改。
+
+
+
+> 如果需要修改元数据文件中的热补丁issue字段内容,请确保添加的热补丁Issue已经存在。
+> 用户不允许修改热补丁元数据文件中已被正式发布的热补丁的相关内容。
-(1)阅读readme,根据热补丁issue模版创建热补丁。
-
pr内容:
- patch文件。
-- 如果没有相应热补丁元数据hotmetadata.xml文件,则手动创建;否则修改热补丁元数据hotmetadata.xml文件。
+- 修改热补丁元数据hotmetadata_ACC.xml/hotmetadata_SGL.xml文件。
-#### 2. 触发制作热补丁
+
+
+##### 2. 触发制作热补丁
**若热补丁制作成功,可以对热补丁进行审阅**。
+
+
+
## 审阅热补丁
-### 1. 审阅热补丁pr
+##### 1. 审阅热补丁pr
确认可发布,合入pr。
-### 2. pr合入,回填热补丁issue
+
-在热补丁issue页面补充热补丁路径,包含src.rpm/arm架构/x86架构的rpm包,以及对应hotpatch.xml,用于展示热补丁信息。
+##### 2. pr合入,回填热补丁issue
-> 如果一个架构失败,强行合入,也可只发布单架构的包。
+自动在热补丁issue页面补充热补丁路径,包含src.rpm/arm架构/x86架构的rpm包,以及对应hotpatch.xml,用于展示热补丁信息。
-
+> 如果一个架构失败,强行合入,也可只发布单架构的包。
-- 热补丁Issue标签为hotpatch。
+
- 查看热补丁元数据内容。
-热补丁元数据模版:
-
> 热补丁元数据用于管理查看热补丁相关历史制作信息。
+hotmetadata_ACC.xml格式示例:
+
```xml
- Managing Hot Patch Metadata
-
-
-
- src.rpm归档地址
- x86架构debuginfo二进制包归档地址
- arm架构debuginfo二进制包归档地址
- patch文件
-
- https://gitee.com/wanghuan158/hot-patch_metadata/issues/I7AE5F
-
-
-
+ Managing Hot Patch Metadata
+
+
+
+ 源码包下载路径(需要reealse正式路径)
+ x86_64架构debuginfo包下载路径(需要reealse正式路径)
+ aarch64架构debuginfo包下载路径(需要reealse正式路径)
+ 本次需要制作热补丁的patch包名1
+ 本次需要制作热补丁的patch包名2
+ ...
+
+
+
+ 热补丁issue链接
+
+
+
```
+hotmetadata_SGL.xml格式示例:
+
```xml
- Managing Hot Patch Metadata
-
-
-
- download_link
- download_link
- download_link
- 0001-PEM-read-bio-ret-failure.patch
-
- https://gitee.com/wanghuan158/hot-patch_metadata/issues/I7AE5F
-
-
- download_link
- download_link
- download_link
- 0001-PEM-read-bio-ret-failure.patch
-
- https://gitee.com/wanghuan158/hot-patch_metadata/issues/I7AE5P
-
-
-
+ Managing Hot Patch Metadata
+
+
+
+ 源码包下载路径(需要realse正式路径)
+ x86_64架构debuginfo包下载路径(需要reealse正式路径)
+ aarch64架构debuginfo包下载路径(需要reealse正式路径)
+ 本次需要制作热补丁的patch包名1
+ 本次需要制作热补丁的patch包名2
+ ...
+
+
+
+ 热补丁issue链接
+
+
+
```
-> 注意:download_link均为repo仓正式的归档链接。
->
-> 热补丁当前只考虑演进,version 2基于version 1的src继续构建。
+> 注意:src_rpm的download_link均来自openeuler的repo仓下正式发布的rpm包。
+
+
+
+##### 3. 修改热补丁Issue
+
+- 将热补丁issue状态修改为”已完成“。
+- 为热补丁issue添加hotpatch标签。
-
-### 3. 关闭相应热补丁Issue
## 发布热补丁
-### 1、收集热补丁发布需求
+##### 1. 收集热补丁发布需求
-在release-management仓库每周update需求收集的issue下方,手动评论start-update命令,此时会收集待发布的热补丁和待发布的修复cve的冷补丁。后台会在hotpatch_meta仓库根据hotpatch标签查找已关闭的热补丁issue。
+在release-management仓库每周update需求收集的issue下方,手动评论start-update命令,此时会收集待发布的热补丁和待发布的修复cve的冷补丁。后台会在hotpatch_meta仓库根据hotpatch标签查找已完成的热补丁issue。
-### 2、生成安全公告热补丁信息
+##### 2. 生成热补丁安全公告
-社区根据收集到的热补丁issue信息,在生成安全公告的同时生成hotpatch字段补丁,过滤已经发布的漏洞。
+社区根据收集到的热补丁issue信息,生成热补丁安全公告xml文件。
-- 在安全公告文件新增HotPatchTree字段,记录和公告相关漏洞的热补丁,每个补丁按架构和CVE字段区分(Type=ProductName 记录分支,Type=ProductArch 记录补丁具体的rpm包)。
+> 热补丁安全公告地址:
-
+- 在热补丁安全公告文件新增HotPatchTree字段,记录和公告相关漏洞的热补丁,每个补丁按架构和CVE字段区分(Type=ProductName 记录分支,Type=ProductArch 记录补丁具体的rpm包)。
-### 3、Majun平台上传文件到openEuler官网,同步生成updateinfo.xml文件
+
+
+##### 3. Majun平台上传文件到openEuler官网,同步生成updateinfo.xml文件
社区将生成的安全公告上传到openEuler官网,同时基于所收集的热补丁信息生成updateinfo.xml文件。
-
+
updateinfo.xml文件样例:
```xml
-
-
-
- openEuler-SA-2022-1
- An update for mariadb is now available for openEuler-22.03-LTS
- Important
- openEuler
-
-
-
-
-
- patch-redis-6.2.5-1-HP001.(CVE-2022-24048)
-
-
+
+
+
+ openEuler-HotPatchSA-2023-1001
+ An update for kernel is now available for openEuler-22.03-LTS-SP3
+ Important
+ openEuler
+
+
+
+
+ A use-after-free vulnerability in the Linux Kernel io_uring subsystem can be exploited to achieve local privilege escalation.Racing a io_uring cancel poll request with a linked timeout can cause a UAF in a hrtimer.We recommend upgrading past commit ef7dfac51d8ed961b742218f526bd589f3900a59 (4716c73b188566865bdd79c3a6709696a224ac04 for 5.10 stable and 0e388fce7aec40992eadee654193cad345d62663 for 5.15 stable).(CVE-2023-3389)
+
+
openEuler
-
- patch-redis-6.2.5-1-HP001-1-1.aarch64.rpm
-
-
- patch-redis-6.2.5-1-HP001-1-1.x86_64.rpm
-
-
- patch-redis-6.2.5-1-HP002-1-1.aarch64.rpm
+
+ patch-kernel-5.10.0-153.12.0.92.oe2203sp3-ACC-1-1.aarch64.rpm
-
- patch-redis-6.2.5-1-HP002-1-1.x86_64.rpm
+
+ patch-kernel-5.10.0-153.12.0.92.oe2203sp3-ACC-1-1.x86_64.rpm
-
-
-
- ...
-
+
+
+
+
```
-### 4、openEuler官网可以查看更新的热补丁信息,以cve编号划分
-
-### 5、获取热补丁相关文件
+##### 4. openEuler官网可以查看更新的热补丁信息
+
+> openEuler官网安全公告:
+
+以”HotpatchSA“关键词搜索热补丁安全公告,打开安全公告查看发布热补丁详细信息。
+
+
+
+
+
+##### 5. 获取热补丁相关文件
-社区将热补丁相关文件同步至openEuler的repo源下,可以在各个分支的hotpatch目录下获取相应文件。
+社区将热补丁相关文件同步至openEuler的repo源下,可以在各个分支的hotpatch_update目录下获取相应文件。
> openEuler的repo地址:
diff --git "a/docs/zh/docs/A-Ops/\350\207\252\345\212\250\345\214\226\350\277\220\347\273\264\346\234\215\345\212\241\344\275\277\347\224\250\346\211\213\345\206\214.md" "b/docs/zh/docs/A-Ops/\350\207\252\345\212\250\345\214\226\350\277\220\347\273\264\346\234\215\345\212\241\344\275\277\347\224\250\346\211\213\345\206\214.md"
deleted file mode 100644
index c075767137aa34c9753000d5752f1789fa97f88f..0000000000000000000000000000000000000000
--- "a/docs/zh/docs/A-Ops/\350\207\252\345\212\250\345\214\226\350\277\220\347\273\264\346\234\215\345\212\241\344\275\277\347\224\250\346\211\213\345\206\214.md"
+++ /dev/null
@@ -1,66 +0,0 @@
-# 自动化运维服务使用手册
-
-## 主要功能
-
-本服务主要包括批量命令执行和批量脚本执行的功能,两者均支持定时任务。
-
-#### 命令相关
-
-命令页面包含命令管理和命令执行两个页签
-
-##### 命令管理
-
-命令管理界面可以对命令进行增删查改功能:
-
-
-
-
-##### 命令执行
-
-命令执行界面可以创建命令执行任务:
-
-
-
-命令执行界面可以对创建的任务进行任务信息查看,任务执行,任务结果查看,删除任务等操作:
-
-任务结果查看:
-
-
-
-#### 脚本相关
-
-脚本页面包含脚本管理、脚本执行、操作管理三个页签
-
-##### 操作管理
-
-为了屏蔽操作系统的架构,系统对脚本执行的影响,抽象出操作的概念。一个操作对应一组包括各类架构和系统的脚本,脚本执行时选择主机和操作后,根据主机的系统和架构选择对应的脚本进行执行。
-
-操作管理界面可以对操作进行增删查改功能:
-
-
-
-##### 脚本管理
-
-脚本管理界面可以对脚本进行上传,查询,删除,编辑功能:
-
-创建脚本:
-
-
-##### 脚本执行
-
-脚本执行界面可以创建脚本执行任务,创建脚本任务仅能通过选择操作来选择对应脚本:
-
-创建脚本任务:
-
-
-#### 定时任务
-
-定时任务支持指定时间执行和周期执行功能
-单次执行:
-
-周期执行:
-
-#### 文件推送
-
-文件推送功能支持将脚本推送至指定目录,此类任务不会执行脚本,且推送任务与定时任务互斥:
-
\ No newline at end of file
diff --git "a/docs/zh/docs/A-Ops/\351\205\215\347\275\256\346\272\257\346\272\220\346\234\215\345\212\241\344\275\277\347\224\250\346\211\213\345\206\214.md" "b/docs/zh/docs/A-Ops/\351\205\215\347\275\256\346\272\257\346\272\220\346\234\215\345\212\241\344\275\277\347\224\250\346\211\213\345\206\214.md"
deleted file mode 100644
index d694fc7092316ce414f95d314295e8a831acdf6d..0000000000000000000000000000000000000000
--- "a/docs/zh/docs/A-Ops/\351\205\215\347\275\256\346\272\257\346\272\220\346\234\215\345\212\241\344\275\277\347\224\250\346\211\213\345\206\214.md"
+++ /dev/null
@@ -1,159 +0,0 @@
-# gala-ragdoll的使用指导
-
-============================
-
-## 安装
-
-### 手动安装
-
-- 通过yum挂载repo源实现
-
- 配置yum源:openEuler23.09 和 openEuler23.09:Epol,repo源路径:/etc/yum.repos.d/openEuler.repo。
-
- ```ini
- [everything] # openEuler 23.09 官方发布源
- name=openEuler23.09
- baseurl=https://repo.openeuler.org/openEuler-23.09/everything/$basearch/
- enabled=1
- gpgcheck=1
- gpgkey=https://repo.openeuler.org/openEuler-23.09/everything/$basearch/RPM-GPG-KEY-openEuler
-
- [Epol] # openEuler 23.09:Epol 官方发布源
- name=Epol
- baseurl=https://repo.openeuler.org/openEuler-23.09/EPOL/main/$basearch/
- enabled=1
- gpgcheck=1
- gpgkey=https://repo.openeuler.org/openEuler-23.09/OS/$basearch/RPM-GPG-KEY-openEuler
- ```
-
- 然后执行如下指令下载以及安装gala-ragdoll及其依赖。
-
- ```shell
- yum install gala-ragdoll # A-Ops 配置溯源
- yum install python3-gala-ragdoll
-
- yum install gala-spider # A-Ops 架构感知
- yum install python3-gala-spider
- ```
-
-- 通过安装rpm包实现。先下载gala-ragdoll-vx.x.x-x.oe1.aarch64.rpm,然后执行如下命令进行安装(其中x.x-x表示版本号,请用实际情况替代)
-
- ```shell
- rpm -ivh gala-ragdoll-vx.x.x-x.oe1.aarch64.rpm
- ```
-
-### 使用Aops部署服务安装
-
-#### 编辑任务列表
-
-修改部署任务列表,打开gala_ragdoll步骤开关:
-
-```yaml
----
-step_list:
- ...
- gala_ragdoll:
- enable: false
- continue: false
- ...
-```
-
-#### 编辑主机清单
-
-具体步骤参见[部署管理使用手册](部署管理使用手册.md)章节2.2.2.10章节gala-ragdoll模块主机配置
-
-#### 编辑变量列表
-
-具体步骤参见[部署管理使用手册](部署管理使用手册.md)章节2.2.2.10章节gala-ragdoll模块变量配置
-
-#### 执行部署任务
-
-具体步骤参见[部署管理使用手册](部署管理使用手册.md)章节3执行部署任务
-
-### 配置文件介绍
-
-```/etc/yum.repos.d/openEuler.repo```是用来规定yum源地址的配置文件,该配置文件内容为:
-
-```shell
-[OS]
-name=OS
-baseurl=http://repo.openeuler.org/openEuler-23.09/OS/$basearch/
-enabled=1
-gpgcheck=1
-gpgkey=http://repo.openeuler.org/openEuler-23.09/OS/$basearch/RPM-GPG-KEY-openEuler
-```
-
-### yang模型介绍
-
-`/etc/yum.repos.d/openEuler.repo`采用yang语言进行表示,参见`gala-ragdoll/yang_modules/openEuler-logos-openEuler.repo.yang`;
-其中增加了三个拓展字段:
-
-| 拓展字段名称 | 拓展字段格式 | 样例 |
-| ------------ | ---------------------- | ----------------------------------------- |
-| path | OS类型:配置文件的路径 | openEuler:/etc/yum.repos.d/openEuler.repo |
-| type | 配置文件类型 | ini、key-value、json、text等 |
-| spacer | 配置项和配置值的中间键 | “ ”、“=”、“:”等 |
-
-附:yang语言的学习地址:
-
-### 通过配置溯源创建域
-
-#### 查看配置文件
-
-gala-ragdoll中存在配置溯源的配置文件
-
-```shell
-[root@openeuler-development-1-1drnd ~]# cat /etc/ragdoll/gala-ragdoll.conf
-[git] // 定义当前的git信息:包括git仓的目录和用户信息
-git_dir = "/home/confTraceTestConf"
-user_name = "user"
-user_email = "email"
-
-[collect] // A-OPS 对外提供的collect接口
-collect_address = "http://192.168.0.0:11111"
-collect_api = "/manage/config/collect"
-
-[ragdoll]
-port = 11114
-
-```
-
-#### 创建配置域
-
-
-
-#### 添加配置域纳管node
-
-
-
-#### 添加配置域配置
-
-
-
-#### 查询预期配置
-
-
-
-#### 删除配置
-
-
-
-#### 查询实际配置
-
-
-
-#### 配置校验
-
-
-
-#### 配置同步
-
-
-
-#### 配置文件追溯
-##### 打开监控开关
-
-##### 配置文件修改记录追溯
-
-
-
diff --git a/docs/zh/menu/index.md b/docs/zh/menu/index.md
index 9faec5e191ccd7b04c81e15511465c3a24c05ba7..72ec56708e882f6c8586a0e741b4930b82cb4a12 100644
--- a/docs/zh/menu/index.md
+++ b/docs/zh/menu/index.md
@@ -83,17 +83,10 @@ headless: true
- [维护](#)
- [Aops用户指南]({{< relref "./docs/A-Ops/overview.md" >}})
- [AOps部署指南]({{< relref "./docs/A-Ops/AOps部署指南.md" >}})
- - [AOps智能定位框架使用手册]({{< relref "./docs/A-Ops/AOps智能定位框架使用手册.md" >}})
- - [aops-agent部署指南]({{< relref "./docs/A-Ops/aops-agent部署指南.md" >}})
- - [热补丁dnf插件使用手册]({{< relref "./docs/A-Ops/dnf插件命令指导手册.md" >}})
- - [配置溯源服务使用手册]({{< relref "./docs/A-Ops/配置溯源服务使用手册.md" >}})
- - [架构感知服务使用手册]({{< relref "./docs/A-Ops/架构感知服务使用手册.md" >}})
+ - [AOps漏洞管理模块使用手册]({{< relref "./docs/A-Ops/AOps漏洞管理模块使用手册.md" >}})
- [gala-gopher使用手册]({{< relref "./docs/A-Ops/gala-gopher使用手册.md" >}})
- [gala-anteater使用手册]({{< relref "./docs/A-Ops/gala-anteater使用手册.md" >}})
- [gala-spider使用手册]({{< relref "./docs/A-Ops/gala-spider使用手册.md" >}})
- - [社区热补丁制作发布流程]({{< relref "./docs/A-Ops/社区热补丁制作发布流程.md" >}})
- - [自动化运维服务使用手册]({{< relref "./docs/A-Ops/自动化运维服务使用手册.md" >}})
- - [自动化运维服务使用手册]({{< relref "./docs/A-Ops/智能运维助手使用手册.md" >}})
- [内核热升级指南]({{< relref "./docs/KernelLiveUpgrade/KernelLiveUpgrade.md" >}})
- [安装与部署]({{< relref "./docs/KernelLiveUpgrade/安装与部署.md" >}})
- [使用方法]({{< relref "./docs/KernelLiveUpgrade/使用方法.md" >}})