bitllion 最近的时间轴更新 bitllion 最近的时间轴更新 |
bitllionV2EX 第 560341 号会员,加入于 2021-11-01 15:47:55 +08:00 |
| Linux 虚拟机防火墙如何实现 Linux • bitllion • 2023-10-11 14:19:04 PM • 最后回复来自 bitllion | 12 |
bitllion 最近回复了
9 天前 回复了 jingyijun 创建的主题 › 程序员 › 实验室 GPU 集群管理经验分享与问题探讨,求建议 |
1. 存储方面:
a. 推荐 lustre , 我给某双一流大学做的 lustre, 即使机房意外断电,也没有丢数据
b. 存储系统的设计,元数据服务器务必用 RAID 1 模式下的 NVME 盘,显著提高元数据性能,例如读写文件锁、搜索加载文件树; OSS 服务器可以用小容量(重建 raid 更快)机械硬盘,RAID 6 模式 ; lustre 后面再接一个 NAS(NFS ),定时 rsync 备份全量的 lustre 数据
2.调度系统:
a.对于高校用户,还是推荐 slurm ,k8s 是为大公司业务系统设计的,他们有大量管理设计开发微服务的经验,往往维护 k8s 集群的是一个小团队
b.容器的问题,可以看看 singularity 和 slurm 的解决方案 、SPANK 插件 ,还有你的 sbatch 脚本和 slurm 配置是否正确,我之前维护一个 GPU 集群,跑大模型也是用的 slurm+docker ,没有出现过容器残留的现象
a. 推荐 lustre , 我给某双一流大学做的 lustre, 即使机房意外断电,也没有丢数据
b. 存储系统的设计,元数据服务器务必用 RAID 1 模式下的 NVME 盘,显著提高元数据性能,例如读写文件锁、搜索加载文件树; OSS 服务器可以用小容量(重建 raid 更快)机械硬盘,RAID 6 模式 ; lustre 后面再接一个 NAS(NFS ),定时 rsync 备份全量的 lustre 数据
2.调度系统:
a.对于高校用户,还是推荐 slurm ,k8s 是为大公司业务系统设计的,他们有大量管理设计开发微服务的经验,往往维护 k8s 集群的是一个小团队
b.容器的问题,可以看看 singularity 和 slurm 的解决方案 、SPANK 插件 ,还有你的 sbatch 脚本和 slurm 配置是否正确,我之前维护一个 GPU 集群,跑大模型也是用的 slurm+docker ,没有出现过容器残留的现象
2024-02-21 10:34:41 +08:00 回复了 CivAx 创建的主题 › 程序员 › 各位的家用服务器是 EXSi + OS 还是直接装 OS |
PVE 稳定运行 3 年了
2023-11-10 14:05:47 +08:00 回复了 codeself 创建的主题 › 程序员 › 很好奇那些无服务器端的照片同步 APP 是如何在客户端记录同步进度的,是有啥特别的算法吗? |
有个隐藏的日志文件
2023-10-11 14:19:04 +08:00 回复了 bitllion 创建的主题 › Linux › Linux 虚拟机防火墙如何实现 |
回复大家下这里实现了 iptables 对虚拟机的流量控制
#ipv4d 转发不用开启
sysctl net.ipv4.ip_forward=0
# 需要开启桥的 iptables 转发
sysctl net.bridge.bridge-nf-call-iptables=1
# 创建和虚拟机 id 相同名字的规则链
iptables -t filter -N kvmtest
# 开启转发
iptables -A FORWARD -j kvmtest
# 添加默认规则
iptables -A kvmtest -m state --state INVALID -j DROP
iptables -A kvmtest -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A kvmtest -j DROP
# 添加自定义规则
iptables -I kvmtest -p tcp --dport 22 -j ACCEPT #和平常添加自定义规则一样
iptables -I kvmtest -p tcp --dport 80 -j ACCEPT
iptables -I kvmtest -p icmp -j ACCEPT
# 删除规则链 需要依次删除转发、清楚规则链中内容、再删除规则链
iptables -D FORWARD -j kvmtest
iptables -F kvmtest
iptables -X kvmtest
#ipv4d 转发不用开启
sysctl net.ipv4.ip_forward=0
# 需要开启桥的 iptables 转发
sysctl net.bridge.bridge-nf-call-iptables=1
# 创建和虚拟机 id 相同名字的规则链
iptables -t filter -N kvmtest
# 开启转发
iptables -A FORWARD -j kvmtest
# 添加默认规则
iptables -A kvmtest -m state --state INVALID -j DROP
iptables -A kvmtest -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A kvmtest -j DROP
# 添加自定义规则
iptables -I kvmtest -p tcp --dport 22 -j ACCEPT #和平常添加自定义规则一样
iptables -I kvmtest -p tcp --dport 80 -j ACCEPT
iptables -I kvmtest -p icmp -j ACCEPT
# 删除规则链 需要依次删除转发、清楚规则链中内容、再删除规则链
iptables -D FORWARD -j kvmtest
iptables -F kvmtest
iptables -X kvmtest
2023-09-01 16:54:10 +08:00 回复了 bitllion 创建的主题 › Linux › Linux 虚拟机防火墙如何实现 |
@NessajCN 那 pve(promox) 是可以实现对同局域网下虚拟机的防火墙,我看我启用了 pve 的虚拟机的防火墙后,宿主机 iptables 会多出相应的安全规则
2023-09-01 16:39:49 +08:00 回复了 bitllion 创建的主题 › Linux › Linux 虚拟机防火墙如何实现 |
@NessajCN 我这里只想做在宿主机下限制本地多个虚拟机的流量,因为我们的虚拟机没有对公网提供服务的设计,如果有那是做的网关上的端口映射,我的设计是 提供一个类似于 VPC 网络下的虚拟机防火墙
2023-09-01 16:12:22 +08:00 回复了 bitllion 创建的主题 › Linux › Linux 虚拟机防火墙如何实现 |
@NessajCN 因为想做一个云的防火墙
2023-07-10 16:38:22 +08:00 回复了 rjagge 创建的主题 › 程序员 › 老板新到了一个服务器,我应该如何配置,并做一个优秀的管理员? |
@rjagge 可以试试 upstreams.yaml https://spack.readthedocs.io/en/latest/chain.html 类似这样 upstreams:
spack-instance-1:
install_tree: /path/to/other/spack/opt/spack
modules:
tcl: /path/to/other/spack/share/spack/modules
spack-instance-1:
install_tree: /path/to/other/spack/opt/spack
modules:
tcl: /path/to/other/spack/share/spack/modules
2023-07-06 11:38:57 +08:00 回复了 rjagge 创建的主题 › 程序员 › 老板新到了一个服务器,我应该如何配置,并做一个优秀的管理员? |
@bitllion slurm 做调度,还可以配置 mail 提醒作业状态,zerotire 等 vpn 做异地 vpn,放假出差在外也能连 server ,使用 spack 包管理器安装软件,软件都是 root 安装,普通用户只有使用权限
2023-07-06 11:34:18 +08:00 回复了 rjagge 创建的主题 › 程序员 › 老板新到了一个服务器,我应该如何配置,并做一个优秀的管理员? |
作为一名 HPC 管理员,没必要用 pve ,虽然我这里部分生产环境的机器用了 pve 做 a100 直通,但对于你们人少后续维护不是很方便。给你这样的规划:
Select Language