openEuler 20.03

关闭防火墙及SELinux

鲲鹏BoostKit 虚拟化 使能套件提供的OVS流表归一化特性的运行需要创建VM虚拟机,而Linux系统默认开启的SELinux安全机制会阻止Guest虚拟机的镜像加载,导致无法正常部署虚拟化场景业务。这是Linux OS本身的行为,鲲鹏BoostKit虚拟化使能套件并不对此提供的详细解决方案。如果客户想在自己的系统中使用SELinux,则需要自行寻找解决方法。

针对此限制,我们提供了快速的禁用SELinux的方法。鲲鹏BoostKit虚拟化使能套件中,提供的SELinux配置方法仅供参考,需用户自行评估并承担相应风险。

禁用SELinux可能会导致安全问题,如果客户最终的解决方案本身就没有规划启用SELinux,建议通过端到端的整体方案来弥补SELinux关闭带来的风险,且需自行承担安全风险。如果客户有SELinux的需求,建议根据实际的SELinux问题进行细粒度的规则配置,并保证整个系统的安全。

  1. 打开文件“/etc/selinux/config”,将文件中的SELINUX=enforcing改为SELINUX=disabled
  2. 关闭防火墙,执行如下命令关闭并禁用防火墙。 

    1
2
    		 
    systemctl stop firewalld.service
systemctl disable firewalld.service

配置内存大页

  1. 查看是否已经开启大页内存。 

    1
    		 
    cat /proc/meminfo |grep -i huge

    • 若HugePages_Total为0,说明未开启大页内存,继续执行2
    • 若HugePages_Total不为0,说明已开启大页内存。此时:
      • 若HugePagesize大于等于5GB,则跳过该章节后面的步骤。
      • 若HugePagesize小于5GB,则继续执行2

  2. 修改启动设置。

    1. 编辑“/boot/efi/EFI/openEuler/grub.cfg”文件。 
      1
      		 
      vim /boot/efi/EFI/openEuler/grub.cfg
    2. 找到开机启动项menuentry,按“i”进入编辑模式,添加以下配置,增加大页相关选项,配置在系统启动项。 
      default_hugepagesz=512M hugepagesz=512M hugepages=128 iommu.passthrough=1

    3. “Esc”键退出编辑模式,输入“:wq!”后按“Enter”键保存并退出文件。

  3. 配置开机挂载大页内存。

    1. 编辑“/etc/fstab”文件。 
      1
      		 
      vim /etc/fstab
    2. “i”进入编辑模式,新增以下文本。 
      1
      		 
      nodev /mnt/huge hugetlbfs defaults 0 0
    3. “Esc”键退出编辑模式,输入“:wq!”后按“Enter”键保存并退出文件。

  4. 创建“/mnt/huge”目录。 

    1
    		 
    mkdir -p /mnt/huge

  5. 重启服务器,使内存大页生效。 

    reboot

开启IOMMU

  1. 进入BIOS。

    具体请参见《TaiShan 服务器 BIOS 参数参考(鲲鹏920处理器)》中“进入BIOS界面”的相关内容。

  2. 进入Advanced->MISC Config配置页面。

  3. “Support Smmu”设置为“Enabled”,按F10保存退出。

配置Yum源

  1. 挂载镜像。 

    1
2
    		 
    mkdir -p /mnt/repo
mount -o loop /home/software/openEuler-20.03-LTS-everything-aarch64-dvd.iso /mnt/repo/

  2. 配置Yum源。

    1. 备份系统中其他源并创建本地源。 
      1
2
3
4
      		 
      cd /etc/yum.repos.d
mkdir backup
mv *.repo backup
vim /etc/yum.repos.d/local.repo
    2. “i”进入编辑模式,添加如下内容。 
      [local]
name=local
baseurl=file:///mnt/repo
enable=1
gpgcheck=0
priority=1

[arch_fedora_online]
name=arch_fedora
baseurl=https://mirrors.huaweicloud.com/fedora/development/rawhide/Everything/aarch64/os
enabled=1
gpgcheck=0
priority=2
    3. “Esc”键退出编辑模式,输入“:wq!”后按“Enter”键保存并退出文件。

  3. 使Yum源配置生效。 

    1
    		 
    yum clean all&&yum makecache

安装依赖包

  1. 安装依赖软件包。 

    yum install -y numactl numactl-devel openssl-devel libcap-ng-devel qemu-guest-agent qemu* libvirt* traceroute iperf3 virt-install edk2-aarch64 python2-paramiko

  2. 修改配置文件“/etc/libvirt/qemu.conf”

    1. 打开文件。 
      vim /etc/libvirt/qemu.conf
    2. 按i进入编辑模式,将原有命令: 
      #user = "root"
#group = "root"

      修改为:

      user = "root"
group = "root"
    3. “Esc”键退出编辑模式,输入“:wq!”后按“Enter”键保存并退出文件。

  3. 重启libvirt服务。 

    systemctl restart libvirtd

父主题: 配置编译环境