内核 on Liangweidong's blog

CentOS 7 内核升级：ELRepo 与 GRUB2 实战

Sun, 15 Mar 2015 00:00:00 +0800

一、为什么 2015 年要升级 CentOS 7 内核

CentOS 7 默认内核是 3.10.0-1160.el7.x86_64——RHEL 7 的"长期维护"线，稳定性极高但新硬件支持差。到 2018-2019 年以后，新出的 Intel 网卡（i40e/ice）、AMD EPYC、新 NVMe 控制器都靠这个老内核打补丁勉强支持，性能也跑不满。

2015 年开始国内运维圈开始批量给生产机升级内核，标准做法是 ELRepo 仓库 + GRUB2——ELRepo 提供 kernel-ml（mainline，主线最新版）和 kernel-lt（longterm，长期维护版）两套线，按需选。

包	来源	适用
`kernel-lt`	linux-stable	服务器、追求稳定
`kernel-ml`	linux-mainline	新硬件支持、想用 Btrfs/OverlayFS 新特性
`kernel-ml-devel`	linux-mainline	编译 DKMS 模块

本文写于 2015-03-15，示例基于 CentOS 7.9（2020-09 发布），但 ELRepo 流程在 7.x 全版本通用。

二、查清当前内核

1
2


uname -r
# 3.10.0-1160.el7.x86_64

三、装 ELRepo 仓库

1
2
3
4
5


# 导入公钥
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

# 装仓库（7.x 通用）
yum install https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm

坑提醒：如果 rpm --import 报 SSL 错误，先 yum update nss（NSS 库太老）。

四、查可用版本

1

yum --disablerepo="*" --enablerepo="elrepo-kernel" list available

会列出当前 elrepo 仓库里可装的全部 kernel 系列。

五、安装新版内核

5.1 装最新稳定版（mainline）

1

yum install -y kernel-ml kernel-ml-devel --enablerepo=elrepo-kernel

5.2 装指定版本

1

yum install -y kernel-lt-5.4.171-1.el7.elrepo --enablerepo=elrepo-kernel

kernel-ml-devel 是配套的内核头文件，装 Docker / VirtualBox Guest Additions / NVIDIA 驱动时要用。

六、查启动项

1
2
3
4
5
6
7
8


# 看默认启动项
grub2-editenv list
saved_entry=CentOS Linux (3.10.0-1160.el7.x86_64) 7 (Core)

# 看所有已装内核
awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg
# 0 : CentOS Linux (5.15.4-1.el7.elrepo.x86_64) 7 (Core)
# 1 : CentOS Linux (3.10.0-1160.el7.x86_64) 7 (Core)

坑提醒：/etc/grub2.cfg 在某些机器上是符号链接到 /boot/grub2/grub.cfg 的。如果 awk 命令报"找不到文件"，就先重建：

1

grub2-mkconfig -o /boot/grub2/grub.cfg

七、设置默认启动版本

1
2
3


grub2-set-default 0
# 也可以直接用名称
# grub2-set-default "CentOS Linux (5.15.4-1.el7.elrepo.x86_64) 7 (Core)"

再 grub2-editenv list 确认已切换。

八、重启验证

1

reboot

启动后：

1
2


uname -r
# 5.15.4-1.el7.elrepo.x86_64

强烈建议：第一次升级新内核先别删旧内核。生产机保留 1-2 个老内核作为回退，至少观察一周再清理。

九、清理旧内核

确认新内核稳定后，可以清理：

1
2
3
4
5
6
7
8


# 列出现有内核
rpm -qa | grep kernel

# 删除老内核（注意只删自己确认要删的版本）
yum remove kernel-3.10.0-1160.el7.x86_64 \
 kernel-tools-libs-3.10.0-1160.102.1.el7.x86_64 \
 kernel-3.10.0-1160.102.1.el7.x86_64 \
 kernel-tools-3.10.0-1160.102.1.el7.x86_64

坑提醒：kernel-tools / kernel-tools-libs 是系统工具包，别全删，保留一个版本对应你当前启动的内核。

十、UEFI 环境的特殊处理

如果你的机器是 UEFI 启动（云主机 / 物理机新硬件），grub2-set-default 之外还要重建 EFI 启动项：

1
2


yum install -y grub2-efi shim
grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg

否则升级完内核可能直接卡在 UEFI 启动界面。

十一、典型坑速查

现象	原因	处理
重启后还是老内核	`grub2-set-default` 没生效 / UEFI 启动项没更新	检查 `grub2-editenv list`、重建 EFI 启动项
Docker 启动报 “kernel too old”	容器 runtime 要求内核 ≥ 3.10 部分特性	升到 `kernel-ml` 5.x
编译模块找不到头文件	没装 `kernel-ml-devel`	装对应版本的 `kernel-ml-devel`
升级后 K8s kubelet 启动失败	内核 cgroup driver 跟 systemd 不一致	kubelet 加 `--cgroup-driver=systemd` 或编辑 `/etc/sysconfig/kubelet`
网络断流 / 驱动 panic	新内核不识别老硬件	进老内核（grub 选上一项），回退

十二、下一步

装新内核后想开 Btrfs / OverlayFS 高级特性 → 见 2015-09-15 CentOS 7 全面实战 的 Docker 部分
想给老机器回退到 3.10 内核 → 删 kernel-ml，重启在 GRUB 选老内核，重设 grub2-set-default 1
批量升级多台机器 → 用 Ansible 推 yum + reboot + 验证三件套
已经上了 K8s 1.22+ → 注意 cgroup driver 必须是 systemd（Docker 19.03+ 默认识别）

参考资料

2024 视角：ELRepo 仍是 7.x 时代的"老朋友"，9.x 时代要换思路

本文写于 2015-03-15——2015 那时候升级 CentOS 7 内核是"激进动作"。2024 视角下，CentOS 7 已经 EOL，新机器直接上 Rocky / Alma 9 + ELRepo 9 即可。

一、CentOS 7 升级到 kernel-ml 5.x 已成"非主流"

2015-2019 年代生产服务器升到 5.x 是"前沿"。
2024 视角下：
- CentOS 7 / Rocky 7 默认内核仍是 3.10（但 7 已 EOL，不应该再升）。
- Rocky / Alma 9默认内核是 5.14 LTS（基于 RHEL 9），直接是 5.14+，不需要 ELRepo 升级。
ELRepo 的角色变化：
- 2015：唯一可靠的"主线内核"仓库
- 2024：仍是"主线 / 长期支持"仓库，但新机器默认内核已够用

二、kernel-ml 5.x 升到 6.x LTS（2024 推荐）

2024 主流 LTS 内核：
- 5.15 LTS（EOL 2026-10，RHEL 9 的基础内核）
- 5.10 LTS（EOL 2026-12，长期支持）
- 6.1 LTS（EOL 2028-12，新机器推荐）
- 6.6 LTS（EOL 2026-12，Ubuntu 24.04 默认）
- 6.10（非 LTS，2024-07 发布，2025-07 EOL）
2024 推荐：kernel-ml-6.1 LTS 或 6.6 LTS

1
2
3


# 装 6.6 LTS
yum --enablerepo=elrepo-kernel install -y kernel-ml-6.6.*
# 自动加 GRUB 启动项、保留老内核

三、CentOS Stream 9 + ELRepo 9 的玩法

CentOS Stream 9 / Rocky Linux 9 / AlmaLinux 9 用 ELRepo 9 仓库：

1
2
3
4
5
6
7
8


rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
yum install https://www.elrepo.org/elrepo-release-9.el9.elrepo.noarch.rpm

# 看可用版本
yum --disablerepo='*' --enablerepo='elrepo-kernel' list available

# 装 kernel-ml（最新主线）
yum --enablerepo=elrepo-kernel install -y kernel-ml kernel-ml-devel

grub 配置同 7.x：grub2-set-default 0

四、cgroup v2 时代的内核选择

2015 那篇升级内核主要为了"新硬件支持"。
2024 升级内核的另一个理由：cgroup v2（systemd 244+ 默认）。

cgroup v1	cgroup v2	2024 推荐
CentOS 7 默认	需内核 4.5+	升 5.10+
CentOS 8 / Rocky 8 默认	默认 v1	升 5.14+ 改 v2
Rocky 9 / Alma 9	默认 v2	直接用

1
2
3


# 看当前 cgroup 版本
cat /sys/fs/cgroup/cgroup.controllers
# cgroup2 才有这个文件

五、Btrfs 时代的"新选择"

2015 那篇升内核为了"用 Btrfs / OverlayFS"。

2024 视角：
- Btrfs 在 Fedora 33+ / openSUSE 是默认 FS，RHEL 9 不默认（保守策略）。
- OverlayFS（容器基础）所有现代内核都支持。
- 新文件系统：
  - EROFS（华为 2018+）：只读压缩 FS，华为云 / 鸿蒙 OS 大量用。
  - bcachefs（2023 推出）：Kent Overstreet 设计，对标 Btrfs / ZFS，Linux 6.7+ 实验支持。

六、kpatch / livepatch：免重启升级

2015 那篇所有升级都需要重启。2024 有"livepatch"：

Canonical Livepatch（Ubuntu）：内核安全更新不重启。
Kpatch（Red Hat / RHEL）：kpatch-build 编译 + livepatch 应用。
KernelCare（CloudLinux 商业）：CentOS / RHEL 全系列支持。

1
2
3
4
5
6


# RHEL 9 / Rocky 9 安装 kpatch
dnf install kpatch
dnf install kpatch-patch-X.X.X
# 应用（不重启）
kpatch load
kpatch list

生产环境升级内核的"零停机"姿势。

七、安全启动 + 内核模块签名

2015 那篇没提 UEFI Secure Boot。
2024 视角：
- Secure Boot 默认开启（云厂商、Win11 PC）
- 自编译内核模块（DKMS）需要签名
- NVIDIA 驱动 / VirtualBox 必须用 distro 签名的版本

1
2
3


# 装 mokutil（管理 MOK 密钥）
mokutil --import /path/to/MOK.der
# 重启后进 UEFI 确认

八、内核升级的"安全策略"

生产服务器：
- 只升 LTS 内核（5.15 / 5.10 / 6.1 / 6.6）
- 保留至少 1 个老内核（回退用）
- 重大版本升级（如 5.10 → 6.1）先在测试机跑 2 周
- kernel-ml 慎用生产（主线，非 LTS）
开发机 / 容器：
- 可以激进（kernel-ml 6.10+）
- 容器化场景内核升级对应用透明（应用跑在用户态）

CentOS 6.5 时代：内核升级与 ELRepo 实战

Tue, 15 Jun 2010 00:00:00 +0800

一、为什么 2010 年还要升级 CentOS 6.5 的内核

CentOS 6.5（2013-12-01 发布，是 CentOS 6 系列的最后一个主要版本）跑的是 2.6.32-431.el6.x86_64——一个 RHEL/CentOS 维护了 10 年的"长青"内核，对应 RHEL 的"zk 内核"分支。这套内核的好处是极其稳定，几乎所有服务器场景都能跑；坏处是新硬件支持差——比如后期出来的 Intel e1000e 网卡的某些固件 bug、SSD 控制器新特性、新 CPU 微码补丁等，都得靠第三方仓库才能拿到。

2010 年代初的运维圈子里，给生产服务器升级内核的标准动作就是：接 ELRepo。ELRepo（elrepo.org）是 RHEL/CentOS 生态最知名的第三方内核仓库，提供两套主线：

包名	来源	特点
`kernel-lt`	Linux stable	长期维护版（Long Term），稳定性优先
`kernel-ml`	Linux mainline	主线最新版，新特性优先

当时给生产服务器升级的常见选择是 kernel-lt——本文以 6.x 时代最常见的 kernel-lt-3.10.x 路线为例。

本文写于 2010 年，主要面向 CentOS 6.x 时代服务器。CentOS 6 已经在 2020-11-30 EOL，CentOS 7 已经在 2024-06-30 EOL，新机器建议直接上 Rocky / Alma / Ubuntu LTS。本篇留作"那个时代"的运维档案。

二、查清当前系统与内核版本

升级前先确认两件事：发行版版本、内核版本。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 发行版版本
[root@centos6 ~]# lsb_release -a
LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:...
Distributor ID: CentOS
Description: CentOS release 6.5 (Final)
Release: 6.5
Codename: Final

# 内核版本
[root@centos6 ~]# uname -r
2.6.32-431.el6.x86_64

lsb_release 在最小化安装的机器上默认没装，可以改用 cat /etc/redhat-release 兜底：

1
2


cat /etc/redhat-release
# CentOS release 6.5 (Final)

三、解决 yum 下载 ELRepo 公钥时的 SSL 错误

直接 rpm --import ELRepo 的 GPG 公钥，6.x 时代很容易遇到：

1
2
3


[root@centos6 ~]# rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
curl: (35) SSL connect error
error: https://www.elrepo.org/RPM-GPG-KEY-elrepo.org: import read failed(2).

这是因为系统自带的 nss（Network Security Services）太老，跟不上 TLS 协议。解决方法就一条：先升级 nss：

1

yum update nss

之后再 rpm --import 就正常了。

四、安装 ELRepo 仓库

ELRepo 提供按大版本分发的 release RPM，直接装就能拿到 repo 文件：

1

rpm -Uvh http://www.elrepo.org/elrepo-release-6-8.el6.elrepo.noarch.rpm

这一步会生成 /etc/yum.repos.d/elrepo.repo，里面有两个仓库：

elrepo（主仓库，ELRepo 自有驱动）
elrepo-kernel（内核专用）
elrepo-extras

五、安装 kernel-lt 内核

只启用 elrepo-kernel 仓库，避免其他包被意外升级：

1

yum --enablerepo=elrepo-kernel install kernel-lt -y

安装完成后，新内核会出现在 /boot/ 下，同时 grub 也会自动加入对应的启动项。但grub 默认从序号 0 开始启动，新内核一般被装在最后，所以下一步要改默认启动顺序。

六、修改 grub 引导顺序

CentOS 6 时代的 grub 还是 legacy grub 1，配置文件是 /etc/grub.conf（实际软链接到 /boot/grub/grub.conf）：

1

vi /etc/grub.conf

把 default=N 改成新内核对应的序号（一般是 0）。文件里长这样：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


default=0 # ← 改这个
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS (3.10.0-1.el6.elrepo.x86_64)
 root (hd0,0)
 kernel /vmlinuz-3.10.0-1.el6.elrepo.x86_64 ro root=/dev/mapper/...
 initrd /initramfs-3.10.0-1.el6.elrepo.x86_64.img
title CentOS (2.6.32-431.el6.x86_64)
 root (hd0,0)
 kernel /vmlinuz-2.6.32-431.el6.x86_64 ro root=/dev/mapper/...
 initrd /initramfs-2.6.32-431.el6.x86_64.img

新内核放在 title 列表的最上面时，default=0 就指向它；放后面就改对应的序号。

坑提醒：改完一定要重启验证，别留在原内核就以为升级成功了。

七、重启验证

1

reboot

重启后再次 uname -r：

1
2


uname -r
# 3.10.0-1.el6.elrepo.x86_64

确认已经是新内核，老的内核包先别删——留一两周观察稳定再清理。

八、常见坑速查

现象	原因	处理
`rpm --import` 报 SSL error	nss 库太老	`yum update nss`
安装后还是老内核启动	grub `default` 没改	编辑 `/etc/grub.conf`
启动到一半 `dracut` panic	initramfs 没生成或磁盘驱动没编进	用 `dracut --force` 重生成 initramfs
第三方软件（如 VMware Tools）装不上	内核头文件路径变了	装对应 `kernel-lt-devel`

九、下一步

想再激进一点（拿 Btrfs/OverlayFS 等新特性）→ 改用 kernel-ml，但绝不要在生产环境直接上——6.x 时代的 ml 包出过几次 initramfs 兼容事故
想再稳一点（保留老内核回退）→ 升级前用 df/mount 拍个快照，VPS 用户用服务商控制台做 system snapshot
配套的 kernel-lt-devel、kernel-lt-headers 也要一并装，否则后面编译 DKMS 模块（如 VirtualBox Guest Additions）会失败
真要彻底升级大版本（6.x → 7.x）→ 走 redhat-upgrade-tool（已废弃）或重新装机，跨大版本升级从来都只适合有完整快照的测试机

参考资料

ELRepo 官网
CentOS 6 EOL 公告
RHEL 6.5 Release Notes（kernel 章节）

2024 视角：CentOS 6 时代已彻底过去，迁移方案汇总

本文写于 2010-06-15（实际是后人补档的"老运维回忆"），距今已 14 年。2024 视角下：

一、CentOS 6 已经是"老古董"

2020-11-30：CentOS 6 EOL（End of Life）。
2020-12 至 2024-06：CentOS Linux 6 走"extended EOL"（付费支持）。
2024-06-30：CentOS Linux 6 全面停止维护。
2024 视角：仍然跑 CentOS 6 的服务器已经无安全更新——强烈建议迁出。

二、CentOS 6 迁到哪里

目标	兼容性	迁移成本	适用
CentOS 7	90%	低	不推荐（7 已 2024-06 EOL）
CentOS 8	95%	低	不推荐（8 已 2021-12 EOL）
CentOS Stream 8/9	100%	低	滚动版，生产慎用
Rocky Linux 9	100%	低	首选（社区驱动，CIQ 维护）
AlmaLinux 9	100%	低	首选（CloudLinux 维护）
Oracle Linux 9	100%	低	大企业 / 商业支持
Ubuntu 22.04 LTS	80%	中	桌面 / 开发机
Debian 12	80%	中	服务器 / 容器

三、`migrate2rocky` 脚本一键迁移

1
2
3
4
5
6


# CentOS 6/7/8 → Rocky Linux 9
curl -O https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh
chmod +x migrate2rocky.sh
sudo bash migrate2rocky.sh -r
# 重启
sudo reboot

注意：必须先做完整备份（快照 / tar 全量），迁移过程会替换核心包。
不兼容情况：自定义编译的内核模块（如 NVIDIA 驱动、VirtualBox）需要重新编译。

四、CentOS 6 时代的"运维遗物"清单

2010 年代 CentOS 6 跑的常见服务，2024 都有现代替代：

老服务	2024 替代
MySQL 5.1	MySQL 8.0 / MariaDB 10.11
Apache 2.2	Apache 2.4 / Nginx 1.27
PHP 5.3	PHP 8.3
iptables	nftables（CentOS 7 后）
OpenSSH 5.3	OpenSSH 9.x（强制 ed25519 / rsa-sha2-256）
`ntpd`	`chronyd`（CentOS 7+）
`ifconfig`	`ip`（iproute2）
`netstat`	`ss`（iproute2）
`service`	`systemctl`
`chkconfig`	`systemctl enable/disable`
`ifupdown`	NetworkManager / `nmcli`
`route`	`ip route`
`arp`	`ip neigh`
`traceroute`	`mtr`（更现代）
`wget`	`curl`（更通用）

五、CentOS 6 → 9 的"陷阱"清单

systemd 全面接管：init.d 脚本不再被自动识别——必须写 *.service。
firewalld 取代 iptables：老 iptables -A INPUT ... 命令仍兼容（底层是 nftables），但推荐用 firewall-cmd。
SELinux 强制开启：从 CentOS 7 起默认开启，老脚本不写 SELinux context 会失败。
Python 2.7 EOL（2020-01-01）：所有 #!/usr/bin/python 必须改成 python3。
OpenSSL 1.1+ / TLS 1.3 强制：老证书可能不再受信任。
GLIBC 2.28+（CentOS 9）：老二进制（如 tcpcopy 1.2.0 预编译版）会报"GLIBC_2.34 not found"。

六、CentOS 6 的"真实价值"：归档

2024 视角下，CentOS 6 的真正价值是"运维历史档案"——很多老脚本、老软件、老硬件驱动都跑在上面。

vmware-tools：CentOS 6 用老版 VMware Tools（kernel 2.6.32 兼容），CentOS 9 改用 open-vm-tools。
Realtek 网卡驱动：CentOS 6 时代手动编译 r8168，CentOS 9 内核已自带。
NFS v3：CentOS 6 默认 NFSv3，CentOS 9 默认 NFSv4.2。
32 位库：CentOS 6 装 glibc.i686 跑 32 位应用，CentOS 9 已经不默认装 i686 仓库。

七、2024 仍在跑 CentOS 6 的"现实方案"

方案 A（推荐）：迁移到 Rocky / Alma 9
方案 B：用 Vault 仓库 + --enablerepo 让 yum 继续用（但无安全更新）
方案 C：用 docker 容器包老 OS：

1
2
3
4
5


# 用 Docker 跑 CentOS 6 容器（保留老应用）
docker run -it --rm centos:6 bash
# 内部操作
yum update
# 应用跑在容器里

方案 D：上 K8s + 老 OS Pod（生产慎用）

内核 on Liangweidong's blog

CentOS 7 内核升级：ELRepo 与 GRUB2 实战

一、为什么 2015 年要升级 CentOS 7 内核

二、查清当前内核

三、装 ELRepo 仓库

四、查可用版本

五、安装新版内核

5.1 装最新稳定版（mainline）

5.2 装指定版本

六、查启动项

七、设置默认启动版本

八、重启验证

九、清理旧内核

十、UEFI 环境的特殊处理

十一、典型坑速查

十二、下一步

参考资料

2024 视角：ELRepo 仍是 7.x 时代的"老朋友"，9.x 时代要换思路

一、CentOS 7 升级到 kernel-ml 5.x 已成"非主流"

二、kernel-ml 5.x 升到 6.x LTS（2024 推荐）

三、CentOS Stream 9 + ELRepo 9 的玩法

四、cgroup v2 时代的内核选择

五、Btrfs 时代的"新选择"

六、kpatch / livepatch：免重启升级

七、安全启动 + 内核模块签名

八、内核升级的"安全策略"

CentOS 6.5 时代：内核升级与 ELRepo 实战

一、为什么 2010 年还要升级 CentOS 6.5 的内核

二、查清当前系统与内核版本

三、解决 yum 下载 ELRepo 公钥时的 SSL 错误

四、安装 ELRepo 仓库

五、安装 kernel-lt 内核

六、修改 grub 引导顺序

七、重启验证

八、常见坑速查

九、下一步

参考资料

2024 视角：CentOS 6 时代已彻底过去，迁移方案汇总

一、CentOS 6 已经是"老古董"

二、CentOS 6 迁到哪里

三、migrate2rocky 脚本一键迁移

四、CentOS 6 时代的"运维遗物"清单

五、CentOS 6 → 9 的"陷阱"清单

六、CentOS 6 的"真实价值"：归档

七、2024 仍在跑 CentOS 6 的"现实方案"

三、`migrate2rocky` 脚本一键迁移