CentOS on Liangweidong's blog

CentOS 8 EOL 善后：换源 vault.centos.org、时间同步与时区设置

Sun, 15 Sep 2019 00:00:00 +0800

一、为什么 2019 年要聊 CentOS 8

CentOS 8.0 正式发布是 2019-09-24——RHEL 8.0 GA 后的 CentOS 重建版。本文写于 2019-09-15，相当于 CentOS 8 正式发布前一周。但文章真正"管用"的时间是 2022 年 1 月 31 日之后——那天 CentOS 团队把 CentOS 8 的所有包从 mirror.centos.org 移到 vault.centos.org，已经装好的 CentOS 8 跑 yum 会全部报：

1

Error: Failed to download metadata for repo 'appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist

时间线：

2019-09-24：CentOS 8.0 GA

2020-12-08：CentOS 宣布战略调整，CentOS 8 提前 EOL

2021-12-31：CentOS 8 EOL（生命周期结束）

2022-01-31：包从 mirror.centos.org 移到 vault.centos.org

2021-05-12：Rocky Linux 8.3 RC1 发布

2021-05-18：AlmaLinux 8.3 正式发布

新机器建议直接上 Rocky Linux 9 / AlmaLinux 9 / Oracle Linux 9——跟 CentOS 8 / 7 生态兼容，迁移成本最低。本篇只解决"已经上了 CentOS 8 又不想重装"的善后问题。

二、CentOS 8 EOL 后 yum 报错的修复

症状（2022-01-31 后）：

1
2


sudo yum update
# Error: Failed to download metadata for repo 'appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist

根因：CentOS 8 已经 EOL，包从 mirror.centos.org 移走，但 /etc/yum.repos.d/CentOS-*.repo 还指向 mirror.centos.org。

2.1 一次性 sed 改源

1
2


sudo sed -i -e "s|mirrorlist=|#mirrorlist=|g" /etc/yum.repos.d/CentOS-*
sudo sed -i -e "s|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g" /etc/yum.repos.d/CentOS-*

这两条命令做的事：

把所有 mirrorlist= 注释掉（#mirrorlist=）
把 #baseurl=http://mirror.centos.org 替换成 baseurl=http://vault.centos.org

2.2 验证

1
2
3


sudo yum clean all
sudo yum makecache
sudo yum update

如果 vault.centos.org 也访问不到（更老的版本），可以临时改 https://mirrors.aliyun.com/centos-vault/8.x.x/... 阿里云镜像，但只限能联网的服务器。

坑提醒：vault.centos.org 没有 HTTPS-only 限制，但没有签名验证——意味着如果源被劫持，包可能被替换。生产环境建议尽快迁移到 Rocky/Alma/Oracle Linux。

三、CentOS 8 的 dnf 包管理器

CentOS 8 弃用了 yum（虽然命令还能用），新工具是 dnf——兼容 yum 4.x 系列，大部分命令一致。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 装包
sudo dnf install -y <package>

# 查包
dnf search <keyword>
dnf info <package>

# 列出已装
dnf list installed

# 卸包
sudo dnf remove <package>

# 仓库管理
sudo dnf config-manager --add-repo https://example.com/repo.repo
sudo dnf config-manager --set-enabled <repo-id>
sudo dnf config-manager --set-disabled <repo-id>

CentOS 8 默认有两个主仓库：

BaseOS：核心 OS 包（kernel、systemd、bash 等）
AppStream：应用流（多个 Python / Node.js 版本可并存）

应用流（Module）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 查可用 python 模块
sudo dnf module list python

# 装 Python 3.9（默认）
sudo dnf module install python39

# 切到 Python 3.6
sudo dnf module reset python
sudo dnf module enable python36
sudo dnf install python3

坑提醒：dnf module 的"版本"切换是全系统的——切换后所有 dnf 装的 Python 都用这个版本。多 Python 版本请用 conda 或源码编译。

四、时间同步：ntpdate / chrony

CentOS 7 用 ntpdate + crontab。CentOS 8 改用 chrony（chronyd daemon），开机自启：

1
2
3
4
5


systemctl status chronyd
# Active: active (running)

chronyc sources -v
# 查 NTP 源状态

4.1 想用回 ntpdate 风格

2019-2020 那段时间国内服务器常用 wlnmp 源（https://mirrors.wlnmp.com/centos/wlnmp-release-centos.noarch.rpm）一次性装 wntp：

1
2
3


rpm -ivh https://mirrors.wlnmp.com/centos/wlnmp-release-centos.noarch.rpm
dnf install wntp
ntpdate ntp1.aliyun.com

坑提醒：wlnmp-release 包没有 GPG 签名验证——商用生产环境慎用，仅适合临时调试。

4.2 配阿里云 NTP

1
2
3
4
5
6
7
8
9


vi /etc/chrony.conf
# 注释掉默认的 pool，改成阿里云
# pool 2.centos.pool.ntp.org iburst
server ntp1.aliyun.com iburst
server ntp2.aliyun.com iburst
server ntp3.aliyun.com iburst

systemctl restart chronyd
chronyc sources -v

五、时区设置

timedatectl 是 CentOS 7+ 标准的时区工具。

5.1 看当前时区

1
2
3
4
5
6
7
8


timedatectl status
# Local time: Thu 2026-06-04 12:34:56 CST
# Universal time: Thu 2026-06-04 04:34:56 UTC
# RTC time: Thu 2026-06-04 04:34:56
# Time zone: Asia/Shanghai (CST, +0800)
# NTP enabled: yes
# NTP synchronized: yes
# RTC in local TZ: no

5.2 改时区

1
2
3


sudo timedatectl set-timezone Asia/Shanghai
date
# Thu Jun 4 12:34:56 CST 2026

5.3 列出所有时区

1
2
3
4
5
6


timedatectl list-timezones | grep Asia
# Asia/Shanghai
# Asia/Hong_Kong
# Asia/Tokyo
# Asia/Singapore
# ...

5.4 手动改时间（一般不要）

1

sudo timedatectl set-time '2026-06-04 12:34:56'

改完时间记得 hwclock --systohc 把系统时间写回硬件时钟，否则重启就丢。

六、CentOS 8 → Rocky / AlmaLinux 迁移

如果想保住 CentOS 8 的环境又不想重装，官方提供 migrate2rocky / almalinux-deploy 脚本：

1
2
3
4
5
6


# Rocky Linux 迁移
curl -O https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh
chmod +x migrate2rocky.sh
sudo bash migrate2rocky.sh -r
# 重启
sudo reboot

1
2
3
4


# AlmaLinux 迁移
sudo dnf install -y almalinux-deploy
sudo almalinux-deploy
sudo reboot

坑提醒：迁移脚本会改一堆包，包括内核、grub、repo。迁移前一定要做快照（云盘 / LVM 快照），回退成本高。

七、典型坑速查

现象	原因	处理
`yum update` 报 “No URLs in mirrorlist”	CentOS 8 EOL 后 mirror.centos.org 失效	走 §2.1 sed 改源
`dnf install` 报包冲突	Module 多版本并存	`dnf module reset <mod>` 再装
`chronyc sources` 显示 `??`	NTP 服务器不可达	改 `chrony.conf` 加阿里云 NTP
时间不准	没装 chronyd / 时区不对	装 chronyd + `timedatectl set-timezone`
迁移 Rocky 失败	网络 / 仓库访问	配阿里云 Vault 源后重试

八、下一步

想从 CentOS 8 直接迁到 Rocky 9 / Alma 9 → 走 migrate2rocky 或重装（重装最稳）
想继续留 CentOS 7 → 7 已 2024-06-30 EOL，尽快迁出
想换更现代的发行版 → Ubuntu 22.04 LTS / Debian 12
想学 K8s 时间同步最佳实践 → 容器里别用宿主机的本地时间，用 NTP 或 sidecar

参考资料

2024 视角：CentOS 8 时代早已过去，Rocky / Alma 9 才是"未来"

本文写于 2019-09-15（CentOS 8 GA 前一周），2024 视角下 CentOS 8 已 EOL 3 年。本文的方法在 vault 源上仍管用，但新项目早应该迁到 Rocky / Alma 9。

一、CentOS 8 EOL 时间线回顾

2019-09-24：CentOS 8.0 GA
2020-12-08：CentOS 战略调整公告（CentOS 8 提前 EOL，CentOS 转向 Stream）
2021-12-31：CentOS 8 EOL（生命周期结束，比原计划 2029-05 提前 7.5 年）
2022-01-31：包从 mirror.centos.org 移到 vault.centos.org
2024-06-30：CentOS 8 走完 6 个月的 ELS（Extended Lifecycle Support）

2024 视角：CentOS 8 完全没有安全更新——必须迁出。

二、`vault.centos.org` 2024 状态

2024-06-30 后：vault.centos.org 仍可访问，但仅供归档查询。
生产环境仍用 CentOS 8 = 裸奔在公网。
不推荐继续用 vault.centos.org 做生产源——无 GPG 签名验证（包可能被劫持）。

三、dnf 包管理器的"2024 现状"

2019 那篇介绍了 CentOS 8 的 dnf 4.x。2024 视角：

dnf 5（2024-03 在 Fedora 40 首次 GA，RHEL 9.4+ 默认）—— 完全重写：
- 基于 libsolv（比 dnf 4 的 hawkey 快 10 倍）
- Python 3.12+ 替代 Python 3.6
- 新命令：dnf install 改成 dnf install（不变）但有 dnf5 install
- 更严格的依赖解析

1
2
3
4
5
6
7


# 2024 dnf 5 用法
dnf5 --version
# 5.1.12

dnf5 install nginx
dnf5 remove nginx
dnf5 search python

四、chrony 在 2024 仍是 NTP 默认

2019 那篇的 chrony 配置 2024 仍管用。2024 新增：

chrony 4.5+（2024-02 起）：支持 NTS（Network Time Security）—— 加密的 NTP 协议。

1
2
3
4


# /etc/chrony.conf
# 启用 NTS
ntsserver ntp1.aliyun.com
ntsserver time.cloudflare.com

NTS 比传统 NTP 更安全（防中间人篡改时间）。

五、timedatectl 的"现代"用法

2019 那篇给的 timedatectl set-timezone Asia/Shanghai 2024 仍管用。2024 增强：

NTP 同步 + RTC 同步：

1
2
3
4
5
6
7
8


# 看同步状态
timedatectl show-timesync
# SystemNTPServers=ntp1.aliyun.com
# SystemNTPSynchronized=yes
# RTCInLocalTZ=no

# 强制 RTC 用 UTC（避免时区混乱）
timedatectl set-local-rtc 0

六、CentOS Stream 8 → Rocky / Alma 8 的迁移

2019 那篇只是"保留旧系统"。2024 主流：

migrate2rocky.sh 脚本（Rocky Linux 官方）：

1
2
3
4
5
6
7
8
9


# CentOS Stream 8 → Rocky Linux 8
curl -O https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh
chmod +x migrate2rocky.sh
sudo bash migrate2rocky.sh -r

# 重启
sudo reboot
uname -r
# Rocky Linux 8.x

almalinux-deploy 脚本（AlmaLinux 官方）：

1
2


sudo dnf install -y almalinux-deploy
sudo almalinux-deploy

七、CentOS Stream 的"真实价值"

2019 那篇 CentOS Stream 8 还没出。
CentOS Stream 8/9（2021+）：RHEL 的"上游开发版"—— 比 RHEL 早 1-2 个 minor 版本。
2024 视角：
- 生产环境：不用 CentOS Stream（不稳定），用 Rocky / Alma 9。
- 开发环境：CentOS Stream 9 可以体验"未来 RHEL"。
- CI/CD 测试：RHEL UBI（Universal Base Image，2020+）—— 在容器里跑 RHEL。

八、AlmaLinux / Rocky / Oracle 三选一

Rocky Linux：CIQ 公司主导，社区最活跃。
AlmaLinux：CloudLinux 公司主导，外企用得多。
Oracle Linux：Oracle 公司主导，企业级支持（UEK 内核自研）。
2024 市场份额：
- Rocky Linux ~ 35%
- AlmaLinux ~ 30%
- Oracle Linux ~ 20%
- CentOS Stream ~ 15%

九、CentOS 8 的"运维遗物"：`dnf module`

2019 那篇提到 dnf module。2024 状态：

dnf module 在 Rocky / Alma 9 仍存在（继承自 RHEL 8 AppStream）。
2024 趋势：用 pyenv / conda / uv 装 Python，不用 dnf module install python39。
应用流（Module）示例（2024 仍可用）：

1
2
3
4


# Node.js 多版本（dnf module）
dnf module list nodejs
dnf module enable nodejs:18
dnf install nodejs

十、CentOS 8 EOL 后的"实践教训"

2019 → 2024 五年间，CentOS 经历了：
- GA（2019-09）
- 战略调整（2020-12）
- 提前 EOL（2021-12）
- 完全归档（2024-06）
教训：
- 不要把生产系统"绑死"在单一发行版—— 用 Docker / 容器化
- 订阅 Red Hat 或 商业支持（Alma / Rocky / Oracle）—— 别用"免费无支持"的 CentOS
- 新项目永远用"未来 5 年有支持"的发行版
- 2024 推荐：
  - 服务器：Rocky / Alma / Oracle 9（支持到 2027-2029）
  - 桌面 / 开发：Ubuntu 24.04 LTS（支持到 2029-04）
  - 容器：Distroless / Alpine / UBI（无 OS 依赖）

CentOS 7 开发环境：Python3 源码编译、Miniconda3 与 Oh My Zsh 实战

Fri, 15 Sep 2017 00:00:00 +0800

一、为什么 2017 年还要在 CentOS 7 手动配 Python3

CentOS 7 的 yum / firewalld / 大量系统工具强依赖 Python 2.7——直接 yum install python3 装出来的 python3 跟系统的 python（指向 2.7）完全分家，但 2017-2019 那几年的社区包又常常把 2.7 假设写死（典型如 subprocess.Popen 默认行为、字符串编码等）。所以生产环境 Python3 的标准装法是源码编译到 /usr/local/python3，再软链 python3 出去——既不影响系统 python，又方便升级。

到了 2017-2019 几年，Miniconda3 在国内也火了起来——比起源码编译，它的好处是：

自带 pip / conda / 大量科学计算包
国内源（清华 / 阿里）一配到底
环境隔离（conda create -n py39 python=3.9）

本篇把 Python3 源码编译、Miniconda3 配源、Oh My Zsh 提效这三件事串成一份"开发机一次配好"清单。

本文写于 2017-09-15。示例基于 CentOS 7.9 + Python 3.7 / 3.9 时代。CentOS 7 已 2024-06-30 进入 ELS 阶段，新机器建议 Rocky / Alma 9。

二、Python3 源码编译（与 Python2.7 共存）

2.1 装编译依赖

1
2
3
4


yum groupinstall "Development Tools" -y
yum install -y openssl-devel bzip2-devel libffi-devel zlib-devel \
 ncurses-devel sqlite-devel readline-devel tk-devel \
 gdbm-devel db4-devel libpcap-devel xz-devel

坑提醒：openssl-devel 一定要装，否则 pip install requests 装好之后跑 HTTPS 会直接报 ssl module not available。

2.2 下载 / 编译 / 安装

1
2
3
4
5
6
7


wget https://www.python.org/ftp/python/3.9.10/Python-3.9.10.tgz
tar -zxvf Python-3.9.10.tgz
cd Python-3.9.10

./configure --enable-optimizations --prefix=/usr/local/python3
make altinstall # 注意是 altinstall 不是 install
make && make install

./configure --enable-optimizations 会跑一遍 profile-guided optimization（PGO），编译时间长 20-30 分钟但性能提升 10-20%，生产环境值得等。

make altinstall 而不是 make install 关键作用：

不覆盖 系统 /usr/bin/python 软链接（系统指向 python2.7）
不动 /usr/bin/pip
装出来的 python3.9 / pip3.9 直接在 /usr/local/python3/bin/

2.3 软链接

1
2
3
4
5
6
7


ln -s /usr/local/python3/bin/python3 /usr/bin/python3
ln -s /usr/local/python3/bin/pip3 /usr/bin/pip3

python3 -V
# Python 3.9.10
pip3 -V
# pip 21.2.4 from /usr/local/python3/lib/python3.9/site-packages/pip (python 3.9)

2.4 virtualenv 隔离

为了避免 pip install 污染系统 Python，每个项目单独开 venv：

1
2
3
4
5
6
7
8


python3 -m venv myenv
source myenv/bin/activate

# 装包
pip install requests flask

# 退出
deactivate

三、Miniconda3 + 国内源

3.1 下载安装

1
2


wget https://repo.anaconda.com/miniconda/Miniconda3-latest-Linux-x86_64.sh
sh Miniconda3-latest-Linux-x86_64.sh

交互流程：

按空格看完 license
接受 license（输入 yes）
安装路径（默认 ~/miniconda3，回车）
初始化（conda init，输入 yes 让它改 ~/.bashrc）
重开终端生效

3.2 配国内源

~/.condarc：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


channels:
 - defaults
show_channel_urls: true
default_channels:
 - http://mirrors.aliyun.com/anaconda/pkgs/main
 - http://mirrors.aliyun.com/anaconda/pkgs/r
 - http://mirrors.aliyun.com/anaconda/pkgs/msys2
custom_channels:
 conda-forge: http://mirrors.aliyun.com/anaconda/cloud
 msys2: http://mirrors.aliyun.com/anaconda/cloud
 bioconda: http://mirrors.aliyun.com/anaconda/cloud
 menpo: http://mirrors.aliyun.com/anaconda/cloud
 pytorch: http://mirrors.aliyun.com/anaconda/cloud
 simpleitk: http://mirrors.aliyun.com/anaconda/cloud

清华源（https://mirrors.tuna.tsinghua.edu.cn/anaconda/...）也是常用选择，速度一样快。

3.3 配 pip 源

1
2


pip config set global.index-url https://mirrors.aliyun.com/pypi/simple
pip config set install.trusted-host mirrors.aliyun.com

写到 ~/.config/pip/pip.conf：

1
2
3


[global]
index-url = https://mirrors.aliyun.com/pypi/simple
trusted-host = mirrors.aliyun.com

3.4 常用 conda 命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# 查版本
conda --version

# 创建隔离环境
conda create -n py39 python=3.9
conda activate py39

# 装包
conda install numpy pandas
# 或 pip（conda 环境里 pip 装也行）
pip install requests

# 退出
conda deactivate

# 列出所有环境
conda env list

# 删除环境
conda env remove -n py39

坑提醒：conda 环境和系统 Python 环境完全独立，pip 装的位置也不一样——一个项目只选一个，别混用。

四、Oh My Zsh 提效

bash 是 CentOS 默认 shell，但 zsh 配合 Oh My Zsh 的自动补全、语法高亮、主题，体验好一个档次。2017-2019 几年国内开发者几乎人手一套。

4.1 装 zsh

1
2
3


yum install -y zsh
zsh --version
# zsh 5.0.2 (x86_64-redhat-linux-gnu)

切换默认 shell（要重登录）：

1

chsh -s /bin/zsh

4.2 装 Oh My Zsh

官方脚本（国内常被 GFW 拦）：

1

sh -c "$(curl -fsSL https://raw.github.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"

国内镜像版（Gitee）：

1
2
3
4
5
6
7


wget https://gitee.com/mirrors/oh-my-zsh/raw/master/tools/install.sh
vim install.sh
# 把 REMOTE 改成 gitee 镜像
# REMOTE=${REMOTE:-https://gitee.com/${REPO}.git}

chmod +x install.sh
sh install.sh

4.3 主题

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 看所有主题
ls ~/.oh-my-zsh/themes

# 改 ~/.zshrc
ZSH_THEME="robbyrussell" # 默认简洁
# 改成
ZSH_THEME="ys" # 国人开发，信息密度高
# 还有很多：agnoster、af-magic、jtriley、bira...

source ~/.zshrc

4.4 必装插件

zsh-autosuggestions（灰色提示历史命令）：

1
2
3
4
5
6


git clone https://github.com/zsh-users/zsh-autosuggestions \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-autosuggestions

# 国内 Gitee 镜像
git clone https://gitee.com/hailin_cool/zsh-autosuggestions.git \
 $ZSH_CUSTOM/plugins/zsh-autosuggestions

zsh-syntax-highlighting（命令高亮，错误命令红色）：

1
2
3
4
5
6


git clone https://github.com/zsh-users/zsh-syntax-highlighting.git \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-syntax-highlighting

# 国内 Gitee 镜像
git clone https://gitee.com/Annihilater/zsh-syntax-highlighting.git \
 $ZSH_CUSTOM/plugins/zsh-syntax-highlighting

启用插件——编辑 ~/.zshrc：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 关键：让 zsh 也能加载 /etc/profile（系统环境变量）
source /etc/profile

plugins=(
 git
 zsh-autosuggestions
 zsh-syntax-highlighting
)

source ~/.zshrc

4.5 git 走代理（GFW 友好）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# GitHub 走代理前缀
git config --global url."https://ghproxy.com/https://github.com/".insteadOf "https://github.com/"

# 全局 socks5 代理
git config --global http.proxy socks5://127.0.0.1:1080
git config --global https.proxy socks5://127.0.0.1:1080

# 取消代理
git config --global --unset http.proxy
git config --global --unset https.proxy

# 看所有配置
git config --global --list

五、git 提交 master 没有上游分支

第一次 git push 报：

1

fatal: The current branch master has no upstream branch.

设上游：

1

git push --set-upstream origin master

六、典型坑速查

现象	原因	处理
`python3 -V` 报 `command not found`	没装或没软链	走 §2.3 软链
`pip install` 报 `ssl module not available`	编译时缺 `openssl-devel`	重装 Python 加上 `--enable-optimizations`
conda 装包慢	没配国内源	走 §3.2 配 `.condarc`
Oh My Zsh 安装 git clone 失败	GFW 拦截 GitHub	改用 Gitee 镜像脚本
zsh 主题不生效	没 `source ~/.zshrc`	`source ~/.zshrc` 或重开终端
zsh 找不到系统 PATH 里的命令	没 `source /etc/profile`	在 `~/.zshrc` 第一行加 `source /etc/profile`

七、下一步

想升级到 Python 3.11+ → 重复 §2，但 make altinstall 后别覆盖 /usr/local/python3 目录里的旧版本
想用 pyenv 管多版本 Python → curl https://pyenv.run | bash，但 pyenv 跟 conda 互不兼容，选一个
想给开发机装 Docker → 见 2015-09-15 CentOS 7 全面实战
想换到更现代的 shell → fish，但生态不如 zsh 全（很多运维工具默认 profile 写的是 bash/zsh）

参考资料

2024 视角：Python 3.12 / Miniconda py310 / ohmyzsh 已成"标配"

2017 那篇是 Python 3.6/3.7 时代。2024 视角下，Python 已 3.12 LTS，Miniconda 已支持 mamba 加速，ohmyzsh 仍是默认。

一、Python 3.12 LTS 已成主流

Python 3.10（2021-10）：match-case、类型注解增强。
Python 3.11（2022-10）：性能提升 10-60%（CPython 优化）、异常组（ExceptionGroup）。
Python 3.12（2023-10）：f-string 限制取消、类型注解改进、更精确的错误信息。
Python 3.13（2024-10 计划）：JIT 编译器（实验性）、GIL 改进（PEP 703）。

2024 选 Python 版本：

场景	推荐版本
通用开发	Python 3.12（稳定 + 性能）
AI / 机器学习	Python 3.10/3.11（PyTorch / TensorFlow 兼容）
新项目	Python 3.12
维护老代码	Python 3.8 / 3.9（EOL 2024-10）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 2024 装 Python 3.12
yum install -y openssl-devel bzip2-devel libffi-devel zlib-devel \
 ncurses-devel sqlite-devel readline-devel tk-devel \
 gdbm-devel db4-devel libpcap-devel xz-devel

wget https://www.python.org/ftp/python/3.12.6/Python-3.12.6.tgz
tar -zxvf Python-3.12.6.tgz
cd Python-3.12.6
./configure --enable-optimizations --prefix=/usr/local/python3
make -j$(nproc)
make altinstall

ln -sf /usr/local/python3/bin/python3.12 /usr/bin/python3.12
ln -sf /usr/local/python3/bin/pip3.12 /usr/bin/pip3.12

二、`pyenv` 已成 Python 版本管理的事实标准

2017 那篇没提 pyenv。2024 主流：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 装 pyenv
curl https://pyenv.run | bash
export PATH="$HOME/.pyenv/bin:$PATH"
eval "$(pyenv init -)"

# 装多版本
pyenv install 3.10.14
pyenv install 3.11.9
pyenv install 3.12.6

# 项目级版本
cd myproject
pyenv local 3.12.6
python --version
# Python 3.12.6

优势：每项目独立 Python 版本，不污染系统。
vs conda：pyenv + venv 已是 2024 主流（conda 在数据科学领域仍主流）。

三、`uv`（Rust 写的 Python 包管理器）成为新王

uv（astral-sh/uv，2024-02 推出）—— Rust 写的 pip 替代品：

1
2
3
4
5
6
7
8


# 装（10x 速度于 pip）
curl -LsSf https://astral.sh/uv/install.sh | sh

# 用（替代 pip + venv + pip-tools）
uv venv myenv
source myenv/bin/activate
uv pip install requests flask
# 比 pip 快 10-100 倍

2024 趋势：新项目大量用 uv，pyproject.toml 标准化。

四、`mamba` / `micromamba` 加速 conda

2017 那篇用 Miniconda。2024 conda 仍然慢——推荐 mamba 或 micromamba：

1
2
3
4
5
6
7
8
9


# 装 micromamba（无需 root）
curl -Ls https://micro.mamba.pm/api/micromamba/linux-64/latest | tar -xvj bin/micromamba
./bin/micromamba shell init -s bash -p ~/micromamba
source ~/.bashrc

# 装包（比 conda 快 5-10 倍）
micromamba create -n py312 python=3.12
micromamba activate py312
micromamba install numpy pandas

2024 数据科学领域仍以 conda / mamba 为主——科学计算包兼容性最好。

五、`poetry` / `pdm` 已成现代 Python 项目管理

传统 requirements.txt + pip 已落后。
2024 主流：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# Poetry
curl -sSL https://install.python-poetry.org | python3 -
poetry new myproject
cd myproject
poetry add requests flask
poetry install

# PDM
pip install pdm
pdm init
pdm add requests
pdm install

优势：自动锁文件（poetry.lock / pdm.lock）—— 团队每人装出的环境完全一致。
pyproject.toml 标准化（PEP 621）。

六、Oh My Zsh 的"接班人"

2017 那篇是 ohmyzsh。2024 视角：

ohmyzsh 仍在用，但有更轻量替代：
- Zim（启动快 3 倍）
- Zinit（按需加载）
- Oh My Zsh + 主题精简（去掉 90% 不用的功能）
2024 趋势：
- Starship（Rust 写的 prompt）—— 跨 shell 统一，比 ohmyzsh 默认 prompt 快 10 倍
- Atuin（Rust 写的 shell history）—— 跨机器同步历史命令、全文搜索

1
2
3
4
5


# 装 Atuin
curl --proto '=https' --tlsv1.2 -sSf https://setup.atuin.sh | sh
atuin login
atuin sync
# 跨机器同步历史命令

七、AI 时代的 Python 生态

2024 大量新 Python 项目是 AI / LLM 应用：
- LangChain（LLM 编排）
- LlamaIndex（RAG）
- Haystack（NLP 框架）
- vLLM（LLM 推理）
- PyTorch / TensorFlow（深度学习）
- Transformers（Hugging Face）

1
2
3
4


# 2024 AI 项目的"开发机配置"
micromamba create -n llm python=3.10
micromamba activate llm
pip install torch transformers vllm

八、CentOS 7 → Rocky 9 的 Python 迁移

CentOS 7 默认 Python 2.7（已 EOL）。
Rocky 9 默认 Python 3.9（2024 已 EOL，需升 3.12）。
迁移要点：
- 不要直接覆盖系统 python（影响 yum / dnf）
- 用 pyenv 或 conda 装应用 Python
- 脚本 shebang：#!/usr/bin/python → #!/usr/bin/python3
- pip 2 完全不可用

CentOS 7 全面实战：阿里源、Docker、Harbor 与 Nginx+Let's Encrypt

Tue, 15 Sep 2015 00:00:00 +0800

一、为什么 2015 年要写这份"一站式"

2015 年的 CentOS 7 服务器基本就是"yum 源 + Docker + Web 服务"三件套。本篇把三个场景串成一篇深度文——从国内 yum 源选择、装 Docker CE、起 Harbor 私有仓库，到 Docker 化部署 Nginx + 申请 Let’s Encrypt 免费证书并自动续期。每个环节的坑都标出来了。

本文写于 2015-09-15。Let’s Encrypt 2015-09-14 进入公开 beta，2016-04 正式 GA，本文示例贴近 Let’s Encrypt 早期生态。CentOS 7 已 2024-06-30 进入 ELS 阶段，新机器建议直接 Rocky / Alma 9。

二、国内 yum 源选择

CentOS 7 装好后第一件事就是换源——官方源国内外都慢，国内服务器一定要换。常见选择：

源	特点
阿里云 `mirrors.aliyun.com/repo/Centos-7.repo`	同步快、稳定、企业用得多
网易 163 `mirrors.163.com/.help/CentOS7-Base-163.repo`	老牌、文档多
中科大 USTC	高校机房友好
清华 TUNA	高校机房友好

阿里云（企业最常见）：

1
2
3
4


mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
yum clean all && yum makecache
yum update

装 EPEL 源（很多 Python 包靠它）：

1

yum install -y epel-release

三、Docker CE 安装

3.1 卸载旧版

1
2
3
4
5
6
7
8


sudo yum remove docker \
 docker-client \
 docker-client-latest \
 docker-common \
 docker-latest \
 docker-latest-logrotate \
 docker-logrotate \
 docker-engine

注意：/var/lib/docker 目录（镜像、容器、卷、网络）默认不会删，重装后数据还在。

3.2 走官方 yum 源

1
2
3


sudo yum install -y yum-utils device-mapper-persistent-data lvm2
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo yum install docker-ce

想装指定老版本：

1
2


yum list docker-ce --showduplicates | sort -r
sudo yum install docker-ce-18.09.1

3.3 走 get.docker.com 一键脚本

2015-2017 社区更常用：

1
2
3


curl -sSL https://get.docker.com/ | sh
systemctl start docker
systemctl enable docker

3.4 加 docker 用户组

1
2


sudo usermod -aG docker <your-user>
# 重新登录生效

3.5 验证

1

sudo docker run hello-world

四、配置阿里云 Docker 镜像加速

DockerHub 拉镜像国内极慢，必须配镜像加速器。2015-2016 年用得最多的是 daocloud.io：

1
2
3
4
5
6
7
8
9


mkdir -p /etc/docker
tee /etc/docker/daemon.json <<-'EOF'
{
 "registry-mirrors": ["http://f1361db2.m.daocloud.io"],
 "insecure-registries": []
}
EOF
systemctl daemon-reload
systemctl restart docker

多镜像源写法（2020+ 推荐）：

1
2
3
4
5
6
7


{
 "registry-mirrors": [
 "https://mirror.ccs.tencentyun.com",
 "https://docker.mirrors.ustc.edu.cn"
 ],
 "insecure-registries": ["<your-private-registry>:5000"]
}

验证是否生效：

1
2


ps -ef | grep docker
# 命令行里看到 --registry-mirror=... 就对了

五、装 docker-compose

5.1 早期：pip 装（2015-2017）

1
2


yum install -y python-pip
pip install docker-compose

5.2 中期：二进制直装

1
2
3
4


curl -L "https://github.com/docker/compose/releases/download/1.25.0/docker-compose-$(uname -s)-$(uname -m)" \
 -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
docker-compose version

5.3 2020+：Docker CLI plugin

1
2
3
4
5
6


# Compose v2
mkdir -p ~/.docker/cli-plugins
curl -SL https://github.com/docker/compose/releases/download/v2.23.3/docker-compose-linux-x86_64 \
 -o ~/.docker/cli-plugins/docker-compose
chmod +x ~/.docker/cli-plugins/docker-compose
docker compose version

六、Harbor 私有仓库

Harbor 是 VMware 开源的镜像仓库（2016-03 第一个 release），到 2017-2018 年成为国内事实标准。2017-2019 期间安装用 离线包最稳：

6.1 下载离线安装包

1
2
3


wget https://github.com/vmware/harbor/releases/download/v1.9.1/harbor-offline-installer-v1.9.1.tgz
tar -xvf harbor-offline-installer-v1.9.1.tgz
cd harbor

6.2 改配置

1
2
3
4
5
6


vim harbor.yml

hostname: <your-registry-ip-or-domain> # 例: 192.168.6.128
http:
 port: 28083
harbor_admin_password: <your-admin-pass>

6.3 装 + 启

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


./install.sh

# 启停
docker-compose stop
docker-compose start

# 改完配置要重生效
docker-compose down -v
vim harbor.yml
./prepare
docker-compose up -d

# 推镜像
docker login <your-registry-ip>:28083
docker tag alpine <your-registry-ip>:28083/dev/alpine:3.10.3
docker push <your-registry-ip>:28083/dev/alpine:3.10.3

6.4 默认凭据

admin 账号：admin / Harbor12345（生产环境一定要改）
db_auth PostgreSQL root：root123（同上）

七、Docker 容器日志切割

不切日志，/var/lib/docker/containers/ 下的 *-json.log 可以把磁盘塞满：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# /etc/docker/daemon.json
{
 "log-driver": "json-file",
 "log-opts": {
 "max-size": "500m",
 "max-file": "3"
 }
}
systemctl daemon-reload
systemctl restart docker

坑提醒：只对新建容器生效，老容器需要 docker rm 后重建。

清空单个容器日志：

1

truncate -s 0 /var/lib/docker/containers/<container-id>/*-json.log

八、Nginx + Let’s Encrypt 免费证书

Let’s Encrypt 2015-09-14 公开 beta、2016-04 正式 GA，把免费 HTTPS 证书从"程序员折腾"变成了"运维 5 分钟"。证书有效期 90 天，必须用 certbot renew 自动续期。

8.1 安装 certbot

1
2


yum install -y epel-release
yum install -y certbot

8.2 申请证书（webroot 方式）

要求域名已经解析到本机：

1
2
3
4
5


certbot certonly --webroot \
 -w /var/www/html \
 -d mydemo.com \
 -m <your-email> \
 --agree-tos

成功后证书在：

1
2
3
4
5


/etc/letsencrypt/live/mydemo.com/
├── cert.pem # 用户证书
├── chain.pem # 中间证书
├── fullchain.pem # cert + chain
└── privkey.pem # 私钥

8.3 查有效期

1
2
3


openssl x509 -noout -dates -in /etc/letsencrypt/live/mydemo.com/cert.pem
# notBefore=...
# notAfter=...

8.4 配合 Docker Nginx

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# docker-compose.yml
services:
 nginx:
 image: nginx
 container_name: nginx
 ports:
 - "80:80"
 - "443:443"
 volumes:
 - /var/www/html:/usr/share/nginx/html:ro
 - /webser/etc/nginx:/etc/nginx/conf.d
 - /webser/logs/nginx:/var/log/nginx
 - /etc/ssl:/etc/ssl
 - /etc/letsencrypt:/etc/letsencrypt

8.5 Nginx 配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


server {
 listen 443 ssl http2;
 server_name mydemo.com;

 ssl_certificate /etc/letsencrypt/live/mydemo.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/mydemo.com/privkey.pem;

 ssl_session_timeout 1d;
 ssl_session_cache shared:SSL:50m;
 ssl_session_tickets on;

 # 前向保密（PFS）参数
 ssl_dhparam /etc/ssl/private/dhparam.pem;

 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:...:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK';
 ssl_prefer_server_ciphers on;

 root /usr/share/nginx/html;
 index index.html;
}

dhparam.pem 生成（一次性，2-3 分钟）：

1
2


mkdir -p /etc/ssl/private
openssl dhparam 2048 -out /etc/ssl/private/dhparam.pem

8.6 自动续期 crontab

1
2
3
4


crontab -e

# 每月 1 号 05:00 续期 + 重启 nginx
00 05 01 * * /usr/bin/certbot renew --quiet && docker restart nginx

坑提醒：续期时网站必须能访问到 /.well-known/acme-challenge/——也就是说 HTTP 80 端口必须能从公网访问到 webroot。

九、Docker 存储路径搬家

/var/lib/docker 默认在根盘，根盘很容易塞满：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


systemctl stop docker
mkdir -p /home/docker

vim /usr/lib/systemd/system/docker.service
# ExecStart=/usr/bin/dockerd \
# --graph=/home/docker \ # Docker 17.05+ 推荐 data-root
# -H fd:// \
# --containerd=/run/containerd/containerd.sock

systemctl disable docker
systemctl enable docker
systemctl daemon-reload
systemctl start docker
docker info | grep "Docker Root Dir"
# Docker Root Dir: /home/docker

17.05+ 推荐用 data-root 而不是 --graph，后者已 deprecated。

十、磁盘空间排查速查

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 全局
df -h

# 各目录占用
du -sh /*

# 当前目录前 10 大
du -hd 1 | sort -hr | head

# 删除 7 天前的文件
find ./ -mtime +7 | xargs rm -rf

生产环境慎用 rm -rf / 这类命令——本文示例中所有路径都加了具体子目录，是基本的安全习惯。

十一、典型坑速查

现象	原因	处理
`docker run` 报 “Cannot connect to the Docker daemon”	daemon 没启 / 装完没 reload	`systemctl daemon-reload && systemctl restart docker`
拉镜像超慢	没配镜像加速	改 `/etc/docker/daemon.json` 的 `registry-mirrors`
`docker-compose` 命令找不到	只装了 docker，没装 compose	走 §5 装 compose
容器日志把磁盘塞满	没切日志大小	改 `daemon.json` 的 `log-opts`
Let’s Encrypt 续期失败	80 端口被占 / 域名解析不到	`certbot renew --dry-run` 模拟一次排查
Harbor 装完访问 502	端口冲突 / yml 改完没 `prepare`	改完 yml 必跑 `./prepare`

十二、下一步

想把 Harbor 升级到 v2.x → 见 Harbor 升级文档，先备份 /data/database 再升级
想换 SSL 自动化方案（acme.sh / Caddy） → 见 2017-09-15 CentOS 7 开发环境
想上 Kubernetes → 走 kubeadm，先关 swap（见 2012-12-15 CentOS 7 早期实践）
不想自己维护 Harbor → 换 Docker Hub Pro / 阿里云 ACR / 腾讯云 TCR

参考资料

2024 视角：Docker 24+ / 25+ / 26+ 已经"云原生一体化"

2015 那篇是 Docker 1.7~1.12 时代。2024 视角下 Docker 已经 26+（2024-04），加上 containerd / BuildKit / compose v2 已经"完全成熟"。

一、Docker 24 → 26+（2024 主流）

Docker 24.0（2023-05）：引入 Docker Scout（镜像漏洞扫描）、Docker Debug。
Docker 25.0（2024-01）：Compose v2 全面替代 Compose v1（v1 已废弃）。
Docker 26.0（2024-04）：BuildKit 默认启用、WebAssembly 支持。
Docker 27.0（2024-06）：Testcontainers 集成、容器测试能力。

1
2
3
4


docker --version
# Docker version 26.1.4, build 5650f9b
docker compose version
# Docker Compose version v2.27.0

二、containerd 替代 dockerd 的趋势

2024 大量 K8s 集群已经直接用 containerd（不再用 Docker）：
- containerd 1.7+（2023-04）：K8s CRI 兼容
- nerdctl：containerd 的 Docker-like CLI
- ctr（containerd 原生 CLI）

1
2


# 用 nerdctl 跑容器（语法跟 docker 一样）
nerdctl run -d --name nginx -p 80:80 nginx:1.25

2024 趋势：K8s 节点不要装 Docker，直接装 containerd——少 30% 资源占用。

三、BuildKit 时代

BuildKit（Docker 18.09+ 实验 → 26+ 默认）大幅提升 docker build 速度：
- 并行构建（多 stage 一起）
- 缓存复用（跨 build 共享层缓存）
- mount 语法（--mount=type=cache）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# BuildKit 语法（2024 推荐）
# syntax=docker/dockerfile:1
FROM golang:1.22 AS builder
WORKDIR /app
COPY . .
RUN --mount=type=cache,target=/root/.cache/go \
 go build -o /out/app

FROM alpine
COPY --from=builder /out/app /app

四、Harbor v2.x 已成事实标准

2015 那篇是 Harbor v1.9 时代。2024 主流：

Harbor 2.10+（2024）：支持 OCI 标准、镜像签名（cosign）、P2P 镜像分发（kraken）。
Harbor 2.11+（2024-05）：AI 模型管理（ML Model Registry）—— LLM 镜像 / 权重文件直接托管。

1
2
3
4
5
6


# 2024 装 Harbor 2.10
wget https://github.com/goharbor/harbor/releases/download/v2.10.0/harbor-offline-installer-v2.10.0.tgz
tar xvf harbor-offline-installer-v2.10.0.tgz
cd harbor
cp harbor.yml.tmpl harbor.yml
./install.sh

五、Let’s Encrypt 的"现代"姿势

2015 那篇是 certbot + crontab。2024 主流：

acme.sh：单脚本，80+ DNS 厂商支持，更轻量：

1
2
3
4
5
6
7
8


curl https://get.acme.sh | sh
export Ali_Key="xxx"
export Ali_Secret="yyy"
acme.sh --issue -d example.com --dns dns_ali
acme.sh --install-cert -d example.com \
 --key-file /etc/nginx/ssl/example.com.key \
 --fullchain-file /etc/nginx/ssl/example.com.crt \
 --reloadcmd "systemctl reload nginx"

lego（Go 写）：另一个 ACME 客户端，比 certbot 快。
Caddy：内置 ACME——配置即用：

1
2
3
4


example.com {
 reverse_proxy localhost:3000
}
# 自动 HTTPS + 自动续期

六、阿里云 Docker 镜像加速 2024 现状

2015 那篇的 daocloud.io 已经 2020 起停止免费服务。

2024 推荐：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


{
 "registry-mirrors": [
 "https://docker.m.daocloud.io", # DaoCloud 现仍可
 "https://mirror.baidubce.com", # 百度云
 "https://hub-mirror.c.163.com", # 网易
 "https://docker.mirrors.ustc.edu.cn", # 中科大
 "https://docker.nju.edu.cn", # 南京大学
 "https://docker.mirrors.sjtug.sjtu.edu.cn" # 上交大
 ]
}

2024 国内云厂商镜像（更稳定）：
- 阿里云：<regionId>.mirror.aliyuncs.com（每个 region 独立）
- 腾讯云：mirror.ccs.tencentyun.com
- 华为云：swr.cn-north-4.myhuaweicloud.com

七、`docker-compose` → `docker compose` 时代

2024 已无 docker-compose（v1 命令），统一用 docker compose（v2 plugin）。
2023-08 Docker 移除 Compose v1，所有项目必须迁移：

1
2
3
4
5


# 旧
docker-compose up -d

# 新
docker compose up -d

八、Docker 在 K8s 时代的"角色"

2024 大量生产项目已经不用 Docker 跑生产——直接用 K8s + containerd。
Docker 仍用的场景：
- 本地开发
- CI/CD 构建
- 小规模部署（< 10 容器）
- 个人项目
K8s 时代：
- K3s（轻量 K8s，单二进制）
- K0s（CNCF 零摩擦 K8s）
- MicroK8s（Ubuntu 出的）
- minikube（本地开发）

九、Docker 替代品

Podman（Red Hat 出，CentOS Stream / RHEL 9 默认）：无 daemon 架构，rootless 容器。
nerdctl（containerd CLI）：K8s 节点首选。
Buildah：专为 build 场景，无 daemon。
LXC / LXD：系统容器（类似 VM 的容器）。

CentOS 7 内核升级：ELRepo 与 GRUB2 实战

Sun, 15 Mar 2015 00:00:00 +0800

一、为什么 2015 年要升级 CentOS 7 内核

CentOS 7 默认内核是 3.10.0-1160.el7.x86_64——RHEL 7 的"长期维护"线，稳定性极高但新硬件支持差。到 2018-2019 年以后，新出的 Intel 网卡（i40e/ice）、AMD EPYC、新 NVMe 控制器都靠这个老内核打补丁勉强支持，性能也跑不满。

2015 年开始国内运维圈开始批量给生产机升级内核，标准做法是 ELRepo 仓库 + GRUB2——ELRepo 提供 kernel-ml（mainline，主线最新版）和 kernel-lt（longterm，长期维护版）两套线，按需选。

包	来源	适用
`kernel-lt`	linux-stable	服务器、追求稳定
`kernel-ml`	linux-mainline	新硬件支持、想用 Btrfs/OverlayFS 新特性
`kernel-ml-devel`	linux-mainline	编译 DKMS 模块

本文写于 2015-03-15，示例基于 CentOS 7.9（2020-09 发布），但 ELRepo 流程在 7.x 全版本通用。

二、查清当前内核

1
2


uname -r
# 3.10.0-1160.el7.x86_64

三、装 ELRepo 仓库

1
2
3
4
5


# 导入公钥
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

# 装仓库（7.x 通用）
yum install https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm

坑提醒：如果 rpm --import 报 SSL 错误，先 yum update nss（NSS 库太老）。

四、查可用版本

1

yum --disablerepo="*" --enablerepo="elrepo-kernel" list available

会列出当前 elrepo 仓库里可装的全部 kernel 系列。

五、安装新版内核

5.1 装最新稳定版（mainline）

1

yum install -y kernel-ml kernel-ml-devel --enablerepo=elrepo-kernel

5.2 装指定版本

1

yum install -y kernel-lt-5.4.171-1.el7.elrepo --enablerepo=elrepo-kernel

kernel-ml-devel 是配套的内核头文件，装 Docker / VirtualBox Guest Additions / NVIDIA 驱动时要用。

六、查启动项

1
2
3
4
5
6
7
8


# 看默认启动项
grub2-editenv list
saved_entry=CentOS Linux (3.10.0-1160.el7.x86_64) 7 (Core)

# 看所有已装内核
awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg
# 0 : CentOS Linux (5.15.4-1.el7.elrepo.x86_64) 7 (Core)
# 1 : CentOS Linux (3.10.0-1160.el7.x86_64) 7 (Core)

坑提醒：/etc/grub2.cfg 在某些机器上是符号链接到 /boot/grub2/grub.cfg 的。如果 awk 命令报"找不到文件"，就先重建：

1

grub2-mkconfig -o /boot/grub2/grub.cfg

七、设置默认启动版本

1
2
3


grub2-set-default 0
# 也可以直接用名称
# grub2-set-default "CentOS Linux (5.15.4-1.el7.elrepo.x86_64) 7 (Core)"

再 grub2-editenv list 确认已切换。

八、重启验证

1

reboot

启动后：

1
2


uname -r
# 5.15.4-1.el7.elrepo.x86_64

强烈建议：第一次升级新内核先别删旧内核。生产机保留 1-2 个老内核作为回退，至少观察一周再清理。

九、清理旧内核

确认新内核稳定后，可以清理：

1
2
3
4
5
6
7
8


# 列出现有内核
rpm -qa | grep kernel

# 删除老内核（注意只删自己确认要删的版本）
yum remove kernel-3.10.0-1160.el7.x86_64 \
 kernel-tools-libs-3.10.0-1160.102.1.el7.x86_64 \
 kernel-3.10.0-1160.102.1.el7.x86_64 \
 kernel-tools-3.10.0-1160.102.1.el7.x86_64

坑提醒：kernel-tools / kernel-tools-libs 是系统工具包，别全删，保留一个版本对应你当前启动的内核。

十、UEFI 环境的特殊处理

如果你的机器是 UEFI 启动（云主机 / 物理机新硬件），grub2-set-default 之外还要重建 EFI 启动项：

1
2


yum install -y grub2-efi shim
grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg

否则升级完内核可能直接卡在 UEFI 启动界面。

十一、典型坑速查

现象	原因	处理
重启后还是老内核	`grub2-set-default` 没生效 / UEFI 启动项没更新	检查 `grub2-editenv list`、重建 EFI 启动项
Docker 启动报 “kernel too old”	容器 runtime 要求内核 ≥ 3.10 部分特性	升到 `kernel-ml` 5.x
编译模块找不到头文件	没装 `kernel-ml-devel`	装对应版本的 `kernel-ml-devel`
升级后 K8s kubelet 启动失败	内核 cgroup driver 跟 systemd 不一致	kubelet 加 `--cgroup-driver=systemd` 或编辑 `/etc/sysconfig/kubelet`
网络断流 / 驱动 panic	新内核不识别老硬件	进老内核（grub 选上一项），回退

十二、下一步

装新内核后想开 Btrfs / OverlayFS 高级特性 → 见 2015-09-15 CentOS 7 全面实战 的 Docker 部分
想给老机器回退到 3.10 内核 → 删 kernel-ml，重启在 GRUB 选老内核，重设 grub2-set-default 1
批量升级多台机器 → 用 Ansible 推 yum + reboot + 验证三件套
已经上了 K8s 1.22+ → 注意 cgroup driver 必须是 systemd（Docker 19.03+ 默认识别）

参考资料

2024 视角：ELRepo 仍是 7.x 时代的"老朋友"，9.x 时代要换思路

本文写于 2015-03-15——2015 那时候升级 CentOS 7 内核是"激进动作"。2024 视角下，CentOS 7 已经 EOL，新机器直接上 Rocky / Alma 9 + ELRepo 9 即可。

一、CentOS 7 升级到 kernel-ml 5.x 已成"非主流"

2015-2019 年代生产服务器升到 5.x 是"前沿"。
2024 视角下：
- CentOS 7 / Rocky 7 默认内核仍是 3.10（但 7 已 EOL，不应该再升）。
- Rocky / Alma 9默认内核是 5.14 LTS（基于 RHEL 9），直接是 5.14+，不需要 ELRepo 升级。
ELRepo 的角色变化：
- 2015：唯一可靠的"主线内核"仓库
- 2024：仍是"主线 / 长期支持"仓库，但新机器默认内核已够用

二、kernel-ml 5.x 升到 6.x LTS（2024 推荐）

2024 主流 LTS 内核：
- 5.15 LTS（EOL 2026-10，RHEL 9 的基础内核）
- 5.10 LTS（EOL 2026-12，长期支持）
- 6.1 LTS（EOL 2028-12，新机器推荐）
- 6.6 LTS（EOL 2026-12，Ubuntu 24.04 默认）
- 6.10（非 LTS，2024-07 发布，2025-07 EOL）
2024 推荐：kernel-ml-6.1 LTS 或 6.6 LTS

1
2
3


# 装 6.6 LTS
yum --enablerepo=elrepo-kernel install -y kernel-ml-6.6.*
# 自动加 GRUB 启动项、保留老内核

三、CentOS Stream 9 + ELRepo 9 的玩法

CentOS Stream 9 / Rocky Linux 9 / AlmaLinux 9 用 ELRepo 9 仓库：

1
2
3
4
5
6
7
8


rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
yum install https://www.elrepo.org/elrepo-release-9.el9.elrepo.noarch.rpm

# 看可用版本
yum --disablerepo='*' --enablerepo='elrepo-kernel' list available

# 装 kernel-ml（最新主线）
yum --enablerepo=elrepo-kernel install -y kernel-ml kernel-ml-devel

grub 配置同 7.x：grub2-set-default 0

四、cgroup v2 时代的内核选择

2015 那篇升级内核主要为了"新硬件支持"。
2024 升级内核的另一个理由：cgroup v2（systemd 244+ 默认）。

cgroup v1	cgroup v2	2024 推荐
CentOS 7 默认	需内核 4.5+	升 5.10+
CentOS 8 / Rocky 8 默认	默认 v1	升 5.14+ 改 v2
Rocky 9 / Alma 9	默认 v2	直接用

1
2
3


# 看当前 cgroup 版本
cat /sys/fs/cgroup/cgroup.controllers
# cgroup2 才有这个文件

五、Btrfs 时代的"新选择"

2015 那篇升内核为了"用 Btrfs / OverlayFS"。

2024 视角：
- Btrfs 在 Fedora 33+ / openSUSE 是默认 FS，RHEL 9 不默认（保守策略）。
- OverlayFS（容器基础）所有现代内核都支持。
- 新文件系统：
  - EROFS（华为 2018+）：只读压缩 FS，华为云 / 鸿蒙 OS 大量用。
  - bcachefs（2023 推出）：Kent Overstreet 设计，对标 Btrfs / ZFS，Linux 6.7+ 实验支持。

六、kpatch / livepatch：免重启升级

2015 那篇所有升级都需要重启。2024 有"livepatch"：

Canonical Livepatch（Ubuntu）：内核安全更新不重启。
Kpatch（Red Hat / RHEL）：kpatch-build 编译 + livepatch 应用。
KernelCare（CloudLinux 商业）：CentOS / RHEL 全系列支持。

1
2
3
4
5
6


# RHEL 9 / Rocky 9 安装 kpatch
dnf install kpatch
dnf install kpatch-patch-X.X.X
# 应用（不重启）
kpatch load
kpatch list

生产环境升级内核的"零停机"姿势。

七、安全启动 + 内核模块签名

2015 那篇没提 UEFI Secure Boot。
2024 视角：
- Secure Boot 默认开启（云厂商、Win11 PC）
- 自编译内核模块（DKMS）需要签名
- NVIDIA 驱动 / VirtualBox 必须用 distro 签名的版本

1
2
3


# 装 mokutil（管理 MOK 密钥）
mokutil --import /path/to/MOK.der
# 重启后进 UEFI 确认

八、内核升级的"安全策略"

生产服务器：
- 只升 LTS 内核（5.15 / 5.10 / 6.1 / 6.6）
- 保留至少 1 个老内核（回退用）
- 重大版本升级（如 5.10 → 6.1）先在测试机跑 2 周
- kernel-ml 慎用生产（主线，非 LTS）
开发机 / 容器：
- 可以激进（kernel-ml 6.10+）
- 容器化场景内核升级对应用透明（应用跑在用户态）

Linux 基础命令速查：查版本、查公网 IP、查 CPU、SSH 登录

Mon, 15 Sep 2014 00:00:00 +0800

一、为什么是 2014 年这一份

我第一次写"Linux 速查"是 2006 年，那会儿查版本靠 /etc/redhat-release 和 /etc/debian_version 两个发行版自带的小文本，netstat -an 几乎是网络排查的唯一选项。8 年后情况变了：systemd 在 RHEL/CentOS 7（2014-07 发布）上成为默认 init，发行版统一把元数据塞进了 /etc/os-release；iproute2 包的 ss 也开始慢慢取代 net-tools 的 netstat；公网 IP 查询有了 cip.cc、ifconfig.me、ipinfo.io 等多个选择。

这一篇只覆盖 4 类最高频的命令——查版本、查公网 IP、查 CPU、SSH 登录。其他类别（进程、磁盘、网络工具深度用法）单独成文。

阅读建议：本文每个命令块都"可独立复制运行"；先收藏，遇到具体场景再回头查对应小节。

二、查看系统版本：`/etc/os-release`

/etc/os-release 是 systemd 在 2012 年引入的统一标准文件——所有遵循规范的发行版（CentOS 7、Debian 7+、Ubuntu 12.04+、Fedora 19+、Arch 等）都把元数据写在这里。不再需要 cat /etc/redhat-release 后还要 cat /etc/debian_version 各查一次。

1

cat /etc/os-release

CentOS 输出形如：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


NAME="CentOS Linux"
VERSION="7.0 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7.0"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"

Debian 输出形如：

1
2
3
4
5
6


PRETTY_NAME="Debian GNU/Linux 7 (wheezy)"
NAME="Debian GNU/Linux"
VERSION_ID="7"
ID=debian
ANSI_COLOR="1;31"
HOME_URL="http://www.debian.org/"

关于截图：原始笔记里附了 CentOS / Debian 的 os-release 截图对照，本文中以等价文本输出还原。如需在自己机器上对比，直接 cat /etc/os-release 即可。

几个关键字段：

字段	含义	用途
`NAME`	发行版大写名	人类阅读
`ID`	发行版小写标识	脚本判断（shell 中用 `. /etc/os-release && echo $ID`）
`VERSION_ID`	主版本号	脚本判断主版本（适合做 `>=7` 判定）
`PRETTY_NAME`	完整描述名	报错时贴这个最清晰
`ID_LIKE`	父系/兼容发行版	知道"这机器能装哪边的包"

在脚本里这样用（避免 grep /etc/redhat-release 这种字符串匹配）：

1
2
3
4


. /etc/os-release
if [ "$ID" = "centos" ] && [ "${VERSION_ID%%.*}" -ge 7 ]; then
 echo "CentOS 7+，可以放心用 systemctl 管理服务"
fi

三、查公网 IP：`curl cip.cc`

临时想知道"出口 IP 是什么、归属哪里、用什么运营商"，最快一条：

1

curl cip.cc

输出形如：

1
2
3
4
5
6


IP : 203.0.113.45
地址 : 中国 北京 北京
运营商 : 联通
数据二 : 北京市 | 联通
数据三 : 中国北京北京 | 联通
URL : http://cip.cc

返回 IP、归属地、运营商三件套，人眼可读。这是一台第三方 HTTP 服务（cip.cc），不是机器本地命令。

同类工具（适合做容灾备份——一个挂了好切另一个）：

域名	特点
`cip.cc`	国内访问快，中文输出（本文首选）
`ifconfig.me`	海外老牌，2011 上线，英文输出，纯文本
`ipinfo.io`	JSON 输出，适合脚本里 `jq` 解析
`checkip.dyndns.org`	老牌 dyndns 提供，HTML 输出要 grep
`api.ipify.org`	极简，只返 IP 一个字段

网络受限时的备用姿势：

1
2
3
4
5
6
7


# 极简（只返 IP）
curl -s https://api.ipify.org
# 等价于
curl -s https://ifconfig.me/ip

# JSON（适合脚本）
curl -s https://ipinfo.io/json | jq .ip

注意：如果机器完全没出网（数据库/内网工具机常见），所有这些命令都会超时；这时要看"公网 IP"得去网关/路由器/云厂商控制台查。

四、查 CPU 信息

服务器出问题时，“先看硬件"比"看软件"效率高——CPU 都不知道几核几线程，调优就是瞎调。

4.1 一组核心命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 物理 CPU 个数（几颗 CPU）
cat /proc/cpuinfo | grep "physical id" | sort | uniq | wc -l

# 每颗 CPU 的核心数
cat /proc/cpuinfo | grep "cpu cores" | uniq

# 逻辑 CPU 个数（线程数）
grep 'processor' /proc/cpuinfo | sort -u | wc -l
cat /proc/cpuinfo | grep "processor" | wc -l

# CPU 型号
cat /proc/cpuinfo | grep name | cut -f2 -d: | uniq -c

# 通过 dmidecode 查详细型号
dmidecode -s processor-version

4.2 几个数字怎么对

名称	命令	关系
物理 CPU 颗数	`physical id` 去重计数	一颗 CPU 可能有 4/6/8/… 核
每颗核心数	`cpu cores`（uniq 一行）	Intel 一般物理核 = 核心数；AMD 早期有"模块"概念
逻辑 CPU 数	`processor` 行数	开了超线程后 = 核心数 × 2

典型云厂商机器输出参考（某云 ECS 通用型）：

1 颗物理 CPU，2 核心，开了超线程 → 4 个逻辑 CPU
命令输出：physical id = 1，cpu cores = 2，processor = 0,1,2,3

为什么是 /proc/cpuinfo？ 这是 Linux 内核导出的伪文件系统，硬件信息在启动时由内核从 ACPI/BIOS 读到内存里再吐出来——不需要装任何工具。dmidecode 走的是另一条路（直接读 DMI/SMBIOS 表），能拿到型号/主频等详细信息，但需要 root 权限。

五、SSH 远程登录与排错

telnet 是 TCP 层面的"能不能通"测试，ssh -v 是协议层面的"为什么连不上"诊断——两条结合用最稳。

1
2
3
4
5


# 1. 先用 telnet 测 TCP 层面能不能到达
telnet internal.example.com 81

# 2. 再用 ssh -v 看 SSH 协议细节（-v = verbose）
ssh -v -p 81 admin@internal.example.com

5.1 两条命令的分工

命令	测什么	失败时典型表现
`telnet host port`	TCP 三次握手	`Connection refused`（端口没开/服务没起） `Connection timed out`（防火墙拦了）
`ssh -v -p port user@host`	SSH 协议协商 + 认证	卡在 `debug1: SSH2_MSG_KEXINIT sent`（协议不匹配） `Permission denied (publickey)`（认证失败）

诊断顺序：先 telnet 测 TCP 通不通，不通就别往下走；通了再 ssh -v 看协议和认证。

5.2 SSH 连不上时的 3 个最常见原因

防火墙/安全组没放端口（最常见）——telnet 就超时
sshd 没监听该端口——/etc/ssh/sshd_config 里 Port 22 没改、或改了没重启
公钥没传对位置——~/.ssh/authorized_keys 权限不对（应该是 600，目录是 700）

5.3 `-v` 看到的关键日志

1
2
3
4
5
6
7
8


debug1: Connecting to internal.example.com [10.x.x.x] port 81.
debug1: Connection established.
debug1: identity file /root/.ssh/id_rsa type 1
debug1: SSH2_MSG_KEXINIT sent # 协议交换
debug1: SSH2_MSG_KEXINIT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Authentication succeeded (publickey).

中间任意一行卡住/报错都是诊断线索。Authentications that can continue 这一行最关键——列出了服务端愿意接受的认证方式。

六、4 类命令的速查表

类别	命令	用途
系统版本	`cat /etc/os-release`	查发行版与版本号（systemd 时代统一标准）
公网 IP	`curl cip.cc`	查出口 IP + 归属地 + 运营商
CPU 信息	`cat /proc/cpuinfo \| grep "..."`	物理/逻辑 CPU 数、核心数、型号
SSH 登录	`ssh -v -p 81 user@host`	远程登录并 verbose 排错

七、参考与延伸

内部笔记《通用命令》（2014-09-15 节选）
深入进程管理：《Linux 进程与服务管理》
服务器应急排查：《Linux 性能调试与应急排查》
官方规范：systemd /etc/os-release 手册
同类公网 IP 查询工具：ifconfig.me · ipinfo.io · api.ipify.org

2024 视角：十年后这 4 条命令的现状

站在 2024 年回望这 4 条命令，部分用法已被新工具替代或默认配置已经变了：

一、查系统版本：`/etc/os-release` 仍是标准

CentOS 7 在 2024-06-30 进入 ELS 阶段（仅安全更新，无功能更新）。/etc/os-release 仍可读，但 VERSION_ID="7" 后已经没有新的 minor 版本。
CentOS 8 已经 2021-12-31 EOL，mirror.centos.org 失效；想继续读 os-release 内容正常，但 yum update 必须先换 vault.centos.org。
新项目默认：Rocky Linux 9.x / AlmaLinux 9.x / Ubuntu 22.04 / 24.04。/etc/os-release 的 ID=rocky / ID=almalinux / ID=ubuntu 是判定主版本的最稳字段。

脚本里更现代的判定方式：

1
2
3
4
5
6


. /etc/os-release
case "$ID" in
 rocky|almalinux|centos|rhel) echo "RHEL 系，dnf 管理" ;;
 ubuntu|debian) echo "Debian 系，apt 管理" ;;
 *) echo "其他：$ID $VERSION_ID" ;;
esac

二、查公网 IP：HTTPS 是默认

2014 时代还能用的明文 HTTP 服务（http://cip.cc）在 2024 年很多被劫持或下线，统一改用 HTTPS。

推荐使用支持 HTTPS 的查询：

1
2
3


curl -s https://api.ipify.org && echo
curl -s https://ifconfig.me
curl -s https://ipinfo.io/json | jq -r '.ip'

国产替代：curl https://myip.ipip.net（ipip.net 提供的中文输出）。
企业批量场景：建议自己起一个内部 IP 查询服务（curl -s http://10.0.0.1:8080/myip），避免依赖第三方。

三、查 CPU 信息：`lscpu` 是首选

/proc/cpuinfo 仍是最权威的来源，但读起来费劲。2024 主流是 lscpu（util-linux 包）：

1
2
3
4
5
6
7
8
9


lscpu
# Architecture: x86_64
# CPU(s): 128
# Model name: Intel(R) Xeon(R) Platinum 8338C CPU @ 2.60GHz
# CPU MHz: 2600.000
# L1d cache: 32K
# L1i cache: 32K
# L2 cache: 4096K
# L3 cache: 36608K

新硬件信息（dmidecode 仍然需要 root）：
1

sudo dmidecode -t processor | head -30
NUMA 拓扑（多 socket 机器 2024 已是标配）：
1 2

lscpu | grep -i numa numactl --hardware

四、SSH 登录：OpenSSH 9.x 的关键变化

OpenSSH 8.3+（2020）默认禁用 SHA1 的 RSA 签名（ssh-rsa），改用 rsa-sha2-256/512。
OpenSSH 9.0+（2022）默认禁用 ssh-dss (DSA)，所有 DSA 密钥都连不上。
OpenSSH 9.6+（2024-03）开始对默认配置加固：例如 PubkeyAcceptedAlgorithms 默认禁用 SHA1 主机密钥。
2024 推荐生成 ed25519 密钥（比 RSA 短、比 ECDSA 抗量子侧信道）：
1

ssh-keygen -t ed25519 -C "lwd@<your-host>"
老 RSA 密钥 2024 仍能用，但服务端 sshd 7.4+ 默认就接受 rsa-sha2-256/512 了，不用特殊配置。

CentOS 7 早期实践：最小化安装、yum 源、selinux 与密码救援

Sat, 15 Dec 2012 00:00:00 +0800

一、为什么 2012 年要聊 CentOS 7

严格说 CentOS 7.0 正式发布是 2014-07-07，本文写于 2012-12-15，内容是基于 7.x 早期内测 / RHEL 7.0 GA（2014-06-10）的实操整理。之所以放这个时间点，是因为当时国内大量运维在测试机器上尝鲜 CentOS 7 的 init 切换（systemd 取代 init）、/etc/os-release 标准化等变化，到了 2014-07 正式发版后这些经验完全适用。

CentOS 7 的"最小化安装"（Minimal Install）只给 ~200 个包，没有桌面、没有图形、连 wget / net-tools 都没有。第一次登录后第一件事往往是装上常用工具、配置国内 yum 源、关掉不需要的服务。本篇把这些零散动作整理成一份"上桌清单"。

适用版本：CentOS 7.0 ~ 7.9（2020-11 EOL，2024-06-30 进入 ELS 阶段仅安全更新）

二、查 IP、装 wget

最小化安装的机器没有 ifconfig（net-tools 没了），先用 ip 命令看 IP：

1

ip addr

装 wget 准备下载源：

1

yum install -y wget

三、配置国内 yum 源

最小化装的机器 yum 走的是 CentOS 官方源，国内外都慢。换国内源是标准动作。

3.1 阿里云

1
2
3
4
5


# 备份
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
# 阿里云
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
yum clean all && yum makecache

3.2 网易 163

1
2
3


rm -rf /etc/yum.repos.d/*
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.163.com/.help/CentOS7-Base-163.repo
yum clean all && yum makecache

3.3 EPEL 源

EPEL（Extra Packages for Enterprise Linux）是 CentOS 之外的常用源，装 python-pip 之类要靠它：

1
2
3


yum list | grep epel-release
yum install -y epel-release
yum clean all && yum makecache

验证仓库：

1
2


yum repolist enabled # 启用的仓库
yum repolist all # 所有仓库

四、装常用工具

最小化安装默认没装的几个常用工具：

1
2
3
4


yum install -y vim-enhanced # vim
yum install -y net-tools # ifconfig / netstat
yum install -y lsof # lsof，排查 deleted 但未释放的文件
yum install -y p7zip p7zip-plugins # 7z 解压

五、关掉 firewalld / selinux / swap

容器化之前，传统 LAMP / LNMP 服务器的标准动作是关掉防火墙和 swap。注意：如果你准备上 Kubernetes，swap 千万不能关——kubelet 从 1.8 起会拒绝在启用 swap 的机器上启动（除非显式配置 --fail-swap-on=false）。

5.1 firewalld

1
2
3


firewall-cmd --state
systemctl stop firewalld.service
systemctl disable firewalld.service

5.2 selinux

1
2
3
4
5
6


# 查当前状态
getenforce
# 临时关闭（重启失效）
setenforce 0
# 永久关闭
sed -ri 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

5.3 swap

1
2
3
4
5
6


# 临时关
swapoff -a
# 永久关（注释 /etc/fstab 里所有含 swap 的行）
sed -ri 's/.*swap.*/#&/' /etc/fstab
# 想再开回来
swapon -a

六、CentOS 7 忘记 root 密码的救援流程

这是 2012-2015 那几年最高频的运维求助场景。CentOS 7.9（2020-09 发布）的单用户模式救援流程：

重启服务器，开机引导时按 e 进入编辑
找到 linux16（早期版本是 linux）开头的那一行，把 ro 改成 rw init=/sysroot/bin/sh
按 Ctrl + x，用单用户模式启动
切到原系统：
1

chroot /sysroot
改密码：
1

passwd root
更新 SELinux 标签（重要，不执行可能登录失败）：
1

touch /.autorelabel
退出：
1 2

exit reboot

坑提醒：第 6 步的 /.autorelabel 在 SELinux 开启的环境下必须执行；如果当时 setenforce 0 临时关过 SELinux，可以跳过这一步。

七、装 Docker 的早期姿势（2015-2016 年）

CentOS 7 早期装 Docker 还分两条路线：

7.1 走 get.docker.com 一键脚本

1
2
3
4


curl -sSL https://get.docker.com/ | sh
docker version
systemctl start docker
systemctl enable docker

这个脚本在 2015-2017 年是事实标准，但后来被官方移除了 docker-compose 集成。

7.2 走 yum 官方源

1
2
3
4
5
6


sudo yum install -y yum-utils device-mapper-persistent-data lvm2
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo yum install docker-ce
sudo systemctl start docker
sudo systemctl enable docker
sudo usermod -aG docker <your-user> # 免 sudo 用 docker

想指定老版本（如 docker-ce-18.09.1）：

1
2


yum list docker-ce --showduplicates | sort -r
sudo yum install docker-ce-18.09.1

八、Python 2 与 Python 3 共存

CentOS 7 默认 python 指向 python2.7，而 yum / firewalld 等系统工具强依赖 Python 2.7，绝对不能卸载。开发用 Python 3 的标准做法是源码编译一份 /usr/local/python3，软链接 python3 出去。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


yum groupinstall "Development Tools" -y
yum install -y openssl-devel bzip2-devel libffi-devel zlib-devel \
 ncurses-devel sqlite-devel readline-devel tk-devel \
 gdbm-devel db4-devel libpcap-devel xz-devel

wget https://www.python.org/ftp/python/3.9.10/Python-3.9.10.tgz
tar -zxvf Python-3.9.10.tgz
cd Python-3.9.10
./configure --enable-optimizations --prefix=/usr/local/python3
make altinstall

ln -s /usr/local/python3/bin/python3 /usr/bin/python3
ln -s /usr/local/python3/bin/pip3 /usr/bin/pip3

python3 -V

make altinstall 而不是 make install 是为了不覆盖系统 python 软链接——这点在 CentOS 7 上尤其重要。

九、SSH 允许 root 登录

1
2
3
4
5


sudo vi /etc/ssh/sshd_config
# PermitRootLogin yes
# PasswordAuthentication yes

sudo service sshd reload

生产环境强烈不推荐开启 root 远程登录，应该走 ssh-keygen + ~/.ssh/authorized_keys。

十、自动时间同步

1
2
3
4
5
6
7


yum -y install ntpdate
ntpdate -u pool.ntp.org

# 加 crontab
crontab -e
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1
service crond reload

chrony 是 CentOS 7 默认装的，但 ntpdate 在内网环境更省事。

十一、下一步

想换更新的发行版（CentOS 7 已经在 2024-06-30 进入 ELS 阶段）→ 迁移到 Rocky Linux 9 或 AlmaLinux 9（API 兼容，迁移成本最低）
想做远程批量装机 → 看 PXE + kickstart，本篇不展开
想用 ELRepo 升级内核 → 见 2015-03-15 CentOS 7 内核升级实战
想把单用户救援流程做成一键脚本 → 用 Rescue Mode Automation 的 grub2-setpassword + 自定义脚本

参考资料

2024 视角：CentOS 7 已 EOL，Rocky / Alma 9 才是"未来"

本文写于 2012-12-15（实际是基于 2014-07 CentOS 7 GA 前的"早期内测"经验）。2024 视角下：

一、CentOS 7 正式 EOL 2024-06-30

2020-08-06：CentOS 8 提前 EOL 公告，CentOS 7 延寿到 2024-06-30。
2024-06-30：CentOS 7 正式 EOL。
2024-06-30 后：进入 **ELS（Extended Lifecycle Support）**阶段，仅付费 Red Hat 客户能拿到安全更新。
2024-12-31：CentOS 7 ELS 阶段结束（部分渠道可付费延长到 2026-06-30）。
2024 视角下：新项目绝对不要再装 CentOS 7。

二、CentOS 7 → Rocky / Alma 9 迁移工具

migrate2rocky（Rocky Linux 官方）：

1
2
3
4


# CentOS 7/8 → Rocky Linux 9
curl -O https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh
chmod +x migrate2rocky.sh
sudo bash migrate2rocky.sh -r

almalinux-deploy（AlmaLinux 官方）：

1
2


sudo dnf install -y almalinux-deploy
sudo almalinux-deploy

elevate（CIQ 维护，CentOS 7 → Rocky Linux 8/9）：

1
2
3


dnf install -y http://repo.almalinux.org/elevate/elevate-release-latest-el$(rpm --eval %rhel).noarch.rpm
dnf install -y leapp-upgrade leapp-data-almalinux
leapp upgrade

三、CentOS 7 已消失的服务

ntpdate / ntpd：被 chronyd 取代（CentOS 7 起就是）。
iptables（部分）：被 nftables 取代（CentOS 8 起）。
system-config-network-tui：被 nmtui 取代。
setuptool：被 system-config-* 取代。
Python 2.7：2020-01-01 EOL，不能装（除非装到 docker 容器）。
MySQL 5.x / MariaDB 5.5：EOL 多年，不能装（用 MySQL 8 / MariaDB 10.11）。

四、CentOS 7 时代的"救援模式"在 9 已不适用

本文给的"按 e → 改 ro 为 rw init=/sysroot/bin/sh“流程：

CentOS 9 / RHEL 9：grub2 启动菜单有所变化（按 e 后多一步 BLSC 验证）。
UEFI Secure Boot 默认开启：单用户模式可能进不去。
2024 救援姿势：
- 方法 1：从 rescue CD / USB 启动（最稳）
- 方法 2：在云控制台用 VNC 救援连接（阿里云 / 华为云 / AWS 都支持）
- 方法 3：临时关掉 SELinux：setenforce 0（如果能进系统）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# CentOS 9 / RHEL 9 救援模式步骤
# 1. 引导菜单按 e 进入编辑
# 2. 找到 linux 开头那行，删掉 rhgb quiet
# 3. 末尾加 rd.break
# 4. Ctrl+X 启动
mount -o remount,rw /sysroot
chroot /sysroot
passwd root
touch /.autorelabel
exit
reboot

五、CentOS 7 → 9 的"主要 API 变化”

Python 3.6 → 3.12（CentOS 9 默认）。
systemd 219 → 252+（大量新指令）。
OpenSSH 7.4 → 8.x → 9.x（强制 rsa-sha2-256/512，禁 DSA）。
OpenSSL 1.0.2 → 3.0+（默认安全级别提高）。
GCC 4.8 → 11+（C++17 / C++20 默认）。
glibc 2.17 → 2.34（老二进制不能直接跑）。
firewalld 0.x → 1.x（配置变化）。

六、CentOS 7 的"运维遗物"——`/etc/rc.local`

2012 那篇提到 CentOS 7 早期还支持 rc.local。CentOS 9 已经移除：

替代方案：systemd service：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# /etc/systemd/system/my-startup.service
[Unit]
Description=My Startup Script
After=network.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/my-startup.sh
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

1

systemctl enable my-startup.service

七、CentOS 7 的 EPEL 源 2024 现状

EPEL 7 仓库：2024-06-30 停止更新。
EPEL 9 仓库：仍在持续更新。
迁 EPEL 配置（迁到 Rocky / Alma 9 后自动适配）。
国内镜像（aliyun / 清华）2024 仍在同步 EPEL 7（用于"历史项目"），但新装不要用。

八、2024 仍"在跑" CentOS 7 的真实情况

中国中小企业的"老服务器"：2024 还有 30-40% 跑 CentOS 7。
原因：迁移成本 + 老应用兼容性 + 团队不熟悉 systemd 241+。
风险：
- 无安全更新（2024-07 之后）
- 新软件不能装（新版本需要 GLIBC 2.28+）
- 容器运行时受限（Docker 20.10+ 不支持 CentOS 7）
建议：用 migrate2rocky 迁移到 Rocky Linux 9——10 分钟搞定。

九、CentOS Stream：争议中的"未来"

CentOS Stream 8/9（2021+）：RHEL 的"上游开发版"——比 RHEL 早 1-2 个 minor 版本。
优点：永远"新"，能用到 RHEL 还没 GA 的特性。
缺点：可能不稳定（生产环境慎用）。
2024 主流：不用 CentOS Stream，直接用 Rocky / Alma / Oracle。

CentOS 6.5 时代：内核升级与 ELRepo 实战

Tue, 15 Jun 2010 00:00:00 +0800

一、为什么 2010 年还要升级 CentOS 6.5 的内核

CentOS 6.5（2013-12-01 发布，是 CentOS 6 系列的最后一个主要版本）跑的是 2.6.32-431.el6.x86_64——一个 RHEL/CentOS 维护了 10 年的"长青"内核，对应 RHEL 的"zk 内核"分支。这套内核的好处是极其稳定，几乎所有服务器场景都能跑；坏处是新硬件支持差——比如后期出来的 Intel e1000e 网卡的某些固件 bug、SSD 控制器新特性、新 CPU 微码补丁等，都得靠第三方仓库才能拿到。

2010 年代初的运维圈子里，给生产服务器升级内核的标准动作就是：接 ELRepo。ELRepo（elrepo.org）是 RHEL/CentOS 生态最知名的第三方内核仓库，提供两套主线：

包名	来源	特点
`kernel-lt`	Linux stable	长期维护版（Long Term），稳定性优先
`kernel-ml`	Linux mainline	主线最新版，新特性优先

当时给生产服务器升级的常见选择是 kernel-lt——本文以 6.x 时代最常见的 kernel-lt-3.10.x 路线为例。

本文写于 2010 年，主要面向 CentOS 6.x 时代服务器。CentOS 6 已经在 2020-11-30 EOL，CentOS 7 已经在 2024-06-30 EOL，新机器建议直接上 Rocky / Alma / Ubuntu LTS。本篇留作"那个时代"的运维档案。

二、查清当前系统与内核版本

升级前先确认两件事：发行版版本、内核版本。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 发行版版本
[root@centos6 ~]# lsb_release -a
LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:...
Distributor ID: CentOS
Description: CentOS release 6.5 (Final)
Release: 6.5
Codename: Final

# 内核版本
[root@centos6 ~]# uname -r
2.6.32-431.el6.x86_64

lsb_release 在最小化安装的机器上默认没装，可以改用 cat /etc/redhat-release 兜底：

1
2


cat /etc/redhat-release
# CentOS release 6.5 (Final)

三、解决 yum 下载 ELRepo 公钥时的 SSL 错误

直接 rpm --import ELRepo 的 GPG 公钥，6.x 时代很容易遇到：

1
2
3


[root@centos6 ~]# rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
curl: (35) SSL connect error
error: https://www.elrepo.org/RPM-GPG-KEY-elrepo.org: import read failed(2).

这是因为系统自带的 nss（Network Security Services）太老，跟不上 TLS 协议。解决方法就一条：先升级 nss：

1

yum update nss

之后再 rpm --import 就正常了。

四、安装 ELRepo 仓库

ELRepo 提供按大版本分发的 release RPM，直接装就能拿到 repo 文件：

1

rpm -Uvh http://www.elrepo.org/elrepo-release-6-8.el6.elrepo.noarch.rpm

这一步会生成 /etc/yum.repos.d/elrepo.repo，里面有两个仓库：

elrepo（主仓库，ELRepo 自有驱动）
elrepo-kernel（内核专用）
elrepo-extras

五、安装 kernel-lt 内核

只启用 elrepo-kernel 仓库，避免其他包被意外升级：

1

yum --enablerepo=elrepo-kernel install kernel-lt -y

安装完成后，新内核会出现在 /boot/ 下，同时 grub 也会自动加入对应的启动项。但grub 默认从序号 0 开始启动，新内核一般被装在最后，所以下一步要改默认启动顺序。

六、修改 grub 引导顺序

CentOS 6 时代的 grub 还是 legacy grub 1，配置文件是 /etc/grub.conf（实际软链接到 /boot/grub/grub.conf）：

1

vi /etc/grub.conf

把 default=N 改成新内核对应的序号（一般是 0）。文件里长这样：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


default=0 # ← 改这个
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS (3.10.0-1.el6.elrepo.x86_64)
 root (hd0,0)
 kernel /vmlinuz-3.10.0-1.el6.elrepo.x86_64 ro root=/dev/mapper/...
 initrd /initramfs-3.10.0-1.el6.elrepo.x86_64.img
title CentOS (2.6.32-431.el6.x86_64)
 root (hd0,0)
 kernel /vmlinuz-2.6.32-431.el6.x86_64 ro root=/dev/mapper/...
 initrd /initramfs-2.6.32-431.el6.x86_64.img

新内核放在 title 列表的最上面时，default=0 就指向它；放后面就改对应的序号。

坑提醒：改完一定要重启验证，别留在原内核就以为升级成功了。

七、重启验证

1

reboot

重启后再次 uname -r：

1
2


uname -r
# 3.10.0-1.el6.elrepo.x86_64

确认已经是新内核，老的内核包先别删——留一两周观察稳定再清理。

八、常见坑速查

现象	原因	处理
`rpm --import` 报 SSL error	nss 库太老	`yum update nss`
安装后还是老内核启动	grub `default` 没改	编辑 `/etc/grub.conf`
启动到一半 `dracut` panic	initramfs 没生成或磁盘驱动没编进	用 `dracut --force` 重生成 initramfs
第三方软件（如 VMware Tools）装不上	内核头文件路径变了	装对应 `kernel-lt-devel`

九、下一步

想再激进一点（拿 Btrfs/OverlayFS 等新特性）→ 改用 kernel-ml，但绝不要在生产环境直接上——6.x 时代的 ml 包出过几次 initramfs 兼容事故
想再稳一点（保留老内核回退）→ 升级前用 df/mount 拍个快照，VPS 用户用服务商控制台做 system snapshot
配套的 kernel-lt-devel、kernel-lt-headers 也要一并装，否则后面编译 DKMS 模块（如 VirtualBox Guest Additions）会失败
真要彻底升级大版本（6.x → 7.x）→ 走 redhat-upgrade-tool（已废弃）或重新装机，跨大版本升级从来都只适合有完整快照的测试机

参考资料

ELRepo 官网
CentOS 6 EOL 公告
RHEL 6.5 Release Notes（kernel 章节）

2024 视角：CentOS 6 时代已彻底过去，迁移方案汇总

本文写于 2010-06-15（实际是后人补档的"老运维回忆"），距今已 14 年。2024 视角下：

一、CentOS 6 已经是"老古董"

2020-11-30：CentOS 6 EOL（End of Life）。
2020-12 至 2024-06：CentOS Linux 6 走"extended EOL"（付费支持）。
2024-06-30：CentOS Linux 6 全面停止维护。
2024 视角：仍然跑 CentOS 6 的服务器已经无安全更新——强烈建议迁出。

二、CentOS 6 迁到哪里

目标	兼容性	迁移成本	适用
CentOS 7	90%	低	不推荐（7 已 2024-06 EOL）
CentOS 8	95%	低	不推荐（8 已 2021-12 EOL）
CentOS Stream 8/9	100%	低	滚动版，生产慎用
Rocky Linux 9	100%	低	首选（社区驱动，CIQ 维护）
AlmaLinux 9	100%	低	首选（CloudLinux 维护）
Oracle Linux 9	100%	低	大企业 / 商业支持
Ubuntu 22.04 LTS	80%	中	桌面 / 开发机
Debian 12	80%	中	服务器 / 容器

三、`migrate2rocky` 脚本一键迁移

1
2
3
4
5
6


# CentOS 6/7/8 → Rocky Linux 9
curl -O https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh
chmod +x migrate2rocky.sh
sudo bash migrate2rocky.sh -r
# 重启
sudo reboot

注意：必须先做完整备份（快照 / tar 全量），迁移过程会替换核心包。
不兼容情况：自定义编译的内核模块（如 NVIDIA 驱动、VirtualBox）需要重新编译。

四、CentOS 6 时代的"运维遗物"清单

2010 年代 CentOS 6 跑的常见服务，2024 都有现代替代：

老服务	2024 替代
MySQL 5.1	MySQL 8.0 / MariaDB 10.11
Apache 2.2	Apache 2.4 / Nginx 1.27
PHP 5.3	PHP 8.3
iptables	nftables（CentOS 7 后）
OpenSSH 5.3	OpenSSH 9.x（强制 ed25519 / rsa-sha2-256）
`ntpd`	`chronyd`（CentOS 7+）
`ifconfig`	`ip`（iproute2）
`netstat`	`ss`（iproute2）
`service`	`systemctl`
`chkconfig`	`systemctl enable/disable`
`ifupdown`	NetworkManager / `nmcli`
`route`	`ip route`
`arp`	`ip neigh`
`traceroute`	`mtr`（更现代）
`wget`	`curl`（更通用）

五、CentOS 6 → 9 的"陷阱"清单

systemd 全面接管：init.d 脚本不再被自动识别——必须写 *.service。
firewalld 取代 iptables：老 iptables -A INPUT ... 命令仍兼容（底层是 nftables），但推荐用 firewall-cmd。
SELinux 强制开启：从 CentOS 7 起默认开启，老脚本不写 SELinux context 会失败。
Python 2.7 EOL（2020-01-01）：所有 #!/usr/bin/python 必须改成 python3。
OpenSSL 1.1+ / TLS 1.3 强制：老证书可能不再受信任。
GLIBC 2.28+（CentOS 9）：老二进制（如 tcpcopy 1.2.0 预编译版）会报"GLIBC_2.34 not found"。

六、CentOS 6 的"真实价值"：归档

2024 视角下，CentOS 6 的真正价值是"运维历史档案"——很多老脚本、老软件、老硬件驱动都跑在上面。

vmware-tools：CentOS 6 用老版 VMware Tools（kernel 2.6.32 兼容），CentOS 9 改用 open-vm-tools。
Realtek 网卡驱动：CentOS 6 时代手动编译 r8168，CentOS 9 内核已自带。
NFS v3：CentOS 6 默认 NFSv3，CentOS 9 默认 NFSv4.2。
32 位库：CentOS 6 装 glibc.i686 跑 32 位应用，CentOS 9 已经不默认装 i686 仓库。

七、2024 仍在跑 CentOS 6 的"现实方案"

方案 A（推荐）：迁移到 Rocky / Alma 9
方案 B：用 Vault 仓库 + --enablerepo 让 yum 继续用（但无安全更新）
方案 C：用 docker 容器包老 OS：

1
2
3
4
5


# 用 Docker 跑 CentOS 6 容器（保留老应用）
docker run -it --rm centos:6 bash
# 内部操作
yum update
# 应用跑在容器里

方案 D：上 K8s + 老 OS Pod（生产慎用）

CentOS on Liangweidong's blog

CentOS 8 EOL 善后：换源 vault.centos.org、时间同步与时区设置

一、为什么 2019 年要聊 CentOS 8

二、CentOS 8 EOL 后 yum 报错的修复

2.1 一次性 sed 改源

2.2 验证

三、CentOS 8 的 dnf 包管理器

应用流（Module）

四、时间同步：ntpdate / chrony

4.1 想用回 ntpdate 风格

4.2 配阿里云 NTP

五、时区设置

5.1 看当前时区

5.2 改时区

5.3 列出所有时区

5.4 手动改时间（一般不要）

六、CentOS 8 → Rocky / AlmaLinux 迁移

七、典型坑速查

八、下一步

参考资料

2024 视角：CentOS 8 时代早已过去，Rocky / Alma 9 才是"未来"

一、CentOS 8 EOL 时间线回顾

二、vault.centos.org 2024 状态

三、dnf 包管理器的"2024 现状"

四、chrony 在 2024 仍是 NTP 默认

五、timedatectl 的"现代"用法

六、CentOS Stream 8 → Rocky / Alma 8 的迁移

七、CentOS Stream 的"真实价值"

八、AlmaLinux / Rocky / Oracle 三选一

九、CentOS 8 的"运维遗物"：dnf module

十、CentOS 8 EOL 后的"实践教训"

CentOS 7 开发环境：Python3 源码编译、Miniconda3 与 Oh My Zsh 实战

一、为什么 2017 年还要在 CentOS 7 手动配 Python3

二、Python3 源码编译（与 Python2.7 共存）

2.1 装编译依赖

2.2 下载 / 编译 / 安装

2.3 软链接

2.4 virtualenv 隔离

三、Miniconda3 + 国内源

3.1 下载安装

3.2 配国内源

3.3 配 pip 源

3.4 常用 conda 命令

四、Oh My Zsh 提效

4.1 装 zsh

4.2 装 Oh My Zsh

4.3 主题

4.4 必装插件

4.5 git 走代理（GFW 友好）

五、git 提交 master 没有上游分支

六、典型坑速查

七、下一步

参考资料

2024 视角：Python 3.12 / Miniconda py310 / ohmyzsh 已成"标配"

一、Python 3.12 LTS 已成主流

二、pyenv 已成 Python 版本管理的事实标准

三、uv（Rust 写的 Python 包管理器）成为新王

四、mamba / micromamba 加速 conda

五、poetry / pdm 已成现代 Python 项目管理

六、Oh My Zsh 的"接班人"

七、AI 时代的 Python 生态

八、CentOS 7 → Rocky 9 的 Python 迁移

CentOS 7 全面实战：阿里源、Docker、Harbor 与 Nginx+Let's Encrypt

一、为什么 2015 年要写这份"一站式"

二、国内 yum 源选择

三、Docker CE 安装

3.1 卸载旧版

3.2 走官方 yum 源

3.3 走 get.docker.com 一键脚本

3.4 加 docker 用户组

3.5 验证

四、配置阿里云 Docker 镜像加速

五、装 docker-compose

5.1 早期：pip 装（2015-2017）

5.2 中期：二进制直装

5.3 2020+：Docker CLI plugin

六、Harbor 私有仓库

6.1 下载离线安装包

6.2 改配置

6.3 装 + 启

二、`vault.centos.org` 2024 状态

九、CentOS 8 的"运维遗物"：`dnf module`

二、`pyenv` 已成 Python 版本管理的事实标准

三、`uv`（Rust 写的 Python 包管理器）成为新王

四、`mamba` / `micromamba` 加速 conda

五、`poetry` / `pdm` 已成现代 Python 项目管理

七、`docker-compose` → `docker compose` 时代

二、查看系统版本：`/etc/os-release`

三、查公网 IP：`curl cip.cc`

5.3 `-v` 看到的关键日志

一、查系统版本：`/etc/os-release` 仍是标准

三、查 CPU 信息：`lscpu` 是首选