运维 on 随手记

USB-SATA 桥接芯片的 UAS 兼容性问题排查

Wed, 20 May 2026 09:30:04 +0800

通过 USB 外接硬盘时，如果遇到磁盘看起来一直很忙，但实际吞吐很低，问题不一定出在文件系统或硬盘本体上。一次比较典型的场景是：USB-SATA 桥接芯片声称支持 UAS，但它的固件实现不稳定，Linux 自动启用 UAS 后反而触发命令超时、USB 设备重置，最终表现成系统层面的 I/O 卡顿。

这篇文章记录一次这类问题的现象、原因和处理方式。

问题现象

故障最直观的表现是：外接硬盘几乎不可用，但监控上又看不出正常的高吞吐。

常见现象包括：

iostat 中磁盘 %util 长时间接近或等于 100%；
实际 r/s、w/s、rkB/s、wkB/s 并不高；
await、svctm 或应用侧读写延迟异常升高；
文件复制、解压、数据库读写、备份任务间歇性卡住；
偶尔出现 Input/output error；
dmesg 或 journalctl -k 中反复出现 UAS abort、SCSI timeout、USB reset。

可以先用下面这些命令观察：

iostat -xz 1

dmesg -T | grep -Ei 'uas|usb|reset|abort|I/O error|blk_update_request'

journalctl -k -b | grep -Ei 'uas|usb|reset|abort|I/O error'

比较典型的内核日志类似这样：

uas_eh_abort_handler ...
scsi host... uas_eh_device_reset_handler
usb ... reset SuperSpeed USB device number ...
blk_update_request: I/O error, dev sdX, sector ...

如果这些日志和外接硬盘卡顿时间点高度重合，就要怀疑 USB 存储协议层的问题。

Docker 日常维护、运行调试与排错教程：从 Compose 到 Swarm

Wed, 29 Apr 2026 16:25:00 +0800

Docker 用久以后，问题通常不在“会不会启动一个容器”，而在日常维护和排错：容器为什么退出、日志在哪里看、端口为什么不通、磁盘为什么爆了、Compose 更新为什么没生效、Swarm 服务为什么一直 Pending。

这篇文章按实际运维顺序整理：先看单机 Docker 的容器、镜像、日志、网络、存储和资源排查，再看 Compose 的项目级管理，最后看 Swarm 的集群级服务维护。

总览：Docker 排错先分清三种运行层级

Docker 相关问题先不要急着敲命令，先判断当前应用跑在哪一层：

层级	常见命令	管理对象	适合场景
单机 Docker	`docker run`、`docker ps`、`docker logs`	container、image、volume、network	单机服务、临时调试、本地开发
Docker Compose	`docker compose up`、`docker compose logs`	一个项目里的多服务	开发环境、小型部署、依赖编排
Docker Swarm	`docker service`、`docker stack`、`docker node`	service、task、stack、node	多节点集群、滚动更新、副本调度

排错时也按这个顺序看：

服务不可用
 -> 容器是否存在、是否在运行
 -> 日志里有没有启动失败或业务异常
 -> 端口映射和网络是否正确
 -> volume、配置、环境变量是否正确
 -> CPU、内存、磁盘是否打满
 -> 如果是 Compose，看 project/service 维度
 -> 如果是 Swarm，看 node/service/task 维度

一、日常巡检：先看 Docker 基本状态

先确认 Docker daemon 是否正常：

Fail2Ban 工作原理与常用运维操作

Tue, 28 Apr 2026 17:35:00 +0800

Fail2Ban 是 Linux 服务器上很常见的一类安全防护工具，主要用来应对 SSH、Web 登录、邮件服务等场景里的暴力破解和重复异常请求。它不会替代防火墙、密钥登录、最小权限这些基础安全措施，但非常适合做一层自动化封禁：发现某个 IP 在短时间内频繁失败，就把它临时加入黑名单，过一段时间后再自动释放。

这篇记录一下 Fail2Ban 的工作原理、安装和开机启动方式、常用规则配置，以及误封后如何把某个 IP 从黑名单里移出来。

Fail2Ban 的工作原理

Fail2Ban 的核心逻辑可以概括成四步：

监听日志文件或 systemd journal。
用 filter 里的正则表达式匹配失败行为。
在指定时间窗口内统计同一个 IP 的失败次数。
达到阈值后执行 action，把 IP 加入防火墙黑名单。

这里有几个关键概念。

jail

jail 是 Fail2Ban 的规则单元。一个 jail 通常对应一个服务，例如 SSH、Nginx、Postfix、Dovecot 等。每个 jail 会指定：

监控哪个服务。
读取哪个日志。
使用哪个 filter。
允许失败多少次。
统计时间窗口是多少。
封禁多久。
使用什么 action 封禁 IP。

例如 SSH 的 jail 就是监听 SSH 登录日志，匹配登录失败记录，当同一个 IP 在一段时间内失败太多，就通过防火墙封禁。

filter

filter 负责识别“什么日志算失败”。它通常放在：

/etc/fail2ban/filter.d/

例如 SSH 常见 filter 是：