Yanick Girouard's questions

我们在 RHEL 主机上使用 Red Hat 容器镜像，全部基于它们的 ubi7 或 ubi8 镜像，默认情况下，它们以默认用户 (uid 1001) 运行。

这在容器需要对主机目录进行写访问（即写入日志或临时文件）时提出了挑战，因为主机的 UID 和 GID 保存在容器中，而容器写入的文件将归该 UID 所有容器用户。

据我所知，这给我留下了两个选择：

1. 在我的主机上创建一个 UID 为 1001 的用户，并将该用户设置为已安装卷的所有者。这可能会带来问题，因为 UID 1001 是在不强制使用特定 UID 的主机上添加新用户时将使用的第一个 UID。因此，如果需要将容器部署在可能具有或不具有相同一致 UID 映射的多台服务器上，则可能很难管理。然而，据我所知，这将是唯一的方法，容器写入的文件的所有者（UID 1001）与主机上的所需用户匹配，并且主机上写入的文件的所有者与现有的 UID 匹配容器。
2. 将挂载的主机目录设为全局可写，这会带来许多安全隐患，其中之一是主机上的任何用户都有权删除容器写入的文件。如果 UID 1001 已分配给主机上的另一个用户，这些文件也可能显示为由另一个用户拥有。

通常，我会在容器镜像中创建一个匹配的 user:group 组合，在需要的地方重置所有权和权限并重建它，但是对于 Red Hat 创建的镜像，这意味着很多工作要做，因为一切都是为了使用 UID 1001 运行，并且有许多脚本（容器入口点修复权限、生成容器用户）以这种方式强制它。

我是否正确理解了所有内容，还是有另一种（更好的）方法可以做到这一点？

从技术上讲，如果想使用 yum 更新 RHEL 或 CentOS 服务器，但只能在某个发布日期之前（即不安装 X 日期之后发布的任何更新），是否有可能？如果可以，如何？

到目前为止，我能想到的唯一方法是使用专用的卫星服务器或本地存储库，并且在某个日期之后根本不同步它，但这不是我想要的。

我问的原因是我们有一个为多个客户服务的中央（共享）卫星服务器，其中一个客户要求将其所有服务器（包括正在构建的新服务器）保持在相同的更新级别，直到它们准备好向上移动。如果没有仅为该客户创建的新专用卫星（我们不会在 X 日期之后同步），我能想到的唯一方法是如果我们可以阻止服务器（包括新建的）在某个发布日期之后更新.

我四处搜索，找不到任何表明它甚至可能的东西（例如 yum 选项或插件），但如果我没有找到正确的东西，我问你。

如果问题不清楚，请告诉我。

我们有几台服务器，全部RHEL6是 (x86_64)，它们不断地向我们的 DNS 服务器查询xmlrpc.rhn.redhat.com. 我们已经nscd在这些服务器和主机上安装并配置了缓存，但似乎并不适用于此。即使在服务器的主机文件中添加条目也不会停止 DNS 查询。这些服务器位于无法访问 Internet 的 VLAN 中，我们也没有使用 RHN Satellite。

我认为这是因为服务rhnsd和rhsmcertd，但即使它们被停止和禁用，查询也会继续。

有没有人知道这个查询来自哪里以及为什么它没有观察到本地主机缓存到位？

我正在使用 socks 代理连接到使用另一个应用程序的服务器。代理，在 Solaris 10 上运行。托管代理的服务器配置为使用我们自己的内部 DNS 服务器（绑定）来解析内部主机名。

有时，我们需要更改内部服务器的 IP 地址，由于某种原因，socks 代理可能需要 1 个多小时才能看到新的 IP 地址。该产品的供应商告诉我们，它正在使用操作系统的 DNS 解析器，并且没有任何自己的 DNS 缓存。

我们的内部 DNS 有一个 DNS 区域，其中包含多个子区域。我注意到它在开始时将默认 $TTL 设置为 1 小时，但对于其中一个子区域，它再次设置为 1 天。请参阅下面的示例：

$ORIGIN .
$TTL 3600       ; 1 hour
mydomain                IN SOA  dns1.sub1.mydomain. dnsadmin.mydomain.com. (
                          2009077402 ; serial
                          3600       ; refresh (1 hour)
                          900        ; retry (15 minutes)
                          604800     ; expire (1 week)
                          10800      ; minimum (3 hours)
                        )
                        NS      dns1.sub1.mydomain.
                        NS      dns2.sub1.mydomain.
$ORIGIN sub1.mydomain.
dns1                    A       10.0.0.1
dns2                    A       10.0.0.2
server3                 A       10.0.0.3
server4                 A       10.0.0.4
server5                 A       10.0.0.5
server6                 A       10.0.0.6
server7                 A       10.0.0.7
server8                 A       10.0.0.8
$ORIGIN sub2.mydomain.
$TTL 86400      ; 1 day
server1                 A       10.0.1.1
server2                 A       10.0.1.2
server3                 A       10.0.1.3
server4                 A       10.0.1.4
server5                 A       10.0.1.5
server6                 A       10.0.1.6
server7                 A       10.0.1.7
server8                 A       10.0.1.8
$ORIGIN sub3.mydomain.
server1                 A       10.0.2.1
server2                 A       10.0.2.2
server3                 A       10.0.2.3
server4                 A       10.0.2.4
server5                 A       10.0.2.5
server6                 A       10.0.2.6
server7                 A       10.0.2.7
server8                 A       10.0.2.8

在此示例中，$TTL 值是否仅针对 sub2 子域更改为 1 天，或者是否也针对它下面的所有内容更改？

这是一个生产服务器，所以你会明白我想在更改它之前确保行为（删除第二个 $TTL）并且不能真的只是“尝试它”。我也没有开发 DNS 服务器来尝试它。

我已经检查了区域文件的文档，它没有提到在同一个区域文件中遇到多个 $TTL 语句时会发生什么，或者至少我找不到它。

任何帮助，将不胜感激。