rbd-nbd

---

Ceph16→Ceph18：rbd-nbd 相关改进与业务影响（汇报稿）

1. 背景与结论概述

• 你关注的点（安全重挂载 / attach&detach / notrim ）属于 RBD 的 rbd-nbd 客户端链路改进。
• 从版本跨度看：这些能力确实出现在 Ceph16→Ceph18 的升级范围内 ；但严格意义上，它们首次引入在 Ceph17（Quincy，17.2.0），Ceph18（Reef）继续保留并完善（文档与行为延续）。
• 因此汇报结论可表述为：
  "Ceph16 升级到 Ceph18 会获得 rbd-nbd 链路的可维护性与语义控制增强（主要在 Ceph17 引入），对使用 rbd-nbd 的业务链路影响显著；对 krbd 或 QEMU 直连 RBD 的链路影响较小。"

---

2. rbd-nbd 是什么？与 RBD / QEMU 的关系

2.1 定义

• rbd-nbd ：将 Ceph 的 RBD 镜像（pool/image） 通过 Linux NBD（Network Block Device） 映射成客户端本机块设备 /dev/nbdX。
• 映射后，上层业务可把它当"本地磁盘"使用：mount、LVM、数据库、虚拟化等。

2.2 QEMU 会不会用到？

虚拟化常见两条路径：

1. QEMU 直连 RBD（librbd）：QEMU 直接用 rbd driver 访问 Ceph（不需要 /dev/nbdX）。
2. rbd-nbd 先映射 /dev/nbdX，再给 QEMU：QEMU 把 /dev/nbdX 当普通块设备使用（链路多一层 rbd-nbd + nbd）。

汇报表达：QEMU 可能用到 rbd-nbd，但不是必须 ，取决于架构选择；本次改进主要针对 rbd-nbd 这条链路。

---

3. Ceph16→Ceph18 是否包含你列的改进？（逐条对齐）

统一结论：是（升级跨度覆盖） ，但首次引入点在 Ceph17，Ceph18 延续与完善。

A) 安全重挂载（Linux 5.14+）：守护进程重启期间设备"挂起等待"而非立刻销毁

• 关键能力：rbd-nbd 进程重启/异常退出时，内核侧 NBD 设备可进入"等待重连窗口"，减少"掉盘式"中断。
• 对应实现接口：--reattach-timeout（内核等待新进程 attach 的时间窗口）+ attach/detach。

B) 新增 rbd device attach / rbd device detach

• 作用：提供运维可控的"挂起/接管"动作，使维护流程从"粗暴 unmap/map"变成"detach → 重启/升级 → attach"。

C) 新增 notrim 映射选项：模拟厚置备语义

• 作用：当上层会发 discard/TRIM 时，通过 --notrim 关闭该语义传递，避免后端出现"去配/稀疏化"等更贴近 thin 的行为，从而更接近厚置备策略。

---

4. 对哪些业务链路有影响？（重点：是否使用 rbd-nbd）

4.1 关键判断

• 这些改进主要影响使用 rbd-nbd 的客户端链路：

  • 典型特征：客户端节点存在 /dev/nbdX，并运行 rbd-nbd 进程。

• 如果生产链路是：

  • krbd（/dev/rbdX） 或
  • QEMU 直连 librbd
    则上述三点可能几乎无感（至少不是主链路增益点）。

4.2 会明显受益的典型业务

1. K8s/容器平台（节点侧用 rbd-nbd / NBD 模式提供块设备）

   • 节点出现 /dev/nbdX
   • 进程重启/升级风险降低，运维可靠性更高

2. 裸金属/物理机：RBD 作为本地块设备（mount/LVM/数据库）且走 rbd-nbd

   • 维护时可用 detach/attach 降低掉盘风险
   • 可用 notrim 控制 discard 语义，统一容量策略

3. 虚拟化平台：采用"nbd 映射出块设备再给 QEMU/上层"

   • 直接受益于安全重挂载与 notrim

4.3 notrim 的影响边界（什么时候特别重要）

• 若上层频繁触发 discard/TRIM（例如某些文件系统策略、定期 fstrim、虚拟化/容器透传 discard），且你需要"厚置备语义 "或希望减少 discard 带来的容量/性能扰动，--notrim 更有价值。

---

5. 如何判断你生产（RBD 块存储）是否会受益？（快速自检）

在任意客户端节点执行：

# 1) 是否存在 /dev/nbd 设备
lsblk | grep -E '^nbd' || true

# 2) rbd-nbd 是否有映射
rbd-nbd list 2>/dev/null || true

# 3) 是否存在 rbd-nbd 进程
ps -ef | grep -v grep | grep rbd-nbd || true

# 4) nbd 内核模块是否加载
lsmod | grep '^nbd' || true

判定：

• 若看到 /dev/nbdX 或 rbd-nbd 映射/进程 ：本次改进与你的业务链路直接相关，升级收益明显。
• 若没有 nbd 痕迹：说明主链路大概率不是 rbd-nbd，此三项对核心 I/O 链路影响有限（升级收益应更多来自 Ceph 其他模块/修复与性能改进，而非本文三点）。

---

6. 可落地的使用方式（运维流程口径）

6.1 常规 map/unmap

• map：rbd-nbd map <pool>/<image> --device /dev/nbd0
• unmap：rbd-nbd unmap /dev/nbd0

6.2 维护/重启时的"安全重挂载"流程（推荐口径）

1. 映射时设置重连窗口：--reattach-timeout <秒>

2. 计划内维护：

   • rbd-nbd detach /dev/nbdX
   • 重启/升级 rbd-nbd 相关服务或进程
   • rbd-nbd attach /dev/nbdX

3. 验证：rbd-nbd list、lsblk

6.3 厚置备语义控制（按策略选用）

• 如需避免 discard/TRIM 影响：映射时加 --notrim

---

7. 没有这些改进的 Ceph16（rbd-nbd 链路）可能暴露的缺点

仍强调：这些"缺点"主要发生在 rbd-nbd 场景；若你不用 rbd-nbd，则相关性下降。

1. 进程重启/异常更容易"掉盘式"表现

   • rbd-nbd 是 userspace 进程，重启/崩溃时内核侧设备更可能直接断开或报错，上层出现 I/O error、文件系统异常、PV 掉线、VM 磁盘异常等风险。

2. 缺少受控维护接口，更多只能 unmap/map

   • 维护动作更粗：设备直接消失、设备号可能变化、上层需要重识别路径，维护窗口更痛、风险更大。

3. 厚置备语义难以统一

   • 当上层触发 discard/TRIM 时，缺少 rbd-nbd 映射层的明确开关来"强制模拟厚置备策略"，容量/性能语义一致性更难保障。

---

王先生，下面单独给一份"生产环境如何使用这组改进 "的落地说明。重点只讲 rbd-nbd 的安全重挂载（attach/detach + reattach-timeout） 和 notrim 两件事：怎么配、怎么操作、怎么验收、怎么纳入运维流程。

---

生产落地：rbd-nbd 安全重挂载与 notrim 的使用手册

0）适用前提与边界

• 仅适用于 使用 rbd-nbd 映射 RBD → /dev/nbdX 的客户端节点。
• Linux kernel ≥ 5.14 才有"安全重挂载（safe reattach）"语义窗口。
• 目标：在 rbd-nbd 进程重启/升级/异常退出时，尽量避免"设备立刻消失"，把风险变成可控的短时挂起 + 快速接管。

---

1）上线配置：映射时固定"三个关键参数"

1.1 准备 NBD 设备池

modprobe nbd nbds_max=64

1.2 映射时启用重连窗口（必须）

--reattach-timeout <秒>：内核等待新 rbd-nbd 进程重新 attach 的窗口时间。

示例（建议生产先从 300s 起步，按你们维护窗口调整）：

rbd-nbd map <pool>/<image> --device /dev/nbd0 --reattach-timeout 300

1.3 如需"厚置备语义"，加 notrim（按策略启用）

rbd-nbd map <pool>/<image> --device /dev/nbd0 --reattach-timeout 300 --notrim

什么时候建议开 notrim：

• 你们明确要求"模拟厚置备"，不希望上层 discard/TRIM 影响后端空间/性能语义；
• 或者你们观测到 discard 造成明显抖动，希望在映射层"屏蔽"掉。

---

2）生产运维流程：升级/重启 rbd-nbd 的标准操作（核心）

适用：计划内维护（升级 ceph-common、重启服务、变更配置）或进程异常后的快速恢复。

2.1 维护前：确认当前映射

rbd-nbd list
lsblk /dev/nbd0

2.2 进入"挂起等待接管"状态：detach（不销毁设备）

rbd-nbd detach /dev/nbd0

含义：告诉内核"旧进程要下线了，但设备先别销毁，等新进程接管"，进入你设置的 reattach-timeout 等待窗口。

2.3 重启/升级 rbd-nbd 相关进程或服务

按你们实际方式执行，例如：

systemctl restart <rbd-nbd相关service>
# 或升级包后重启

2.4 新进程接管：attach

rbd-nbd attach /dev/nbd0

2.5 验收：映射恢复与 I/O 正常

rbd-nbd list
lsblk /dev/nbd0
# 如果上层是文件系统
mount | grep nbd0 || true
# 如果是 LVM
pvs; vgs; lvs
# 业务侧可做轻量读写探测（按你们标准）

关键点：

• 只要在 reattach-timeout 窗口内 attach 成功，/dev/nbd0 设备路径保持一致，上层恢复更可控。
• detach/attach 是"维护友好"的动作；如果你直接 unmap/map，设备会消失且可能换号，更容易影响上层。

---

3）故障处置：rbd-nbd 进程崩溃/被杀时怎么用这套改进救回来？

场景

• 你发现节点 I/O 异常，检查发现 rbd-nbd 进程不存在/异常退出。

处置动作（目标：尽快接管）

1. 先确认设备仍在（是否处于等待窗口取决于当初 map 是否设置了 reattach-timeout）：

lsblk | grep nbd

2. 尝试直接 attach 接管：

rbd-nbd attach /dev/nbd0

3. 如果 attach 失败或设备已消失：只能重新 map（这是"没有进入等待窗口/窗口已过"的后果）：

rbd-nbd map <pool>/<image> --device /dev/nbd0 --reattach-timeout 300 [--notrim]

---

4）把它"固化成生产能力"的两种方式（推荐做法）

方式 A：写成运维 SOP（最简单，立刻能落地）

把"维护时 detach → 重启 → attach → 验收"写入升级SOP，明确：

• 需要在窗口内完成 attach（由 reattach-timeout 决定）
• 验收项（rbd-nbd list、lsblk、上层 mount/LVM/业务探测）

方式 B：systemd 托管（更工程化）

要点是：

• ExecStart ：rbd-nbd map ... --reattach-timeout ... [--notrim]

• ExecStop：

  • 如果希望"可重连"用于短维护：用 detach
  • 如果希望"彻底释放"：用 unmap

• 再配 Restart=always/on-failure 让 rbd-nbd 异常时自动拉起，然后配合 attach 接管（或由 unit 逻辑执行）。

说明：systemd unit 的具体写法会依赖你们镜像命名、设备号分配策略、是否需要多块盘等；但核心思想就是把"map 参数"固化下来，确保每次都是带 reattach-timeout（以及按需 notrim）的统一策略。

---

5）上线前验证清单（建议你们做一次演练）

在测试窗口做一次"演练式验收"：

1. 按生产方式 map（带 reattach-timeout）
2. 业务持续有轻量 I/O（或模拟）
3. 执行 detach
4. 人为重启/kill rbd-nbd
5. 执行 attach
6. 观察：设备路径是否保持、I/O 是否恢复、上层是否出现不可恢复错误
7. 调整 reattach-timeout 到你们可接受的维护/恢复时间

---

6）一句话给领导的落地价值描述

"通过为 rbd-nbd 映射统一加上 reattach-timeout，并在维护窗口内使用 detach/attach 流程，我们把 rbd-nbd 进程重启/升级带来的'掉盘风险'改造成可控的'短时挂起+快速接管'，同时可用 notrim 统一厚置备语义策略。"

---

王先生，基于你们 cephadm 部署 + 客户端主要是 librbd/qemu 的云计算场景 ，我把 Ceph16→17 和 17→18 的"可拿证据"的改进点按"对块业务最有感"的维度整理如下（均有官方出处可查）。

---

1) 领导最关心的硬指标：版本生命周期与风险敞口

• Pacific (Ceph 16) 已 EOL：2024-03-04 ；Quincy (Ceph 17) 已 EOL：2025-01-13 ；Reef (Ceph 18) 已 EOL：2025-08-01 。(Ceph 文档)
• 官方明确：只有 Active releases 才持续接收 backports 和安全修复。(Ceph 文档)

这条你可以直接对齐"合规/审计/风险"：继续停在 16/17/18 都属于过保版本 ；如果领导允许，升级目标最好指向仍维护的 19/20 （同一页面也列了 19/20 的维护期）。(Ceph 文档)

---

2) Ceph 16 → 17（Pacific→Quincy）：对云块存储"最有感"的改进

A. I/O 体验：BlueStore 默认启用 mClock QoS（云主机最在意"抖动"）

• Quincy 开始：BlueStore OSD 默认把 osd_op_queue 切为 mclock_scheduler 来提供 QoS （更好区分 client IO、recovery、scrub、snaptrim 等类的资源配额/节流）。(Ceph)
• mClock 的设计目标就是对不同类别操作做 IOPS/资源节流与保障，降低后台恢复/回填对前台业务 IO 的冲击。(Ceph 文档)

**怎么对领导说：**云计算的痛点是"业务 IO 被恢复/回填打爆导致延迟尖刺"，Quincy 的默认 QoS 调度属于直接对症的底座改进（比单纯"加功能"更能解释价值）。

B. 运维可控性：cephadm 的升级流程更"可控、可审计"

• cephadm 官方文档明确：自动升级按 mgr→mon→其他 daemon 的顺序 ，并且"每个 daemon 只会在集群仍可用的前提下重启"，属于把最佳实践固化到流程里。(Ceph 文档)

**怎么对领导说：**这能把"升级风险"从"看人"变成"看机制/流程"，对生产审批更友好。

---

3) Ceph 17 → 18（Quincy→Reef）：更偏"安全能力 + 运营效率"的改进（同样对云块有价值）

A. RBD：分层客户端加密（适合多租户/合规诉求）

• Reef 明确新增：RBD layered client-side encryption（分层客户端加密） 。(Ceph)

对云场景的价值：

• 更容易满足"不同租户/不同镜像层级使用不同密钥策略"的合规诉求（尤其镜像克隆/层叠常见的云平台）。
  （官方用语就是"layered client-side encryption"，你直接引用即可。）

B. 监控与排障：Dashboard/日志与监控架构更"平台化"

• Reef 发布说明写明：Dashboard 页面布局升级（告警与关键图表卡片化） 。(Ceph)
• Reef 也强调 Centralized Logging（集中式日志视图） 。(Ceph)
• 另一个你可以拿来讲"规模化监控瓶颈"的点：Reef 提到 ceph-exporter 以 daemon 方式部署以减少监控瓶颈 （更贴近大规模集群的可观测性架构）。(Ceph)

**怎么对领导说：**云平台上"告警收敛、定位效率、可观测性扩展"直接影响 MTTR 和人力成本，这些是"省人"的实打实收益。

---

4) 你们这种架构下，我建议你把"升级收益"总结成 3 句（很好过会）

1. Quincy（17）把 OSD 调度默认切到 mClock QoS ，核心目标是降低恢复/回填对业务 IO 的扰动，云块场景收益最直接。(Ceph)
2. Reef（18）补齐 RBD 分层客户端加密 ，更利于多租户与合规；同时 Dashboard/集中日志/监控架构升级，显著提升运营效率。(Ceph)
3. 但 16/17/18 都已 EOL ，从风险与合规角度，最好把最终落点定在仍维护的 19/20（官方 Active releases 列表可直接作为依据）。(Ceph 文档)

---

如果你要我继续把材料"更像领导汇报稿"，我可以按你们云平台常见关切补一页"验收指标清单"，比如：

• 业务延迟 P99/P999 在 backfill/恢复期间的波动对比（mClock QoS 的验收）；
• 恢复带宽与 client IO 的隔离策略；
• 加密镜像链路与密钥管理要求（Reef RBD 分层加密的落地口径）；
• cephadm 升级回滚/停机窗口策略（用文档流程做背书）。(Ceph 文档)

王先生，我把刚才的要点"压缩成一份可直接拿去讲"的版本，并补上如何查看当前用的是 WPQ 还是 mClock，同时把"为什么必要"讲清楚。

---

结论先行：为什么"mClock 这点"仍然必要、值得写进升级理由

关键不在于 Ceph16 有没有 mClock（有、可手动启用），而在于：从 Ceph17 起它变成 BlueStore 的默认队列调度（工程化默认能力），并配套了可复制的 profile 体系。

1) 从"可选功能"升级为"默认能力"，本质是风险控制

• Ceph16：mClock 可用但默认不是主路径，更像"你愿意/你会配才用"。
• Ceph17 起：BlueStore 默认使用 mclock_scheduler 作为 osd_op_queue 提供 QoS，不再依赖个人经验决定是否启用。

对领导的说法：从"靠人"变成"靠机制/默认配置"，这就是必要性。

2) 云块（librbd/qemu）最怕"恢复/回填导致延迟尖刺"，mClock 的收益直接对症

mClock 的目标是把 client IO 与 backfill/scrub/snaptrim 等后台操作做可预期的资源分配（reservation/weight/limit），降低恢复期间对业务 IO 的冲击。

这类改善在云主机体验上通常体现在：P99/P999 延迟波动更可控（而不仅仅是平均吞吐）。

3) 但"仅靠 mClock"不应成为唯一理由：真正硬理由仍是 EOL 风险

Ceph16 已 EOL（无官方 backport/安全修复），这是升级的硬理由；mClock 是"云块稳定性收益"的关键抓手之一。

---

如何查看当前集群用的是 WPQ 还是 mClock

在任意有 ceph CLI 的管理节点执行：

# 查看所有 OSD 当前的队列调度器
ceph tell osd.* config get osd_op_queue

• 如果返回是 wpq（或类似 wpq 相关值）→ 当前是 WPQ
• 如果返回是 mclock_scheduler → 当前是 mClock

这条检查命令在社区问题排查/缓解建议里也常用。

---

怎么把"必要性"讲得更稳（取决于你们现状）

情况 A：你们现在还是 WPQ（最推荐主打 mClock 的必要性）

可以这么讲：

1. Quincy（17）开始 默认 QoS（mClock），针对云块"降抖动"是直接收益。
2. 迁移后不再依赖"手工启用/手工调参"，而是用官方 profile 体系落地 SOP（见下一节）。
3. 再叠加 EOL 风险（16 过保），升级是治理风险而非"锦上添花"。

情况 B：你们 Ceph16 已经手动启用了 mClock（mClock 这点降权，但仍可作为"加分项"）

可以这么讲：

1. 我们已验证 QoS 路线有效；升级后该能力变成默认工程化能力，交付与交接成本更低。
2. 升级主因仍是 EOL 风险与平台化能力（安全/可观测/运维）。

---

mClock 在升级后的"正确用法"（云块建议的 SOP）

升级到 17/18 后，建议把"调参"收敛为"选 profile"：

• balanced：默认，业务与恢复折中
• high_client_ops：更偏保障 client IO（云块常用）
• high_recovery_ops：更偏恢复/回填效率（维护/故障恢复窗口）

设置全局 profile（示例：业务优先）：

ceph config set osd osd_mclock_profile high_client_ops

profile 的推荐用法与含义在官方 mClock 配置参考里写得很明确。

---

如果你把 ceph tell osd.* config get osd_op_queue 的输出贴我一下（只要一两行示例即可），我可以按你们"当前是 WPQ / mClock"的真实状态，给你一段更像"领导汇报口径"的话术（把必要性讲得更硬、也更贴你们云块业务的痛点）。

王先生，下面我把Ceph16（Pacific）→ Ceph18（Reef）"缓存分层（RADOS cache tiering）"的变化 和如何劝说领导批准升级整理成一套可以直接拿去汇报的口径。

---

一、Ceph16 到 Ceph18：缓存分层（cache tiering）发生了什么变化

1) Ceph16（Pacific）：功能仍是"正常文档化/可用"

Pacific 的文档仍把 cache tiering 作为一项可用能力来描述（即"用快池给慢池做缓存"）。 (Ceph 文档)

这意味着在 Ceph16 时代，你看到的是"可以用，但是否适合要评估"。

2) Ceph18（Reef）：官方明确"弃用（deprecated）"，并强烈不建议新部署

Reef 文档在 cache tiering 章节直接给出 Warning：

• Reef 起弃用
• 长期缺少维护者（lacked a maintainer for a long time）
• 可能在缺少预告的情况下被移除
• 社区强烈反对新部署，并建议从遗留部署迁移 (Ceph 文档)

同时，Reef 发布说明也把它作为变更点写得很直白："RADOS: Cache tiering is now deprecated." (Ceph 文档)

Ceph 官方 v18.2.0（Reef）发布博客同样提到"Cache tiering is now deprecated"。 (Ceph)

一句话总结：Ceph18 里 cache tiering 不是"立刻没了"，但已经被官方判定为"遗留+弃用+不建议继续依赖"的组件。 (Ceph 文档)

---

二、你要升级 Ceph18，但 cache tier "不更新了"：该怎么跟领导讲

我建议你把论证拆成两条主线："升级是必须的（平台风险）" + "cache tier 有替代路径（业务风险可控）"。

主线 A：为什么升级到 Ceph18 是必须的（而不是"想不想"）

1. Ceph16（Pacific）维护窗口在收尾 ：Pacific v16.2.15 的官方发布说明里写了"预计是 Pacific 系列最后一次 backport release"。这在管理层语言里就是：继续停留在 16 的收益递减、风险递增。 (Ceph)
2. 平台升级带来持续的 bugfix / 安全修复 / 生态兼容：对生产来说，"还在跑"不等于"可控"。长期停留在一个停止/趋于停止维护的主版本，会把风险转移到你们自己的运维团队（出了问题只能自救、回滚成本高）。

你可以给领导一句非常"管理层能听懂"的话：

我们升级 Ceph18 是为了降低平台不可控风险；不升级等于把未来的故障与安全风险留给生产窗口和业务背锅。

主线 B：cache tier 被弃用不是"我们没得选"，而是"官方已不建议继续押注"

这里你直接引用官方立场就够了，最有说服力：

• Reef 官方文档明确写：长期缺少维护者 、可能无预告移除 、强烈不建议新部署 、建议从遗留部署迁移 。 (Ceph 文档)
• Reef release notes 明确：cache tiering 已弃用。 (Ceph 文档)

这对领导的含义是：

继续把关键生产性能"绑定"在一个官方不推荐、缺少维护者、未来可能被移除的功能上，是典型的技术债放大器。

---

三、给领导的"可执行方案"：升级 + 去 cache tier 的落地路线图

你要避免给领导一种"升级=性能大降"的感觉；正确姿势是："先升级平台，cache tier 走替代/迁移，性能用更稳的方式兜住。"

方案 1（推荐）：升级到 Ceph18，但把 cache tier 作为"过渡/可回退项"，设定退出期限

• 目标 ：升级成功 + 业务稳定；缓存分层只作为短期过渡，逐步退出（符合官方建议"迁移离开 legacy deployments"）。 (Ceph 文档)

• 话术：

  • "我们不是在 Ceph18 上新上 cache tier；我们是把它当遗留系统过渡，最终要下线，避免未来被动。"

方案 2：把"热点卷"迁到 SSD Pool（分池/分层），替代"自动缓存"

• 做法：HDD pool 放冷数据，SSD pool 放关键 RBD（热点镜像/核心业务），用运维策略确定"哪些卷在快池"。
• 价值：可控、简单、故障域清晰；不会被一个弃用特性绑架。

方案 3：用 BlueStore 的 DB/WAL 下沉到 NVMe/SSD，提升 HDD OSD 的小 IO 能力

• 价值：这是业界更主流的混合盘优化路径，提升通常更稳定，不依赖 cache tiering 这种"池级缓存魔法"。

方案 4：RBD 客户端缓存（librbd cache / 持久化 writeback cache）做性能兜底

• 价值：热点在客户端命中，路径短；与其在集群里做"对象搬进搬出"，不如把缓存前移到计算侧，更贴近 RBD 场景。

你不需要在汇报里讲太细参数，把它们归类为"工程可落地的替代路径"就行。

---

四、你可以直接复用的"劝说模板"（面向领导）

一句话结论：

"Ceph18 升级是为了平台可持续维护；cache tiering 在 Reef 已被官方弃用并明确不建议继续依赖，所以我们要升级并同步规划替代方案，避免把生产性能押在未来可能被移除的遗留特性上。" (Ceph 文档)

三条关键论据：

1. Pacific 维护窗口收尾，继续停留风险上升。 (Ceph)
2. Reef 明确弃用 cache tiering，且缺少维护者、可能无预告移除。 (Ceph 文档)
3. 我们有明确替代路径（SSD 分池 / DB+WAL 下沉 / 客户端缓存），升级不等于性能不可控。

风险控制承诺（领导最在意）：

• "升级按灰度/分批/可回退策略执行；性能用替代方案兜底；并设定 cache tier 退出时间表，避免未来被动。"

---

如果你愿意，我还能帮你把这套内容整理成1 页汇报版（含：现状、风险、结论、路线图、回退预案、里程碑），你直接复制到周报/评审材料里就能用。