Compare commits
3 Commits
| Author | SHA1 | Date | |
|---|---|---|---|
|
0d4aa4ac00 | ||
|
|
6c4fa8f89f | ||
|
|
720969dee5 |
297
s4a.tex
297
s4a.tex
@@ -2,7 +2,7 @@
|
||||
\usepackage{cmap} % Copy-paste из PDF без проблем с кодировкой
|
||||
\usepackage[utf8]{inputenc}
|
||||
\usepackage[english,russian]{babel} % Русские переносы и проч.
|
||||
\usepackage{graphicx,color}
|
||||
\usepackage{graphicx,color,pmboxdraw}
|
||||
\usepackage[T1,T2A]{fontenc}
|
||||
\usepackage{indentfirst} % Отступ в первом абзаце главы
|
||||
\usepackage{fancyvrb} % Продвинутые листинги и in-line commands
|
||||
@@ -18,18 +18,8 @@ pdfauthor={Lennart Poettering, Sergey Ptashnick}}
|
||||
% Несколько сокращений
|
||||
\newcommand{\sectiona}[1]{\section*{#1}\addcontentsline{toc}{section}{#1}}
|
||||
\newcommand{\hreftt}[2]{\href{#1}{\texttt{#2}}}
|
||||
\newcommand{\tbs}{\textbackslash}
|
||||
\newcommand{\hrf}[2]{\href{#1}{#2}}
|
||||
\newenvironment{caveat}[1][]{\smallskip\par\textbf{Предупреждение#1: }}%
|
||||
{\smallskip\par}
|
||||
% Примерный аналог символа \testSFii (присутствует в листингах),
|
||||
% но без использования пакета pmboxdraw, средствами graphicx
|
||||
\newcommand{\mytextSFii}{\raisebox{0pt}[0pt][\depth]{%
|
||||
\reflectbox{\rotatebox[origin=t]{270}{$\neg$}}}}
|
||||
% Из-за бага в пакете fancyvrb, в окружениях Verbatim нельзя использовать URL,
|
||||
% содержащие дефисы. Поэтому их определение приходится выносить за пределы
|
||||
% окружения
|
||||
\newcommand{\defhref}[3]{\newcommand{#1}{\href{#2}{#3}}}
|
||||
% Настройка макета страницы
|
||||
\setlength{\hoffset}{-1.5cm}
|
||||
\addtolength{\textwidth}{2cm}
|
||||
@@ -207,7 +197,11 @@ JOB = Pending job for the unit.
|
||||
внимательно посмотрев на листинг выше, вы можете заметить, что служба ntpd
|
||||
(сервер точного времени) находится в состоянии, обозначенном как maintenance.
|
||||
Чтобы узнать, что же произошло с ntpd, воспользуемся командой
|
||||
+systemctl status+:
|
||||
+systemctl status+\footnote{Прим. перев.: Стоит заметить, что формат вывода
|
||||
данной команды менялся по мере развития systemd~--- появлялись дополнительные
|
||||
поля с информацией, был добавлен вывод журнала службы
|
||||
(см.~главу~\ref{sec:journal}) и т.д. Здесь приведен пример вывода этой команды
|
||||
на момент написания исходной статьи (лето 2010 года).}:
|
||||
\begin{Verbatim}[commandchars=\\\{\}]
|
||||
[root@lambda] ~# systemctl status ntpd.service
|
||||
ntpd.service - Network Time Service
|
||||
@@ -1499,23 +1493,25 @@ $ systemd-analyze blame
|
||||
значительно меньше, чем сумма времен инициализации каждой из них.
|
||||
|
||||
Рассмотрим повнимательнее первого осквернителя нашей загрузки: службу
|
||||
+udev-settle.service+. Почему ей требуется так много времени для запуска, и что
|
||||
мы можем с этим сделать? Данная служба выполняет очень простую функцию: она
|
||||
ожидает, пока udev завершит опрос устройств, после чего завершается. Опрос же
|
||||
устройств может занимать довольно много времени. Например, в нашем случае опрос
|
||||
устройств длится более 6~секунд из-за подключенного к компьютеру 3G-модема, в
|
||||
котором отсутствует SIM-карта. Этот модем очень долго отвечает на запросы udev.
|
||||
Опрос устройств является частью схемы, обеспечивающей работу ModemManager'а и
|
||||
позволяющей NetworkManager'у упростить для вас настройку 3G. Казалось бы,
|
||||
очевидно, что виновником задержки является именно ModemManager, так как опрос
|
||||
устройств для него занимает слишком много времени. Но такое обвинение будет
|
||||
заведомо ошибочным. Дело в том, что опрос устройств очень часто оказывается
|
||||
довольно длительной процедурой. Медленный опрос 3G-устройств для ModemManager
|
||||
является частным случаем, отражающим это общее правило. Хорошая система опроса
|
||||
устройств обязательно должна учитывать тот факт, что операция опроса любого из
|
||||
устройств может затянуться надолго. Истинной причиной наших проблем является
|
||||
необходимость ожидать завершения опроса, т.е., наличие службы
|
||||
+udev-settle.service+ как обязательной части нашего процесса загрузки.
|
||||
+udev-settle.service+\footnote{Прим. перев.: После объединения проектов systemd
|
||||
и udev, эта служба называется +systemd-udev-settle.service+.} Почему ей
|
||||
требуется так много времени для запуска, и что мы можем с этим сделать? Данная
|
||||
служба выполняет очень простую функцию: она ожидает, пока udev завершит опрос
|
||||
устройств, после чего завершается. Опрос же устройств может занимать довольно
|
||||
много времени. Например, в нашем случае опрос устройств длится более 6~секунд
|
||||
из-за подключенного к компьютеру 3G-модема, в котором отсутствует SIM-карта.
|
||||
Этот модем очень долго отвечает на запросы udev. Опрос устройств является
|
||||
частью схемы, обеспечивающей работу ModemManager'а и позволяющей
|
||||
NetworkManager'у упростить для вас настройку 3G. Казалось бы, очевидно, что
|
||||
виновником задержки является именно ModemManager, так как опрос устройств для
|
||||
него занимает слишком много времени. Но такое обвинение будет заведомо
|
||||
ошибочным. Дело в том, что опрос устройств очень часто оказывается довольно
|
||||
длительной процедурой. Медленный опрос 3G-устройств для ModemManager является
|
||||
частным случаем, отражающим это общее правило. Хорошая система опроса устройств
|
||||
обязательно должна учитывать тот факт, что операция опроса любого из устройств
|
||||
может затянуться надолго. Истинной причиной наших проблем является необходимость
|
||||
ожидать завершения опроса, т.е., наличие службы +udev-settle.service+ как
|
||||
обязательной части нашего процесса загрузки.
|
||||
|
||||
Но почему эта служба вообще присутствует в нашем процессе загрузки? На самом
|
||||
деле, мы можем прекрасно обойтись и без нее. Она нужна лишь как часть
|
||||
@@ -2110,7 +2106,7 @@ systemd?
|
||||
\item Найдите для них более подходящее место. Например, в случае с
|
||||
некоторыми общесистемными настройками (такими, как локаль или
|
||||
часовой пояс), мы надеемся аккуратно подтолкнуть дистрибутивы в
|
||||
правильно направлении (см. предыдущую главу).
|
||||
правильном направлении (см. предыдущую главу).
|
||||
\item Добавьте их поддержку в штатную систему настройки демона через
|
||||
собственные файлы конфигурации. К счастью, большинство служб,
|
||||
работающих в Linux, являются свободным программным обеспечением,
|
||||
@@ -2121,8 +2117,8 @@ systemd?
|
||||
время: необходимо обеспечить совместимость при обновлении. Тем не~менее, как
|
||||
минимум в новых пакетах, от таких файлов лучше отказаться.
|
||||
|
||||
Если требование совместимости критично, вы можете задействовать эти
|
||||
конфигурационные файлы даже в том случае, если настраиваете службы через
|
||||
В том случае, если требование совместимости критично, вы можете задействовать
|
||||
эти конфигурационные файлы даже в том случае, если настраиваете службы через
|
||||
штатные unit-файлы systemd. Если ваш файл из +sysconfig+ содержит лишь
|
||||
определения переменных, можно воспользоваться опцией
|
||||
+EnvironmentFile=-/etc/sysconfig/foobar+ (подробнее об этой опции см.
|
||||
@@ -2218,14 +2214,14 @@ RestartSec=0
|
||||
при обращении к экземпляру +serial-getty@ttyUSB0.service+, они заменяются на
|
||||
<<+ttyUSB0+>>. Результат такой замены можно проверить, например, запросив
|
||||
состояние для нашей службы:
|
||||
\begin{Verbatim}[commandchars=\\\{\}]
|
||||
\begin{Verbatim}
|
||||
$ systemctl status serial-getty@ttyUSB0.service
|
||||
serial-getty@ttyUSB0.service - Getty on ttyUSB0
|
||||
Loaded: loaded (/lib/systemd/system/serial-getty@.service; static)
|
||||
Active: active (running) since Mon, 26 Sep 2011 04:20:44 +0200; 2s ago
|
||||
Main PID: 5443 (agetty)
|
||||
CGroup: name=systemd:/system/getty@.service/ttyUSB0
|
||||
\mytextSFii{} 5443 /sbin/agetty -s ttyUSB0 115200,38400,9600
|
||||
└ 5443 /sbin/agetty -s ttyUSB0 115200,38400,9600
|
||||
\end{Verbatim}
|
||||
Собственно, это и есть ключевая идея организации экземпляров служб. Как видите,
|
||||
systemd предоставляет простой в использовании механизм шаблонов, позволяющих
|
||||
@@ -2235,8 +2231,8 @@ systemd предоставляет простой в использовании
|
||||
Вы можете создавать дополнительные экземпляры таких служб, просто добавляя
|
||||
символьные ссылки в каталоги +*.wants/+. Например, чтобы обеспечить запуск getty
|
||||
на ttyUSB0 при каждой загрузке, достаточно создать такую ссылку:
|
||||
\begin{Verbatim}[commandchars=\\\{\}]
|
||||
# ln -s /lib/systemd/system/serial-getty@.service \tbs{}
|
||||
\begin{Verbatim}
|
||||
# ln -s /lib/systemd/system/serial-getty@.service \
|
||||
/etc/systemd/system/getty.target.wants/serial-getty@ttyUSB0.service
|
||||
\end{Verbatim}
|
||||
При этом файл конфигурации, на который указывает ссылка (в нашем случае
|
||||
@@ -2292,7 +2288,7 @@ systemd и заложен предварительный поиск файла
|
||||
наличии в оболочке <<умного>> автодополнения. Однако, начиная с systemd v186,
|
||||
при работе с +systemctl+ можно указывать неэкранированные имена юнитов.}:
|
||||
\begin{landscape}
|
||||
\begin{Verbatim}[fontsize=\small,commandchars=|\{\}]
|
||||
\begin{Verbatim}[fontsize=\small]
|
||||
# systemctl start 'serial-getty@serial-by\x2dpath-pci\x2d0000:00:1d.0\x2dusb\x2d0:1.4:1.1\x2dport0.service'
|
||||
# systemctl status 'serial-getty@serial-by\x2dpath-pci\x2d0000:00:1d.0\x2dusb\x2d0:1.4:1.1\x2dport0.service'
|
||||
serial-getty@serial-by\x2dpath-pci\x2d0000:00:1d.0\x2dusb\x2d0:1.4:1.1\x2dport0.service - Serial Getty on serial/by-path/pci-0000:00:1d.0-usb-0:1.4:1.1-port0
|
||||
@@ -2300,7 +2296,7 @@ serial-getty@serial-by\x2dpath-pci\x2d0000:00:1d.0\x2dusb\x2d0:1.4:1.1\x2dport0.
|
||||
Active: active (running) since Mon, 26 Sep 2011 05:08:52 +0200; 1s ago
|
||||
Main PID: 5788 (agetty)
|
||||
CGroup: name=systemd:/system/serial-getty@.service/serial-by\x2dpath-pci\x2d0000:00:1d.0\x2dusb\x2d0:1.4:1.1\x2dport0
|
||||
|mytextSFii{} 5788 /sbin/agetty -s serial/by-path/pci-0000:00:1d.0-usb-0:1.4:1.1-port0 115200 38400 9600
|
||||
└ 5788 /sbin/agetty -s serial/by-path/pci-0000:00:1d.0-usb-0:1.4:1.1-port0 115200 38400 9600
|
||||
\end{Verbatim}
|
||||
\end{landscape}
|
||||
Как видите, в качестве идентификатора экземпляра используется экранированная
|
||||
@@ -2644,7 +2640,10 @@ MAC, от Mandatory Access Control), например, SELinux. Если вам
|
||||
Linux уже очень давно, но при этом практически неизвестных для большинства
|
||||
разработчиков. Мы постарались сделать соответствующие опции systemd максимально
|
||||
простыми в использовании, чтобы заинтересовать администраторов и апстримных
|
||||
разработчиков. Вот краткий перечень наиболее интересных возможностей:
|
||||
разработчиков. Вот краткий перечень наиболее интересных
|
||||
возможностей\footnote{Прим. перев.: В приведенном здесь списке не~упомянута
|
||||
встроенная в systemd поддержка фильтров seccomp, так как она была добавлена уже
|
||||
после написания исходной статьи.}:
|
||||
\begin{itemize}
|
||||
\item Изолирование служб от сети
|
||||
\item Предоставление службам независимых каталогов +/tmp+
|
||||
@@ -2748,7 +2747,7 @@ PrivateTmp=yes
|
||||
сокеты (впрочем, в данном конкретном случае некоторые меры безопасности все же
|
||||
присутствуют: сокеты размещаются в защищенном подкаталоге, который создается на
|
||||
ранних стадиях загрузки). Разумеется, для служб, использующих +/tmp+ в целях
|
||||
коммуникации, включение опции +PrivateTmp=yes+ недопустимо. К счастью, таких
|
||||
коммуникации, включение опции +PrivateTmp=yes+ недопустимо. К счастью, подобных
|
||||
служб сейчас уже не~так уж и много.
|
||||
\end{caveat}
|
||||
|
||||
@@ -2770,7 +2769,7 @@ InaccessibleDirectories=/home
|
||||
ReadOnlyDirectories=/var
|
||||
...
|
||||
\end{Verbatim}
|
||||
Добавление этих двух строчек в файл конфигурации, приводит к тому, что служба
|
||||
Добавление этих двух строчек в файл конфигурации приводит к тому, что служба
|
||||
полностью утрачивает доступ к содержимому каталога +/home+ (она видит лишь
|
||||
пустой каталог с правами доступа 000), а также не~может писать внутрь каталога
|
||||
+/var+.
|
||||
@@ -2866,7 +2865,7 @@ LimitFSIZE=0
|
||||
...
|
||||
\end{Verbatim}
|
||||
Обратите внимание, что эти ограничения будут эффективно работать только в том
|
||||
случае, если служба будет работать от имени простого пользователя (не~root) и
|
||||
случае, если служба запускается от имени простого пользователя (не~root) и
|
||||
без привилегии +CAP_SYS_RESOURCE+ (блокирование этой привилегии можно
|
||||
обеспечить, например, описанной выше опцией +CapabilityBoundingSet=+). В
|
||||
противном случае, ничто не~мешает процессу поменять соответствующие ограничения.
|
||||
@@ -2931,6 +2930,7 @@ systemd.
|
||||
чуть более безопасным.
|
||||
|
||||
\section{Отчет о состоянии службы и ее журнал}
|
||||
\label{sec:journal}
|
||||
|
||||
При работе с системами, использующими systemd, одной из наиболее важных и часто
|
||||
используемых команд является +systemctl status+. Она выводит отчет о состоянии
|
||||
@@ -2952,7 +2952,7 @@ systemd.
|
||||
|
||||
Итак, мы интегрировали Journal в systemd, и научили +systemctl+ работать с ним.
|
||||
Результат выглядит примерно так:
|
||||
\begin{Verbatim}[fontsize=\small,commandchars=\\\{\}]
|
||||
\begin{Verbatim}[fontsize=\small]
|
||||
$ systemctl status avahi-daemon.service
|
||||
avahi-daemon.service - Avahi mDNS/DNS-SD Stack
|
||||
Loaded: loaded (/usr/lib/systemd/system/avahi-daemon.service; enabled)
|
||||
@@ -2960,8 +2960,8 @@ avahi-daemon.service - Avahi mDNS/DNS-SD Stack
|
||||
Main PID: 8216 (avahi-daemon)
|
||||
Status: "avahi-daemon 0.6.30 starting up."
|
||||
CGroup: name=systemd:/system/avahi-daemon.service
|
||||
\mytextSFii{} 8216 avahi-daemon: running [omega.local]
|
||||
\mytextSFii{} 8217 avahi-daemon: chroot helper
|
||||
├ 8216 avahi-daemon: running [omega.local]
|
||||
└ 8217 avahi-daemon: chroot helper
|
||||
|
||||
May 18 12:27:37 omega avahi-daemon[8216]: Joining mDNS multicast group on interface eth1.IPv4 with address 172.31.0.52.
|
||||
May 18 12:27:37 omega avahi-daemon[8216]: New relevant interface eth1.IPv4 for mDNS.
|
||||
@@ -3035,9 +3035,10 @@ Unix-администратору при переходе на systemd нужн
|
||||
можно настроить, может получить ссылки на соответствующую документацию, просто
|
||||
воспользовавшись давно известной командой +systemctl status+. Возьмем для
|
||||
примера +systemd-logind.service+:
|
||||
\defhref{\logind}{http://www.freedesktop.org/software/systemd/man/systemd-logind.service.html}%
|
||||
{man:systemd-logind.service(7)}
|
||||
\begin{Verbatim}[fontsize=\small,commandchars=\\\{\},codes={\catcode`+=\active},defineactive=\def+{-}]
|
||||
\begin{Verbatim}[fontsize=\small,commandchars=\\\{\},%
|
||||
% В окружении Verbatim ссылки, содержащие знак дефиса/минуса "-",
|
||||
% повреждаются. Обходим это при помощи черной магии в стиле sysvinit:
|
||||
codes={\catcode`+=\active},defineactive=\def+{-}]
|
||||
$ systemctl status systemd-logind.service
|
||||
systemd-logind.service - Login Service
|
||||
Loaded: loaded (/usr/lib/systemd/system/systemd-logind.service; static)
|
||||
@@ -3047,7 +3048,7 @@ systemd-logind.service - Login Service
|
||||
\url{http://www.freedesktop.org/wiki/Software/systemd/multiseat}
|
||||
Main PID: 562 (systemd-logind)
|
||||
CGroup: name=systemd:/system/systemd-logind.service
|
||||
\mytextSFii{} 562 /usr/lib/systemd/systemd-logind
|
||||
└ 562 /usr/lib/systemd/systemd-logind
|
||||
|
||||
Jun 25 22:39:24 epsilon systemd-logind[562]: Watching system buttons on /dev/input/event2 (Power Button)
|
||||
Jun 25 22:39:24 epsilon systemd-logind[562]: Watching system buttons on /dev/input/event6 (Video Bus)
|
||||
@@ -3109,7 +3110,7 @@ URI, ссылающиеся на документацию, формируютс
|
||||
|
||||
В завершение, стоит отметить, что использованная нами идея не~является такой уж
|
||||
новой: в SMF, системе инициализации Solaris, уже используется практика
|
||||
добавления ссылок на документацию в описании службы. Однако, в Linux такой
|
||||
указания ссылок на документацию в описании службы. Однако, в Linux такой
|
||||
подход является принципиально новым, и systemd сейчас является наиболее
|
||||
документированной и прозрачной системой загрузки для данной платформы.
|
||||
|
||||
@@ -3131,6 +3132,202 @@ URI, ссылающиеся на документацию, формируютс
|
||||
страницу руководства}, где представлена псевгдорафическая потоковая диаграмма,
|
||||
описывающая процесс загрузки и роль ключевых юнитов.
|
||||
|
||||
\section{Сторожевые таймеры}
|
||||
|
||||
Разрабатывая systemd, мы ориентируемся на три основных области его применения:
|
||||
мобильные/встраиваемые устройства, настольные системы и промышленные серверы.
|
||||
Мобильные и встраиваемые системы, как правило, располагают очень скромными
|
||||
ресурсами и вынуждены очень экономно расходовать энергию. Настольные системы
|
||||
уже не~так сильно ограничены по мощности, хотя все же проигрывают в
|
||||
этом плане промышленным серверам. Но, как ни~странно, существуют
|
||||
возможности, востребованные в обоих крайних случаях (встраиваемые системы и
|
||||
серверы), но не~очень актуальные в промежуточной ситуации (десктопы). В
|
||||
частности, к ним относится поддержка
|
||||
\href{http://ru.wikipedia.org/wiki/Watchdog}{сторожевых таймеров} (watchdogs),
|
||||
как аппаратных, так и программных.
|
||||
|
||||
Во встраиваемых системах часто используются аппаратные сторожевые таймеры,
|
||||
выполняющие сброс системы, когда программа перестает отвечать (точнее, перестает
|
||||
периодически посылать таймеру сигнал <<все в порядке>>). Таким образом,
|
||||
обеспечивается повышение надежности системы: что бы ни~случилось, система
|
||||
обязательно попытается привести себя в рабочее состояние. На десктопах такая
|
||||
функциональность практически не~востребована\footnote{Тем не~менее, сейчас
|
||||
аппаратные сторожевые таймеры все чаще появляются и в настольных системах, так
|
||||
как стоят они относительно дешево и доступны практически во всех современных
|
||||
чипсетах.}. С другой стороны, она весьма актуальна для высокодоступных серверных
|
||||
систем.
|
||||
|
||||
Начиная с версии 183, systemd полностью поддерживает аппаратные сторожевые
|
||||
таймеры (доступные через интерфейс +/dev/watchdog+), а также обеспечивает
|
||||
программный сторожевой контроль системных служб. В целом эта схема (если она
|
||||
задействована) работает так. systemd периодически посылает сигналы аппаратному
|
||||
таймеру. В том случае, если systemd или ядро зависают, аппаратный таймер,
|
||||
не~получив очередного сигнала, автоматически перезапустит систему. Таким
|
||||
образом, ядро и systemd защищены от бесконечного зависания~--- на аппаратном
|
||||
уровне. В то же время, сам systemd предоставляет интерфейс, реализующий логику
|
||||
программных сторожевых таймеров для отдельных служб. Таким образом можно
|
||||
обеспечить, например, принудительный перезапуск службы в случае ее зависания.
|
||||
Для каждой службы можно независимо настроить частоту опроса и задать
|
||||
соответствующее действие. Соединив оба звена (аппаратный сторожевой таймер,
|
||||
контролирующий ядро и systemd, и программные сторожевые таймеры, посредством
|
||||
которых systemd контролирует отдельные службы), мы получаем надежную схему
|
||||
надзора за всеми системными компонентами.
|
||||
|
||||
Чтобы задействовать аппаратный таймер, достаточно задать ненулевое значение
|
||||
параметра +RuntimeWatchdogSec=+ в файле +/etc/systemd/system.conf+. По умолчанию
|
||||
этот параметр равен нулю (т.е. аппаратный таймер не~задействован). Установив его
|
||||
равным, например, <<+20s+>>, мы включим аппаратный сторожевой таймер. Если в
|
||||
течение 20 секунд таймер не~получит очередного сигнала <<все в порядке>>,
|
||||
система автоматически перезагрузится. Отметим, что systemd отправляет такие
|
||||
сигналы с периодом, равным половине заданного интервала~--- в нашем случае,
|
||||
через каждые 10 секунд. Собственно, это все. Просто задав один параметр,
|
||||
вы обеспечите аппаратный контроль работоспособности systemd и
|
||||
ядра\footnote{Небольшой совет: если вы занимаетесь отладкой базовых системных
|
||||
компонентов~--- не~забудьте отключить сторожевой таймер. Иначе ваша система
|
||||
может неожиданно перезагрузиться, когда отладчик остановит процесс init и тот
|
||||
не~может вовремя отправить сообщение таймеру.}.
|
||||
|
||||
Заметим, что с аппаратным сторожевым таймером (+/dev/watchdog+)
|
||||
должна работать только одна программа. Этой программой может быть либо systemd,
|
||||
либо отдельный демон сторожевого таймера (например,
|
||||
\href{http://linux.die.net/man/8/watchdog}{watchdogd})~--- выбор остается за
|
||||
вами.
|
||||
|
||||
Стоит упомянуть здесь еще одну опцию из файла +/etc/systemd/system.conf+~---
|
||||
+ShutdownWatchdogSec=+. Она позволяет настроить аппаратный сторожевой таймер для
|
||||
контроля процесса перезагрузки. По умолчанию она равна <<+10min+>>. Если в
|
||||
процессе остановки системы перед перезагрузкой она зависнет, аппаратный таймер
|
||||
принудительно перезагрузит ее по истечении данного интервала.
|
||||
|
||||
Это все, что я хотел сказать об аппаратных таймерах. Двух вышеописанных опций
|
||||
должно быть вполне достаточно для полноценного использования их возможностей.
|
||||
А сейчас мы рассмотрим логику программных сторожевых таймеров, обеспечивающих
|
||||
контроль работоспособности отдельных служб.
|
||||
|
||||
Прежде всего отметим, что для полноценной поддержки сторожевого контроля,
|
||||
программа должна содержать специальный код, периодически отправляющий таймеру
|
||||
сигналы <<все в порядке>>. Добавить поддержку такой функциональности довольно
|
||||
просто. Для начала, демон должен проверить переменную окружения +WATCHDOG_USEC=+.
|
||||
Если она определена, то ее значение задает контрольный интервал в микросекундах,
|
||||
сформатированный в виде текстовой (ASCII) строки. В этом случае демон должен
|
||||
регулярно выполнять вызов
|
||||
\hreftt{http://www.freedesktop.org/software/systemd/man/sd_notify.html}{sd\_notify}+("WATCHDOG=1")+
|
||||
с периодом, равным половине указанного интервала. Таким образом, поддержка
|
||||
программного сторожевого контроля со стороны демона сводится к проверке значения
|
||||
переменной окружения, и выполнении определенных действий в соответствии с этим
|
||||
значением.
|
||||
|
||||
Если интересующая вас служба обеспечивает поддержку такой
|
||||
функциональности, вы можете включить для нее сторожевой контроль, задав опцию
|
||||
+WatchdogSec=+ в ее юнит-файле. Эта опция задает период работы таймера
|
||||
(подробнее см.
|
||||
\href{http://www.freedesktop.org/software/systemd/man/systemd.service.html}{systemd.service(5)}).
|
||||
Если вы зададите ее, то systemd при запуске службы передаст ей соответствующее
|
||||
значение +WATCHDOG_USEC=+ и, если служба перестанет своевременно отправлять
|
||||
сигналы <<все в порядке>>, присвоит ей статус сбойной (failure state).
|
||||
|
||||
Очевидно, что одного только присвоения статуса недостаточно для обеспечения
|
||||
надежной работы системы. Поэтому нам также пригодятся настройки, определяющие,
|
||||
нужно ли перезапускать зависшую службу, количество попыток перезапуска, и
|
||||
дальнейшие действия, если она все равно продолжает сбоить. Чтобы включить
|
||||
автоматический перезапуск службы при сбое, нужно задать опцию
|
||||
+Restart=on-failure+ в ее юнит-файле. Чтобы настроить, сколько раз systemd будет
|
||||
пытаться перезапустить службу, воспользуйтесь настройками +StartLimitBurst=+
|
||||
+StartLimitInterval=+ (первая из них определяет предельное количество попыток,
|
||||
вторая~--- интервал времени, в течение которого они подсчитываются). В том
|
||||
случае, если достигнут предел количества попыток за указанное время, выполняется
|
||||
действие, заданное параметром +StartLimitAction=+. По умолчанию он установлен в
|
||||
+none+ (никаких дополнительных действий не~будет, службу просто оставят в покое со
|
||||
статусом сбойной). В качестве альтернативы можно указать одно из трех
|
||||
специальных действий: +reboot+, +reboot-force+ и +reboot-immediate+.
|
||||
+reboot+ соответствует обычной перезагрузке системы, с выполнением всех
|
||||
сопутствующих процедур (корректное завершение всех служб, отмонтирование
|
||||
файловых систем и т.д.). +reboot-force+ действует более грубо~--- даже
|
||||
не~пытаясь корректно остановить службы, оно просто убивает все их процессы,
|
||||
отмонтирует файловые системы и выполняет принудительную перезагрузку (в
|
||||
результате, перезагрузка происходит быстрее, чем обычно, но файловые системы
|
||||
остаются неповрежденными). И наконец, +reboot-immediate+ даже не~пытается отдать
|
||||
дань вежливости (убить процессы и отмонтировать файловый системы)~--- оно
|
||||
немедленно выполняет жесткую перезагрузку системы (это поведение практически
|
||||
аналогично срабатыванию аппаратного сторожевого таймера). Все перечисленный
|
||||
настройки подробно описаны на странице руководства
|
||||
\href{http://www.freedesktop.org/software/systemd/man/systemd.service.html}{systemd.service(5)})%
|
||||
\footnote{Прим. перев.: Автор упускает из виду одну полезную опцию,
|
||||
непосредственно относящуюся к обсуждаемому вопросу~--- +OnFailure=+, задающую
|
||||
юнит, который будет активирован в случае сбоя исходного юнита. Таким образом
|
||||
можно обеспечить, например, запуск скриптов, отправляющих администратору
|
||||
уведомление о сбое в сочетании с дополнительной информацией (для сбора которой
|
||||
целесообразно задействовать команды +systemctl status+ и +journalctl+). Кроме
|
||||
того, комбинирование данной настройки с опцией +OnFailureIsolate=+ позволяет
|
||||
при сбое юнита перевести систему в определенное состояние (например, остановить
|
||||
некоторые службы, перейти в режим восстановления, выполнить перезагрузку).}.
|
||||
|
||||
Таким образом, мы мы получаем гибкий механизм для настройки сторожевого контроля
|
||||
служб, их перезапуска при зависании, и реагирования в ситуации, когда перезапуск
|
||||
не~помогает.
|
||||
|
||||
Рассмотрим применение этих настроек на простом примере:
|
||||
\begin{Verbatim}
|
||||
[Unit]
|
||||
Description=My Little Daemon
|
||||
Documentation=man:mylittled(8)
|
||||
|
||||
[Service]
|
||||
ExecStart=/usr/bin/mylittled
|
||||
WatchdogSec=30s
|
||||
Restart=on-failure
|
||||
StartLimitInterval=5min
|
||||
StartLimitBurst=4
|
||||
StartLimitAction=reboot-force
|
||||
\end{Verbatim}
|
||||
Данная служба будет автоматически перезапущена, если она не~передаст системному
|
||||
менеджеру очередной сигнал <<все в порядке>> в течение 30 секунд после
|
||||
предыдущего (кроме того, перезапуск будет произведен и в случае любого другого
|
||||
сбоя, например, завершения основного процесса службы с ненулевым кодом выхода).
|
||||
Если потребуется более 4 перезапусков службы за 5 минут~--- будет предпринято
|
||||
специальное действие, в данном случае, быстрая перезагрузка системы с корректным
|
||||
отмонтированием файловых систем.
|
||||
|
||||
Это все, что я хотел рассказать о сторожевых таймерах в systemd. Мы надеемся,
|
||||
что поддержки аппаратного отслеживания работоспособности процесса init, в
|
||||
сочетании с контролем функционирования отдельных служб, должно быть достаточно
|
||||
для решения большинства задач, связанных со сторожевыми таймерами.
|
||||
Разрабатываете ли вы встраиваемую либо мобильную систему, или работаете с
|
||||
высокодоступными серверами~--- вам определенно стоит попробовать наши решения!
|
||||
|
||||
(И да, если у вас возникнет вопрос, почему с аппаратным таймером должен работать
|
||||
именно init, и что мешает вынести эту логику в отдельный демон~--- пожалуйста,
|
||||
перечитайте эту главу еще раз, и попытайтесь увидеть всю цепочку сторожевого
|
||||
контроля как единое целое: аппаратный таймер надзирает за работой systemd, а
|
||||
тот, в свою очередь, следит за отдельными службами. Кроме того, мы полагаем, что
|
||||
отсутствие своевременного ответа от службы нужно рассматривать и обрабатывать
|
||||
так же, как и любые другие ее сбои. И наконец, взаимодействие с
|
||||
+/dev/watchdog+~--- одна из самых тривиальных задач в работе ОС (обычно, она
|
||||
сводится к простому вызову +ioctl()+), и для ее решения достаточно нескольких
|
||||
строк кода. С другой стороны, вынос данной функции в отдельный демон потребует
|
||||
организации сложного межпроцессного взаимодействия между этим демоном и
|
||||
процессом init~--- очевидно, реализация такой схемы предоставит значительно
|
||||
б\'{о}льший простор для ошибок, не~говоря уже о повышенном потреблении
|
||||
ресурсов.)
|
||||
|
||||
Отметим, что встроенная в systemd поддержка аппаратного сторожевого таймера
|
||||
в~конфигурации по умолчанию отключена, и поэтому никак не~мешает работе с этим
|
||||
таймером из других программ. Вы без лишних проблем можете выбрать внешний
|
||||
сторожевой демон, если он лучше подходит для вашей задачи.
|
||||
|
||||
Да, и еще: если у вас возникнет вопрос, имеется ли в вашей системе аппаратный
|
||||
таймер~--- скорее всего да, если ваш компьютер не~очень старый. Чтобы получить
|
||||
точный ответ, вы можете воспользоваться утилитой
|
||||
\href{http://karelzak.blogspot.de/2012/05/eject1-sulogin1-wdctl1.html}{wdctl},
|
||||
включенной в последний релиз util-linux\footnote{Прим. перев.: Утилита wdctl
|
||||
присутствует в util-linux, начиная с версии~2.22, которая, на~момент написания
|
||||
этих строк, еще не~вышла.}. Эта программа выведет всю необходимую
|
||||
информацию о вашем аппаратном сторожевом таймере.
|
||||
|
||||
И в завершение, я хотел бы поблагодарить ребят из
|
||||
\href{http://www.pengutronix.de/}{Pengutronix}, которым приндалежит основная
|
||||
заслуга реализации сторожевого контроля в systemd.
|
||||
|
||||
\end{document}
|
||||
|
||||
vim:ft=tex:tw=80:spell:spelllang=ru
|
||||
|
||||
Reference in New Issue
Block a user