Compare commits
3 Commits
| Author | SHA1 | Date | |
|---|---|---|---|
|
bc028b2c47 | ||
|
|
9581d6dc16 | ||
|
|
aaa2ec62eb |
310
s4a.tex
310
s4a.tex
@@ -46,7 +46,8 @@ pdfauthor={Lennart Poettering, Sergey Ptashnick}}
|
||||
доступна на личной странице переводчика:
|
||||
\url{http://www2.kangran.su/~nnz/pub/s4a/}}\\%
|
||||
\small Данный документ доступен на условиях лицензии
|
||||
\href{http://creativecommons.org/licenses/by-sa/3.0/legalcode}{CC-BY-SA}}
|
||||
\href{http://creativecommons.org/licenses/by-sa/3.0/legalcode}{CC-BY-SA 3.0
|
||||
Unported}}
|
||||
\maketitle
|
||||
\tableofcontents%\newpage
|
||||
\sectiona{Предисловие автора}
|
||||
@@ -88,7 +89,7 @@ systemd эти сообщения будут пробегать все быст
|
||||
запуска служб бывает очень важна, а просматривать ее все тяжелее. systemd
|
||||
предлагает выход из этой ситуации: он отслеживает и запоминает факты успешного
|
||||
или неудачного запуска служб на этапе загрузки, а также сбои служб во время
|
||||
работы. К таким случая относятся выходы с ненулевым кодом, ошибки
|
||||
работы. К таким случаям относятся выходы с ненулевым кодом, ошибки
|
||||
сегментирования и т.п. Введя +systemctl status+ в своей командной оболочке, вы
|
||||
можете ознакомиться с состоянием всех служб, как <<родных>> (native) для
|
||||
systemd, так и классических SysV/LSB служб, поддерживаемых в целях
|
||||
@@ -252,7 +253,7 @@ CGI-программы, а демон cron~--- команды, предписа
|
||||
себе имя, скажем, на httpd.}.
|
||||
|
||||
systemd предлагает простой путь для решения обсуждаемой задачи. Запуская
|
||||
очередной новый процесс, systemd помещает его в отдельную контрольную группу
|
||||
новый процесс, systemd помещает его в отдельную контрольную группу
|
||||
с соответствующим именем. Контрольные группы Linux предоставляют очень
|
||||
удобный инструмент для иерархической структуризации процессов: когда
|
||||
какой-либо процесс порождает потомка, этот потомок автоматически включается в
|
||||
@@ -400,7 +401,7 @@ $ ps xawf -eo pid,user,cgroup,args
|
||||
\end{landscape}
|
||||
|
||||
Обратите внимание на третий столбец, показывающий имя контрольной группы,
|
||||
которое systemd присваивает каждому процессу. Например, процесс +udev+
|
||||
в которую systemd поместил данный процесс. Например, процесс +udev+
|
||||
находится в группе +name=systemd:/systemd-1/sysinit.service+. В эту группу
|
||||
входят процессы, порожденные службой +sysinit.service+, которая запускается
|
||||
на ранней стадии загрузки.
|
||||
@@ -594,7 +595,7 @@ systemd именует группы в соответствии с назван
|
||||
Эти скрипты пишутся на языке Bourne Shell (+/bin/sh+), располагаются в
|
||||
специальном каталоге (обычно +/etc/rc.d/init.d/+) и вызываются с одним из
|
||||
стандартных параметров (+start+, +stop+, +reload+ и т.п.)~--- таким образом
|
||||
указывается действие, которое необходимо прозвести над службой (запустить,
|
||||
указывается действие, которое необходимо произвести над службой (запустить,
|
||||
остановить, заставить перечитать конфигурацию). При запуске службы такой
|
||||
скрипт, как правило, вызывает бинарник демона, который, в свою очередь,
|
||||
форкается, порождая фоновый процесс (т.е. демонизируется). Заметим, что
|
||||
@@ -624,7 +625,7 @@ service-файл будет работать в любом дистрибути
|
||||
\href{http://0pointer.de/public/systemd-man/daemon.html}{страницу} официальной
|
||||
документации.
|
||||
|
||||
Итак, приступим. В качестве пример возьмем init-скрипт демона ABRT (Automatic
|
||||
Итак, приступим. В качестве примера возьмем init-скрипт демона ABRT (Automatic
|
||||
Bug Reporting Tool, службы, занимающейся сбором crash dump'ов). Исходный
|
||||
скрипт (в варианте для дистрибутива Fedora) можно загрузить
|
||||
\href{http://0pointer.de/public/abrtd}{здесь}.
|
||||
@@ -640,7 +641,7 @@ Bug Reporting Tool, службы, занимающейся сбором crash du
|
||||
\item Строка описания службы: <<Daemon to detect crashing apps>>. Как
|
||||
нетрудно заметить, комментарии в заголовке скрипта весьма
|
||||
пространны и описывают не~сколько саму службу, сколько
|
||||
скрипт, ее запускающий. service-файлы systemd также включают
|
||||
скрипт, ее запускающий. service-файлы systemd тоже содержат
|
||||
описание, но оно относится исключительно к службе, а не~к
|
||||
service-файлу.
|
||||
\item LSB-заголовок\footnote{LSB-заголовок~--- определенная в
|
||||
@@ -666,9 +667,11 @@ Bug Reporting Tool, службы, занимающейся сбором crash du
|
||||
socket-активацию, рассмотрены в статье
|
||||
\href{http://0pointer.de/blog/projects/systemd.html}{Rethinking
|
||||
PID~1}, в которой systemd был впервые представлен широкой
|
||||
публике. Ее русский перевод можно прочитать здесь:
|
||||
публике\footnote{Прим. перев.: Ее русский перевод (сделанный
|
||||
совершенно независимо от данного документа, совсем другим
|
||||
человеком) можно прочитать здесь:
|
||||
\href{http://tux-the-penguin.blogspot.com/2010/09/systemd.html}{часть~1},
|
||||
\href{http://tux-the-penguin.blogspot.com/2010/09/systemd-ii.html}{часть~2}.
|
||||
\href{http://tux-the-penguin.blogspot.com/2010/09/systemd-ii.html}{часть~2}.}.
|
||||
Возвращаясь к нашему примеру: в данном случае ценной
|
||||
информацией о зависимостях является только строка
|
||||
+Required-Start: $syslog+, сообщающая, что для работы
|
||||
@@ -720,7 +723,7 @@ WantedBy=multi-user.target
|
||||
поддерживают активацию через сокет. В системах, использующих такие
|
||||
реализации, явное указание +After=syslog.target+ будет избыточным, так
|
||||
как соответствующая функциональность поддерживается автоматически. Однако,
|
||||
эту строчку стоит все-таки указать для обеспечения совместимости с системами,
|
||||
эту строчку все-таки стоит указать для обеспечения совместимости с системами,
|
||||
использующими устаревшие реализации демона системного лога.}. Эта информация,
|
||||
как мы помним, была указана в LSB-заголовке исходного init-скрипта. В нашем
|
||||
конфигурационном файле мы указываем зависимость от демона системного лога при
|
||||
@@ -764,14 +767,14 @@ systemd считает службу запущенной с момента за
|
||||
играет важную роль при выполнении команды +systemctl enable+, задавая, в каких
|
||||
условиях должен активироваться устанавливаемый юнит. В нашем примере, служба
|
||||
abrtd будет активироваться при переходе в состояние +multi-user.target+,
|
||||
т.е., при каждой нормальной загрузке\footnote{Обратите внимание, что режим
|
||||
графической загрузки в systemd (+graphical.target+, аналог runlevel 5
|
||||
в SysV) является надстройкой над режимом многопользовательской консольной
|
||||
загрузки (+multi-user.target+, аналог runlevel 3 в SysV). Таким
|
||||
образом, все службы, запускаемые в режиме +multi-user.target+, будут
|
||||
также запускаться и в режиме +graphical.target+.} (к <<ненормальным>>
|
||||
можно отнести, например, загрузки в режиме +emergency.target+, который
|
||||
является аналогом первого уровня исполнения в классической SysV).
|
||||
т.е., при каждой нормальной\footnote{Прим. перев.: К <<ненормальным>> загрузкам
|
||||
можно отнести, например, загрузки в режимах +emergency.target+ или
|
||||
+rescue.target+ (является аналогом первого уровня исполнения в классической
|
||||
SysV).} загрузке\footnote{Обратите внимание, что режим графической загрузки в
|
||||
systemd (+graphical.target+, аналог runlevel 5 в SysV) является надстройкой над
|
||||
режимом многопользовательской консольной загрузки (+multi-user.target+, аналог
|
||||
runlevel 3 в SysV). Таким образом, все службы, запускаемые в режиме
|
||||
+multi-user.target+, будут также запускаться и в режиме +graphical.target+.}.
|
||||
|
||||
Вот и все. Мы получили минимальный рабочий service-файл systemd. Чтобы
|
||||
проверить его работоспособность, скопируем его в
|
||||
@@ -805,37 +808,37 @@ WantedBy=multi-user.target
|
||||
\end{Verbatim}
|
||||
|
||||
Чем же новый вариант отличается от предыдущего? Ну, прежде всего, мы уточнили
|
||||
описание службы. Однако, ключевым изменением является замена значения +Type+ с +forking+
|
||||
на +dbus+ и связанные с ней изменения: добавление имени службы в шине D-Bus
|
||||
(директива +BusName+) и задание дополнительных аргументов abrtd <<+-d -s+>>. Но
|
||||
зачем вообще нужна эта замена? Каков ее практический смысл? Чтобы ответить на
|
||||
этот вопрос, мы снова возвращаемся к демонизации. В ходе этой операции процесс
|
||||
дважды форкается и отключается от всех терминалов. Это очень удобно при запуске
|
||||
демона через скрипт, но в случае использования таких продвинутых систем
|
||||
инициализации, как systemd, подобное поведение не~дает никаких преимуществ, но
|
||||
вызывает неоправданные задержки. Даже если мы оставим в стороне вопрос скорости
|
||||
загрузки, останется такой важный аспект, как отслеживание состояния служб.
|
||||
systemd решает и эту задачу, контролируя работу службы и при необходимости
|
||||
реагируя на различные события. Например, при неожиданном падении основного
|
||||
процесса службы, systemd должен зарегистрировать идентификатор и код выхода
|
||||
процесса, также, в зависимости от настроек, он может попытаться перезапустить
|
||||
службу, либо активировать какой-либо заранее заданный юнит. Операция
|
||||
демонизации несколько затрудняет решение этих задач, так как обычно довольно
|
||||
сложно найти связь демонизированного процесса с исходным (собственно, смысл
|
||||
демонизации как раз и сводится к уничтожению этой связи) и, соответственно, для
|
||||
systemd сложнее определить, какой из порожденных в рамках данной службы
|
||||
процессов является основным. Чтобы упростить для него решение этой задачи, мы и
|
||||
воспользовались типом запуска +dbus+. Он подходит для всех служб, которые в
|
||||
конце процесса инициализации регистрируют свое имя на шине D-Bus\footnote{В
|
||||
настоящее время практически все службы дистрибутива Fedora после запуска
|
||||
регистрируется на шине D-Bus.}. ABRTd относится к ним. С новыми настройками,
|
||||
systemd запустит процесс abrtd, который уже не~будет форкаться (согласно
|
||||
указанным нами ключам <<+-d -s+>>), и в качестве момента окончания периода
|
||||
запуска данной службы systemd будет рассматривать момент регистрации имени
|
||||
+com.redhat.abrt+ на шине D-Bus. В этом случае основным для данной службы будет
|
||||
считаться процесс, непосредственно порожденный systemd. Таким образом, systemd
|
||||
располагает удобным методом для определения момента окончания запуска службы, а
|
||||
также может легко отслеживать ее состояние.
|
||||
описание службы. Однако, ключевым изменением является замена значения +Type+ с
|
||||
+forking+ на +dbus+ и связанные с ней изменения: добавление имени службы в шине
|
||||
D-Bus (директива +BusName+) и задание дополнительных аргументов abrtd
|
||||
<<+-d -s+>>. Но зачем вообще нужна эта замена? Каков ее практический смысл?
|
||||
Чтобы ответить на этот вопрос, мы снова возвращаемся к демонизации. В ходе
|
||||
данной операции процесс дважды форкается и отключается от всех терминалов. Это
|
||||
очень удобно при запуске демона через скрипт, но в случае использования таких
|
||||
продвинутых систем инициализации, как systemd, подобное поведение не~дает
|
||||
никаких преимуществ, но вызывает неоправданные задержки. Даже если мы оставим в
|
||||
стороне вопрос скорости загрузки, останется такой важный аспект, как
|
||||
отслеживание состояния служб. systemd решает и эту задачу, контролируя работу
|
||||
службы и при необходимости реагируя на различные события. Например, при
|
||||
неожиданном падении основного процесса службы, systemd должен зарегистрировать
|
||||
идентификатор и код выхода процесса, также, в зависимости от настроек, он может
|
||||
попытаться перезапустить службу, либо активировать какой-либо заранее заданный
|
||||
юнит. Операция демонизации несколько затрудняет решение этих задач, так как
|
||||
обычно довольно сложно найти связь демонизированного процесса с исходным
|
||||
(собственно, смысл демонизации как раз и сводится к уничтожению этой связи) и,
|
||||
соответственно, для systemd сложнее определить, какой из порожденных в рамках
|
||||
данной службы процессов является основным. Чтобы упростить для него решение этой
|
||||
задачи, мы и воспользовались типом запуска +dbus+. Он подходит для всех служб,
|
||||
которые в конце процесса инициализации регистрируют свое имя на шине
|
||||
D-Bus\footnote{В настоящее время практически все службы дистрибутива Fedora
|
||||
после запуска регистрируется на шине D-Bus.}. ABRTd относится к ним. С новыми
|
||||
настройками, systemd запустит процесс abrtd, который уже не~будет форкаться
|
||||
(согласно указанным нами ключам <<+-d -s+>>), и в качестве момента окончания
|
||||
периода запуска данной службы systemd будет рассматривать момент регистрации
|
||||
имени +com.redhat.abrt+ на шине D-Bus. В этом случае основным для данной службы
|
||||
будет считаться процесс, непосредственно порожденный systemd. Таким образом,
|
||||
systemd располагает удобным методом для определения момента окончания запуска
|
||||
службы, а также может легко отслеживать ее состояние.
|
||||
|
||||
Собственно, это все, что нужно было сделать. Мы получили простой
|
||||
конфигурационный файл, в 10 строчках которого содержится больше полезной
|
||||
@@ -851,7 +854,7 @@ systemd запустит процесс abrtd, который уже не~буд
|
||||
для процессов, активно использующих CPU.
|
||||
|
||||
За более подробным описанием всех опций настройки, вы можете обратиться к
|
||||
страницам рукводства
|
||||
страницам руководства
|
||||
\href{http://0pointer.de/public/systemd-man/systemd.unit.html}{systemd.unit},
|
||||
\href{http://0pointer.de/public/systemd-man/systemd.service.html}{systemd.service},
|
||||
\href{http://0pointer.de/public/systemd-man/systemd.exec.html}{systemd.exec}. Полный
|
||||
@@ -920,13 +923,13 @@ Apache, crond, atd, которые по роду служебной деятел
|
||||
конфигурационном файле службы (см.
|
||||
\href{http://www.0pointer.de/public/systemd-man/systemd.exec.html}{systemd.exec(5)}).}.
|
||||
|
||||
В некоторый случах возникает необходимость отправить сигнал именно основному
|
||||
В некоторых случаях возникает необходимость отправить сигнал именно основному
|
||||
процессу службы. Например, используя +SIGHUP+, мы можем заставить демона
|
||||
перечитать файлы конфигурации. Разумеется, передавать HUP вспомогательным процессам
|
||||
в этом случае совершенно необязательно. Для решения подобной
|
||||
задачи неплохо подойдет и классический метод с pid-файлом, однако у
|
||||
systemd и на этот случай есть простое решение, избавляющее вас от
|
||||
необходимости искать нужный файл:
|
||||
перечитать файлы конфигурации. Разумеется, передавать HUP вспомогательным
|
||||
процессам в этом случае совершенно необязательно. Для решения подобной задачи
|
||||
неплохо подойдет и классический метод с pid-файлом, однако у systemd и на этот
|
||||
случай есть простое решение, избавляющее вас от необходимости искать нужный
|
||||
файл:
|
||||
|
||||
\begin{Verbatim}
|
||||
# systemctl kill -s HUP --kill-who=main crond.service
|
||||
@@ -1128,7 +1131,7 @@ systemd и на этот случай есть простое решение, и
|
||||
вся иерархия файловых систем гостевой ОС монтируется или
|
||||
создается в каталоге системы-хоста, и при запуске оболочки (или
|
||||
любого другого приложения) внутри этой иерархии, в качестве
|
||||
корня используется этот каталог. Система, которую <<видят>>
|
||||
корня используется данный каталог. Система, которую <<видят>>
|
||||
такие программы, может сильно отличаться от ОС хоста. Например,
|
||||
это может быть другой дистрибутив, или даже другая аппаратная
|
||||
архитектура (запуск i386-гостя на x86\_64-хосте). Гостевая ОС
|
||||
@@ -1347,24 +1350,24 @@ Linux, которая позиционируется как современна
|
||||
полноценной ОС, функционирующей в контейнере. Изнутри контейнера невозможно
|
||||
увидеть процессы, которые находятся вне его. Контейнер сможет пользоваться сетью
|
||||
хоста\footnote{Прим. перев.: Впоследствии в +systemd-nspawn+ была добавлена
|
||||
опция +--private-network+, изолирующая систему внутри контейнера от сети хоста:
|
||||
такая система будет видеть только свой собственный интерфейс обратной петли.},
|
||||
однако не~имеет возможности изменить ее настройки (это может привести к серии
|
||||
ошибок в процессе загрузки гостевой ОС, но ни~одна из этих ошибок не~должна быть
|
||||
критической). Контейнер получает доступ к +/sys+ и +/proc/sys+, однако, во
|
||||
избежание вмешательства контейнера в конфигурацию ядра и аппаратного обеспечения
|
||||
хоста, эти каталоги будут смонтированы только для чтения. Обратите внимание, что
|
||||
эта защита блокирует лишь \emph{случайные}, \emph{непредвиденные} попытки
|
||||
изменения параметров. При необходимости, процесс внутри контейнера, обладающий
|
||||
достаточными полномочиями, сможет перемонтировать эти файловые системы в режиме
|
||||
чтения-записи.
|
||||
опция +--private-network+, позволяющая изолировать систему внутри контейнера от
|
||||
сети хоста: такая система будет видеть только свой собственный интерфейс
|
||||
обратной петли.}, однако не~имеет возможности изменить ее настройки (это может
|
||||
привести к серии ошибок в процессе загрузки гостевой ОС, но ни~одна из этих
|
||||
ошибок не~должна быть критической). Контейнер получает доступ к +/sys+ и
|
||||
+/proc/sys+, однако, во избежание вмешательства контейнера в конфигурацию ядра и
|
||||
аппаратного обеспечения хоста, эти каталоги будут смонтированы только для
|
||||
чтения. Обратите внимание, что эта защита блокирует лишь \emph{случайные},
|
||||
\emph{непредвиденные} попытки изменения параметров. При необходимости, процесс
|
||||
внутри контейнера, обладающий достаточными полномочиями, сможет перемонтировать
|
||||
эти файловые системы в режиме чтения-записи.
|
||||
|
||||
Итак, что же такого хорошего в +systemd-nspawn+?
|
||||
\begin{enumerate}
|
||||
\item Использовать эту утилиту очень просто. Вам даже не~нужно вручную монтировать
|
||||
внутри окружения +/proc+ и +/sys+~--- она сделает это за вас, а
|
||||
ядро автоматически отмонтирует их, когда последний процесс
|
||||
контейнера завершится.
|
||||
\item Использовать эту утилиту очень просто. Вам даже не~нужно вручную
|
||||
монтировать внутри окружения +/proc+ и +/sys+~--- она сделает
|
||||
это за вас, а ядро автоматически отмонтирует их, когда последний
|
||||
процесс контейнера завершится.
|
||||
\item Обеспечивается надежная изоляция, предотвращающая случайные
|
||||
изменения параметров ОС хоста изнутри контейнера.
|
||||
\item Теперь вы можете загрузить внутри контейнера полноценную ОС, а
|
||||
@@ -1406,7 +1409,7 @@ systemd уже подготовлен для работы внутри таки
|
||||
|
||||
\section{Поиск виновных}
|
||||
|
||||
Fedora~15\footnote{Величайший в истории релиз свободной ОС}
|
||||
Fedora~15\footnote{Величайший в истории релиз свободной ОС.}
|
||||
является первым релизом Fedora, использующим systemd в качестве системы
|
||||
инициализации по умолчанию. Основной нашей целью при работе над выпуском F15
|
||||
является обеспечение полной взаимной интеграции и корректной работы всех
|
||||
@@ -1488,21 +1491,21 @@ $ systemd-analyze blame
|
||||
|
||||
Рассмотрим повнимательнее первого осквернителя нашей загрузки: службу
|
||||
+udev-settle.service+. Почему ей требуется так много времени для запуска, и что
|
||||
мы можем с этим сделать? Эта служба выполняет очень простую задачу: она ожидает,
|
||||
пока udev завершит опрос устройств, после чего завершается. Опрос же устройств
|
||||
может занимать довольно много времени. Например, в нашем случае опрос устройств
|
||||
занимает более 6~секунд из-за подключенного к компьютеру 3G-модема, в котором
|
||||
отсутствует SIM-карта. Этот модем очень долго отвечает на запросы udev. Опрос
|
||||
устройств является частью схемы, обеспечивающей работу ModemManager'а и
|
||||
мы можем с этим сделать? Данная служба выполняет очень простую функцию: она
|
||||
ожидает, пока udev завершит опрос устройств, после чего завершается. Опрос же
|
||||
устройств может занимать довольно много времени. Например, в нашем случае опрос
|
||||
устройств длится более 6~секунд из-за подключенного к компьютеру 3G-модема, в
|
||||
котором отсутствует SIM-карта. Этот модем очень долго отвечает на запросы udev.
|
||||
Опрос устройств является частью схемы, обеспечивающей работу ModemManager'а и
|
||||
позволяющей NetworkManager'у упростить для вас настройку 3G. Казалось бы,
|
||||
очевидно, что виновником задержки является именно ModemManager, так как опрос
|
||||
устройств для него занимает слишком много времени. Но такое обвинение будет
|
||||
заведомо ошибочным. Дело в том, что опрос устройств очень часто оказывается довольно
|
||||
длительной процедурой. Медленный опрос 3G-устройств для ModemManager является
|
||||
частным случаем, отражающим это общее правило. Хорошая система опроса устройств
|
||||
обязательно должна учитывать тот факт, что операция опроса любого из устройств
|
||||
может затянуться надолго. Истинной причиной наших проблем является необходимость
|
||||
ожидать завершения опроса устройств, т.е., наличие службы
|
||||
заведомо ошибочным. Дело в том, что опрос устройств очень часто оказывается
|
||||
довольно длительной процедурой. Медленный опрос 3G-устройств для ModemManager
|
||||
является частным случаем, отражающим это общее правило. Хорошая система опроса
|
||||
устройств обязательно должна учитывать тот факт, что операция опроса любого из
|
||||
устройств может затянуться надолго. Истинной причиной наших проблем является
|
||||
необходимость ожидать завершения опроса, т.е., наличие службы
|
||||
+udev-settle.service+ как обязательной части нашего процесса загрузки.
|
||||
|
||||
Но почему эта служба вообще присутствует в нашем процессе загрузки? На самом
|
||||
@@ -1626,7 +1629,7 @@ $ eog plot.svg
|
||||
именно происходило во время загрузки, и отображает соответствующие графики
|
||||
использования процессора и ввода-вывода. +systemd-analyze plot+ оперирует более
|
||||
высокоуровневой информацией: сколько времени затратила та или иная служба во
|
||||
время запуска, и какие службы были вынуждены ее ожидать. Используя оба эти
|
||||
время запуска, и какие службы были вынуждены ее ожидать. Используя оба этих
|
||||
инструмента, вы значительно упростите себе поиск причин замедления вашей
|
||||
загрузки.
|
||||
|
||||
@@ -1698,14 +1701,14 @@ shell-скриптов, разработанных для этих задач р
|
||||
\item Автоматический запуск +getty+ на serial-консолях.
|
||||
\item Взаимодействие с Plymouth.
|
||||
\item Создание уникального идентификатора системы.
|
||||
\item Установка часового пояса.
|
||||
\item Настройка часового пояса.
|
||||
\end{itemize}
|
||||
|
||||
В стандартной установке Fedora~15 запуск shell-скриптов требуется только для
|
||||
некоторых устаревших служб, а также для подсистемы хранения данных (поддержка
|
||||
LVM, RAID и multipath). Если они вам не~нужны, вы легко можете отключить их, и
|
||||
наслаждаться загрузкой, полностью очищенной от shell-костылей (я это сделал уже
|
||||
давно). Такая загрузка является уникальной возможностью Linux-систем.
|
||||
наслаждаться загрузкой, полностью очищенной от shell-костылей (лично я это
|
||||
сделал уже давно). Такая загрузка является уникальной возможностью Linux-систем.
|
||||
|
||||
Большинство перечисленных выше компонентов настраиваются через конфигурационные
|
||||
файлы в каталоге +/etc+. Некоторые из этих файлов стандартизированы для всех
|
||||
@@ -1714,9 +1717,9 @@ LVM, RAID и multipath). Если они вам не~нужны, вы легко
|
||||
+/etc/crypttab+, +/etc/sysctl.conf+. Однако множество других, нестандартно
|
||||
расположенных файлов и каталогов вынуждали нас добавлять в код огромное
|
||||
количество операторов +#ifdef+, чтобы обеспечить поддержку различных вариантов
|
||||
расположения конфигураций в разных дистрибутивах. Такой положение дел сильно
|
||||
расположения конфигураций в разных дистрибутивах. Такое положение дел сильно
|
||||
усложняет жизнь нам всем, и при этом ничем не~оправдано~--- все эти файлы решают
|
||||
одни и те же задачи, но делают это немного по-разному.
|
||||
одни и те же задачи, просто немного по-разному.
|
||||
|
||||
Чтобы улучшить ситуацию и установить единый стандарт расположения базовых
|
||||
конфигурационных файлов во всех дистрибутивах, мы заставили systemd пользоваться
|
||||
@@ -1745,7 +1748,7 @@ LVM, RAID и multipath). Если они вам не~нужны, вы легко
|
||||
\hreftt{http://0pointer.de/public/systemd-man/modules-load.d.html}{/etc/modules-load.d/*.conf}:
|
||||
каталог\footnote{Прим. перев.: Для описания этого и трех
|
||||
последующих каталогов автор пользуется термином <<drop-in
|
||||
directory>>. Этот термин означает каталог, в который можно
|
||||
directory>>. Данный термин означает каталог, в который можно
|
||||
поместить множество независимых файлов настроек, и при чтении
|
||||
конфигурации все эти файлы будут обработаны (впрочем, часто
|
||||
накладывается ограничение~--- обрабатываются только файлы с
|
||||
@@ -1816,18 +1819,17 @@ LVM, RAID и multipath). Если они вам не~нужны, вы легко
|
||||
systemd, но уже сейчас в их число входят практически все ключевые дистрибутивы,
|
||||
\href{http://www.ubuntu.com/}{за исключением
|
||||
одного}\footnote{Прим. перев.: В конце 2010~года энтузиаст Andrew Edmunds
|
||||
\href{http://cgit.freedesktop.org/systemd/commit/?id=858dae181bb5461201ac1c04732d3ef4c67a0256}{добавил}
|
||||
\href{http://cgit.freedesktop.org/systemd/systemd/commit/?id=858dae181bb5461201ac1c04732d3ef4c67a0256}{добавил}
|
||||
в systemd базовую поддержку Ubuntu и
|
||||
\href{https://wiki.ubuntu.com/systemd}{подготовил} соответствующие пакеты,
|
||||
однако его инициатива не~встретила поддержки среди менеджеров Canonical. На
|
||||
момент написания этих строк (май 2011 года) проект остается заброшенным уже пять
|
||||
месяцев (с середины декабря 2010~г.).}. В этом есть что-то от <<проблемы курицы
|
||||
и яйца>>: стандарт становится настоящим стандартом только тогда, когда ему
|
||||
начинают следовать. В будущем мы намерены аккуратно форсировать процесс перехода
|
||||
на новые конфигурационные файлы: поддержка старых файлов будет удалена из
|
||||
systemd. Разумеется, этот процесс будет идти медленно, шаг за шагом. Но конечной
|
||||
его целью является переход всех дистрибутивов на единый набор базовых
|
||||
конфигурационных файлов.
|
||||
момент написания этих строк проект остается заброшенным с декабря 2010~г.}. В
|
||||
этом есть что-то от <<проблемы курицы и яйца>>: стандарт становится настоящим
|
||||
стандартом только тогда, когда ему начинают следовать. В будущем мы намерены
|
||||
аккуратно форсировать процесс перехода на новые конфигурационные файлы:
|
||||
поддержка старых файлов будет удалена из systemd. Разумеется, процесс будет
|
||||
идти медленно, шаг за шагом. Но конечной его целью является переход всех
|
||||
дистрибутивов на единый набор базовых конфигурационных файлов.
|
||||
|
||||
Многие из этих файлов используются не~только программами для настройки системы,
|
||||
но и апстримными проектами. Например, мы предлагаем проектам Mono, Java, WINE и
|
||||
@@ -1864,9 +1866,9 @@ shed)~--- если первое из этих решений принимает
|
||||
\textbf{Помогите нам стандартизировать Linux! Используйте новые конфигурационные
|
||||
файлы! Поддерживайте их в апстриме, поддерживайте их во всех дистрибутивах!}
|
||||
|
||||
Да, и если у вас возникнет такой вопрос: да, все эти файлы так или иначе
|
||||
И если у вас возникнет такой вопрос: да, все эти файлы так или иначе
|
||||
обсуждались с разными разработчиками из различных дистрибутивов. И некоторые из
|
||||
этих разработчиков планируют обеспечить поддержку новой конфигурации даже в
|
||||
разработчиков планируют обеспечить поддержку новой конфигурации даже в
|
||||
системах без systemd.
|
||||
|
||||
\section{О судьбе /etc/sysconfig и /etc/default}
|
||||
@@ -1902,15 +1904,15 @@ shell это соответствует оператору-точке <<+.+>>.
|
||||
окружения, определенные во включаемом коде. Как правило, код для включения
|
||||
не~содержит shebang'а (+#!/bin/sh+ в начале файла).} shell-скриптами, содержащими,
|
||||
главным образом, определения переменных. Большинство файлов из этих каталогов
|
||||
включаются в одноименные скрипты SysV init. Этот принцип отражен в
|
||||
включаются в одноименные скрипты SysV init. Данный принцип отражен в
|
||||
\href{http://www.debian.org/doc/debian-policy/ch-opersys.html#s-sysvinit}{Debian
|
||||
Policy Manual (раздел 9.3.2)} и в
|
||||
\href{http://fedoraproject.org/wiki/Packaging:SysVInitScript}{Fedora Packaging
|
||||
Guidelines}, однако в обоих этих дистрибутивах иногда встречаются файлы,
|
||||
не~соответствующие такой схеме, например, не~имеющие соответствующего
|
||||
Guidelines}, однако в обоих дистрибутивах иногда встречаются файлы,
|
||||
не~соответствующие описанной схеме, например, не~имеющие соответствующего
|
||||
init-скрипта, или даже сами не~являющиеся скриптами.
|
||||
|
||||
Но почему вообще появились эти каталоги? Чтобы ответить на этот вопрос,
|
||||
Но почему вообще появились эти каталоги? Чтобы ответить на такой вопрос,
|
||||
обратимся к истории развития концепции SysV init-скриптов. Исторически,
|
||||
сложилось так, что они располагаются в каталоге под названием +/etc/rc.d/init.d+
|
||||
(или что-то похожее). Отметим, что каталог +/etc+ вообще-то предназначен для
|
||||
@@ -1959,16 +1961,16 @@ init-скрипта, или даже сами не~являющиеся скри
|
||||
+/etc/sysconfig+ (+/etc/default+) и почему этим каталогам нет места в мире
|
||||
systemd?
|
||||
\begin{itemize}
|
||||
\item Прежде всего, утрачены основная цель и смысл существования этих
|
||||
\item Прежде всего, утрачены основная цель и смысл существования таких
|
||||
каталогов: файлы конфигурации юнитов systemd не~являются
|
||||
программами, в отличие от init-скриптов SysV. Эти файлы
|
||||
представляют собой простые, декларативные описания конкретных
|
||||
задач и функций, и обычно содержат не~более шести строк. Они
|
||||
легко могут быть сгенерированы и проанализованы без
|
||||
использования Bourne shell. Их легко читать и понимать. Кроме
|
||||
того, их легко модифицировать: достаточно скопировать их из
|
||||
того, их легко модифицировать: достаточно скопировать файл из
|
||||
+/lib/systemd/system+ в +/etc/systemd/system+, после чего внести
|
||||
необходимые изменения в скопированный файл (при этом можно быть
|
||||
в созданную копию необходимые изменения (при этом можно быть
|
||||
уверенным, что изменения не~будут затерты пакетным менеджером).
|
||||
Изначальная причина появления обсуждаемых каталогов~---
|
||||
необходимость разделять код и параметры конфигурации~--- больше
|
||||
@@ -2063,7 +2065,7 @@ systemd?
|
||||
настоящее время не~поддерживается автоматическая загрузка
|
||||
модулей на основании информации о возможностях процессора,
|
||||
однако это будет исправлено в ближайшем будущем\footnote{Прим.
|
||||
перев.: Патчи от разработчиков systemd уже приняты в ядро, и
|
||||
перев.: Необходимые патчи уже приняты в ядро, и
|
||||
соответствующая функция поддерживается Linux, начиная с версии
|
||||
3.3.}. В случае, если нужный вам модуль ядра все же не~может
|
||||
быть подгружен автоматически, все равно существует гораздо более
|
||||
@@ -2151,20 +2153,19 @@ systemd?
|
||||
\emph{foobar}~--- строка, идентифицирующая службу (проще говоря, ее имя), а
|
||||
+.service+~--- суффикс, присутствующий в именах всех файлов конфигурации служб.
|
||||
Сами эти файлы могут находиться в каталогах +/etc/systemd/systemd+ и
|
||||
+/lib/systemd/system+ (а также, возможно, и в других\footnote{Прим. перев.: В
|
||||
качестве <<других>> каталогов, в которых выполняется поиск юнит-файлов, можно
|
||||
упомянуть +/run/systemd/system+, в который помещаются временные файлы
|
||||
конфигурации, созданные администратором или программами-генераторами и
|
||||
действующие только текущем сеансе, и +/usr/lib/systemd/system+, в котором
|
||||
находятся юнит-файлы для обычных служб, запускаемых на поздних стадиях загрузки
|
||||
(то время, как в упомянутом каталоге +/lib/systemd/system+ находятся файлы
|
||||
конфигурации ключевых системных юнитов, которые требуются на раннем этапе
|
||||
загрузки, до монтирования +/usr+).}). Для служб, работающих в
|
||||
нескольких экземплярах, эта схема становится немного сложнее:
|
||||
\emph{foobar}+@+\emph{quux}+.service+, где \emph{foobar}~--- имя службы,
|
||||
общее для всех экземпляров, а \emph{quux}~--- идентификатор конкретного
|
||||
экземпляра. Например, +serial-gett@ttyS2.service+~--- это служба getty для
|
||||
COM-порта, запущенная на +ttyS2+.
|
||||
+/lib/systemd/system+ (а также, возможно, и в других\footnote{Прим. перев.:
|
||||
Перечень каталогов, в которых выполняется поиск общесистемных юнит-файлов,
|
||||
приведен на странице руководства
|
||||
\href{http://www.0pointer.de/public/systemd-man/systemd.html}{systemd(1)}
|
||||
(раздел <<System unit directories>>). Указанные выше каталоги
|
||||
+/etc/systemd/systemd+ и +/lib/systemd/system+ соответствуют значениям по
|
||||
умолчанию для упомянутых там переменных pkg-config +systemdsystemconfdir+ и
|
||||
+systemdsystemunitdir+ соответственно.}). Для служб, работающих в нескольких
|
||||
экземплярах, эта схема становится немного сложнее:
|
||||
\emph{foobar}+@+\emph{quux}+.service+, где \emph{foobar}~--- имя службы, общее
|
||||
для всех экземпляров, а \emph{quux}~--- идентификатор конкретного экземпляра.
|
||||
Например, +serial-gett@ttyS2.service+~--- это служба getty для COM-порта,
|
||||
запущенная на +ttyS2+.
|
||||
|
||||
При необходимости, экземпляры служб можно легко создать динамически. Скажем, вы
|
||||
можете, безо всяких дополнительных настроек, запустить новый экземпляр getty на
|
||||
@@ -2175,7 +2176,7 @@ COM-порта, запущенная на +ttyS2+.
|
||||
|
||||
Получив такую команду, systemd сначала пытается найти файл конфигурации юнита с
|
||||
именем, точно соответствующим запрошенному. Если такой файл найти не~удается
|
||||
(при работе с экземплярами сервисов обычно так и происходит), из имени файла
|
||||
(при работе с экземплярами служб обычно так и происходит), из имени файла
|
||||
удаляется идентификатор экземпляра, и полученное имя используется при поиске
|
||||
\emph{шаблона} конфигурации. В нашем случае, если отсутствует файл с именем
|
||||
+serial-getty@ttyUSB0.service+, используется файл-шаблон под названием
|
||||
@@ -2199,7 +2200,7 @@ RestartSec=0
|
||||
параметры конфигурации, обеспечивающие совместимость с SysV, очистку экрана и
|
||||
удаление предыдущих пользователей с текущего TTY. Если вам интересно, можете
|
||||
посмотреть
|
||||
\href{http://cgit.freedesktop.org/systemd/plain/units/serial-getty@.service.m4}{полную
|
||||
\href{http://cgit.freedesktop.org/systemd/systemd/plain/units/serial-getty@.service.m4}{полную
|
||||
версию}.)
|
||||
|
||||
Этот файл похож на обычный файл конфигурации юнита, с единственным отличием: в
|
||||
@@ -2207,7 +2208,7 @@ RestartSec=0
|
||||
заменяет эти спецификаторы на идентификатор экземпляра службы. В нашем случае,
|
||||
при обращении к экземпляру +serial-getty@ttyUSB0.service+, они заменяются на
|
||||
<<+ttyUSB0+>>. Результат такой замены можно проверить, например, запросив
|
||||
состояние для этой службы:
|
||||
состояние для нашей службы:
|
||||
\begin{Verbatim}[commandchars=\\\{\}]
|
||||
$ systemctl status serial-getty@ttyUSB0.service
|
||||
serial-getty@ttyUSB0.service - Getty on ttyUSB0
|
||||
@@ -2238,7 +2239,7 @@ systemd предоставляет простой в использовании
|
||||
|
||||
Иногда возникает необходимость отказаться от использования общего шаблона
|
||||
для конкретного экземпляра (т.е. конфигурация данного экземпляра настолько
|
||||
сильно отличается от конфигурации остальных экземпляров данной службы, что
|
||||
сильно отличается от параметров остальных экземпляров данной службы, что
|
||||
механизм шаблонов оказывается неэффективен). Специально для таких случаев, в
|
||||
systemd и заложен предварительный поиск файла с именем, точно соответствующим
|
||||
указанному (прежде чем использовать общий шаблон). Таким образом, вы можете
|
||||
@@ -2350,7 +2351,7 @@ systemd прежде всего ориентирована на локальны
|
||||
передавать запускаемой службе только один сокет, который формируется из потоков
|
||||
STDIN и STDOUT запущенного процесса. Поддержка этого механизма также
|
||||
присутствует в systemd~--- для обеспечения совместимости со множеством служб,
|
||||
поддерживающих сокет-активацию только в стиле inetd.
|
||||
у которых сокет-активация реализована только в стиле inetd.
|
||||
|
||||
Прежде, чем мы перейдем к примерам, рассмотрим три различных схемы, использующих
|
||||
сокет-активацию:
|
||||
@@ -2371,7 +2372,7 @@ STDIN и STDOUT запущенного процесса. Поддержка эт
|
||||
действительно понадобится. Пример~--- CUPS.
|
||||
\item \textbf{Сокет-активация для служб, запускающих по экземпляру на
|
||||
каждое соединение:} сокеты создаются на ранней стадии загрузки,
|
||||
и при каждом входящем соединении создается экземпляр службы,
|
||||
и при каждом входящем соединении запускается экземпляр службы,
|
||||
которому передается сокет соединения (слушающий сокет при этом
|
||||
остается у суперсервера, inetd или systemd). Эта схема подходит
|
||||
для редко используемых служб, не~критичных по производительности
|
||||
@@ -2408,12 +2409,12 @@ STDIN и STDOUT запущенного процесса. Поддержка эт
|
||||
большинстве систем, где она используется, частота обращений к ней не~превышает
|
||||
одного раза в час (как правило, она \emph{значительно} меньше этой величины).
|
||||
SSH уже очень давно поддерживает сокет-активацию в стиле inetd, согласно третьей
|
||||
схеме. Так как необходимость в этой службе возникает сравнительно редко, и
|
||||
схеме. Так как необходимость в данной службе возникает сравнительно редко, и
|
||||
число одновременно работающих процессов обычно невелико, она хорошо подходит для
|
||||
использования по этой схеме. Перерасход системных ресурсов должен быть
|
||||
незначителен: большую часть времени такая служба фактически не~выполняется и
|
||||
не~тратит ресурсы. Когда кто-либо начинает сеанс удаленной работы, она
|
||||
запускается, и останавливается немедленно по завершению сеанса, освобождая
|
||||
запускается, и останавливается немедленно по завершении сеанса, освобождая
|
||||
ресурсы. Что ж, посмотрим, как в systemd можно воспользоваться режимом
|
||||
совместимости с inetd и обеспечить сокет-активацию SSH.
|
||||
|
||||
@@ -2478,10 +2479,10 @@ StandardInput=socket
|
||||
\end{Verbatim}
|
||||
|
||||
Большинство представленных здесь опций, как всегда, понятны интуитивно. Особое
|
||||
внимание стоит обратить лишь на +StandardInput=socket+, которая, собственно, и
|
||||
включает для данной службы режим совместимости с inetd-активацией. Опция
|
||||
+StandardInput=+ позволяет указать, куда будет подключен поток STDIN процесса
|
||||
данной службы (подробности см.
|
||||
внимание стоит обратить лишь на строчку +StandardInput=socket+, которая,
|
||||
собственно, и включает для данной службы режим совместимости с inetd-активацией.
|
||||
Опция +StandardInput=+ позволяет указать, куда будет подключен поток STDIN
|
||||
процесса данной службы (подробности см.
|
||||
\href{http://0pointer.de/public/systemd-man/systemd.exec.html}{на странице
|
||||
руководства}). Задав для нее значение +socket+, мы обеспечиваем подключение
|
||||
этого потока к сокету соединения, как того и требует механизм inetd-активации.
|
||||
@@ -2568,17 +2569,30 @@ sshd.socket loaded active listening SSH So
|
||||
xinetd, вы заметите, что далеко не~все эти опции доступны в systemd. Например, в
|
||||
systemd нет и никогда не~будет встроенных служб +echo+, +time+, +daytime+,
|
||||
+discard+ и т.д. Кроме того, systemd не~поддерживает TCPMUX и RPC. Впрочем,
|
||||
большинство этих опций уже не~актуальны в наше время. Подавляющее большинство
|
||||
inetd-служб не~используют эти опции (в частности, ни~одна из имеющихся в Fedora
|
||||
xinetd-служб не~требует поддержки перечисленных опций). Стоит отметить, что
|
||||
xinetd имеет некоторые интересные возможности, отсутствующие в systemd,
|
||||
например, списки контроля доступа для IP-адресов (IP ACL). Однако, большинство
|
||||
администраторов, скорее всего, согласятся, что настройка барндмауэра является
|
||||
более эффективным решением подобных задач, а для ценителей устаревших технологий
|
||||
systemd предлагает поддержку tcpwrap. С другой стороны, systemd тоже
|
||||
предоставляет ряд возможностей, отсутствующих в xinetd, в частности,
|
||||
индивидуальный контроль над каждым экземпляром службы (см. выше), и куда более
|
||||
полный
|
||||
б\'{о}льшая часть этих опций уже не~актуальна в наше время. Подавляющее
|
||||
большинство inetd-служб не~используют эти опции (в частности, ни~одна из
|
||||
имеющихся в Fedora xinetd-служб не~требует поддержки перечисленных опций). Стоит
|
||||
отметить, что xinetd имеет некоторые интересные возможности, отсутствующие в
|
||||
systemd, например, списки контроля доступа для IP-адресов (IP ACL). Однако,
|
||||
большинство администраторов, скорее всего, согласятся, что настройка брандмауэра
|
||||
является более эффективным решением подобных задач\footnote{Прим. перев.: Стоит
|
||||
отметить, что приведенный пример является не~единственным случаем, когда
|
||||
возможности брандмауэра Linux дублируются опциями xinetd. Например, количество
|
||||
соединений с каждого хоста может быть ограничено критерием connlimit, а
|
||||
скорость поступления входящих соединений можно контролировать сочетанием
|
||||
критериев limit и conntrack (+ctstate NEW+). Критерий recent позволяет создать
|
||||
аналог простейшей IDS/IPS, реализованной механизмом SENSORS в xinetd. Кроме
|
||||
того, в ряде случаев возможности брандмауэра значительно превосходят
|
||||
функциональность xinetd. Например, критерий hashlimit, опять-таки в сочетании с
|
||||
conntrack, позволяет ограничить скорость поступления входящих соединений с
|
||||
каждого хоста (не~путать с критерием connlimit, ограничивающим количество
|
||||
одновременно открытых соединений). Также стоит отметить, что интегрированная в
|
||||
Linux подсистема ipset гораздо лучше подходит для работы с большими списками
|
||||
разрешенных/запрещенных адресов, нежели встроенные механизмы xinetd.}, а для
|
||||
ценителей устаревших технологий systemd предлагает поддержку tcpwrap. С другой
|
||||
стороны, systemd тоже предоставляет ряд возможностей, отсутствующих в xinetd, в
|
||||
частности, индивидуальный контроль над каждым экземпляром службы (см. выше), и
|
||||
куда более полный
|
||||
\href{http://0pointer.de/public/systemd-man/systemd.exec.html}{список настроек}
|
||||
для контроля окружения, в котором запускаются экземпляры. Я надеюсь, что
|
||||
возможностей systemd должно быть достаточно для решения большинства задач, а в
|
||||
|
||||
Reference in New Issue
Block a user