Devuan LXC + Runit native boot

717ced644746a2533bca1bf903c8edbe

Runit уже много лет пленяет пылкие сердца и умы любителей прекрасного и если вас тоже подташнивает от коричневых оттенков мэйнстримных облаков, то слушайте. Я расскажу о своём опыте использования runit в режиме native boot, который делает lightweight контейнеры по-настоящему lightweight.

Ведь как я делал раньше? Деплоил контейнер debian, отключал мерзкий бинарный лог в /etc/systemd/journald.conf, потом ставил вменяемый rsyslog, который тянул logrotage и cron, а потом выискивал свои крошечные поделки в списке процессов среди всех этих systemd, cron, rsyslogd, agetty — вот этот agetty я вообще победить не мог.

Вас бы не задолбало такое безобразие? Я-то терпеливый, но и меня тоже достало.

Devuan. Только Devuan.

А про native boot в runit вообще ни один из известных мне поисковиков ничего не может сказать, и никаких упоминаний нет на wiki всех этих gentoo, void, artix, где runit активно используется. И даже на этом сайте ни слова, хотя поиск по runit весьма познавателен, если отфильтровать весь спам про лошадиный спорт.

Увы, у всяких медалей есть обратная сторона. В данных мне ощущениях реальности, Devuan вообще забил на шаблоны LXC для себя любимого. Но не беда. Как говорится, даже если вас съели, то всё равно есть два выхода: 1) шаблон можно нарыть в интернетах, например:

и 2) у нас есть божественный debootstrap. Этот вариант мне больше нравится — всё в моих руках и под полным контролем. Если коротко, то бутстрапим систему в например /var/lib/lxc/devuan/rootfs, потом создаём config, потом запускаем контейнер — и вуаля — радуемся. Только перед вуаля надо чуточку поколдовать. С этого и начнём, а если кто про debootstrap слышит первый раз — тогда читайте эту заметку с конца.

Системы инициализации кроме мэйнстримной, с контейнерами не дружат совсем, поэтому приходится прибивать кучку ненужных сервисов. Вы это можете наблюдать в шаблонах, что я привёл выше (кстати, они удивительно похожи, где первоисточник?) Но даже то, как делают там, — недостаточно. Более того, sysvinit вообще для контейнеров не годится без серьёзных доработок. Runit — да, но она запускает скрипты из /etc/rcS.d на старте и из /etc/rc6.d при завершении работы. Гадят, в основном, вот эти:

  • hwclock.sh: на старте ничего не делает — там рулит udev, но при завершении работы пытается прописать время в hardware clock

  • umountfs: как вы видели, в шаблонах контейнеров этот сервис безуспешно пытаются прибить, я бы добавил umountroot, поскольку верю, что всем этим рулит LXC. Если, конечно, ничего не упускаю.

  • sendsigs: безуспешно пытается прибить процессы, чем вешает остановку контейнера на некоторое время.

Но, собственно, зачем нам весь этот хлам? Для контейнера он вообше не нужен. Да-да. Всё и так работает — LXC рулит. Но прибивать сервисы — занятие неблагодарное, и вот тут-то и выручает native boot. Если заглянуть в файлы /etc/runit/1 и /etc/runit/3, то становится ясно, что наличие файла /etc/runit/native.boot.run меняет всё:

  • /etc/runit/1 запускает скрипты *.sh из каталога /etc/runit/boot-run вместо /etc/rcS.d

  • /etc/runit/3 запускает скрипты из /etc/runit/shutdown-run вместо /etc/rc6.d, ну или до какого там runlevel-а ваша система дойдёт

Пробуем:

touch /etc/runit/native.boot.run
mkdir /etc/runit/boot-run
mkdir /etc/runit/shutdown-run

Перезапускаем контейнер. У меня работает. А у вас?

Некоторые плюшки всё-же не помешают. Для себя я использую три:

  • вызов sysctl --system, как в /etc/init.d/procps

  • вызов hostname `cat /etc/hostname` — в обычных применениях не нужен, но вдруг вам надо? Мне, например, — да.

  • rm /var/log/dmesg* — вот не нашёл пока кто его пишет, как найду — прибъю обязательно. У меня на хосте и так прописан kernel.dmesg_restrict = 1, так что толку от этого dmesg в контейнерах никакого.

Насчёт самого runit — там есть лишнее, но избавиться от него гораздо легче, чем в мэйнстриме:

for f in /etc/service/getty* ; do unlink $f ; done
for f in /etc/service/.getty* ; do unlink $f ; done
unlink /etc/service/default-syslog

Ну и конечно же, пользуемся svlogd:

ln -s /etc/sv/svlogd /etc/service/

Да, если используете sshd, но auditd не установлен, надо закомментировать строчку

sv start auditd  || sv check auditd || true

в файле /etc/service/ssh/run

Обещанный debootstrap, но это мои личные предпочтения. Внимательно проверьте include/exclude перед тем, как копипастить.

debootstrap --variant=minbase \
    --include=runit,runit-init,nano,apt-utils,dialog,procps,libc-l10n,locales,lsb-release,iproute2,netbase,nftables,tzdata,less,bsdextrautils,findutils,iputils-tracepath,iputils-ping,lsof,openssh-server,openssh-sftp-server,psutils,rsync,screen,bash-completion \
    --exclude=sysvinit-core,vim-common,vim-tiny,isc-dhcp-client,isc-dhcp-common,bootlogd,dmidecode \
    daedalus /var/lib/lxc/devuan/rootfs \
    http://us.deb.devuan.org/merged/

Да, ещё: если ваша базовая система не Devuan, то вам нужен правильный debootstrap:

git clone https://git.devuan.org/devuan/debootstrap.git
export DEBOOTSTRAP_DIR=`realpath debootstrap`

Плюс, ключи:

gpg --no-default-keyring --keyserver keyring.devuan.org \
    --keyring ./devuan-keyring.gpg \
    --recv-keys 0022D0AB5275F140 94532124541922FB

и добавьте тогда --keyring=./devuan-keyring.gpg к debootstrap

Пример файла конфигурации /var/lib/lxc/devuan/config:

lxc.net.0.type = veth
lxc.net.0.hwaddr = 00:12:34:56:78:9a
lxc.net.0.ipv4.address = 192.168.0.2/24
lxc.net.0.ipv4.gateway = 192.168.0.1
lxc.net.0.link = br0
lxc.net.0.flags = up
lxc.apparmor.profile = unconfined
lxc.apparmor.allow_nesting = 1
lxc.rootfs.path = dir:/var/lib/lxc/devuan/rootfs

# Common configuration
lxc.include = /usr/share/lxc/config/debian.common.conf

# lxcfs
lxc.mount.auto = cgroup:mixed
lxc.autodev = 1
lxc.include = /usr/share/lxc/config/common.conf.d/00-lxcfs.conf

# Container specific configuration
lxc.tty.max = 4
lxc.uts.name = devuan
lxc.arch = arm64
lxc.pty.max = 1024

# Map user and group ids
lxc.include = /usr/share/lxc/config/debian.userns.conf
lxc.idmap = u 0 900000 65536
lxc.idmap = g 0 900000 65536

lxc.start.auto = 1

И последнее: не знаю как у вас, а у меня fuidshift (поделка на go из lxd-tools) нифига не работает. Я пользуюсь более простой и понятной http://bazaar.launchpad.net/~serge-hallyn/+junk/nsexec/view/head:/uidmapshift.c

© Habrahabr.ru