¿Quién soy?

Mikel Olasagasti Uranga
Sysadmin
- Almacenamiento
- Virtualización
- Backup
- Pseudo-web developer
Trabajo en Omega Peripherals

Hablemos de systemd

¿De dónde sale systemd?
¿Qué puede hacer systemd?
systemd vs Upstart vs OpenRC vs SysVinit

¿De dónde sale systemd?

La versión 1 se publica el 6 de julio del 2010
- Va por la versión 206 (2013-07-22)
Se presenta como la alternativa a Upstart pero bien diseñado
Los principales desarrolladores son:
- Lennart Poettering, mezcalero
  - Una de las personas más odiadas de la comunidad del software libre
  - Quizá le conozcáis por otro software como PulseAudio, Avahi, libcanberra, libdaemon, libatasmart, …
- Kay Sievers
  - udev, Gummiboot
Stats de código (2013-07-14)
- Con la integración de udev las estadisticas son un poco raras

¿Quién usa systemd?

Fedora >=15 (reemplaza Upstart)
Maegia >=2
openSUSE >=12.1 (reemplaza Upstart)
Arch Linux desde octubre 2012
Gentoo como alternativa a OpenRC
Debian tiene soporte básico y algo desactualizado (v44 en sid, v204 en experimental el día 2013-07-21)
Ubuntu experimentalmente y sin soporte
RHEL7 (reemplaza Upstart)

¿Qué es systemd?

Es un gestor de servicios/demonios
- Como SysVinit, OpenRC, Upstart…
Es un gestor de sistema
- Gestiona más cosas que servicios y demonios
- Hora, locale, usuarios, logs, …
Pensado para móviles, desktop y servidores

¿Qué es systemd? (II)

Se basa en 3 pilares
- Tiempos mínimos de arranque
  - Paralelismo
  - Dependencias claras
  - Ayuda a conseguir 99,999%
  - OpenRC vs systemd (Youtube 2013-03-18)
- Confiabilidad
  - Se expresan todas las dependencias de cualquier servicio
- Debugabilidad
  - Se ve claro que necesita que y se puede seguir una ruta

¿Qué es systemd? (III)

Altamente modular
- Más de 60 binarios
  - Útiles en distros sin systemd (systemd-detect-virt, systemd-tmpfiles, systemd-udevd)
- Más de 130 man pages
LGPL-2.1+ (antes GPL-2+)
Solo funciona en Linux
- cgroups, fanotify, umount2(), /proc/self/mountinfo, /dev/swaps, udev, netlink, estructura de /sys, …
Puede funcionar sin SELinux

¿Qué es systemd? (IV)

Gestiona 11 tipos distintos de unidades
- Servicios
- Sockets
- Targets (los runlevels de SysVinit)
- Devices (udev se ha integrado en systemd; nombres predecibles eno1, ens1, enp2s0…)
- Montajes (no lanza un mount -a en el arranque)
- Automontajes
- Snapshots
- Timers
- Swaps
- Paths
- Slices
Permite crear dependencias entre unidades
- No arranques Apache hasta no tener montado NFS
- Introduzco USB, lo chequeo, lo monto, hago un mysqldump y hago un backup

¿Qué es systemd? (V)

Deja obsoleto en mayor o menor medida el siguiente software
- ConsoleKit: gestor de logins y sesiones por logind; soporte multiseat mejorado
- sysvinit
- initscripts
- pm-utils: encargado de suspender e hibernar las máquinas; un montón de ñapas
- inetd
- acpid: daemon que al pulsar botón de apagar la máquina se apagaba
- syslog: se introduce the journal, syslog on steroid
- watchdog
- cgrulesd
- cron
- atd
- /etc/redhat-release, /etc/SuSE-release, /etc/debian_version, /etc/arch-release, /etc/gentoo-release, /etc/slackware-version, /etc/frugalware-release, /etc/altlinux-release, /etc/mandriva-release, /etc/meego-release, /etc/angstrom-version, /etc/mageia-release

Unidad básica: Servicios

Esquema de un servicio simple

[root@localhost ~]# ls -l /etc/systemd/system/multi-user.target.wants/sshd.service
lrwxrwxrwx. 1 root root 36 uzt 14 20:26 /etc/systemd/system/multi-user.target.wants/sshd.service -> /usr/lib/systemd/system/sshd.service

[root@localhost ~]# cat /etc/systemd/system/multi-user.target.wants/sshd.service

[Unit]
Description=OpenSSH server daemon

After=syslog.target network.target auditd.service

[Service]
EnvironmentFile=/etc/sysconfig/sshd
ExecStartPre=/usr/sbin/sshd-keygen
ExecStart=/usr/sbin/sshd -D $OPTIONS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process

[Install]
WantedBy=multi-user.target

Características - Ficheros de servicio

Descripción declarativa
No son programas
La distribución tendrá los ficheros de servicio en /usr/lib
Las modificaciones se hacen sobre copias en /etc
Dependiendo de tipo de servicio/activación tendrán distinto tipo de fichero
Se pueden instanciar

Características - Ficheros de servicio - ejemplos

systemctl
- pager automatico
- --no-pager
systemctl status sshd.service
systemctl enable sshd.service
systemctl --failed
systemctl list-units
systemctl list-units -t services --all
systemctl list-socket
systemctl start/stop/reload/restart/try-restart/reload-or-restart/reload-or-try-restart/
systemctl isolate target
systemctl kill service
systemctl is-enabled sshd.service; echo $?
…

Características - Seguimiento de todo lo que se lanza

Un demonio puede tener muchos hijos
SysV no tiene ni idea de cuantos, Upstart lo intenta con strace
Todos los procesos se lanzan en un grupo, en un cgroup
Todos los procesos hijos se marcan con ese label
- Matar a todo el grupo sin dejar procesos aislados
Ver consumo real de cada grupo
- ps hormonado: $ alias psc='ps xawf -eo pid,user,cgroup,args'
- Gestión de cgroups con cgtop y cgls
It’s all about cgroups, stupid!

Características - autorespawn

Se encarga de gestionar daemons muertos y los levanta
RestartSec=
Restart= no, on-success, on-failure, on-abort, or always
RestartPreventExitStatus = 1
StartLimitInterval=
StartLimitBurst=

Características - Gestión de recursos

Se pueden ajustar recursos a cgroups
- Como nice pero por grupo en vez de por proceso
- CPU, memoria, IO
Por ahora se puede configurar por fichero de conf
Por ejemplo una máquina LAMP se podría asignar 30% a MySQL y 70% a Apache
Son soft limit por defecto
Calculo dinámico
Antes de lanzar se calculan recursos para evitar picos

.include /usr/lib/systemd/system/httpd.service

[Service]
CPUShares=1500
MemoryLimit=1G
BlockIOWeight=500
BlockIOWeight=/dev/disk/by-id/ata-SAMSUNG_MMCRE28G8MXP-0VBL1_DC06K01009SE009B5252 750
BlockIOWeight=/home/lennart 750
BlockIOReadBandwith=/var/log 5M

Características - Slices

Grupos de cgroups
Se pueden crear slices de VMs/containers, usuarios, servicios
Feature de systemd 205 - no me ha dado tiempo a probar :(

Características - Journal

No se pierde ningún mensaje de log
stdout y stderr se dirigen al log de systemd
Desde el arranque en RAMdisk al shutdown se guarda todo
- Permite tracear los problemas de arranque de sistema o servicios
Los mensajes de arranque se envían a syslog una vez haya red

Características - Journal

Se introduce en Fedora-17
Echaban de menos las 10 últimas líneas de log del servidor
Estructura: no solo guarda mensajes, guarda más datos que syslog
Es un formato binario y todos los campos están indexados
Seguridad: sellado, FSS; guarda origen de los mensajes para auditar
Confiabilidad: los logs se rotan cuando haga falta para garantizar espacio, no cuando lo requiera un cron
Centralización: syslog, auditing, kmesg, wtmp, utmp, > el journal; ordenado por tiempo independientemente de donde venga

Características - Journal (II)

l10n: Diseñado para localizar mensajes de error
Explicaciones: Los mensajes pueden tener un ID único tipo ORA-xxx
Standards compliance: no significa usar syslog pero se puede; se puede exportar HTTP o JSON;
Contexto implícito: cada mensaje implícitamente sabe de quien viene, grupo, usuario, proceso, cgroup…
Cero mantenimiento: siempre activo
Abierto: hay API, se puede meter syslog por detras, …

Características - Journal - ejemplos

journalctl
- pager automaticamnte
- pixel perfect de /var/log/messages
- hay colores; negrita son errores; rojo == error
- Cada reboot aparece marcando en el log
  - por primera vez se hace uso de las prioridades de msg
Info del arranque: journalctl -b
Errores del arranque: journalctl -p err -b
tail -f: journalctl -f
tail -n 10: journalctl -n 10

Características - Journal - más ejemplos

Mensajes de hoy: journalctl --since=yesterday
Mensajes entre fechas: journalctl --since=2013-03-25 --until="2013-07-03 13:13:13"
Por servicio: journalctl -u avahi
Por binario: jounalctl /usr/bin/foobar
Verbose: journalctl -o verbose -n 10
- Los mensajes con _ son datos fiables
Por usuario: journalctl _UI[tab] 1001
Por nombre de proceso: journalctl _COMM gdm

Características - Journal - Sellado

Se basa en Forward Secure Pseudo Random Generators de Bertram Poettering
Se genera una clave privada y se van generando claves públicas nuevas cada poco tiempo
- Variable, 15min
Se sellan los logs para que no se puedan alterar
- Se pueden borrar
journalctl --setup-keys
journalctl --verify
journalctl --verify --verify-key=

Características - Journal centralizado

Se está trabajando en centralizar journal
Posibilidad de pedir logs remotos por HTTP/HTTPS
- systemctl enable systemd-journal-gatewayd.service
- systemctl start systemd-journal-gatewayd.service
Mostrar logs curl hostname:19531/entries?follow
Mostrar información de la máquina curl hostname:19531/machine
Mostar log de arranque en JSON : curl --silent -H’Accept: application/json' http://hostname:19531/entries?boot

Características - Watchdog

Permite que systemd haga funciones de 'hombre muerto'
Manda un keep-alive a determinados intervalos
- Si es cada 20 segundos enviará cada 10
- Si falla es que systemd ha muerto y el hardware reinicia la máquina
Se puede hacer que los procesos también manden keep-alive
- Necesita soporte en el software
- Variable de entorno WATCHDOG_USEC y configuración de servicio WatchdogSec
Comprobar soporte con wdctl (>=util-linux-2.22)

Características - Activación de servicios - Socket

Socket activation, 3 tipos
- Paralelismo para levantar servicios
- Procesos bajo demanda: CUPS
- Funciones de inetd
Permite pasar sockets a contenedores LXC

Características - Activación de servicios - "inetd"

$ cat sshd.socket
[Unit]
Description=SSH Socket for Per-Connection Servers

[Socket]
ListenStream=22
Accept=yes

[Install]
WantedBy=sockets.target

cat sshd@.service
[Unit]
Description=SSH Per-Connection Server

[Service]
ExecStart=-/usr/sbin/sshd -i
StandardInput=socket

Características - Activación de servicios - Hardware

Hardware
- Cualquier dispositivo controlado por udev
- Levanta servicio SYSTEMD_WANTS
- Impresora USB

SUBSYSTEM=="printer", TAG+="systemd", ENV{SYSTEMD_WANTS}="printer.target"
SUBSYSTEM=="usb", KERNEL=="lp*", TAG+="systemd", ENV{SYSTEMD_WANTS}="printer.target"

Características - Activación de servicios - Path

Path
- Se pueden levantar servicios ante cambios de FS

[Unit]
Description=CUPS Printer Service Spool

[Path]
DirectoryNotEmpty=/var/spool/cups/d*

[Install]
WantedBy=multi-user.target

Características - Activación de servicios - Timer

Ejecuciones repetitivas
Ejecuciones sobre calendario

$ cat /etc/systemd/system/timer-daily.timer
[Unit]
Description=Hourly Daily

[Timer]
OnBootSec=10min
OnUnitActiveSec=1d
Unit=timer-daily.target

[Install]
WantedBy=basic.target

$ cat /etc/systemd/system/timer-daily.target
[Unit]
Description=Daily Timer Target
StopWhenUnneeded=yes

$ cat /etc/systemd/system/timer-daily.target.wants/logrotate.service
[Unit]
Description=Update man-db

[Service]
Nice=19
IOSchedulingClass=2
IOSchedulingPriority=7
ExecStart=/usr/bin/logrotate /etc/logrotate.conf

[Unit]
Description=Proceso intermitente

[Timer]
OnCalendar=Mon-Thu,Sat,Sun *-*-* 00:00:00
Unit=keinukari.target

[Install]
WantedBy=basic.target

Características - Debug

Log completo de systemd y stdout y stderr por cada proceso
Arranque interactivo
Se puede hacer un seguimiento de quién lanza qué

Características - Profiling

systemd-analyze
- Startup finished in 1.426s (kernel) + 5.405s (initrd) + 24.751s (userspace) = 31.583s
systemd-analyze blame

         10.257s plymouth-quit-wait.service
          9.480s firewalld.service
          5.598s accounts-daemon.service
          3.544s systemd-udev-settle.service
          3.465s systemd-logind.service
          3.465s rtkit-daemon.service

systemd-analyze plot > plot.svg
Integración con bootchart: /usr/lib/systemd/systemd-bootchart -r
- Ejemplo

Características - Compatibilidad SysV

Compatibilidad 99% con scripts de SysV
RHEL7 tiene todos los servicios portados a systemd

$ repoquery -q --qf="%{name}" --whatprovides '*/init.d/*' | grep -v sysv | grep -v initscript | grep -v systemv | sort -u | wc -l
156
$ repoquery -q --qf="%{name}" --whatprovides '*/lib/systemd/system/*' | sort -u | wc -l
626

Características - Seguridad

Capabilities CapabilityBoundingSet=CAP_CHOWN CAP_KILL
Red privada PrivateNetwork=yes
Acceso a dispositivos DeviceAllow=/dev/null rw
Read-only ReadOnlyDirectories=/var
Directorios inaccesibles InaccessibleDirectories=/home
/tmp privada PrivateTmp=true
Número de hijos LimitNPROC=1
…

Características - Parámetros de ejecución

Descripción de distintas opciones
- Nivel de nice
- Limite de recursos
- Variables de entorno
- Prioridad IO
- Prioridad de CPU
- Afinidad de CPU
- chroot() / chdir()
- setuid() / setgid()
- umask
- …

API journal

Soporte oficial para C y python
Soporte de comunidad para Node.js, PHP, Lua, Go
systemd guarda todo lo que salga por stdout o stderr
- No haría falta añadir soporte systemd-journal
- Mejor usar systemd-journal, mucha más información

API journal

Este printf() si es ejecutado por un servicio de systemd sería guardado en el journal

#include <stdio.h>

#define PREFIX_NOTICE "<5>"

int main(int argc, char *argv[]) {
        printf(PREFIX_NOTICE "Hello World\n");
        return 0;
}

API journal

Esta entrada nos daría mucha más información
- CODE_FILE, CODE_LINE, CODE_FUNC

#include <systemd/sd-journal.h>

int main(int argc, char *argv[]) {
        sd_journal_print(LOG_NOTICE, "Hello World");
        return 0;
}

$ gcc `pkg-config --cflags --libs libsystemd-journal` test.c -o test
$ ./test
$ journalctl -o verbose -o json-pretty /tmp/test
{
        "__CURSOR" : "s=2081d5de28a04e728de5058c502f7332;i=217d;b=7a39a4a3858f49149ed0f36f813d5f12;m=585ecd78;t=4e20a1ef5ebf5;x=73da254fe12d8871",
        "__REALTIME_TIMESTAMP" : "1374433003826165",
        "__MONOTONIC_TIMESTAMP" : "1482607992",
        "_BOOT_ID" : "7a39a4a3858f49149ed0f36f813d5f12",
        "_UID" : "0",
        "_GID" : "0",
        "_MACHINE_ID" : "7725dfc225d14958a625ddaaaea5962b",
        "PRIORITY" : "5",
        "_TRANSPORT" : "journal",
        "_HOSTNAME" : "localhost.localdomain",
        "_SELINUX_CONTEXT" : "unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023",
        "_AUDIT_SESSION" : "2",
        "_AUDIT_LOGINUID" : "0",
        "_SYSTEMD_CGROUP" : "/user/0.user/2.session",
        "_SYSTEMD_SESSION" : "2",
        "_SYSTEMD_OWNER_UID" : "0",
        "MESSAGE" : "Hello World",
        "CODE_FILE" : "test.c",
        "CODE_LINE" : "4",
        "CODE_FUNC" : "main",
        "SYSLOG_IDENTIFIER" : "test",
        "_PID" : "1886",
        "_COMM" : "test",
        "_EXE" : "/tmp/test",
        "_CMDLINE" : "./test",
        "_SOURCE_REALTIME_TIMESTAMP" : "1374433003822603"
}

API journal

systemd permite añadir mucha más información para por ejemplo luego poder filtrar
- CODE_FILE, CODE_LINE, CODE_FUNC, HOME
- TERM, PAGE_SIZE, N_CPUS

#include <systemd/sd-journal.h>
#include <unistd.h>
#include <stdlib.h>

int main(int argc, char *argv[]) {
        sd_journal_send("MESSAGE=Hello World!",
                        "MESSAGE_ID=52fb62f99e2c49d89cfbf9d6de5e3555",
                        "PRIORITY=5",
                        "HOME=%s", getenv("HOME"),
                        "TERM=%s", getenv("TERM"),
                        "PAGE_SIZE=%li", sysconf(_SC_PAGESIZE),
                        "N_CPUS=%li", sysconf(_SC_NPROCESSORS_ONLN),
                        NULL);
        return 0;
}

$ gcc `pkg-config --cflags --libs libsystemd-journal` test.c -o proba
$ ./proba
$ journalctl -o verbose -o json-pretty journalctl MESSAGE_ID=52fb62f99e2c49d89cfbf9d6de5e3555
{
        "__CURSOR" : "s=2081d5de28a04e728de5058c502f7332;i=2189;b=7a39a4a3858f49149ed0f36f813d5f12;m=70c24a2d;t=4e20a375968aa;x=47dc6e8366092932",
        "__REALTIME_TIMESTAMP" : "1374433412999338",
        "__MONOTONIC_TIMESTAMP" : "1891781165",
        "_BOOT_ID" : "7a39a4a3858f49149ed0f36f813d5f12",
        "_UID" : "0",
        "_GID" : "0",
        "_MACHINE_ID" : "7725dfc225d14958a625ddaaaea5962b",
        "PRIORITY" : "5",
        "_TRANSPORT" : "journal",
        "_HOSTNAME" : "localhost.localdomain",
        "_SELINUX_CONTEXT" : "unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023",
        "CODE_FUNC" : "main",
        "CODE_FILE" : "test3.c",
        "CODE_LINE" : "13",
        "MESSAGE" : "Hello World!",
        "MESSAGE_ID" : "52fb62f99e2c49d89cfbf9d6de5e3555",
        "HOME" : "/root",
        "TERM" : "xterm",
        "PAGE_SIZE" : "4096",
        "N_CPUS" : "2",
        "SYSLOG_IDENTIFIER" : "proba",
        "_PID" : "2079",
        "_SOURCE_REALTIME_TIMESTAMP" : "1374433412998249"
}

API journal

Simple ejemplo de python

from systemd import journal
journal.send('Hello world')
journal.send('Hello, again, world', FIELD2='Greetings!', FIELD3='Guten tag')

Otras funcionalidades - localectl

Gestión de locale

# localectl
   System Locale: LANG=eu_ES.UTF-8
       VC Keymap: es
      X11 Layout: es,us
     X11 Variant: ,
     X11 Options: grp:alt_shift_toggle
# localectl set-keymap es, us
# localectl
   System Locale: LANG=eu_ES.UTF-8
       VC Keymap: es,
VC Toggle Keymap: us
      X11 Layout: es,us
     X11 Variant: ,
     X11 Options: grp:alt_shift_toggle

Otras funcionalidades - hostnamectl

Información del sistema, tipo de virtualización, ID de boot, tipo de SO…

# hostnamectl
   Static hostname: localhost.localdomain
         Icon name: computer-vm
           Chassis: vm
        Machine ID: 7725dfc225d14958a625ddaaaea5962b
           Boot ID: 2ab16e9c39da4387b62819cd24af08a3
    Virtualization: vmware
  Operating System: Fedora 19 (SchrÃ¶dingerâs Cat)
       CPE OS Name: cpe:/o:fedoraproject:fedora:19
            Kernel: Linux 3.9.9-302.fc19.x86_64
      Architecture: x86_64

Otras funcionalidades - loginctl

Gestión de usuarios y sesiones

# loginctl list-sessions
   SESSION        UID USER             SEAT
         1       1000 kaxero           seat0
        11          0 root
        17          0 root
        18          0 root

4 sessions listed.
# loginctl session-status 11
11 - root (0)
           Since: ar. 2013-07-16 20:35:28 CEST; 6 days ago
          Leader: 13217 (sshd)
          Remote: 192.168.2.65
         Service: sshd; type tty; class user
           State: active
          CGroup: systemd:/user/0.user/11.session
                  ââ13217 sshd: root@pts/1
                  ââ13223 -bash
# loginctl terminate-session 11
# echo $?
0
# loginctl terminate-session 11
Failed to issue method call: No such file or directory
# echo $?
1

Otras funcionalidades - timedatectl

Gestión de zonas horarias, cambio de huso horario

# timedatectl
      Local time: ar. 2013-07-23 18:26:13 CEST
  Universal time: ar. 2013-07-23 16:26:13 UTC
        RTC time: ar. 2013-07-23 16:26:49
        Timezone: Europe/Madrid (CEST, +0200)
     NTP enabled: yes
NTP synchronized: no
 RTC in local TZ: no
      DST active: yes
 Last DST change: DST began at
                  ig. 2013-03-31 01:59:59 CET
                  ig. 2013-03-31 03:00:00 CEST
 Next DST change: DST ends (the clock jumps one hour backwards) at
                  ig. 2013-10-27 02:59:59 CEST
                  ig. 2013-10-27 02:00:00 CET

Otras funcionalidades - Gestión de volúmenes cifrados

/etc/crypttab: fstab para volúmenes cifrados.
- Soporte de TrueCrypt (v206)

Comparación

Table 1. Comparación sistemas de arranque
	SysV	systemd	Upstart	OpenRC
Paralelismo	No	Si	Si	No
Respawn	No	Si	Si	No
Servicios no declarativos	No	Si	Si	No
Runlevels extra	No	Si	Si	No
Log early-boot	No	Si	No	No
Servicios levantados por socket	No	Si	No	No
Servicios levantados por path	No	Si	No	No
Dependencias resueltas en código	No	Si	No	Si

Enlaces de interes

EOF

¿Preguntas?
Mila esker!
mikel@olasagasti.info

Cursos de verano del e-ghost 2013 - systemd

¿Quién soy?

Hablemos de systemd

¿De dónde sale systemd?

¿Quién usa systemd?

¿Qué es systemd?

¿Qué es systemd? (II)

¿Qué es systemd? (III)

¿Qué es systemd? (IV)

¿Qué es systemd? (V)

Unidad básica: Servicios

Características - Ficheros de servicio

Características - Ficheros de servicio - ejemplos

Características - Seguimiento de todo lo que se lanza

Características - autorespawn

Características - Gestión de recursos

Características - Slices

Características - Journal

Características - Journal

Características - Journal (II)

Características - Journal - ejemplos

Características - Journal - más ejemplos

Características - Journal - Sellado

Características - Journal centralizado

Características - Watchdog

Características - Activación de servicios - Socket

Características - Activación de servicios - "inetd"

Características - Activación de servicios - Hardware

Características - Activación de servicios - Path

Características - Activación de servicios - Timer

Características - Debug

Características - Profiling

Características - Compatibilidad SysV

Características - Seguridad

Características - Parámetros de ejecución

API journal

API journal

API journal

API journal

API journal

Otras funcionalidades - localectl

Otras funcionalidades - hostnamectl

Otras funcionalidades - loginctl

Otras funcionalidades - timedatectl

Otras funcionalidades - Gestión de volúmenes cifrados

Comparación

Enlaces de interes

EOF