Systemd on Шлакоблогhttps://vodolaz095.ru/tags/systemd/Recent content in Systemd on ШлакоблогHugo -- 0.162.1ru-RUSat, 18 Jan 2025 13:31:12 +0300Systemd - скрипт для включения и выключения юнита одной командойhttps://vodolaz095.ru/systemd_toggle/Sat, 18 Jan 2025 13:31:12 +0300Анатолий Остроумовhttps://vodolaz095.ru/systemd_toggle/В статье представлен образец скрипта, чтобы включать или выключать systemd unit одной командой.Допустим, у вас есть OpenVPN соединение с работой (systemd-unit openvpn-client@work.service), и вы хотите включать или выключать его одной командой:

$ connect_work

Для этого можно написать такой скрипт (и разместить его, допустим, в /usr/bin/connect_work):

#!/usr/bin/env bash

set -e

service="openvpn-client@work.service"

if (systemctl -q is-active "$service") then
	echo "Stopping $service..."
	sudo systemctl stop "$service"
else
	echo "Starting $service..."
	sudo systemctl start "$service"
fi

systemctl status "$service"

Чтобы sudo не спрашивало постоянно пароль для эскалации прав, пользователю можно разрешить выполнять эти команды без запроса пароля, создав файл в /etc/sudoers.d/vpn с таким содержанием.

%vodolaz095 ALL=NOPASSWD: /usr/bin/systemctl start openvpn-client@work.service, /usr/bin/systemctl stop openvpn-client@work.service, /usr/bin/systemctl restart openvpn-client@work.service

Тут:

  • %vodolaz095 - группа пользователя, которому можно совершать данные действия
  • ALL=NOPASSWD: выключает проверку пароля при вызове sudo для этих команд
  • /usr/bin/systemctl start openvpn-client@work.service, ... - список комманд, которые может вводить пользователь с эскалацией прав

Совет - файл можно создать любым текстовым редактором, но лучше всего использовать visudo - оно проверяет корректность синтаксиса.

Создать разрешения для использования vpn можно этой командой

$ sudo visudo /etc/sudoers.d/vpn

Как итог, любой пользователь из группы vodolaz095 может вызвать команду $ connect_work и включить или выключить systemd юнит openvpn-client@work.service.

Образец скрипта также опубликован тут: https://gist.github.com/vodolaz095/484efe4fbd385185d50c0e454d32eabe

]]>systemd - как работать с NodeJS сервисом, у которого утекает память?https://vodolaz095.ru/systemd-memleaky-nodejs/Thu, 18 Feb 2021 18:26:27 +0300Анатолий Остроумовhttps://vodolaz095.ru/systemd-memleaky-nodejs/В статье рассмотрен один из вариантов борьбы с утечками памяти в приложении на NodeJS, которые начинаются после нескольких часов работы/images/systemd_memleaky_node.pngsystemd_memleaky_node.png

Всем хороша среда выполнения Javascript NodeJS, но у неё есть три недостатка.

  • Первый недостаток - много низкокачественных NPM модулей, включая те, в которых происходят утечки памяти.
  • Второй недостаток - обычная программа требует множество модулей, и обязательно среди них будет несколько, в которых утекает память.
  • Третий недостаток - иногда утечки памяти начинаются после часов, а то и суток работы программы.

Что с этим делать? Можно потратить много времени, разобраться, где утекает память, написать исправление к модулю и послать Pull-Request разработчикам модуля, который они скорее всего проигнорируют, так как у них проблема не воспроизводится, или же они, как обычно, не видят в этом проблему. А можно просто перезапустить программу через несколько часов работы, когда начинают появляться утечки памяти.

Для примера, рассмотрим почтовый сервер на основе https://haraka.github.io/, который, после запуска потребляет 56.8 мегабайт памяти, а через несколько суток - уже 180 мегабайт.

Данный сервер запускается с помощью systemd, используя этот unit файл:

[Unit]
Description=Haraka inbound STMP server
After=network.target

[Service]
Type=simple

User=haraka
Group=haraka

WorkingDirectory=/opt/haraka/haraka-inbound
ExecStart=/usr/bin/npm start
Restart=always
RestartSec=1s
Environment=NODE_ENV=production

# Hardening
ProtectHome=yes
AmbientCapabilities=CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target

Как его можно перезапустить, допустим, раз в час, используя systemd?

Для этого достаточно почитать документацию к systemd, и найти этот параметр конфигурации:

https://www.freedesktop.org/software/systemd/man/systemd.service.html#RuntimeMaxSec

RuntimeMaxSec=

Configures a maximum time for the service to run. If this is used 
and the service has been active for longer than the specified time it is terminated 
and put into a failure state. Note that this setting does not have any effect 
on Type=oneshot services, as they terminate immediately after activation 
completed. Pass "infinity" (the default) to configure no runtime limit.

То есть, задав этот параметр равным 3600, мы добьёмся того, что systemd будет автоматически останавливать, и снова запускать почтовый сервер каждый час. Так как Haraka написан неожиданно хорошо для nodejs приложений, он не только быстро перезагружается, он ещё знает, как закончить все транзакции перед перезапуском, и поэтому ни одно письмо не пропадёт.

Такой unit файл был в итоге создан для почтового сервера:


[Unit]
Description=Haraka inbound STMP server
After=network.target

[Service]
Type=simple

User=haraka
Group=haraka

WorkingDirectory=/opt/haraka/haraka-inbound
ExecStart=/usr/bin/npm start
Restart=always
RestartSec=1s
Environment=NODE_ENV=production

# Gracefully restart service every hour to prevent memleaks
RuntimeMaxSec=3600

# Hardening
ProtectHome=yes
AmbientCapabilities=CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target

Теперь почтовый сервер перезапускается раз в час, и в среднем потребляет около 60 мегабайт памяти.

]]>