Fedora CoreOS 操作系统 (简称 fcos) 的主要设计目标, 是大规模服务器集群 (几十台甚至数百台). 对于窝等穷人这种只有一台主机 (或者两三台) 的情况, 还是需要稍稍改造 (配置) 一下, 才能比较舒服的使用.
比如, 默认 SSH 登录使用 core
用户, 这个用户可以无需密码使用 sudo
(获取 root 权限), 适合用来进行系统管理 (比如添加新的硬盘). 但是如果日常使用的话, 就不太合适了, 风险较大 (无密码 sudo).
所以, 窝决定创建一些普通用户 (无权 sudo), 用于日常使用 (比如运行应用). 如果需要多人共享同一台服务器的情况, 也能使用各自的用户登录, 互不影响. (注意: Linux 的多用户机制能够提供的安全能力有限, 所以请不要把用户信息告诉不认识的陌生人, 不要轻易让别人使用服务器. 如果对方乱搞, 确保能够线下找到对方, 进行输出. )
相关文章:
按照文章 《安装 Fedora CoreOS 操作系统》 里的方法重新安装系统. fcos 安装系统非常方便快速, 一条命令, 几分钟, 即可.
这是使用的 fc-server.bu
文件的内容:
variant: fcos version: 1.5.0 passwd: users: - name: core ssh_authorized_keys: - ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAICHaotVMdOfQrHe4bEYtjAuzQr3LdIqYlDu0sgcKLXHD fc-server-202406 - name: pmlz - name: fc-test ssh_authorized_keys: - ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIHCyRg9UBu1C3OH37Lke5xwSpiTPWKlUIg+wj3S6h1MR fc-server-test-202406 storage: filesystems: - device: /dev/disk/by-partlabel/root wipe_filesystem: true label: root format: btrfs mount_options: - compress=zstd files: - path: /etc/zincati/config.d/55-updates-strategy.toml contents: inline: | [updates] strategy = "periodic" [[updates.periodic.window]] days = [ "Tue", "Thu", "Sun" ] start_time = "03:00" length_minutes = 120 # mount: /mnt/data/d1 - path: /etc/systemd/system/var-mnt-data-d1.mount contents: inline: | [Mount] What=/dev/d202406a/d202406a1 Where=/var/mnt/data/d1 Type=btrfs Options=compress=zstd,nosuid,nodev - path: /etc/systemd/system/var-mnt-data-d1.automount contents: inline: | [Automount] Where=/var/mnt/data/d1 TimeoutIdleSec=2h [Install] WantedBy=local-fs.target # mount: /mnt/data/d2 - path: /etc/systemd/system/var-mnt-data-d2.mount contents: inline: | [Mount] What=/dev/d202406b/d202406b1 Where=/var/mnt/data/d2 Type=btrfs Options=compress=zstd,nosuid,nodev - path: /etc/systemd/system/var-mnt-data-d2.automount contents: inline: | [Automount] Where=/var/mnt/data/d2 TimeoutIdleSec=2h [Install] WantedBy=local-fs.target # ip: eno1 - path: /etc/systemd/network/10-eno1.network contents: inline: | [Match] Name=eno1 [Network] DHCP=yes [Address] Address=192.168.31.2/24 # network-online.target for systemd --user - path: /etc/systemd/user/network-online.target contents: inline: | [Unit] Description=Network online for systemd --user Documentation=man:systemd.special(7) Documentation=https://systemd.io/NETWORK_ONLINE #After=network.target - path: /etc/systemd/user/systemd-networkd-wait-online.service contents: inline: | [Unit] Description=Wait network online for systemd --user Documentation=man:systemd-networkd-wait-online.service(8) Before=network-online.target [Service] Type=oneshot ExecStart=/usr/lib/systemd/systemd-networkd-wait-online RemainAfterExit=yes [Install] WantedBy=network-online.target
下面简单解释一下这个配置文件:
(1) 添加用户.
passwd: users: - name: fc-test ssh_authorized_keys:
此处添加了一个普通用户 fc-test
, 并使用了新生成的 SSH 公钥. 为了系统安全, 不同的用户应该使用不同的密钥进行登录.
参考资料: https://docs.fedoraproject.org/en-US/fedora-coreos/authentication/
(2) 配置根分区的文件系统.
storage: filesystems: - device: /dev/disk/by-partlabel/root wipe_filesystem: true label: root format: btrfs mount_options: - compress=zstd
此处指定根分区使用 btrfs
文件系统进行格式化, 并启用 zstd
数据压缩.
参考资料: https://docs.fedoraproject.org/en-US/fedora-coreos/storage/https://coreos.github.io/butane/config-fcos-v1_5/
(3) 写入配置文件.
storage: files:
此处添加一些配置文件, path
指定文件路径, contents
指定文件内容. 后面再详细解释这些配置文件.
参考资料: https://docs.fedoraproject.org/en-US/fedora-coreos/managing-files/
安装系统之后, 修改本机的 SSH 配置如下 (用来连接服务器):
> cat ~/.ssh/config Host fc-server-core HostName fc-server.test User core IdentityFile ~/.ssh/id_ed25519-fc-server-202406 Host fc-server HostName fc-server.test User fc-test IdentityFile ~/.ssh/id_ed25519-fc-server-test-202406
其中 fc-server.test
是服务器的 IP 地址, IdentityFile
指定用户对应的私钥文件.
此处的配置是可选的, 与本文的主题关系不大. 只是窝顺便想使用一些功能. 读者可以跳过这一部分.
fcos 在默认情况下, 根分区 (root) 的文件系统是 xfs
.
窝对使用 xfs
没有什么经验, 平时窝都是使用 btrfs
. 并且数据盘已经使用了 btrfs, 如果系统盘使用 xfs, 那么就会同时使用两种文件系统, 这可能会增加维护过程中的麻烦, 所以直接都使用 btrfs 好了.
使用 SSH 连接服务器, 并查看一些基本的系统信息:
> ssh fc-server-core Fedora CoreOS 40.20240602.3.0 Tracker: https://github.com/coreos/fedora-coreos-tracker Discuss: https://discussion.fedoraproject.org/tag/coreos core@MiWiFi-RA74-srv:~$ id uid=1000(core) gid=1000(core) groups=1000(core),4(adm),10(wheel),16(sudo),190(systemd-journal) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 core@MiWiFi-RA74-srv:~$ free -h total used free shared buff/cache available Mem: 31Gi 721Mi 30Gi 9.3Mi 286Mi 30Gi Swap: 0B 0B 0B core@MiWiFi-RA74-srv:~$ df -h Filesystem Size Used Avail Use% Mounted on /dev/nvme0n1p4 477G 1.4G 475G 1% /sysroot devtmpfs 4.0M 0 4.0M 0% /dev tmpfs 16G 0 16G 0% /dev/shm efivarfs 120K 83K 33K 72% /sys/firmware/efi/efivars tmpfs 6.3G 9.3M 6.3G 1% /run tmpfs 16G 0 16G 0% /tmp /dev/nvme0n1p3 350M 112M 216M 35% /boot tmpfs 3.2G 4.0K 3.2G 1% /run/user/1000
刚刚安装好系统, 根分区只使用了 1.4GB 存储空间. 所以 btrfs 相比 xfs 能够节省一些存储空间, 还是有明显好处的 !
使用 mount
命令查看挂载的详细信息 (省略部分结果):
core@MiWiFi-RA74-srv:~$ mount /dev/nvme0n1p4 on /sysroot type btrfs (ro,relatime,seclabel,compress=zstd:3,ssd,discard=async,space_cache=v2,subvolid=5,subvol=/) /dev/nvme0n1p4 on / type btrfs (rw,relatime,seclabel,compress=zstd:3,ssd,discard=async,space_cache=v2,subvolid=5,subvol=/) /dev/nvme0n1p4 on /etc type btrfs (rw,relatime,seclabel,compress=zstd:3,ssd,discard=async,space_cache=v2,subvolid=5,subvol=/) /dev/nvme0n1p4 on /usr type btrfs (ro,relatime,seclabel,compress=zstd:3,ssd,discard=async,space_cache=v2,subvolid=5,subvol=/) /dev/nvme0n1p4 on /sysroot/ostree/deploy/fedora-coreos/var type btrfs (rw,relatime,seclabel,compress=zstd:3,ssd,discard=async,space_cache=v2,subvolid=5,subvol=/) /dev/nvme0n1p4 on /var type btrfs (rw,relatime,seclabel,compress=zstd:3,ssd,discard=async,space_cache=v2,subvolid=5,subvol=/)
此处确认已经开启了文件数据压缩 (compress=zstd:3
), 并开启了针对 SSD (闪存) 的优化 (ssd
).
开启文件系统压缩还有一个明显的好处: 可以通过减少写入数据量, 延长 SSD 的使用寿命. 毕竟现在的高多层闪存都挺娇贵的, 写个几百遍就完了. (除了超贵的企业级存储器, 但是吧, 请看咱的网名 ~~) 所以窝觉得使用 btrfs 还是有明显好处的.
详见文章 《逻辑卷管理器 (LVM) 简介》.
配置文件:
fc-test@MiWiFi-RA74-srv:~$ cat /etc/systemd/system/var-mnt-data-d1.mount [Mount] What=/dev/d202406a/d202406a1 Where=/var/mnt/data/d1 Type=btrfs Options=compress=zstd,nosuid,nodev fc-test@MiWiFi-RA74-srv:~$ cat /etc/systemd/system/var-mnt-data-d1.automount [Automount] Where=/var/mnt/data/d1 TimeoutIdleSec=2h [Install] WantedBy=local-fs.target fc-test@MiWiFi-RA74-srv:~$
其中 .mount
配置实际挂载: What
指定块设备, Where
指定挂载点, Type
指定文件系统, Options
指定挂载选项.
.automount
配置自动挂载, 需要与相应的 .mount
对应. TimeoutIdleSec
指定空闲多久后自动卸载.
参考资料: https://www.man7.org/linux/man-pages/man5/systemd.mount.5.htmlhttps://www.man7.org/linux/man-pages/man5/systemd.automount.5.html
虽然配置文件在安装系统时已经写好了, 但是默认并未启用:
core@MiWiFi-RA74-srv:~$ systemctl status var-mnt-data-d1.automount ○ var-mnt-data-d1.automount Loaded: loaded (/etc/systemd/system/var-mnt-data-d1.automount; disabled; preset: disabled) Active: inactive (dead) Triggers: ● var-mnt-data-d1.mount Where: /var/mnt/data/d1 core@MiWiFi-RA74-srv:~$ systemctl status var-mnt-data-d1.mount ○ var-mnt-data-d1.mount - /var/mnt/data/d1 Loaded: loaded (/etc/systemd/system/var-mnt-data-d1.mount; static) Active: inactive (dead) Where: /var/mnt/data/d1 What: /dev/d202406a/d202406a1
使用 systemctl enable
命令启用:
core@MiWiFi-RA74-srv:~$ sudo systemctl enable var-mnt-data-d1.automount Created symlink /etc/systemd/system/local-fs.target.wants/var-mnt-data-d1.automount → /etc/systemd/system/var-mnt-data-d1.automount. core@MiWiFi-RA74-srv:~$ sudo systemctl enable var-mnt-data-d2.automount Created symlink /etc/systemd/system/local-fs.target.wants/var-mnt-data-d2.automount → /etc/systemd/system/var-mnt-data-d2.automount. core@MiWiFi-RA74-srv:~$ sync core@MiWiFi-RA74-srv:~$ sudo reboot Broadcast message from root@localhost on pts/1 (Thu 2024-06-20 02:27:06 UTC): The system will reboot now! core@MiWiFi-RA74-srv:~$ Connection to fc-server.test closed by remote host. Connection to fc-server.test closed.
重启之后查看存储信息:
core@MiWiFi-RA74-srv:~$ df -h Filesystem Size Used Avail Use% Mounted on /dev/nvme0n1p4 477G 1.5G 475G 1% /sysroot devtmpfs 4.0M 0 4.0M 0% /dev tmpfs 16G 0 16G 0% /dev/shm efivarfs 120K 83K 33K 72% /sys/firmware/efi/efivars tmpfs 6.3G 9.3M 6.3G 1% /run tmpfs 16G 0 16G 0% /tmp /dev/nvme0n1p3 350M 112M 216M 35% /boot tmpfs 3.2G 4.0K 3.2G 1% /run/user/1000
嗯 ? 怎么没有挂载 ??
别急, 先访问一下对应的目录:
core@MiWiFi-RA74-srv:~$ ls -al /mnt/data/d1 total 16 drwxr-xr-x. 1 root root 36 Jun 16 09:48 . drwxr-xr-x. 1 root root 8 Jun 20 02:26 .. -rw-r--r--. 1 root root 0 Jun 16 09:48 20240616-d202406a1 core@MiWiFi-RA74-srv:~$ ls -al /mnt/data/d2 total 16 drwxr-xr-x. 1 root root 36 Jun 16 09:48 . drwxr-xr-x. 1 root root 8 Jun 20 02:26 .. -rw-r--r--. 1 root root 0 Jun 16 09:48 20240616-d202406b1 core@MiWiFi-RA74-srv:~$ df -h Filesystem Size Used Avail Use% Mounted on /dev/nvme0n1p4 477G 1.5G 475G 1% /sysroot devtmpfs 4.0M 0 4.0M 0% /dev tmpfs 16G 0 16G 0% /dev/shm efivarfs 120K 83K 33K 72% /sys/firmware/efi/efivars tmpfs 6.3G 9.3M 6.3G 1% /run tmpfs 16G 0 16G 0% /tmp /dev/nvme0n1p3 350M 112M 216M 35% /boot tmpfs 3.2G 4.0K 3.2G 1% /run/user/1000 /dev/mapper/d202406a-d202406a1 1000G 5.8M 998G 1% /var/mnt/data/d1 /dev/mapper/d202406b-d202406b1 1000G 5.8M 998G 1% /var/mnt/data/d2
然后就挂载了 ! 使用 mount
命令查看详细挂载信息:
core@MiWiFi-RA74-srv:~$ mount systemd-1 on /var/mnt/data/d1 type autofs (rw,relatime,fd=53,pgrp=1,timeout=7200,minproto=5,maxproto=5,direct,pipe_ino=10595) systemd-1 on /sysroot/ostree/deploy/fedora-coreos/var/mnt/data/d1 type autofs (rw,relatime,fd=53,pgrp=1,timeout=7200,minproto=5,maxproto=5,direct,pipe_ino=10595) systemd-1 on /var/mnt/data/d2 type autofs (rw,relatime,fd=67,pgrp=1,timeout=7200,minproto=5,maxproto=5,direct,pipe_ino=10597) systemd-1 on /sysroot/ostree/deploy/fedora-coreos/var/mnt/data/d2 type autofs (rw,relatime,fd=67,pgrp=1,timeout=7200,minproto=5,maxproto=5,direct,pipe_ino=10597) /dev/mapper/d202406a-d202406a1 on /var/mnt/data/d1 type btrfs (rw,nosuid,nodev,relatime,seclabel,compress=zstd:3,space_cache=v2,subvolid=5,subvol=/) /dev/mapper/d202406b-d202406b1 on /var/mnt/data/d2 type btrfs (rw,nosuid,nodev,relatime,seclabel,compress=zstd:3,space_cache=v2,subvolid=5,subvol=/)
可以看到, systemd 在挂载点挂载了 autofs
, 当出现实际访问时, 才进行挂载.
从上面可以了解, 使用 systemd 自动挂载有以下优点:
(1) 加快系统启动. 系统不必等待 automount 磁盘挂载完毕, 就可以继续启动.
(2) 挂载失败不会导致系统启动失败 (故障隔离). 比如, 硬盘掉线, 或者损坏了, 甚至直接没了. 如果是普通挂载, 系统会因为无法完成磁盘挂载, 无法继续启动. 而在 automount 情况下, 系统不会等待磁盘挂载, 会继续正常启动.
(3) 节省资源 (懒执行). 完全没有被访问的磁盘不会挂载. 磁盘在出现访问请求时才会挂载. 空闲一段时间后, 系统会自动卸载磁盘, 释放资源 (同时一定程度上减少数据丢失损坏).
综上, 数据盘还是很适合使用自动挂载的.
窝希望, 服务器在配置固定 IP 地址的同时, 也从 DHCP 获取动态分配的 IP 地址. 也就是一个网络接口具有 2 个 IP 地址.
fcos 默认使用 NetworkManager
进行网络管理, 但是这个需求使用 NetworkManager 实现很麻烦, 而使用 systemd-networkd
就很简单方便. 另外, 如果需要配置 VLAN, 更是适合使用 systemd-networkd.
相关文章: 《香橙派配置 VLAN (802.1q)》 https://blog.csdn.net/secext2022/article/details/135828669
fcos 默认并没有安装 systemd-networkd, 所以首先需要安装相应软件包.
core@MiWiFi-RA74-srv:~$ systemctl status systemd-networkd Unit systemd-networkd.service could not be found.
使用 rpm-ostree install
命令进行安装:
core@MiWiFi-RA74-srv:~$ sudo rpm-ostree install systemd-networkd Checking out tree a65ed05... done Enabled rpm-md repositories: fedora-cisco-openh264 updates fedora updates-archive Updating metadata for 'fedora-cisco-openh264'... done Updating metadata for 'updates'... done Updating metadata for 'fedora'... done Updating metadata for 'updates-archive'... done Importing rpm-md... done rpm-md repo 'fedora-cisco-openh264'; generated: 2024-03-12T11:45:42Z solvables: 3 rpm-md repo 'updates'; generated: 2024-06-19T02:00:08Z solvables: 18190 rpm-md repo 'fedora'; generated: 2024-04-14T18:51:11Z solvables: 74881 rpm-md repo 'updates-archive'; generated: 2024-05-22T01:41:39Z solvables: 13161 Resolving dependencies... done Will download: 1 package (689.8 kB) Downloading from 'updates'... done Importing packages... done Checking out packages... done Running pre scripts... done Running post scripts... done Running posttrans scripts... done Writing rpmdb... done Writing OSTree commit... done Staging deployment... done Added: systemd-networkd-255.7-1.fc40.x86_64 Changes queued for next boot. Run "systemctl reboot" to start a reboot core@MiWiFi-RA74-srv:~$ sudo systemctl reboot Broadcast message from root@localhost on pts/1 (Thu 2024-06-20 02:38:07 UTC): The system will reboot now! core@MiWiFi-RA74-srv:~$ Connection to fc-server.test closed by remote host. Connection to fc-server.test closed.
软件包本身很小, 但是安装可能会比较慢. 安装之后需要 重启 系统, 然后使用 rpm-ostree status
命令查看状态:
core@MiWiFi-RA74-srv:~$ rpm-ostree status State: idle AutomaticUpdatesDriver: Zincati DriverState: active; periodically polling for updates (last checked Thu 2024-06-20 02:38:49 UTC) Deployments: ● fedora:fedora/x86_64/coreos/stable Version: 40.20240602.3.0 (2024-06-17T10:36:48Z) BaseCommit: a65ed051ae3c7ae658f19bee19ff36be19723070282305382890a793904f6f5e GPGSignature: Valid signature by 115DF9AEF857853EE8445D0A0727707EA15B79CC LayeredPackages: systemd-networkd fedora:fedora/x86_64/coreos/stable Version: 40.20240602.3.0 (2024-06-17T10:36:48Z) Commit: a65ed051ae3c7ae658f19bee19ff36be19723070282305382890a793904f6f5e GPGSignature: Valid signature by 115DF9AEF857853EE8445D0A0727707EA15B79CC core@MiWiFi-RA74-srv:~$ systemctl status NetworkManager ● NetworkManager.service - Network Manager Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; enabled; preset: enabled) Drop-In: /usr/lib/systemd/system/service.d └─10-timeout-abort.conf Active: active (running) since Thu 2024-06-20 02:38:43 UTC; 56s ago Docs: man:NetworkManager(8) Main PID: 1235 (NetworkManager) Tasks: 4 (limit: 38288) Memory: 6.8M (peak: 7.2M) CPU: 131ms CGroup: /system.slice/NetworkManager.service └─1235 /usr/sbin/NetworkManager --no-daemon
参考资料: https://coreos.github.io/rpm-ostree/
systemd-networkd 服务默认是禁用的:
core@MiWiFi-RA74-srv:~$ systemctl status systemd-networkd ○ systemd-networkd.service - Network Configuration Loaded: loaded (/usr/lib/systemd/system/systemd-networkd.service; disabled; preset: disabled) Drop-In: /usr/lib/systemd/system/service.d └─10-timeout-abort.conf Active: inactive (dead) TriggeredBy: ○ systemd-networkd.socket Docs: man:systemd-networkd.service(8) man:org.freedesktop.network1(5) FD Store: 0 (limit: 512)
配置文件已经写好了:
core@MiWiFi-RA74-srv:~$ cat /etc/systemd/network/10-eno1.network [Match] Name=eno1 [Network] DHCP=yes [Address] Address=192.168.31.2/24 core@MiWiFi-RA74-srv:~$
使用 systemctl enable
命令启用服务:
core@MiWiFi-RA74-srv:~$ sudo systemctl enable systemd-networkd Created symlink /etc/systemd/system/dbus-org.freedesktop.network1.service → /usr/lib/systemd/system/systemd-networkd.service. Created symlink /etc/systemd/system/multi-user.target.wants/systemd-networkd.service → /usr/lib/systemd/system/systemd-networkd.service. Created symlink /etc/systemd/system/sockets.target.wants/systemd-networkd.socket → /usr/lib/systemd/system/systemd-networkd.socket. Created symlink /etc/systemd/system/network-online.target.wants/systemd-networkd-wait-online.service → /usr/lib/systemd/system/systemd-networkd-wait-online.service.
同时别忘了禁用 NetworkManager
服务:
core@MiWiFi-RA74-srv:~$ sudo systemctl mask NetworkManager Created symlink /etc/systemd/system/NetworkManager.service → /dev/null.
重启, 然后可以看到 systemd-networkd 正常运行:
core@MiWiFi-RA74-srv:~$ systemctl status systemd-networkd ● systemd-networkd.service - Network Configuration Loaded: loaded (/usr/lib/systemd/system/systemd-networkd.service; enabled; preset: disabled) Drop-In: /usr/lib/systemd/system/service.d └─10-timeout-abort.conf Active: active (running) since Thu 2024-06-20 02:42:08 UTC; 2min 5s ago TriggeredBy: ● systemd-networkd.socket Docs: man:systemd-networkd.service(8) man:org.freedesktop.network1(5) Main PID: 1072 (systemd-network) Status: "Processing requests..." Tasks: 1 (limit: 38288) FD Store: 0 (limit: 512) Memory: 3.3M (peak: 3.8M) CPU: 82ms CGroup: /system.slice/systemd-networkd.service └─1072 /usr/lib/systemd/systemd-networkd
查看 IP 地址:
core@MiWiFi-RA74-srv:~$ ip addr 2: eno1: mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether a0:8c:fd:d8:9c:19 brd ff:ff:ff:ff:ff:ff altname enp0s25 inet 192.168.31.2/24 brd 192.168.31.255 scope global eno1 valid_lft forever preferred_lft forever inet 192.168.31.12/24 metric 1024 brd 192.168.31.255 scope global secondary dynamic eno1 valid_lft 172630sec preferred_lft 172630sec
可以看到, 其中 192.168.31.2/24
是配置的固定 IP 地址, 192.168.31.12/24
是通过 DHCP 动态获取的 IP 地址.
使用 SSH 连接服务器, 并查看基本用户信息:
> ssh fc-server Fedora CoreOS 40.20240602.3.0 Tracker: https://github.com/coreos/fedora-coreos-tracker Discuss: https://discussion.fedoraproject.org/tag/coreos Last login: Thu Jun 20 05:04:48 2024 from 192.168.31.3 fc-test@MiWiFi-RA74-srv:~$ id uid=1002(fc-test) gid=1002(fc-test) groups=1002(fc-test) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 fc-test@MiWiFi-RA74-srv:~$ pwd /var/home/fc-test fc-test@MiWiFi-RA74-srv:~$ w 08:02:28 up 18:46, 1 user, load average: 0.03, 0.02, 0.00 USER TTY LOGIN@ IDLE JCPU PCPU WHAT fc-test 08:02 18:46m 0.00s 0.05s sshd: fc-test [priv] fc-test@MiWiFi-RA74-srv:~$ free -h total used free shared buff/cache available Mem: 31Gi 716Mi 30Gi 9.3Mi 574Mi 30Gi Swap: 0B 0B 0B fc-test@MiWiFi-RA74-srv:~$ loginctl list-users UID USER LINGER STATE 1002 fc-test no active 1 users listed. fc-test@MiWiFi-RA74-srv:~$
可以看到, 这是一个普通用户, 没有特权 (不能 sudo).
接下来使用 podman 运行一个容器应用.
相关文章: 《构建 deno/fresh 的 docker 镜像》 https://blog.csdn.net/secext2022/article/details/139649084
fc-test@MiWiFi-RA74-srv:~$ ls -lh my-app.tar.zst -rw-r--r--. 1 fc-test fc-test 77M Jun 23 08:16 my-app.tar.zst fc-test@MiWiFi-RA74-srv:~$ podman load < my-app.tar.zst Getting image source signatures Copying blob 90ec6ab34ce0 done | Copying blob a62d4638ad90 done | Copying blob 31e29b5ab918 done | Copying blob c83c49512daf done | Copying blob ff9964444958 done | Copying blob 6389ca351a5d done | Copying blob 2ca6496c9f8b done | Copying config 83173f90cc done | Writing manifest to image destination Loaded image: docker.io/library/my-app:latest fc-test@MiWiFi-RA74-srv:~$ podman images REPOSITORY TAG IMAGE ID CREATED SIZE docker.io/library/my-app latest 83173f90cca5 10 days ago 238 MB fc-test@MiWiFi-RA74-srv:~$ podman run -d -p 8000:8000 my-app 542ca61c3ae225292543449af5034e2078b53c02bd37a63957ee4514162feb75 fc-test@MiWiFi-RA74-srv:~$ podman ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 542ca61c3ae2 docker.io/library/my-app:latest /usr/bin/deno run... 3 seconds ago Up 4 seconds 0.0.0.0:8000->8000/tcp magical_engelbart fc-test@MiWiFi-RA74-srv:~$
好, 运行成功 ! 接下来配置开机自动运行.
首先, 编写一个配置文件, 如下:
fc-test@MiWiFi-RA74-srv:~$ cat ~/.config/containers/systemd/my-app.container [Unit] Description=example deno/fresh app Wants=network-online.target After=network-online.target StartLimitIntervalSec=5s StartLimitBurst=1 [Container] Image=my-app PublishPort=8000:8000 Pull=never [Service] Restart=always [Install] WantedBy=default.target fc-test@MiWiFi-RA74-srv:~$
参考资料: https://docs.fedoraproject.org/en-US/fedora-coreos/running-containers/https://docs.podman.io/en/latest/markdown/podman-systemd.unit.5.html
重新加载 systemd 配置文件:
fc-test@MiWiFi-RA74-srv:~$ systemctl --user daemon-reload fc-test@MiWiFi-RA74-srv:~$ systemctl --user status my-app ○ my-app.service - example deno/fresh app Loaded: loaded (/var/home/fc-test/.config/containers/systemd/my-app.container; generated) Drop-In: /usr/lib/systemd/user/service.d └─10-timeout-abort.conf Active: inactive (dead) fc-test@MiWiFi-RA74-srv:~$
距离开机启动还有重要的一步, 使用 loginctl enable-linger
命令:
fc-test@MiWiFi-RA74-srv:~$ loginctl enable-linger fc-test@MiWiFi-RA74-srv:~$ loginctl list-users UID USER LINGER STATE 1002 fc-test yes active 1 users listed. fc-test@MiWiFi-RA74-srv:~$
参考资料: https://www.man7.org/linux/man-pages/man1/loginctl.1.html
重启, 测试容器正常运行:
通过上述方式使用 podman 运行容器, 需要依赖 network-online.target
(系统 unit). 也就是说, 需要等待网络初始化完毕之后, 才能启动. 但是, 上面的服务以用户实例 (systemd --user) 运行, 而用户 unit 无法依赖系统 unit. 如果不解决这个问题, 将导致启动失败.
添加如下配置文件:
core@MiWiFi-RA74-srv:~$ cat /etc/systemd/user/network-online.target [Unit] Description=Network online for systemd --user Documentation=man:systemd.special(7) Documentation=https://systemd.io/NETWORK_ONLINE #After=network.target core@MiWiFi-RA74-srv:~$ cat /etc/systemd/user/systemd-networkd-wait-online.service [Unit] Description=Wait network online for systemd --user Documentation=man:systemd-networkd-wait-online.service(8) Before=network-online.target [Service] Type=oneshot ExecStart=/usr/lib/systemd/systemd-networkd-wait-online RemainAfterExit=yes [Install] WantedBy=network-online.target core@MiWiFi-RA74-srv:~$
这些 unit 文件是从系统 unit 文件复制而来, 经过简单修改. 需要使用 network-online.target
的用户需要启用相应服务:
fc-test@MiWiFi-RA74-srv:~$ systemctl --user enable systemd-networkd-wait-online.service Created symlink /var/home/fc-test/.config/systemd/user/network-online.target.wants/systemd-networkd-wait-online.service → /etc/systemd/user/systemd-networkd-wait-online.service.
否则会报错 (省略部分内容):
fc-test@MiWiFi-RA74-srv:~$ systemctl --user status my-app × my-app.service - example deno/fresh app Loaded: loaded (/var/home/fc-test/.config/containers/systemd/my-app.container; generated) Drop-In: /usr/lib/systemd/user/service.d └─10-timeout-abort.conf Active: failed (Result: exit-code) Main PID: 1600 (code=exited, status=126) CPU: 272ms Jun 23 08:53:46 localhost pasta[1655]: External interface not usable Jun 23 08:53:46 localhost my-app[1614]: Error: pasta failed with exit code 1: Jun 23 08:53:46 localhost systemd[1495]: my-app.service: Failed with result 'exit-code'. Jun 23 08:53:46 localhost systemd[1495]: Failed to start my-app.service - example deno/fresh app.
参考资料: https://systemd.io/NETWORK_ONLINE/https://unix.stackexchange.com/questions/216919/how-can-i-make-my-user-services-wait-till-the-network-is-online
普通用户也想使用数据盘存储数据, 需要进行一些简单的权限设置:
core@MiWiFi-RA74-srv:~$ cd /mnt/data/d1 core@MiWiFi-RA74-srv:/mnt/data/d1$ pwd /mnt/data/d1 core@MiWiFi-RA74-srv:/mnt/data/d1$ ls -al total 16 drwxr-xr-x. 1 root root 36 Jun 16 09:48 . drwxr-xr-x. 1 root root 8 Jun 20 02:26 .. -rw-r--r--. 1 root root 0 Jun 16 09:48 20240616-d202406a1 core@MiWiFi-RA74-srv:/mnt/data/d1$ sudo mkdir fc-test core@MiWiFi-RA74-srv:/mnt/data/d1$ sudo chmod 700 fc-test core@MiWiFi-RA74-srv:/mnt/data/d1$ sudo chown fc-test:fc-test fc-test core@MiWiFi-RA74-srv:/mnt/data/d1$ ls -al total 16 drwxr-xr-x. 1 root root 50 Jun 23 13:33 . drwxr-xr-x. 1 root root 8 Jun 20 02:26 .. -rw-r--r--. 1 root root 0 Jun 16 09:48 20240616-d202406a1 drwx------. 1 fc-test fc-test 0 Jun 23 13:33 fc-test core@MiWiFi-RA74-srv:/mnt/data/d1$ sync core@MiWiFi-RA74-srv:/mnt/data/d1$
其中 cd
命令用于切换当前目录, pwd
命令显示当前目录, ls
命令列出目录中的文件, mkdir
命令创建目录, chmod
命令设置权限 (700
表示只有文件所有者可以访问), chown
命令设置文件的所有者 (owner) 和群组 (group), sync
命令用于将内存缓冲区的数据写入磁盘.
类似的, 对另一块数据盘进行同样的操作:
core@MiWiFi-RA74-srv:/mnt/data/d2$ pwd /mnt/data/d2 core@MiWiFi-RA74-srv:/mnt/data/d2$ ls -al total 16 drwxr-xr-x. 1 root root 50 Jun 23 13:39 . drwxr-xr-x. 1 root root 8 Jun 20 02:26 .. -rw-r--r--. 1 root root 0 Jun 16 09:48 20240616-d202406b1 drwx------. 1 fc-test fc-test 0 Jun 23 13:39 fc-test
然后普通用户 fc-test
就可以在 2 块数据盘存储数据了.
Fedora CoreOS 安装还是很简单快速的, 只需一条命令即可. 并且只需一个 .ign
安装配置文件, 即可完成大部分系统配置, 无需安装系统之后再配置, 方便了很多.
为了更安全, 创建了一个普通用户 fc-test
(无权 sudo). 将根分区换成 btrfs 文件系统, 并启用 zstd 数据压缩. 开机自动挂载数据盘 (systemd automount), 并配置了固定 IP 地址 (systemd-networkd).
作为普通用户, 测试了开机自动运行容器 (systemd --user, loginctl enable-linger). 由于 podman (pasta) 和 systemd --user 目前的问题 (user unit 无法依赖 system unit), 需要对 network-online.target
进行小小的修复. 最后配置了普通用户在数据盘的存储目录.
本文算是对 fcos 服务器系统管理的小型综合应用, 建立了多用户使用的舒适环境. 以后就可以方便的部署基于服务器的应用啦 ~
本文使用 CC-BY-SA 4.0 许可发布.