https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Systemd-portabled-beschreibung 2026-06-29T13:59:04Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Systemd-portabled-beschreibung&diff=39232&oldid=prev 2023-01-09T10:09:11Z

<p>Die Seite wurde neu angelegt: „=Exemplarische Vorgehensweise Portable Service= *systemd v239 enthält eine große Anzahl neuer Funktionen. *Einer davon ist der erstklassige Support für Port…“</p> <p><b>Neue Seite</b></p><div>=Exemplarische Vorgehensweise Portable Service=<br /> *systemd v239 enthält eine große Anzahl neuer Funktionen.<br /> *Einer davon ist der erstklassige Support für Portable Services. <br /> =Was sind „Portable Services“?=<br /> *Das „Portable Service“-Konzept lässt sich von klassischen chroot()-Umgebungen sowie dem Container-Management inspirieren<br /> *Es bringt zudemeine Reihe ihrer Funktionen in das regulärere Systemdienst-Management ein.<br /> *Das Konzept &quot;Container&quot; bietet hauptsächlich zwei Hauptmerkmale:<br /> =Ressourcenbündelung=<br /> *Ein Container bringt im Allgemeinen seinen eigenen Dateisystembaum mit <br /> *Diese werden gebündelt alle gemeinsam genutzten Bibliotheken und andere Ressourcen, die er möglicherweise benötigt, zusammen mit den ausführbaren Hauptdienstdateien.<br /> =Isolation und Sandboxing=<br /> *Ein Container arbeitet in einer Namespace-Umgebung, die relativ losgelöst vom Host ist. <br /> *Abgesehen davon, dass es in einem eigenen Dateisystem-Namensraum lebt, hat es normalerweise auch eine eigene Benutzerdatenbank, einen eigenen Prozessbaum und so weiter. <br /> *Der Zugriff vom Container auf den Host wird durch verschiedene Sicherheitstechnologien eingeschränkt.<br /> =Chroot=<br /> *Von diesen beiden Konzepten ist das erste auch das, worum es bei traditionellen UNIX-chroot()-Umgebungen geht.<br /> *Sowohl Ressourcenbündelung als auch Isolierung/Sandboxing sind Konzepte, die systemd seit längerem in unterschiedlichem Maße implementiert.<br /> *Insbesondere RootDirectory= und RootImage= gibt es schon seit langer Zeit, ebenso wie die verschiedenen Sandboxing-Funktionen, die systemd bereitstellt.<br /> *Das Konzept der Portable Service baut darauf auf und kombiniert diese Funktionen auf eine neue, integrierte Weise, um sie zugänglicher und benutzerfreundlicher zu machen.<br /> =Was genau ist ein &quot;Portable Service&quot;?=<br /> *Ähnlich wie ein Container-Image kann ein portabler Dienst auf der Festplatte nur ein Verzeichnisbaum sein,<br /> *Diese ausführbare Dienstdateien und alle ihre Abhängigkeiten in einer Hierarchie enthält, die der normalen Linux-Verzeichnishierarchie ähnelt.<br /> *Ein portabler Dienst kann auch ein Raw-Disk-Image sein, das ein Dateisystem enthält, das einen solchen Baum enthält (das über ein Loopback-Blockgerät gemountet werden kann),<br /> *Oder mehrere Dateisysteme (in diesem Fall müssen sie der Spezifikation für erkennbare Partitionen folgen und in einer GPT-Partitionstabelle befinden).<br /> *Unabhängig davon, ob der portable Dienst auf der Festplatte ein einfacher Verzeichnisbaum oder ein Raw-Disk-Image ist, nennen wir dieses Konzept das portable Service-Image.<br /> *Solche Images können mit jedem Tool generiert werden, das normalerweise zum Installieren von Betriebssystemen in einem bestimmten Verzeichnis verwendet wird,<br /> *beispielsweise dnf --installroot= oder debootstrap.<br /> *An diese Bäume werden nur sehr wenige Anforderungen gestellt, mit Ausnahme der folgenden beiden:<br /> *Der Baum sollte systemd-Unit-Dateien für relevante Dienste enthalten.<br /> *Der Baum sollte /usr/lib/os-release (oder /etc/os-release) OS-Versionsinformationen enthalten.<br /> *Natürlich, qualifizieren sich OS-Bäume, die von einer der heutigen großen Distributionen generiert wurden, im Allgemeinen für diese beiden Anforderungen ohne weitere Modifikationen,<br /> *Da so ziemlich alle von ihnen /usr/lib/os-release übernommen haben und dazu neigen, ihre Hauptdienste bereitzustellen mit systemd-Unit-Dateien.<br /> *Ein so generiertes portables Service-Image kann von einem Host „angehängt“ oder „getrennt“ werden:<br /> <br /> *Das „Anhängen“ eines Bildes an einen Host erfolgt über den neuen Befehl „portablectl attach“.<br /> *Dieser Befehl zerlegt das Image, liest die OS-Release-Informationen und sucht darin nach Unit-Dateien.<br /> *Es kopiert dann relevante Unit-Dateien aus den Images und in /etc/systemd/system/.<br /> *Danach werden alle kopierten Service-Unit-Dateien auf zwei Arten erweitert:<br /> *Ein Drop-In fügt eine RootDirectory=- oder RootImage=-Zeile hinzu, sodass die Unit-Dateien, obwohl sie jetzt auf dem Host verfügbar sind, beim Start die referenzierten Binärdateien von ausführen Bild. Es enthält auch symbolische Links in einem zweiten Drop-In, das als &quot;Profil&quot; bezeichnet wird und zusätzliche Sicherheitseinstellungen enthalten soll, um die angehängten Dienste durchzusetzen, um das richtige Maß an Sandboxing sicherzustellen.<br /> <br /> *Das „Trennen“ eines Bildes vom Host erfolgt durch portables Trennen.<br /> *Es kehrt die obigen Schritte um:<br /> *Die herauskopierten Unit-Dateien werden wieder entfernt, ebenso wie die beiden Drop-in-Dateien, die dafür generiert werden.<br /> <br /> *Während ein portabler Dienst angehängt wird, werden seine relevanten Unit-Dateien wie alle anderen auf dem Host verfügbar gemacht:<br /> *Sie erscheinen in systemctl list-unit-files,<br /> *Sie können sie aktivieren und deaktivieren,<br /> *Sie können sie starten und stoppen. <br /> *Sie können sie mit systemctl edit erweitern.<br /> *Sie können sie introspizieren.<br /> *Sie können die Ressourcenverwaltung auf sie wie auf jeden anderen Dienst anwenden, und Sie können ihre Protokolle wie jeden anderen Dienst verarbeiten und so weiter.<br /> *Das liegt daran, dass es sich wirklich um native systemd-Dienste handelt, außer dass sie, wenn Sie so wollen, einen „Twist“ haben: Sie haben standardmäßig eine strengere Sicherheit und speichern ihre Ressourcen in einem Stammverzeichnis oder Image.<br /> *Und das ist bereits die Essenz dessen, was Portable Services sind.<br /> <br /> Ein paar interessante Punkte:<br /> <br /> Auch wenn der Schwerpunkt auf dem Versand von Service-Unit-Dateien in portablen Service-Images liegt, können Sie tatsächlich Timer-Units, Socket-Units, targ<br /> <br /> <br /> =Links=<br /> *https://www.freedesktop.org/software/systemd/man/portablectl.html</div>

Thomas.will