Замена systemd для докера, не требующая привиллегий

0

2

Нужно тестировать пакеты, которые используют довольно базовый набор systemd свойств типа зависимости юнитов друг от друга.

Для этого правильно и разумно сделать что-то типа:

docker run --rm ubuntu-systemd test.sh

где в test.sh будет:

#!/bin/bash

apt install -y mypackage
service mypackage start
run-tests.sh

Т.е. тут важно протестировать, что вся цепочка: deb, postinst, systemd units работает исправно

systemd агрессивно требует каких-то хитростей типа privilleged и т.п.

Это точно нужно? Может быть есть какой-то урезанный вариант, который не будет уметь некоторых нужных и полезных в продакшне вещей, но запустит цепочку процессов?

←	Autoconf, кросскомпиляция и библиотеки

Форумы ака «поиск помощи» vs ChatGPT

→

systemd агрессивно требует каких-то хитростей типа privilleged и т.п.

Каких именно хитростей? Рассказывай подробнее с какой проблемой ты столкнулся.

eternal_sorrow ★★★★★
(13.04.23 21:47:27 MSK)

runit :-)

Bad_ptr ★★★★★
(13.04.23 21:49:19 MSK)

Ответ на: комментарий от eternal_sorrow 13.04.23 21:47:27 MSK

https://zauner.nllk.net/post/0038-running-systemd-inside-a-docker-container/

такой скрипт запуска слегка пугает

max_lapshin ★★★★★
(13.04.23 21:50:17 MSK) автор топика

Да, systemd без цгрупп уже не будет systemd, а они privileged по определению.

intelfx ★★★★★
(13.04.23 21:52:10 MSK)

Ответ на: комментарий от intelfx 13.04.23 21:52:10 MSK

так вот о чём и речь: мне это не нужно для тестов

max_lapshin ★★★★★
(13.04.23 21:55:12 MSK) автор топика

Systemd не работает в докере. Тебе вместо докера нужно использовать systemd-nspaw.

ox55ff ★★★★★
(13.04.23 21:55:24 MSK)

Ответ на: комментарий от max_lapshin 13.04.23 21:50:17 MSK

На сколько понимаю суть докера в том что там запускается 1 сервис. Т.е. докеру внутри не нужно думать о зависимостях.
Докер как бы сам по себе является этим единичным сервисом запущенным в оболочке.
А зависимости и системд — это уже внешняя по отношению к докеру система, или отдельный докер.

Bad_ptr ★★★★★
(13.04.23 21:57:28 MSK)

Ответ на: комментарий от max_lapshin 13.04.23 21:50:17 MSK

Use podman, Luke

Или systemd-nspawn, да.

eternal_sorrow ★★★★★
(13.04.23 22:00:10 MSK)

Ответ на: комментарий от Bad_ptr 13.04.23 21:57:28 MSK

да при чём тут теоретическая суть докера. Мне надо запустить изолированный контейнер с тестами и там погонять какой-то код, который 100% не требует ничего, требующего выхода из изолятора.

systemd-nspawn посмотрю, спасибо

max_lapshin ★★★★★
(13.04.23 22:03:20 MSK) автор топика

Ответ на: комментарий от max_lapshin 13.04.23 21:55:12 MSK

Предположим, есть какая-то замена systemd, которая работает без цгрупп. Смысл моего комментария в том, что даже такая существует, то это будет не systemd и не его «урезанный вариант», а совершенно другой продукт, не имеющий к systemd никакого отношения кроме попытки эмулировать его формат конфигов.

А раз так, то ты будешь тестировать не то же самое, что поставляешь своим пользователям.

Так что смотри в сторону других контейнеров, а не другого псевдо-systemd.

intelfx ★★★★★
(13.04.23 22:22:41 MSK)

Ответ на: комментарий от intelfx 13.04.23 22:22:41 MSK

всё правильно говоришь, кроме того, что протестировать хоть как-то нужно, а тесты всегда являются моделированием и ограничением

max_lapshin ★★★★★
(13.04.23 22:53:31 MSK) автор топика

Может тебе лучше LXC попробовать, чем докер

zolden ★★★★★
(13.04.23 22:55:15 MSK)

Ответ на: комментарий от max_lapshin 13.04.23 22:53:31 MSK

разверни виртуалку с полноценной осью внутри, полноценными цгрупсами и как следствии рабочим системд ??

pfg ★★★★★
(13.04.23 22:57:56 MSK)

Ответ на: комментарий от pfg 13.04.23 22:57:56 MSK

типа в qemu?

max_lapshin ★★★★★
(13.04.23 23:27:43 MSK) автор топика

Ответ на: комментарий от max_lapshin 13.04.23 23:27:43 MSK

vagrant

wandrien ★★
(14.04.23 04:11:37 MSK)

systemd можно поднять внутри докер-контейнера, и это даже не очень сложно (в сети много мануалов), но - суть в том что докер и systemd пилятся разными коммерческими компаниями, которые не дружат друг с другом. Поэтому какой-то нормальной интеграции у них точно не будет.

Поэтому я бы не стал рассчитывать на такой сетап и смотрел в сторону podman и spawn, как тут в общем уже написали. В крайнем случае можно конвертировать контейнер в OCI-бандл и запустить тем же nspawn-ом

Lrrr ★★★★★
(14.04.23 04:18:03 MSK)
Последнее исправление: Lrrr 14.04.23 04:18:49 MSK (всего исправлений: 1)

Как альтернатива, можно запускать легковесные виртуальные машины вместо контейнеров. Там у system-d будет все необходимое для работы.

trex6 ★★★★★
(14.04.23 05:16:32 MSK)

Ответ на: комментарий от Lrrr 14.04.23 04:18:03 MSK

понял, спасибо.

контейнер я собираю сам, так что мне в целом что докер собрать, что другой формат — пофиг. Да и судя по описанию systemd-nspawn, достаточно просто докер образ распаковать на диск.

max_lapshin ★★★★★
(14.04.23 09:48:32 MSK) автор топика