Community-list

community-list@lists.vpsfree.cz

1077 discussions

Staging VPS
by filip.bartmann＠gmail.com 07 Sep '23

07 Sep '23

Ahoj, mám 2 VPSky a když si zkouším k ním založit 2 staging VPS, tak mi to tu druhou nepovolí, protože nemám pro druhou staging VPS dost zdrojů. Ke každému účtu je tedy jenom jedna staging VPS bez ohledu na to, kolik je k účtu přirazeno VPS? Děkuji, Filip Bartmann

2 1

Re: HP Zbook 15 G2 - Ovladače grafické karty AMD Radeon R9 M270X
by Tomáš Spisar 31 Aug '23

31 Aug '23

Tam mají ovladače jenom na Nvidii. Asi vědí proč :-( -- s pozdravem Tomáš Spisar +420 702 937 602, Praha 11 tomas.spisar(a)seznam.cz, www.pdstudios.cz (https://pdstudios.cz?utm_source=signature&utm_medium=email&utm_campaign=bra…) (https://navzdorydobe.cz?utm_source=signature&utm_medium=email&utm_campaign=…) Dezinfekční prostředky pro vaši ochranu www.navzdorydobe.cz/ (https://navzdorydobe.cz?utm_source=signature&utm_medium=email&utm_campaign=…) ---------- Původní e-mail ---------- Od: Aleš Bobek <boban(a)boban.cz> Komu: Tomáš Spisar <tomas.spisar(a)seznam.cz> Datum: 31. 8. 2023 10:29:14 Předmět: Re: [vpsFree.cz: community-list] HP Zbook 15 G2 - Ovladače grafické karty AMD Radeon R9 M270X " Ahoj, co přímo HP support - download? Aleš Dne čt 31.08.2023 v 9:58:57 Tomáš Spisar napsal(a): " Ahoj, nemám dotaz k vpsfree, ale už nevím kde se sehnat informace :-( Systém Windows 10, při instalaci se jakýkoliv ovladač začne instalovat, ale vždycky se instalace kousne a je to na jenom na vypnutí. Zkoušel jsem tři ovladače od AMD. Máte někdo zkušenost jak to rozchodit? Výpis z HW Info: https://gcdnb.pbrd.co/images/IWkXS4CBT0Xf.jpg (https://gcdnb.pbrd.co/images/IWkXS4CBT0Xf.jpg) -- s pozdravem Tomáš Spisar _______________________________________________ Community-list mailing list -- <a href='mailto:community-list@lists.vpsfree.cz' class='-wm-moz-txt-link-abbreviated'>community-list(a)lists.vpsfree.cz</a> To unsubscribe send an email to <a href='mailto:community-list-leave@lists.vpsfree.cz' class='-wm-moz-txt-link-abbreviated'>community-list-leave(a)lists.vpsfree.cz</a> " "

1 0

GNU Guix System
by Jakub Skokan 31 Aug '23

31 Aug '23

Ahoj, (English below) TL;DR ve VPS lze nově používat distribuci Guix. GNU Guix System [1] je linuxová distribuce založená na správci balíčků Guix. Funguje to velice podobně jako NixOS [2] a Nix, až na to, že Guix a celý systém se konfiguruje pomocí Guile Scheme. Ve Scheme jsou opravdu veškeré součásti systému, včetně init systému Shepherd [3]. Na rozdíl od klasických distribucí se Guix a NixOS konfigurují deklarativně: v konfiguračním souboru nadefinujeme kompletní podobu výsledného systému, tj. jaké má obsahovat uživatele/skupiny, služby a jejich nastavení. Ať už se jedná o aktualizaci nebo rollback, mezi různými verzemi systému se lze snadno přepínat buď za běhu, nebo při bootu v zavaděči, resp. u nás ve Start Menu [4]. Guix oproti NixOS obsahuje jen Free Software. Protože ve vpsFree používáme NixOS [5] skoro na všechno, zajímalo mě taky, jak je na tom Guix. Bohužel Scheme pořádně neznám a ani mě to moc neláká -- je tam příliš mnoho závorek :) Před rokem se jeden člen snažil [6] šablonu pro Guix vytvořit, ale sám jsem neviděl cestu, jak na to. Až před pár dny jsem narazil na blog [7], který obsahoval potřebné informace. Hlavní problém byl, že ve VPS nemáme zavaděč a taky se nepřipojuje kořenový souborový systém -- je připojen už před spuštěním /sbin/init ve VPS. V konfiguraci však zavaděč i kořenový systém být musí, jinak se systém nesestaví. Nakonec to není žádná věda: jako zařízení pro zavaděč stačí /dev/null [8] a volba --no-bootloader, s kořenovým systémem je to podobné [9]. Pokud by někdo měl zájem to vyzkoušet, VPS s Guixem si můžete vytvořit na node1.stg (staging). Jinde zatím nebude fungovat integrace pro nastavení sítě. Více informací viz KB: https://kb.vpsfree.org/manuals/distributions/guix Jsou tam ještě nějaké nedostatky, které už nejspíš řešit nebudu, aspoň ne teď. Základ včetně integrace do vpsAdminu a Start Menu je zdá se funkční. Sami pro Guix využití nemáme, dělal jsem to spíš ze zajímavosti. Jestli Guix někdo použijete, budeme rádi za zpětnou vazbu. ENGLISH: TL;DR VPS can now use Guix distribution. GNU Guix System [1] is a linux distribution based on Guix package manager. It is very similar to NixOS [2] and Nix, except that Guix is configured using Guile Scheme. Indeed, most of the system components including the init system Shepherd [3] are written in Scheme. Unlike other well-known linux distributions, Guix and NixOS are configured declaratively: users/groups and all services with their settings that should a part of the target system are defined in a config file. It is possible to switch between different system configurations, be it an upgrade or downgrade. System versions can be switched at runtime or from the bootloader -- in our case, from the Start Menu [10]. Unlike NixOS, Guix contains only Free Software, as it is a part of the GNU project. At vpsFree.cz, we use NixOS [5] almost everywhere. I was thus interested to see the state Guix is in. Unfortunately, I'm not familiar with Scheme, there are far too many parentheses! A year ago, one of our members tried to create [6] template for Guix, but we haven't been able to make it work. A few days ago, I've discovered a blogpost [7] that helped me understand the missing pieces. Our main issue was that inside the VPS, there's no bootloader and no need to mount the root file system, as it is mounted even before its /sbin/init is started. Guix configuration however requires them to be configured. In the end it's pretty straightforward. /dev/null is used [8] as a device for the bootloader together with option --no-bootloader. Mounting of the root file system can be bypassed in a similar way [9]. If someone would like to give it a go, you can create VPS with Guix on node1.stg (staging). For more information, see KB: https://kb.vpsfree.org/manuals/distributions/guix There are several known issues, but the base system appears to be operational. Network configuration is integrated with vpsAdmin and the Start Menu can be used to run older system generations. As we do not have any actual use for Guix ourselves, I'm going to leave it as it is for now. We'll be glad for any feedback if you'll run anything on Guix. [1] https://guix.gnu.org [2] https://nixos.org [3] https://kb.vpsfree.cz/navody/vps/start_menu [4] https://www.gnu.org/software/shepherd/ [5] https://github.com/vpsfreecz/vpsfree-cz-configuration [6] https://github.com/vpsfreecz/vpsadminos-image-build-scripts/pull/47 [7] https://www.thedroneely.com/posts/guix-in-a-linux-container/ [8] https://github.com/vpsfreecz/vpsadminos/blob/14ac41e78566cdddc28fa40e2d7975… [9] https://github.com/vpsfreecz/vpsadminos/blob/14ac41e78566cdddc28fa40e2d7975… [10] https://kb.vpsfree.org/manuals/vps/start_menu Jakub

2 5

HP Zbook 15 G2 - Ovladače grafické karty AMD Radeon R9 M270X
by Tomáš Spisar 31 Aug '23

31 Aug '23

Ahoj, nemám dotaz k vpsfree, ale už nevím kde se sehnat informace :-( Systém Windows 10, při instalaci se jakýkoliv ovladač začne instalovat, ale vždycky se instalace kousne a je to na jenom na vypnutí. Zkoušel jsem tři ovladače od AMD. Máte někdo zkušenost jak to rozchodit? Výpis z HW Info: https://gcdnb.pbrd.co/images/IWkXS4CBT0Xf.jpg -- s pozdravem Tomáš Spisar

1 0

IPv6 pro KVM virtual
by Jan Hodouš 27 Aug '23

27 Aug '23

Ahoj, potřebuji poradit jak lze naroutovat jednu IPv6 adresu do kvm virtualu přes hosta. Zatím se mi podařilo zprovoznit IPv4 přes privátní rozsah, takže jako host tak kvm mají přístup do internetu. a do hosta jsou přístupný 2 porty a vše ostatní je nasměrováno do kvm. zatím vše co jsem zkusil tak selhalo. IPv6 brána hostu v /etc/interfaces se po každém restartu mění a mac adresa(takže i link-local ipv6) br0 se také mění i přes pokus nstavení na trvalo v /etc/interfaces.tail Potřebuji nasměrovat kudy se mám vydat host je alpine linux 8 kvm je ubuntu 22.04 /etc/interfaces.tail: auto br0 iface br0 inet static pre-up brctl addbr br0 address 172.18.1.1 netmask 255.255.255.0 hwaddr ether FE:1F:77:02:57:58 post-down brctl delbr br0 up iptables -t nat -A POSTROUTING -s 172.18.1.0/24 ! -o br0 -j MASQUERADE down up iptables -t nat -D POSTROUTING -s 172.18.1.0/24 ! -o br0 -j MASQUERADE up iptables -t nat -A PREROUTING -d 185.8.164.46 -p tcp --dport 1:1021 -j DNAT --to 172.18.1.2 up iptables -I FORWARD -d 172.18.1.2/24 -p tcp -m state --state NEW -m tcp --dport 1:1021 -j ACCEPT up iptables -t nat -A PREROUTING -d 185.8.164.46 -p udp --dport 1:1021 -j DNAT --to 172.18.1.2 up iptables -I FORWARD -d 172.18.1.2/24 -p udp -m state --state NEW -m udp --dport 1:1021 -j ACCEPT up iptables -t nat -A PREROUTING -d 185.8.164.46 -p tcp --dport 1023:5899 -j DNAT --to 172.18.1.2 up iptables -I FORWARD -d 172.18.1.2/24 -p tcp -m state --state NEW -m tcp --dport 1023:5899 -j ACCEPT up iptables -t nat -A PREROUTING -d 185.8.164.46 -p udp --dport 1023:5899 -j DNAT --to 172.18.1.2 up iptables -I FORWARD -d 172.18.1.2/24 -p udp -m state --state NEW -m udp --dport 1023:5899 -j ACCEPT up iptables -t nat -A PREROUTING -d 185.8.164.46 -p tcp --dport 5901:65535 -j DNAT --to 172.18.1.2 up iptables -I FORWARD -d 172.18.1.2/24 -p tcp -m state --state NEW -m tcp --dport 5901:65535 -j ACCEPT up iptables -t nat -A PREROUTING -d 185.8.164.46 -p udp --dport 5901:65535 -j DNAT --to 172.18.1.2 up iptables -I FORWARD -d 172.18.1.2/24 -p udp -m state --state NEW -m udp --dport 5901:65535 -j ACCEPT down iptables -t nat -D PREROUTING -d 185.8.164.46 -p tcp --dport 1:1021 -j DNAT --to 172.18.1.2 down iptables -I FORWARD -d 172.18.1.2/24 -p tcp -m state --state NEW -m tcp --dport 1:1021 -j ACCEPT down iptables -t nat -D PREROUTING -d 185.8.164.46 -p udp --dport 1:1021 -j DNAT --to 172.18.1.2 down iptables -I FORWARD -d 172.18.1.2/24 -p udp -m state --state NEW -m udp --dport 1:1021 -j ACCEPT down iptables -t nat -D PREROUTING -d 185.8.164.46 -p tcp --dport 1023:5899 -j DNAT --to 172.18.1.2 down iptables -I FORWARD -d 172.18.1.2/24 -p tcp -m state --state NEW -m tcp --dport 1023:5899 -j ACCEPT down iptables -t nat -D PREROUTING -d 185.8.164.46 -p udp --dport 1023:5899 -j DNAT --to 172.18.1.2 down iptables -I FORWARD -d 172.18.1.2/24 -p udp -m state --state NEW -m udp --dport 1023:5899 -j ACCEPT down iptables -t nat -D PREROUTING -d 185.8.164.46 -p tcp --dport 5901:65535 -j DNAT --to 172.18.1.2 down iptables -I FORWARD -d 172.18.1.2/24 -p tcp -m state --state NEW -m tcp --dport 5901:65535 -j ACCEPT down iptables -t nat -D PREROUTING -d 185.8.164.46 -p udp --dport 5901:65535 -j DNAT --to 172.18.1.2 down iptables -I FORWARD -d 172.18.1.2/24 -p udp -m state --state NEW -m udp --dport 5901:65535 -j ACCEPT post-up echo 1 > /proc/sys/net/ipv4/ip_forward post-up echo 1 > /proc/sys/net/ipv4/conf/all/forwarding dns-nameservers 1.1.1.1 1.0.0.1

1 2

UFW na VPSAdminOS
by Jan Pleva 15 Aug '23

15 Aug '23

Ahoj, kdysi jsem pohorel s UFW na OpenVZ kvuli nejakym modulum, ale na novejsim VPSAdminOS je uz hodne veci precejen jinak ale porad jsem trochu zahorel root@vps1:~# ufw enable ERROR: problem running ufw-init modprobe: FATAL: Module nf_conntrack_ftp not found in directory /lib/modules/ 6.1.44 modprobe: FATAL: Module nf_nat_ftp not found in directory /lib/modules/6.1.44 modprobe: FATAL: Module nf_conntrack_netbios_ns not found in directory /lib/m odules/6.1.44 Bad argument `nat' Error occurred at line: 18 Try `iptables-restore -h' or 'iptables-restore --help' for more information. Problem running '/etc/ufw/before.rules' tak se chci zeptat, jestli je nejaka moznost ty moduly eventualne nejak tam dostat / zapnout ci jen nejak upravit konfiguraci UFW, aby to jelo. Neni nekdo uz je trochu dal, ze by mi poradil nebo mi rekl rovnou, ze to je problem, blbne to a nema cenu se s tim ani otravovat. :) Pokud by nekoho zajimal duvod tak ten nejvetsi je ten, ze to umi ipv6 a ipv4 najednou a nemam bolehlav z toho generovani tech silenosti, navic dvakrat pro 6 a 4 :) S pozdravem Jan Pleva

3 4

swap dvou VPS mezi sebou
by David Toman 12 Aug '23

12 Aug '23

Ahoj, snažím se provést SWAP dvou (mých) PS. Jedna je produkční, druhá je na playgroundu. V podstatě vlastně jen potřebuji tu z Playgroundu překlopit do produkce, stávající produkční potom zruším. Postupuji takto: Ve vpsadminu kliknu na VPS a zvolím si (produkční) VPS. Pak v pravo v Manage VPS kliknu na Swap VPS. Následně zvolím (playground) VPS kterou chci nahradit tu produkční a zaškrtnu swap hostname. Kliku na Preview, tam na Go a zkončím s chybou: *Error message: unable to migrate VPS with existing snapshot clones* Bohužel asi nechápu co je tím myšleno. Nemáte někdo nějaký nápad? VPS na Playgroundu mi zítra expiruje. Předem díky -- S pozdravem David Toman https://www.idkfa.cz Tel: 777 477 955 Tento email neobsahuje viry, protože nepoužívám Windows.

1 0

Automatické rozšiřování disků VPS / Automated VPS disk expansions
by Jakub Skokan 04 Jul '23

04 Jul '23

Ahoj, (English below) Pravidelně se stává, že někomu ve VPS dojde místo na disku. vpsAdmin sice posílá upozornění od 90 % zaplnění, ani to ale ve všech případech nepomůže tomu předejít. S plným diskem přestávají fungovat vaše aplikace, které s diskem pracují, a také to může znemožnit login do VPS a uvolnění místa. Každou jednotlivou VPS řešíme i my jako administrátoři vpsFree.cz, protože ZFS s prací nad plnými datasety (disky VPS) aspoň historicky mívalo problémy. Souvisí to s tím, že ZFS kvůli dynamické velikosti bloku a kompresi dopředu neví, kolik místa budou data na disku zabírat. Aby nebyla překročena nastavená kvóta datasetu, dochází k předčasnému uzavírání txgs -- transakční skupiny, v rámci kterých se data v pravidelných intervalech zapisují na disk. Vyšší frekvence txgs potom zpomaluje chod všech VPS. Další faktor je, že jsme v těchto situacích naráželi na chyby souběhu, které mohou vést k zastavení IO na nodu a nutnosti resetu. Naše ZFS je upravené tak, aby se txgs neuzavíraly předčasně a naopak umožňujeme v jedné txg nastavenou kvótu překročit. I tak ale nechceme riskovat výpadek a při zaplnění datasetu VPS nám monitoring posílá SMS. Když se takových VPS najde víc a členové nereagují, je to pro nás dost vyčerpávající. vpsAdmin proto nyní bude automaticky zvětšovat datasety ve VPS, kde dochází místo. Ke zvětšení dojde, když bude zbývat méně než 512 MiB, popř. méně než 1 % celkové kapacity. Disk navyšujeme o 20 GiB nebo o 10 % kapacity podle toho, co je větší. K rozšíření může dojít až 3x a k řešení máte 30 dní od prvního rozšíření. Po uplynutí této doby se bude VPS vypínat, dokud se využití datasetu nevrátí do mezí původní velikosti, nebo se nedomluvíme na trvalém rozšíření kapacity. Ke zmenšení na původní velikost dojde automaticky, když bude k dispozici alespoň 1 GiB a 5 % volného místa. Velikost můžete taky upravit kdykoli ve vpsAdminu v detailu VPS. ENGLISH: It happens fairy regularly that VPS run out of disk space. vpsAdmin is sending notifications when disk usage is 90 % or more, but that still won't prevent it. When the disk is full, your applications are likely to stop working and it may not be possible to login to the VPS and free some space. We as vpsFree.cz administrators are also involved with every VPS which completely runs out of disk space. It is because ZFS at least historically wasn't so good at operating on datasets (VPS disks) nearing or at their quota. Due to dynamic block size and compression, ZFS does not know how much space on disk the data will actually take. In order to not exceed the dataset's quota, it tends to prematurely close txgs -- transaction groups in which data is written to disk in regular intervals. Higher txgs frequency is then negatively impacting IO performance of all VPS. Another factor is that on multiple occasions, we've encountered rare race conditions which led to ZFS deadlock, i.e. no writes were being made at all and we've had to reset the node. While our ZFS is patched to allow datasets exceeding their quota within one txg, we don't want to risk an unnecessary outage because of this, so our monitoring system is sending us SMS. When it happens often and members are not responding to us, it's rather tiring for us. From now on, vpsAdmin will automatically expand VPS datasets which are nearing their quota. Datasets are expanded when there's less than 512 MiB or 1 % of free space. We add either 20 GiB or 10 % of original size, whichever is higher. Datasets can be expanded three times and you'll have 30 days since the first expansion to resolve the issue. After that, the VPS will be stopped until the used space will fit within the original quota or the dataset is expanded permanently. Expanded datasets are shrunk back when there is at least 1 GiB and 5 % of free space with respect to the original size. You can also change the dataset size in VPS details in vpsAdmin at any time. Jakub

1 0

Discord?
by frantisek.sidak＠outlook.com 04 Jun '23

04 Jun '23

Ahoj, kacířská myšlenka: nefungoval by na komunikaci lépe nástroj jako discord? Přiznám se, že mail listy, nebo IRC mi k srdci nějak nepřirostly, ačkoliv si rád spravuju linux server. :-) Ani to moc nevypadá, že by tu ta diskuse nějak plynula. Hezký víkend všem, Fanda

6 5

devcgprog: utilita pro nastavení devices cgroupv2 controlleru
by Jakub Skokan 24 Apr '23

24 Apr '23

Ahoj, v poslední zprávě jsem psal o plánovaném přechodu na cgroups v2. Pomalu na tom pracujeme už od počátku roku 2022. Vyžaduje to úpravy jednak v našem kernelu, to je stále v řešení, a taky integraci v user space: nutnost delegace controllerů, rozdílný způsob konfigurace a čtení parametrů, až nakonec propojení s vpsAdminem. Pro mě asi největší oříšek zatím byl devices controller. Pro zajímavost popíšu k čemu to je a jak to funguje. devices controller je pro nás stěžejní komponenta, bez které nemůžeme fungovat. Řídí totiž přístup ke všem zařízením -- blokové jako disky /dev/sda, atd. a znakové jako /dev/tty, /dev/null, /dev/zero, apod. Protože ve VPS můžete udělat mknod libovolného zařízení, devices cgroup je nezbytná pro řízení přístupu. Ve výchozím stavu umožnujeme přístup k /dev/{console, full, kmsg, null, ptmx, random, urandom, tty*}. Podle VPS features pak i /dev/{net/tun, kvm, ppp}. Pro nás je nejdůležitější neumožnit přístup k diskovým zařízením, nad kterými běží ZFS. devices controller u cgroups v1 je krásně jednoduchý. Povolené zařízení vidíme v devices.list: cat /sys/fs/cgroup/devices/devices.list c 1:3 rwm c 1:5 rwm c 1:7 rwm c 1:8 rwm c 1:9 rwm c 1:11 rwm c 5:0 rwm c 5:1 rwm c 5:2 rwm c 136:* rwm b *:* m c *:* m Tedy read-write-mknod (rwm) k vybraným zařízením a mknod (m) pro všechno ostatní. Na Linuxu v user namespace normálně mknod není možný, ale na vpsAdminOS ano. Hodí se to třeba když rozbalujete nějaký archiv, který obsahuje soubory zařízení. Tohoto nastavení devices.list docílíme tak, že nejprve zakážeme přístup ke všemu: echo a > devices.deny A potom povolíme vybrané zařízení: echo c 1:3 rwm > devices.allow echo c 1:5 rwm > devices.allow [...] Je to krásně jednoduché jednak na přehled a taky na konfiguraci. Jediný zádrhel je zde v tom, že echo a > devices.deny funguje jen pokud daná cgroup nemá potomky. Protože se s cgroups pracuje z různých míst, řešil jsem to tak, že se devices cgroup nastavovala jako první při spuštění systému nebo vytvoření VPS. cgroups v2 dlouho devices controller neměly vůbec... a když přišel, byl implementován přes BPF. Funguje to tak, že napíšete BPF program, zkompilujete, nahrajete do kernelu a potom ho připojíte k dané cgroup. Při přístupu k zařízení se daný BPF program vykoná a buď přístup umožní, nebo zakáže. Ukázkový program je součástí kernelu: https://github.com/torvalds/linux/blob/v5.10/tools/testing/selftests/bpf/pr… Můj největší problém byl, že jsem to ani za nic nebyl schopen zkompilovat. Detaily už samozřejmě nevím, ale byl jsem z toho absolutně zoufalý. Kompilovat programy tímto způsobem by sice nebylo ideální, protože k tomu potřebujete LLVM, což nafukuje velikost rootfs... ale aspoň by se tím dalo začít. Když se podíváme na projekty jako systemd nebo LXC, tam s devices cgroup pracují taky. Nekompilují programy přes LLVM, ale vytvoří program rovnou z BPF instrukcí. Pěkně je to vidět v LXC: https://github.com/lxc/lxc/blob/lxc-5.0.2/src/lxc/cgroups/cgroup2_devices.c… Tahle cesta se mi líbila mnohem víc, ale taky jsem nikam nepokročil. Použít přímo tuto funkci LXC nemůžeme, protože LXC spouštíme pod neprivilegovaným uživatelem a devices cgroup může nastavovat jen root. Ani vykopírovat ten kód není jednoduché, potřebuje to spousty vaty okolo a zřejmě jsem na to neměl nervy :-) Zkoušel jsem použít i libbpf, taky bezúspěšně. Vzdal jsem to a vrátil se k tomu cca o rok později... situace byla úplně stejná x) Našel jsem ale knihovnu v Golangu, pomocí které si můžu poskládat program z instrukcí, nahrát ho do kernelu a dokonce připojit k cgroup! Nejlepší je, že k tomu není potřeba mít LLVM, zdrojové soubory kernelu, libbpf, nic. Stačí Golang. https://github.com/cilium/ebpf Další nutný článek je virtuální souborový systém bpffs. BPF program totiž zůstane v kernelu jen po dobu, kdy běží proces, který ho tam nahrál. My takový proces prakticky nemáme, všechno se může při aktualizaci restartovat... to by znamenalo, že se najednou ztratí všechny programy hlídající přístup k zařízením. Pokud na daný BPF program ale uděláme referenci v bpffs, program zůstane v kernelu i po ukončení procesu, který ho vytvořil. Program pak uvolníme smazáním souboru (jeho reference) v bpffs. Podobně můžeme dělat reference na připojení programu (attach/link) k cgroup. Celý náš stack je v Ruby, takže jsem na nastavovaní devices cgroup udělal oddělený program v Golangu -- vznikl devcgprog. Ten z Ruby voláme s cestou k cgroup a seznamem zařízení, které mají být povolené. devcgprog vytvoří BPF program, nahraje ho do kernelu, uloží do bpffs a připojí k cgroup. Kdyby se to někomu náhodou taky hodilo, devcgprog najdete na githubu: https://github.com/vpsfreecz/devcgprog Použití je jednoduché: devcgprog set /sys/fs/bpf/my-program \ /sys/fs/cgroup/my-cgroup \ /sys/fs/bpf/my-program-on-my-cgroup \ allow \ c:1:3:rwm c:1:5:rwm [...] Parametry jsou: vytvořená reference v bpffs, cesta k cgroup, reference k linku na cgroup, typ seznamu (allow pro allowlist a deny pro denylist) a seznam zařízení. Jeden BPF program můžete nahrát jednou a použít u vícero cgroup, k tomu slouží devcgprog new/attach. U nás je kombinace možných programů omezená podle VPS features. Jako název programu používáme hash všech zařízení, existují tak programy pro různé kombinace TUN/TAP, KVM a PPP. Pokud už program s daným hash existuje, uděláme jen attach na další VPS cgroup. Oproti cgroups v1 je to stále méně přehledné, BPF program je v porovnání s devices.list neprůhledný. Může taky dojít k tomu, že cgroup se smaže a vytvoří znovu se stejným názvem, link soubor v bpffs zůstane, ale přitom program tam už připojen není. Existence reference v bpffs tedy ještě neznamená, že je vše v pořádku. Pravidelně tak voláme bpftool a kontrolujeme, zda jsou programy správně nastaveny. To je jen pro jistotu, nastavované cgroupy má pod kontrolou pouze root na nodu, tedy by tato situace neměla nastat. Neříkám, že BPF není super, naopak na trasování, flamegraphy, apod. je to paráda. Akorát někdy není úplně snadné to použít :-) Jakub

1 0

Jump to page:

2025

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

Community-list