Archiv pro rubriku: Solaris

SmartOS, route a IP adresy od OVH

Mám nyní u skvělého dodavatele serverů OVH jeden server, na kterém jsem chtěl vytvořit několik VPS. Nechal jsem si k serveru přidělit dodatečné IP adresy, ale ouha, po konfiguraci zóna nemá síť. Jak z toho ven?

Problém je v tom, že brána pro dodatečné IP je v jiném subnetu než přidělené IP adresy. Musíme tedy zóně nejprve dát vědět, kudy se do toho subnetu dostane. To provedeme spuštěním následujícího příkazu uvnitř VPS:

XXX.XXX.XXX jsou první 3 octety IP adresy global zóny (fyzického serveru). YYY.YYY.YYY.YYY je dodatečná IP, nastavená VPS serveru.

Protože VPS při startu bránu nenašel, bude potřeba ručně přidat ještě tu:

XXX.XXX.XXX jsou opět první 3 octety IP adresy global zóny. OVH jako bránu používá vždy poslední adresu z daného rozsahu, tedy 254.

Parametr -p (persist) v příkazech říká, že se má nastavení uložit. Nesmaže se vám tedy po restartu serveru.

Samotné nastavení se ukládá do souboru /etc/inet/static_routes

Ekvivalent pro Linux (Ubuntu):

SmartOS, PuTTY a klávesy HOME, END a DEL

Pokud vás také zdržuje, že ve SmartOS nefungují na konzoli klávesy HOME, END a DELETE, zde je způsob, jak to napravit.

V domovském adresáři vytvoříme soubor .inputrc s následujícím obsahem:

Díky tomuto souboru bude bash vědět, jakou funkci má pro dané klávesy použít. Změny se projeví až po opětovném přihlášení.

Co ale dělat v případě globální zóny, kdy se tento soubor po restartu ztratí? Vytvoříme si pro něj SMF službu!

Nejprve soubor .inputrc nakopírujte do adresáře /opt/custom. Pokud tento adresář nemáte vytvořen, tak jej vytvořte.

Poté vytvořte soubor /opt/custom/smf/inputrc_link.xml s následujícím obsahem:

SmartOS po restartu automaticky načítá XML soubory z tohoto adresáře, službu nám naimportuje a vyrobí link.

Malý tip na závěr: Ve SmartOS zónách je stejný problém, ačkoliv stačí jen nakopírovat soubor .inputrc do adresáře uživatele, není potřeba SMF služba. Dělat to pro každou zónu je ale otrava. Můžeme si to zjednudušit tím, že soubor nakopírujeme do šablony zóny stáhnuté přes imgadm. Např. takto pro uživatele root:

Solaris (SmartOS) TCP tuning, nginx a chyba phantom event for closed and removed socket

Nedávno se mi v error logu nginxu objevila řada následujících chyb:

Samozřejmě jsem nejprve Googloval a v prvních pár dotazech našel odpověď. Mám ale ve zvyku nejprve pochopit, co vlastně tomu serveru cpu do konfigurace a proč to vyřešit právě takto a ne jinak. Zkoumal jsem tedy dál a snad i pochopil, v čem je vlastně jádro problému.

Proč vlastně tento problém vzniká?

  • Nginx je asynchronní server. Veškeré operace zpracovává během iterací tzv. event loop-u (také nazývaného IO loop).
  • Solaris nginxu předává eventy (připojení klientů) tzv. poll-em pomocí zařízení /dev/poll.
  • Chyba vzniká nekonzistencí při práci nginxu s /dev/poll, který vrací eventy hromadně v jedné iteraci.
  • Výchozí limit eventů předaných kernelem nginxu je pro /dev/poll nastaven na 32.
  • Nginx při práci s jednotlivými eventy otevírá jejich sockety postupně. Když chce zpracovat další, musí současný socket zavřít. Pokud tedy kernel předá nginxu až 32 eventů (spojení s klienty), při větším vytížení serveru se může stát, že event již není aktivní (klient se odpojil).
  • Dá se to vyřešit tím, že nginx donutíme přijímat od kernelu vždy jen jeden event během iterace. V confu to nastavíme parametrem devpoll_events.
  • Na výkonu nginxu by se to mělo projevit jen neznatelně.

Jaký je skutečný důvod vzniku problému?

Ačkoliv tímto nastavením zařídíme, aby si už nginx nestěžoval do logu, příslovečný pes je zakopaný někde jinde. Kernel má totiž limity pro maximální počet navázaných a příchozích spojení, které jsou v základu poměrně malé. Pokud server obdrží nový požadavek na spojení, který se nevejde do bufferu, starší spojení se zahodí.

Parametry tcp_conn_req_max_q a tcp_conn_req_max_q0

Parametry tcp_conn_req_max_q a tcp_conn_req_max_q0 určují maximální počet požadavků, které mohou být přijmuty na jednu IP adresu a jeden port. tcp_conn_req_max_q je maximální počet příchozích spojení, které mohou být akceptovány (accepted) na IP a port. tcp_conn_req_max_q0 je maximální počet „polovičně otevřených“ (half-open) TCP spojení, které mohou existovat na portu. Parametry jsou odděleny kvůli efektivnímu blokování SYN segment denial of service útoků.

Jak zjistit, zda byly limity překročeny?

  • Pokud je tcpListenDrop nenulový, je potřeba navýšit tcp_conn_req_max_q.
  • Pokud je tcpListenDropQ0 nenulový, je potřeba navýšit tcp_conn_req_max_q0.

Ale počkat! Není to zase tak úplně jednoduché. Navýšením tcp_conn_req_max_q na příliš vysoké hodnoty můžeme otevřít cestu pro SYN segment denial of service útoky. Solaris to má ale díky oddělení parametrů dobře vymyšleno. Navyšujte tcp_conn_req_max_q v násobcích 256. Použijte tcp_conn_req_max_q0 pro zvýšení počtu „polovičně otevřených“ TCP spojení. Pokud nginx nebo jiný server nemůže zpracovávat spojení dostatečně rychle, zvýšení tcp_conn_req_max_q0 může zabránit tomu, že se klienti nebudou schopni připojit. Spojení klientů zůstávají v „polovičně otevřeném“ stavu, dokud je nginx nezpracuje.

Jak limity nastavit?

Pozor! Po nastavení limitu je potřeba restartovat nginx nebo jiné aplikace, kterých se to týká! Také tato nastavení se vyresetují restartem systému. Jak je nastavit permanentně si řekneme ale až v příštím článku 🙂

Zdroje

Jak ve SmartOS zóně založené na image base64 rozchodit Sphinx search

Rozchodit Sphinx daemon ve SmartOS zóně chce trochu snahy navíc. Hned po instalaci nefunguje.

Sphinx by měl být v zóně vytvořené z image base64 (alespoň od verze 13.1.0) již předinstalovaný. Ověřit si to můžeme pomocí pkgin:

Následně jej aktivujeme pomocí svcadm:

V tuto chvíli Vám ale fungovat nebude:

Zobrazíme si tedy log SVC:

Vypadá to, že v systému nemáme uživatele pbulk. Ale zakládat jej nebudeme, pro sphinx už totiž uživatel připraven je:

Nastavíme tedy SVC, aby daného uživatele použilo:

Sphinx ale stále neběží, máme tu ještě jeden problém:

Vypadá to, že složka, ve které má uživatel sphinx svůj home, neexistuje. Změníme ji na existující:

Nyní už by nám měl Sphinx vpořádku naběhnout. Pokud tedy máme správně nastaven conf a vygenerované indexy.

Když vám v solarisu nejde pod uživatelem nastavit cron nebo se klíčem přihlásit na SSH

Nedávno jsem potřeboval vytvořit v Soalrisu uživatele pro weby a nastavit mu nějaké crony. To se provede takto:

Pravděpodobně se vám ale stane, že dostanete chybu:

Cron sice půjde uložit, ale nebude fungovat. Po chvíli beznaděje jsem problém objevil v souboru /etc/shadow. Solaris jej má oproti Linuxu trochu jiný:

Důležité je ono *LK*, to totiž znamená, že je uživatel locked, nemůže tedy spouštět ani cronjoby. Stačí onen záznam změnit na NP, což znamená no password.

Instalace (migrace) SmartOS na RAIDZ2

RADZ2 je alternativa Linux RAID6. Na checksum jsou tedy použity dva disky. Nejmenší počet disků, pro které lze tuto konfiguraci použít jsou 4. V takovém případě ale počítejte s tím, že pole bude mít jen poloviční kapacitu součtu kapacit disků.

Další problém pouze 4 disků (pokud ke stroji nemůžete dočasně připojit další) je ten, že SmartOS při instalaci RAIDZ2 pole vytvořit neumí. A když systém nainstalujete jen na jeden disk, ze zbylých 3 disků RAIDZ2 pole nevytvoříte. Jeden disk vám bude chybět. Jak tento nedostatek obejít?

Začneme instalací. Nejprve si systém nainstalujeme pouze na jeden disk.

c0t0d0

Když máme instalaci hotovou, nabootujeme SmartOS bez importu zfs poolů.

Live 64-bit (noinstall)

Importujeme pool zones pod názvem zones2

zpool import zones zones2

Odmountujeme dataset zones2/cores.

Smažeme složku /zones, aby nepřekážela až budeme vytvářet pool zones.

Zjistíme, kolik zabírá celý pool zones2.

zfs list

Vytvoříme pomocí dd prázný sparse soubor větší než velikost poolu zones2.

dd if=/dev/zero of=/disk.img bs=1 seek=40G count=1

Vytvoříme RADZ2 pole ze zbylých 3 disků a soubor z předešlého kroku použijeme jaho čtvrtý disk. Parametr -f je nutný aby příkaz zpool neřval kvůli rozdílným velikostem disků a že mixujeme jednotky a soubory.

zpool create -f zones raidz2 /disk.img c0t1d0 c0t2d0 c0t3d0

Soubor použitý u poolu jako jeden z disků převedeme do offline stavu. Tento krok je důležitý. Bez něj by při přenášení dat mezi pooly došlo na SmartOS ramdisku místo.

zpool offline zones /disk.img

Volitelně můžeme před přenosem zapnout kompresi disku. Soubory se nám pak během přenosu budou ukládat zkomprimované.

Vytvoříme rekurzivní snapshot poolu zones2.

zfs snapshot -r zones2@current

Přemigrujeme data z poolu zones2 do zones. Přepínač -R u zfs send říká, že pošleme rekurzivně i podřízené datasety. Přepínač -p posílá i properties datasetů (např. nastavenou kompresi). Přepínač -F u zfs recv zajistí, že se v cílovém poolu promaže vše, co tam nemá být.

zfs send -Rp zones2@current|zfs recv -F zones

Smažeme snapshot current v cílovém poolu

Pokud vše proběhlo v pořádku, můžeme nyní zrušit pool zones2

Nahradíme soubor použitý při vytváření poolu zones diskem, který se nám nyní uvolnil

zpool replace zones /disk.img c0t0d0

Po chvíli máme data sesynchronizována a pool zones už jede na plnohodnotném RAIDZ2 poli.

zpool status

Nyní je ještě potřeba pool rozšířit na celou kapacitu disků.

zpool set autoexpand=on zones

Projistotu provedeme export poolu.

A uděláme reboot. Po najetí SmartOS s importem poolů vše pojede z právě vytvořeného RAIDZ2 pole. Enjoy!

Test rychlosti ZFS s kompresí a ZIL

Nějakou dobu se mi doma povalují disky ze starších serverů, povětšinou SAS 73GB 15k RPM. Pro tyhle disky už v dnešní době nemám moc využití, do serverů jsou prostě malé. Chtěl jsem ale vyzkoušet, zda by mohly efektivně sloužit alespoň jako ZIL u ZFS a být mi tak k něčemu dobré.

Testy jsem prováděl na náledujícím stroji s nainstalovaným SmartOS

První sada testů probíhala nad mirrorem ze 146GB disků bez ZILu:

Druhá sada testů probíhala nad stejným poolem s přidaným mirrorem ze 73GB disků jako ZILem:

První test v každé sadě probíhal s vypnutou kompresí:

Druhý test v každé sadě probíhal se zapnutou kompresí GZIP na nejvyšší level:

Testoval jsem pomocí bonnie++ s následujícím nastavením:

Pro snadnější porovnání výsledků jsem sestavil přehlednou tabulku:

ZFS ZIL compression test results

Co si z toho všeho vyvodit?

  • Použít 15k RPM SAS jako ZIL pro 10k RPM SAS nemá cenu. Možná by výledky byly lepší, kdyby byl pool ze 7200 RPM SATA disků, ale pochybuju o tom. Možná by byly lepší, kdyby bylo více konkurentních zápisu, ale dělat další testy se mi už nechce.
  • To že komprese disku zrychluje jsem věděl už předtím, ale že je to o tolik, to jsem opravdu netušil. Ačkoliv z raw výsledků je patrný slušný nárůst využití CPU, komprimovat pool se jednoznačně vyplatí.
  • Pro někoho může být matoucí, že se komprimovaná data čtou a zapisují rychleji, než data nekomprimovaná. Je to z toho důvodu, že disk díky kompresi musí provést méně seeků, ať už při čtení nebo zápisu. Na dnešních CPU je overhead komprese opravdu malý, výkon serveru jako celku to tedy ovlivní spíše pozitivně.
  • Pozor na některá SSD, která by jste chtěli použít pro pool. Často si data komprimují samy, aby méně opotřebovávaly paměťové čipy. V takovém případě je komprese na poolu spíše kontraproduktivní.

ZIL: off, komprese: off

ZIL: off, komprese: gzip-9

ZIL: on, komprese: off

ZIL: on, komprese: off

Jak zprovoznit htop ve SmartOS global zóně

Docela jsem si zvykl na htop a ačkoliv ve SmartOS zónách funguje, v globální zóně tomu tak není. Pro svůj chod htop potřebuje linuxový /proc filesystém, který v globální zóně není. S trochou snahy jej ale můžeme dodat.

Pokud jste ještě do globální zóny nenainstalovali pkgin, je právě čas. Návod najdete na wiki smartosu. Samotný htop pak snadno nainstalujeme pomocí příkazu:

Nyní vytvoříme shell shkript, který nám namountuje lxproc a umístíme jej do souboru /opt/custom/method/fs-lxproc.

Adresář /op/custom a jeho podadresáře ještě pravděpodobně vytvořeny nemáte, založte je tedy. Budeme pokračovat vytvořením XML definice pro SMF, aby se náš mount skript spouštěl automaticky. Skript uložíme do souboru /opt/custom/smf/lxproc-fs.xml. Do tohoto adresáře lze uložit i jiné definice SMF služeb, SmartOS je při bootu načte a spustí.

Nakonec XML definici načteme do SMF.

Solaris + ZFS + KVM = SmartOS

Stabilní KVM na Solarisu? Je to tak! Projekt Illumos dostal díky Joyentu vlastní port KVM. SmartOS je na Illumos založená distribuce spojující ZFS, DTrace, Solaris zóny a ano, KVM!

Distribuce je to trochu nezvyklá, neinstaluje se na disk, ale spouští se z USB flash disku nebo bootuje pomocí PXE ze sítě. Většina filesystému je read-only, samotné služby se instalují až v zónách, pro jejichž správu Joyent přidal spoustu nástrojů.

Měl bych upozornit že KVM ve SmartOS funguje jen na serverech, jejichž procesory podporují EPT. Není to tedy virtualizační platforma pro starší stroje, ale 55xx a 56xx Xeony už EPT mají. Dokonce i bez podpory EPT SmartOS stojí za vyzkoušení. Dle mých testů jde 90% služeb které provozuji na Linuxu bez problému rozchodit i v Solaris zóně.

Za zmínku stojí ještě tyto věci:

  • „apt-like“ binární balíčkovací systém pkgin
  • SMF (Service Management Facility) jako advanced náhrada rc skriptů
  • Virtuální ethernet rozhraní, virtuální switche a virtuální routery – dá se s tím kouzlit 🙂
  • Nástroj imgadm pro práci s šablonami vps, spoustu předpripravených konfigurací vps
  • Perfektní správa zdrojů přidělených zónám a vps

Pokud spravujete vps na na Linux hostu, doporučuji SmartOS alespoň vyzkoušet.