Linux 及其相關 – Page 8

2020/12/182020/12/22

ansible-builder

看到這篇：紅帽推出IT自動化工具Ansible Builder以加速執行環境創建 | iThome ，所以就來試試看。

就我試用過以後，我的理解是，這工具可以幫忙創建出一個具有 Ansible 環境的 docker image。

環境是定義在 execution-environment.yml 裡，讓我們直接看範例

---
version: 1

# 即基礎 image，目前來說，都是用 quay.io/ansible/ansible-runner:stable-2.9-devel
base_image: 'quay.io/ansible/ansible-runner:stable-2.9-devel'

# 需要自訂 ansible.cfg 的話，這邊就是填 ansible.cfg 的路徑檔名
ansible_config: 'ansible.cfg'

# 相依
# galaxy 是填 requirements.yml，檔案裡描述 playbook 會用到的 role/collection，沒用到可以不填
# python 則是填 requirements.txt，檔案裡描述會使用到的 Python modules，沒用到可以不填
dependencies:
  galaxy: requirements.yml
  python:

# 額外要加入的 docker image 建置步驟
# prepend 會在預定的建置步驟之前
# append 則是在預定的建置步驟之後
additional_build_steps:
  prepend: |
    RUN whoami
    RUN cat /etc/os-release
  append:
    - RUN echo This is a post-install command!
    - RUN ls -la /etc

有了 execution-environment.yml 之後，就可以用 ansible-builder 來建置。

首先，得先安裝：

# python3
pip3 install ansible-builder

接著就可以建置了

ansible-builder build --tag=example

建置完成，會有 docker image，在目錄下則會出現 context 資料夾，這個資料夾裏面就是 ansible-builder 建置過程中所產出的 Dockerfile 以及建置 Docker image 所需的檔案。

打開 Dockerfile ，就會看到 ansible-builder 幫我們產出了什麼。

FROM quay.io/ansible/ansible-runner:stable-2.9-devel as galaxy

ADD ansible.cfg ~/.ansible.cfg

ADD requirements.yml /build/

RUN ansible-galaxy role install -r /build/requirements.yml --roles-path /usr/share/ansible/roles
RUN ansible-galaxy collection install -r /build/requirements.yml --collections-path /usr/share/ansible/collections

RUN mkdir -p /usr/share/ansible/roles /usr/share/ansible/collections

FROM quay.io/ansible/python-builder:latest as builder

ADD requirements_combined.txt /tmp/src/requirements.txt
RUN assemble

FROM quay.io/ansible/ansible-runner:stable-2.9-devel

RUN whoami
RUN cat /etc/os-release

COPY --from=galaxy /usr/share/ansible/roles /usr/share/ansible/roles
COPY --from=galaxy /usr/share/ansible/collections /usr/share/ansible/collections

COPY --from=builder /output/ /output/
RUN /output/install-from-bindep && rm -rf /output/wheels
RUN echo This is a post-install command!
RUN ls -la /etc

大抵來說，

使用了 multi stage build 以減少 docker image 的大小
使用 ansible-galaxy 安裝相依的 role/collection
會看到 additional_build_steps 裡描述的步驟

好，那建置出 docker image 以後，怎麼使用呢？

假設 playbook 是放在 project 目錄下，那麼就這樣執行

docker run --rm -v /runner/project:$(pwd)/project -it example:latest ansible-playbook -i localhost, -c local /runner/project/test.yml

這邊稍微取了點巧，只簡單用 local connection (-i localhost, -c local) 在本機執行，你也可以在這邊使用自己的 inventory。

建置出 Ansible 執行環境的 docker image 以後，除了可以固定住執行 Ansible playbook 的環境，也有利於打造出標準化的 CD 環境，進而減少開發與佈署的時間。

2020/12/082020/12/08

直接用 SSH 登入 vagrant 虛擬機失敗

試著直接使用 SSH 登入 vagrant 開出來的 Ubuntu 虛擬機，會出現錯誤訊息：

SSH Login Failed : Permission denied (publickey,gssapi-keyex,gssapi-with-mic)

可是用 vagrant ssh 卻可以登入，用 vagrant ssh 登入進去查，SSH daemon 有啟動，所以 SSH 服務是沒問題的。後來透過錯誤訊息才查到，是 SSH Daemon 裡的 PasswordAuthentication 被設定為 no 了。所以修改 /etc/ssh/sshd_config ，將 PasswordAuthentication 設定為 yes 後，就可以用 ssh 登入了。

vagrant ssh 之所以可以登入，是因為在初始化虛擬機時，預先產生好 SSH Key，並且把 SSH public key 放到虛擬機裡了。另外一種解決方法，就是使用產生好的 SSH private key 來登入。

ssh -i .vagrant/machines/<your_machine_name>/virtualbox/private_key ubuntu@<your_machine_ip>

參考資料：

SSH Login Failed : Permission denied (publickey,gssapi-keyex,gssapi-with-mic)

2020/11/042020/11/04

處理 AsusWRT-Merlin DNS 查找慢的問題

年初的時候有處理過，那時候感覺還沒這麼慢，最近這一兩個月，慢的感覺愈來愈明顯，看來不處理是不行了。

先進行觀察，通常是第一次查找時會特別慢，之後就會比較順暢。

回想年初的設定是讓 AsusWRT-Merlin 當作是主要 DNS，也有 Cache，當查找不到時才去外面找。那麼，看樣子就是外面的 DNS 伺服器太慢了，導致第一次查找慢。

從網頁管理介面找不到什麼設定可以調整，想到的解決方法是直接用 SSH 連進去改，於是就找到這篇：Asuswrt-merlin 自定義 dnsmasq 解析 │ 坂本 Sakamoto.blog – 探究科技未知領域

步驟如下：

點選左側的 Administration > System (系統管理 > 系統設定)
1. Format JFES partiton at next boot -> No
2. Enable JFFS custom scripts and configs -> Yes
3. Enable SSH -> LAN only
4. 把 ~/.ssh/id_rsa.pub 裡的內容複製起來，然後貼到「授權金鑰」欄裡。
選擇下方的套用
LAN > DNSFilter
1. Enable DNS-based Filtering 改為 OFF
LAN > DHCP Server
1. Advertise routers IP in addition to user specified DNS -> Yes
用 SSH 連線進去，使用者名稱是你登入 web 管理介面用的使用者名稱，例如：ssh root@192.168.1.1
附加 dnsmasq 設定
1. touch /jffs/configs/dnsmasq.conf.add
2. 填入 server=8.8.8.8 (若有多個，記得換行)
3. 填入 min-cache-ttl=600 ，確保 cache 最少保留 600 秒 (10分鐘)
4. 填入 max-cache-ttl=1800，確保 cache 最多就保留 1800 秒 (30分鐘)
加入 dnsmasq 事後設定腳本，這主要是把原有的 servers-file 拿掉。
1. touch /jffs/scripts/dnsmasq.postconf
2. 腳本內容請參考後面的腳本
3. chmod +x /jffs/scripts/dnsmasq.postconf
重新啟動

經過這樣的設定之後，再來做測試，情況的確比之前好多了，繼續來觀察看看。

dnsmasq 事後設定腳本

#!/bin/sh
# /jffs/scripts/dnsmasq.postconf
CONFIG=$1
source /usr/sbin/helper.sh
pc_delete "servers-file=/tmp/resolv.dnsmasq" $CONFIG

其他參考資料

為什麼要用 dnsmasq.conf.add / dnsmasq.postconf ，這是參考 AsusWRT-Merlin 的維基頁面：Custom config files · RMerl/asuswrt-merlin.ng Wiki
Cache TTL 設定的使用是參考：How long does dnsmasq cache dns? – Server Fault
測試 DNS 查找速度
- ldns：用 sudo apt-get install ldnsutils 來安裝，然後用 drill www.microsoft.com | grep “Query time” 來測試。會知道這指令是因為閱讀了 dnsmasq – ArchWiki
- dnsdiag：用 sudo apt-get install dnsdiag 來安裝，然後可以用 dnsping 來查，用法可以參考 farrokhi/dnsdiag: DNS Diagnostics and Performance Measurement Tools
驗證 dnsmasq 設定是否正確，可以用 dnsmasq –test

2020/07/072020/07/07

如何在 systemd 裡啟用 rc.local

以前用 sysv 或 upstart 時，很方便，想要在開機時跑一些指令，又懶得寫啟動 sysv init script 或 upstart job 時，就寫在 rc.local 裡就好。現在幾乎各大 Linux 發行版本都改用 systemd 了，那 systemd 又該怎麼做呢？印象中之前查過兩三次了，這次再查，決定還是記錄一下好了。

主要參考這篇：How to Enable /etc/rc.local with Systemd – LinuxBabe

第一步，新增 /etc/rc.local ，然後把要執行的指令放到裡面去，並且用 chmod +x /etc/rc.local 加上執行權限。

第二步，新增 /etc/systemd/system/rc-local.service

[Unit]
Description=/etc/rc.local Compatibility
ConditionPathExists=/etc/rc.local

[Service]
Type=forking
ExecStart=/etc/rc.local start
TimeoutSec=0
StandardOutput=tty
RemainAfterExit=yes
SysVStartPriority=99

[Install]
WantedBy=multi-user.target

第三步，啟用這個服務

sudo systemctl enable rc-local

2020/07/032020/07/03

硬碟空間不足？用OverlayFS來整合新硬碟空間

想到昨天還前天朋友問的，說伺服器的硬碟空間沒了，買了新的硬碟來用，有沒有辦法用一個比較便利的方法來掛載使用。我那時回答是說，得掛載到新的資料夾，再使用 symbolic link 方式去處理，今天看到 overlayfs，覺得應該可以用，就研究了一下。

主要是看了這三篇

第一篇側重於原理，第二篇很簡單，我覺得第三篇比較清楚。

是這樣的，本來看完第一篇跟第二篇，在嘗試的時候 (我是用 dd 做磁碟映像來掛載)，一直遇到 wrong fs type, bad option, bad superblock on overlay 的問題，掛載不起來。看完第三篇，才知道自己錯在哪裡，就是 upperdir 必須要跟 workdir 在同個磁碟上，這樣掛載才不會有問題。

下面就開始實作，建立 olddisk，這裡把它當作是舊的 /home

dd if=/dev/zero of=olddisk bs=1024 count=1024
mkfs.ext4 olddisk

如果是真實情況的話，那麼這原本是掛載到 /home，這裡就把它改掛載到 /mnt/home。

sudo mkdir -p /mnt/home
sudo mount olddisk /mnt/home
sudo chown -R $USER:$USER /mnt/home

建立使用者目錄，盡可能模擬真實狀況，在真實狀況下，這步驟不用做

mkdir -p /mnt/home/user{1,2,3,4,5}

然後重新掛載為唯讀，模擬為以後都不去動的狀態

sudo mount -o remount,ro /mnt/home

建立 newdisk ，也就是模擬為新的硬碟

dd if=/dev/zero of=newdisk bs=1024 count=8192
mkfs.ext4 newdisk

掛載到 /mnt/newdisk

sudo mkdir -p /mnt/newdisk
sudo mount newdisk /mnt/newdisk
sudo chown -R $USER:$USER /mnt/newdisk

在新磁碟上建立兩個目錄，一個 home，一個 workdir。home 是 upperdir，workdir 還是 workdir，至於什麼是 upperdir，什麼是 workdir ，這裡就不多做說明了。

mkdir -p /mnt/newdisk/{home,workdir}

好，開始來掛載 overlay，這裡是掛載到 /home1，實際狀況會是 /home

sudo mount -t overlay none -o lowerdir=/mnt/home,upperdir=/mnt/newdisk/home,workdir=/mnt/newdisk/workdir /home1

看看 /home1

ls /home1
# 結果：
# lost+found  user1  user2  user3  user4  user5

建立新的使用者資料夾看看

mkdir -p /home1/user{6,7,8,9,10}

再來看看 /home1 有什麼變化

ls /home1
# 結果：
# lost+found  user1  user10  user2  user3  user4  user5  user6  user7  user8  user9

這時可以看到有確實的增加了 user6, user7, user8, user9, user10 這些資料夾，然後來看看新的硬碟裡怎麼樣了

ls /mnt/newdisk/home
# 結果：
# user10  user6  user7  user8  user9

這時可以看到新的使用者資料夾在這邊了，那 workdir 呢?

ls /mnt/newdisk/workdir
# 結果：
# work

會發現只有 work，看來這是 kernel 工作用的目錄，可以忽略。那如果去原來在舊磁碟的使用者資料夾裡新增或修改檔案，會怎麼樣呢？

cd /home1/user1
touch {x,y}.md
cd /home1/user2
touch z.md

看舊磁碟上有沒有變化

ls /mnt/home/user1
# 結果：
#

會發現一樣是空的。來看看新磁碟

ls /mnt/newdisk/home/user1
# 結果：
# x.md  y.md

至此，存取一樣都在 /home1，但新的資料都會被放在新磁碟上了。

整理一下，在實際情況時的處置

接上新硬碟，分割、格式化好之後，掛載到 /mnt/newdisk ，建立兩個資料夾：home, workdir
如果 /home 是在分割區的話，先卸載，改掛載到 /oldhome；如果是跟 / 在一起的話，改個名字，例如 /oldhome
掛載：sudo mount -t overlay none -o lowerdir=/oldhome,upperdir=/mnt/newdisk/home,workdir=/mnt/newdisk/workdir /home
修改 /etc/fstab ，這樣下次開機時，才會生效。修改重點有三，一是原來的 /home，二是掛載新的磁碟，三是加入 overlay 的處理。

2019/10/252019/10/25

棄用 yaourt，改用 yay

原來 archlinux 的 yaourt 已經過時了，我參考這篇 Yaourt is Dead! Use These Alternatives for AUR in Arch Linux，換成 yay，用法跟 yaourt 差不多。最新的 AUR 替代品可以參考 Archlinux 維基：AUR_helpers ，只是官方不建議使用這些工具，還是希望大家熟悉手動建置套件的程序。

先移除 yaourt

$ sudo pacman -Rn yaourt package-query

再參考 yay 的安裝說明來安裝

git clone https://aur.archlinux.org/yay.git
cd yay
makepkg -si

用法跟 yaourt 差不多

# 更新套件列表並更新目前已經安裝的套件 (包含 AUR)
yay -Syu
# 安裝套件
yay -S foo
# 尋找套件
yay -Ss foo
# 取得遠端套件資訊
yay -Si foo
# 目前系統套件狀況
yay -P --stats

搞定以後，參考 yay -P –stats 的建議，移除了 aur 沒在維護的套件。最後跟 yaourt 說聲再見，謝謝 yaourt 過去幾年的照顧。

2019/10/022019/10/02

Tor

這篇只講在 Ubuntu 16.04/18.04 上的安裝。

安裝

echo "deb https://deb.torproject.org/torproject.org/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/tor.list
curl https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --import
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -
sudo apt-get update
sudo apt-get install tor tor-geoipdb torsocks deb.torproject.org-keyring privoxy

修改 /etc/privoxy/config ，檔案結尾加入

forward-socks5 / localhost:9050 .

然後重新啟動

sudo systemctl restart privoxy

privoxy 主要是為只支援 http proxy 的程式提供 http proxy，tor 主要只提供 sock proxy。執行程式時，用 torsocks your_command 即可。要查 IP ，可以用 torsocks curl ipv4.icanhazip.com

參考資料

How To Install And Use Tor As A Proxy In Ubuntu Or Linux Mint

2019/09/102019/09/10

apk add 的 –virtual

在 Reduce Docker image sizes using Alpine 這篇學到的，add 時加上 –virtual，是暫時性的為這次加的 package 納入群組。之後若不需要這些 package，就可以在 del 時，指定這個名稱，就可以移除前次加入的 packages。

apk add --no-cache --virtual .build-deps gcc freetype-dev musl-dev
apk del .build-deps

2019/03/072019/03/07

Alternative NTP – Chrony

前幾天看到的 NTP 軟體 – Chrony：

設定您 Linux 執行個體的時間
Keeping Time With Amazon Time Sync Service
Ubuntu Bionic: Using chrony to configure NTP (這篇教學超完整)

安裝很簡單，Ubuntu 14.04 以後的版本都包進去了：sudo apt-get install chrony

設定檔在 /etc/chrony/chrony.conf ，基本上不用去更動。主要的設定是 pool 或 server 開頭的那幾行，主要是描述要跟哪台 NTP 伺服器同步，Ubuntu 16.04 預設是寫pool 2.debian.pool.ntp.org offline iburst 。

在 AWS 環境裡，可以把該行改成 server 169.254.169.123 prefer iburst ，直接跟 AWS 的 NTP 伺服器同步。要跟 Ubuntu NTP 伺服器同步，可以改成 pool ntp.ubuntu.com offline iburst

使用方法也很簡單：

看 NTP 伺服器來源：chronyc sources -v
看目前同步狀態：chronyc tracking
看目前的活動：chronyc activity

所以現在就不用 ntp/ntpdate 了。

2018/11/152018/11/15

apt 使用 mirror

看到這篇文章：How to select the fastest apt mirror on Ubuntu Linux ，sources.list 裡可以改用 mirror://mirrors.ubuntu.com/mirrors.txt 這樣的 URL，apt 就會自動使用 mirror ，不過 apt 不一定會選到最快的 mirror。

在選最快的 mirror 時，可以用 netselect ，但 debian 才有包 netselect 。文章的留言有人提到一個組合命令可以用來取代 netselect ，我試了之後，發現不能用，稍稍做了調整 (改 sed 以及改用 awk 取 ping 結果)：

for mirror in $(wget -qO - mirrors.ubuntu.com/mirrors.txt|sed 's/^http:\/\///;s/\/.*$//') ; do echo $(ping -c 1 $mirror|awk 'BEGIN {FS="[=]|[ ]"} NR==2 {print $11}') $mirror ; done|sort -n|grep "^[0-9]"|head -n 20

執行以後的結果：

2.49 mirror01.idc.hinet.net
3.47 debian.linux.org.tw
3.61 ubuntu.cs.nctu.edu.tw
5.45 ftp.tku.edu.tw
13.5 ftp.ntou.edu.tw
33.3 ubuntu.stu.edu.tw
40.8 ftp.ubuntu-tw.net
91.8 mirror.ncunwlab.tk
96.6 ftp.yzu.edu.tw
284 archive.ubuntu.com

看起來是中華電信最快，這時候再用 sed 去替換 sources.list 的來源即可。

sed 's/mirror:\/\/mirrors\.ubuntu\.com\/mirrors\.txt/http:\/\/mirror01\.idc\.hinet\.net\/ubuntu/' /etc/apt/sources.list | sudo tee /etc/apt/sources.list