Jail limits under FREEBSD-CURRENT

[Alex Keda]

)
и неприметил.
ну ладно

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[kostjn]

Константин, проверьте пожалуйста - новый tar.gz архив с патчем содержит файл patch-jail-limit-8CURRENTнулевой длины.

Мда.. Поправил.

[kostjn]

Насчет тестов:
Я на сервере около 20клеток гоняю.
Сервисы в каждой клетке:

Код: Выделить всё

nginx
apache+php_mod
mysql
sendmail+dovecat
vsftpd
ну и по мелочи

Держится и считается все стабильно.
Единственное на время пока что нибудь компилирую в клетке, то присваиваю класс default. Ибо ругается на число открытых файлов, хотя и выставлено openfiles=10096
Я подумал, может считается суммарное число например за минуту, или как? просвятите плиз.

Хорошо
Нет, считается число файловых дескрипторов у всех процессов. И это приводит к тому, что при большом количестве процессов числа получаются большие. Вообще говоря считать файловые дескрипторы неправильно, правильнее считать открытые файлы.
Поэтому в последней версии патча, считаются имеено открытые файлы, причем учитывается что процессы могут открыть один и тот же файл.
Число открых файлов в системе можно посмотреть через

Код: Выделить всё

sysctl kern.openfiles

Попробуйте сравнить число открытых файлов в jail (используя jget) и kern.openfiles, будет нагрлядно видно, правильно ли работает подсчет.

[terminus]

самый новый патч не наложился на сегодняшний CURRENT

Перед тем как накладывать патч, получите HEAD от 25 мая.

Это обязательное условие?

Код: Выделить всё

# patch -p0 < ./patch-jail-limit-8CURRENT

Hmm...  Looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/kern/kern_clock.c /usr/src.new8/sys/kern/kern_clock.c
|--- /usr/src/sys/kern/kern_clock.c	2009-05-18 12:03:43.000000000 +0000
|+++ /usr/src.new8/sys/kern/kern_clock.c	2009-06-02 09:00:48.000000000 +0000
--------------------------
Patching file /usr/src/sys/kern/kern_clock.c using Plan A...
Hunk #1 succeeded at 52.
Hunk #2 succeeded at 503.
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/kern/kern_descrip.c /usr/src.new8/sys/kern/kern_descrip.c
|--- /usr/src/sys/kern/kern_descrip.c	2009-05-20 18:42:04.000000000 +0000
|+++ /usr/src.new8/sys/kern/kern_descrip.c	2009-06-02 09:00:48.000000000 +0000
--------------------------
Patching file /usr/src/sys/kern/kern_descrip.c using Plan A...
Hunk #1 succeeded at 1453.
Hunk #2 succeeded at 2274.
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/kern/kern_exit.c /usr/src.new8/sys/kern/kern_exit.c
|--- /usr/src/sys/kern/kern_exit.c	2009-05-08 14:11:06.000000000 +0000
|+++ /usr/src.new8/sys/kern/kern_exit.c	2009-06-02 09:00:48.000000000 +0000
--------------------------
Patching file /usr/src/sys/kern/kern_exit.c using Plan A...
Hunk #1 failed at 457.
Hunk #2 succeeded at 562 with fuzz 2 (offset 12 lines).
1 out of 2 hunks failed--saving rejects to /usr/src/sys/kern/kern_exit.c.rej
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/kern/kern_fork.c /usr/src.new8/sys/kern/kern_fork.c
|--- /usr/src/sys/kern/kern_fork.c	2009-05-08 14:11:06.000000000 +0000
|+++ /usr/src.new8/sys/kern/kern_fork.c	2009-06-02 09:00:48.000000000 +0000
--------------------------
Patching file /usr/src/sys/kern/kern_fork.c using Plan A...
Hunk #1 succeeded at 222.
Hunk #2 failed at 466.
Hunk #3 succeeded at 771 (offset -1 lines).
1 out of 3 hunks failed--saving rejects to /usr/src/sys/kern/kern_fork.c.rej
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/kern/kern_jail.c /usr/src.new8/sys/kern/kern_jail.c
|--- /usr/src/sys/kern/kern_jail.c	2009-05-23 16:13:26.000000000 +0000
|+++ /usr/src.new8/sys/kern/kern_jail.c	2009-06-02 09:00:48.000000000 +0000
--------------------------
Patching file /usr/src/sys/kern/kern_jail.c using Plan A...
Hunk #1 succeeded at 38 (offset 1 line).
Hunk #2 succeeded at 60 (offset 1 line).
Hunk #3 failed at 118.
Hunk #4 failed at 229.
Hunk #5 failed at 397.
Hunk #6 succeeded at 487 with fuzz 1 (offset 36 lines).
Hunk #7 succeeded at 803 (offset 117 lines).
Hunk #8 failed at 1015.
Hunk #9 failed at 1151.
Hunk #10 succeeded at 1793 with fuzz 1 (offset 435 lines).
Hunk #11 succeeded at 1778 (offset 198 lines).
Hunk #12 failed at 1795.
Hunk #13 failed at 1821.
Hunk #14 failed at 1981.
Hunk #15 succeeded at 2318 (offset 502 lines).
Hunk #16 succeeded at 2613 with fuzz 2 (offset 9 lines).
8 out of 16 hunks failed--saving rejects to /usr/src/sys/kern/kern_jail.c.rej
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/kern/kern_sig.c /usr/src.new8/sys/kern/kern_sig.c
|--- /usr/src/sys/kern/kern_sig.c	2009-04-10 10:52:19.000000000 +0000
|+++ /usr/src.new8/sys/kern/kern_sig.c	2009-06-02 09:00:48.000000000 +0000
--------------------------
Patching file /usr/src/sys/kern/kern_sig.c using Plan A...
Hunk #1 succeeded at 57.
Hunk #2 succeeded at 2673.
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/kern/sched_ule.c /usr/src.new8/sys/kern/sched_ule.c
|--- /usr/src/sys/kern/sched_ule.c	2009-04-29 23:04:31.000000000 +0000
|+++ /usr/src.new8/sys/kern/sched_ule.c	2009-06-02 09:00:48.000000000 +0000
--------------------------
Patching file /usr/src/sys/kern/sched_ule.c using Plan A...
Hunk #1 succeeded at 50.
Hunk #2 succeeded at 2230.
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/sys/jail.h /usr/src.new8/sys/sys/jail.h
|--- /usr/src/sys/sys/jail.h	2009-05-07 18:36:47.000000000 +0000
|+++ /usr/src.new8/sys/sys/jail.h	2009-06-02 09:01:06.000000000 +0000
--------------------------
Patching file /usr/src/sys/sys/jail.h using Plan A...
Hunk #1 failed at 24.
Hunk #2 failed at 45.
Hunk #3 succeeded at 138 with fuzz 2 (offset -3 lines).
Hunk #4 failed at 154.
Hunk #5 failed at 164.
Hunk #6 failed at 249.
Hunk #7 failed at 265.
6 out of 7 hunks failed--saving rejects to /usr/src/sys/sys/jail.h.rej
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/sys/kernel.h /usr/src.new8/sys/sys/kernel.h
|--- /usr/src/sys/sys/kernel.h	2009-05-08 14:11:06.000000000 +0000
|+++ /usr/src.new8/sys/sys/kernel.h	2009-06-02 09:01:06.000000000 +0000
--------------------------
Patching file /usr/src/sys/sys/kernel.h using Plan A...
Hunk #1 succeeded at 165 (offset -7 lines).
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/sys/ktr.h /usr/src.new8/sys/sys/ktr.h
|--- /usr/src/sys/sys/ktr.h	2009-04-29 09:54:33.000000000 +0000
|+++ /usr/src.new8/sys/sys/ktr.h	2009-06-02 09:01:06.000000000 +0000
--------------------------
Patching file /usr/src/sys/sys/ktr.h using Plan A...
Hunk #1 succeeded at 61.
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/sys/proc.h /usr/src.new8/sys/sys/proc.h
|--- /usr/src/sys/sys/proc.h	2009-05-20 18:45:49.000000000 +0000
|+++ /usr/src.new8/sys/sys/proc.h	2009-06-02 09:01:06.000000000 +0000
--------------------------
Patching file /usr/src/sys/sys/proc.h using Plan A...
Hunk #1 succeeded at 449.
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/sys/resource.h /usr/src.new8/sys/sys/resource.h
|--- /usr/src/sys/sys/resource.h	2008-12-11 18:32:05.000000000 +0000
|+++ /usr/src.new8/sys/sys/resource.h	2009-06-02 09:01:07.000000000 +0000
--------------------------
Patching file /usr/src/sys/sys/resource.h using Plan A...
Hunk #1 succeeded at 97.
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/vm/vm_extern.h /usr/src.new8/sys/vm/vm_extern.h
|--- /usr/src/sys/vm/vm_extern.h	2009-04-01 04:36:37.000000000 +0000
|+++ /usr/src.new8/sys/vm/vm_extern.h	2009-06-02 09:01:08.000000000 +0000
--------------------------
Patching file /usr/src/sys/vm/vm_extern.h using Plan A...
Hunk #1 succeeded at 70.
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/vm/vm_map.c /usr/src.new8/sys/vm/vm_map.c
|--- /usr/src/sys/vm/vm_map.c	2009-04-19 00:34:34.000000000 +0000
|+++ /usr/src.new8/sys/vm/vm_map.c	2009-06-02 09:01:08.000000000 +0000
--------------------------
Patching file /usr/src/sys/vm/vm_map.c using Plan A...
Hunk #1 succeeded at 361.
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/vm/vm_mmap.c /usr/src.new8/sys/vm/vm_mmap.c
|--- /usr/src/sys/vm/vm_mmap.c	2009-04-04 23:12:14.000000000 +0000
|+++ /usr/src.new8/sys/vm/vm_mmap.c	2009-06-02 09:01:08.000000000 +0000
--------------------------
Patching file /usr/src/sys/vm/vm_mmap.c using Plan A...
Hunk #1 succeeded at 56.
Hunk #2 succeeded at 242.
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/vm/vm_page.c /usr/src.new8/sys/vm/vm_page.c
|--- /usr/src/sys/vm/vm_page.c	2009-05-13 05:39:39.000000000 +0000
|+++ /usr/src.new8/sys/vm/vm_page.c	2009-06-02 09:01:08.000000000 +0000
--------------------------
Patching file /usr/src/sys/vm/vm_page.c using Plan A...
Hunk #1 succeeded at 110.
Hunk #2 succeeded at 705 (offset 3 lines).
Hunk #3 succeeded at 765 (offset 3 lines).
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/sys/vm/vm_unix.c /usr/src.new8/sys/vm/vm_unix.c
|--- /usr/src/sys/vm/vm_unix.c	2009-04-11 22:34:08.000000000 +0000
|+++ /usr/src.new8/sys/vm/vm_unix.c	2009-06-02 09:01:08.000000000 +0000
--------------------------
Patching file /usr/src/sys/vm/vm_unix.c using Plan A...
Hunk #1 succeeded at 47.
Hunk #2 succeeded at 79.
Hmm...  The next patch looks like a unified diff to me...
The text leading up to this was:
--------------------------
|diff -w -b -B -r -U3 /usr/src/usr.sbin/jail/jail.c /usr/src.new8/usr.sbin/jail/jail.c
|--- /usr/src/usr.sbin/jail/jail.c	2009-04-29 16:02:52.000000000 +0000
|+++ /usr/src.new8/usr.sbin/jail/jail.c	2009-06-02 08:59:49.000000000 +0000
--------------------------
Patching file /usr/src/usr.sbin/jail/jail.c using Plan A...
Hunk #1 failed at 105.
Hunk #2 succeeded at 174 with fuzz 2 (offset 29 lines).
Hunk #3 failed at 256.
Hunk #4 failed at 334.
3 out of 4 hunks failed--saving rejects to /usr/src/usr.sbin/jail/jail.c.rej
done

[kostjn]

Да, так как current меняется каждый час.
Одна, такая строчка

Код: Выделить всё

Hunk #14 failed at 1981

означает, что патч не наложился и нет смысла пытаться собираться ядро.

[terminus]

Ясно. Я сейчас csup'юс с *default date=2009.05.25.23.59.59

---
вики обновили 30 минут назад! По ходу MiroslavLachman читает форум Лисяры, или его кто-то из местных пнул?

Resource limit for Jails (CPU, memory, filedesc, process)
patch by Menshikov Konstantin,
mailinglist announcement based on FreeBSD 8.x

[kostjn]

вики обновили 30 минут назад! По ходу MiroslavLachman читает форум Лисяры, или его кто-то из местных пнул?

Прикольный чувак , быстро ответил. Утром написал ему.

[ProFTP]

пробую, у меня мир 7.0 стабл, ядра 8.0 карент работает вместе (только локальный сервер заметил, что не пашет)
сделаю мир тоже 8.0

jail128:\ - это jail_list="jail128"?


что такое :cputime=10:\ это 10МГц? как рачитать сколько это % от процессора?

Код: Выделить всё

Create new entry in login.conf, for example class jail128
jail128:\
	:cputime=10:\
	:memoryuse=128M:\
	:maxproc=256:\
	:openfiles=1024:\
	:tc=default

а че это за файлик ./jset.o? и его параметры что означают 1 jail64?

Код: Выделить всё

./jset.o 1 jail64

[Гость]

jail128 это класс регистрации пользователей в login.conf.
cpulimit 10 означает, что jail-у разрешено использовать 10% процессора, лимиты на cpu мягкие, это означает что jail может легко превысить лимит если есть свободные ресурсы.
у jset 2 параметра, 1 jid, 2 класс регистрации с лимитами.
Эти программки только для тестов, посже все управление будет встроено в jail(8) а просмотр в jls(8).

[Гость]

тот пачт который в сорцах появился, это не тот котрый kostjn написал...

а можно ли статически ресурсы в нем ограничить?

я хотел: например туда поставить веб сервер, который в тупую жрет ресурсы, в основную систему "другой качественный веб сервер", еще может СУБД поставить в другую клетку, а то она ресурсы жжот, резервирует для своих ключей, там и т.д.
или смысла нету?

[Гость]

тот пачт который в сорцах появился, это не тот котрый kostjn написал...

а можно ли статически ресурсы в нем ограничить?

я хотел: например туда поставить веб сервер, который в тупую жрет ресурсы, в основную систему "другой качественный веб сервер", еще может СУБД поставить в другую клетку, а то она ресурсы жжот, резервирует для своих ключей, там и т.д.
или смысла нету?

Что Вы понимаете под статическим ограничением? Для всех лимитов будет возможность изменения на лету, благо последние патчи предоставляют для этого стандартный механизм.
Поймите, лимиты не помогут решить проблему с нехваткой памяти вообще. Например, если серверу бд для нормальной работы нужно 100M памяти, а Вы поставите 50 М, сервер в лучшем случае будет вываливаться с ошибкой, а в худшем произойдет потеря данных. Если Вы ставите для jail-а лимит в 100M, то будьте готовы к тому, что при достижении лимита процессы в jail (наиболее требовательные к памяти) перестанут работать. Лимиты должны устанавливаться таким образом, чтобы при нормальной работе jail-а оставался некий (например 50%) запас на будующее.

[ProFTP]

Код: Выделить всё

vne -Wcast-qual  -Wundef -Wno-pointer-sign -fformat-extensions -nostdinc  -I.  -I
/usr/src/sys -I/usr/src/sys/contrib/altq -D_KERNEL -DHAVE_KERNEL_OPTION_HEADERS
-include opt_global.h -fno-common -finline-limit=8000 --param inline-unit-growth
=100 --param large-function-growth=1000  -mno-align-long-strings -mpreferred-sta
ck-boundary=2  -mno-mmx -mno-3dnow -mno-sse -mno-sse2 -mno-sse3 -ffreestanding -
fstack-protector -Werror  /usr/src/sys/kern/kern_jail.c
cc1: warnings being treated as errors
/usr/src/sys/kern/kern_jail.c:2666: warning: C99 inline functions are not suppor
ted; using GNU89
/usr/src/sys/kern/kern_jail.c:2666: warning: to disable this warning use -fgnu89
-inline or the gnu_inline function attribute
*** Error code 1

что с этим делать?

как узнать за какой время исходники? обновил нормально

Код: Выделить всё

*default date=2009.05.25.00.00.00
*default host=cvsup2.ua.FreeBSD.org
*default prefix=/usr
*default base=/usr
*default release=cvs delete use-rel-suffix compress
src-all

[ProFTP]

товарищи что с этим делать?
это на патч ругается?

[paradox]

в make.conf
WERROR=
попробуй

[ProFTP]

так

Код: Выделить всё

WERROR=

сделаю

ЗЫ: или так?:

Код: Выделить всё

WERROR=YES

[paradox]

нет
так как я показал
если бы там подразумевалось YES то я бы поставил после равно многоточие(типа на ваш выбор сами думайте)

[ProFTP]

Кажется поомгло, но теперь ошибка

locore.o(.text+0x151): In function `got_common_bi_size':

Код: Выделить всё

MAKE=make sh /usr/src/sys/conf/newvers.sh MYKERNEL2
cc -c -O2 -pipe  -ffast-math -funit-at-a-time -fpeel-loops -ftracer -funswitch-l
oops -mmmx -msse -msse2 -march=pentium4 -mtune=pentium4 -fno-strict-aliasing -ma
rch=pentium4 -std=c99  -Wall -Wredundant-decls -Wnested-externs -Wstrict-prototy
pes  -Wmissing-prototypes -Wpointer-arith -Winline -Wcast-qual  -Wundef -Wno-poi
nter-sign -fformat-extensions -nostdinc  -I.  -I/usr/src/sys -I/usr/src/sys/cont
rib/altq -D_KERNEL -DHAVE_KERNEL_OPTION_HEADERS -include opt_global.h -fno-commo
n -finline-limit=8000 --param inline-unit-growth=100 --param large-function-grow
th=1000  -mno-align-long-strings -mpreferred-stack-boundary=2  -mno-mmx -mno-3dn
ow -mno-sse -mno-sse2 -mno-sse3 -ffreestanding -fstack-protector   vers.c
linking kernel
locore.o(.text+0x144): In function `got_common_bi_size':
: undefined reference to `nfs_diskless'
locore.o(.text+0x151): In function `got_common_bi_size':
: undefined reference to `nfs_diskless_valid'
*** Error code 1

на nfs ругается чтоли?

[paradox]

это ты кернель сильно образал
собирай женерик

[ProFTP]

ok, точно

[ProFTP_]

блин, подскажите как посмотреть пропатчены ли исходники?
я не помню пропатчил ли я...

если 2 раза пропатчить когда не соберется?

[zingel]

Код: Выделить всё

svn diff -c(номер реверсии) $ROOT

[Андрей-]

Вышла Бета3 freebsd8, в конце сентября обещают финальную версию.
Не нашёл информации будут ли лимиты ресурсов в финальной версии?

[savio]

Что то давно тут никто ничего не пишет. Работа закончена над патчем или как? думал ставить openvz под Linux, а тут нашел такое дело...

[kostjn]

Нет, работа над патчем не закончена. Более того, она остановлена из за отсутствия времени.
Работа над лимитами в jail идет в проекте http://wiki.freebsd.org/Hierarchical_Resource_Limits

[ev]

эх... а многие так надеялись...