Linux：使用systemd管理進程

Blog：博客園 個人

參考：Systemd服務管理教程 Systemd 入門教程：實戰篇 Systemd 入門教程：命令篇

概述

systemd是目前Linux系統上主要的系統守護進程管理工具，由於init一方面對於進程的管理是串行化的，容易出現阻塞情況，另一方面init也僅僅是執行啟動腳本，並不能對服務本身進行更多的管理。所以從CentOS 7 開始也由systemd取代了init作為默認的系統進程管理工具。

systemd所管理的所有系統資源都稱作Unit，通過systemd命令集可以方便的對這些Unit進行管理。比如systemctl、hostnamectl、timedatectl、localctl等命令，這些命令雖然改寫了init時代用戶的命令使用習慣（不再使用chkconfig、service等命令），但確實也提供了很大的便捷性。

特點

• 提供了服務按需啟動 的能力，使得特定的服務只有在真定被請求時才啟動，顯著提高開機啟動效率
• 允許更多的進程並行啟動： Systemd 通過 Socket 緩存、DBus 緩存和建立臨時掛載點等方法進一步解決了啟動進程之間的依賴，做到了所有系統服務並發啟動。
• 使用 CGroup 跟蹤和管理進程的生命周期：通過 CGroup 不僅能夠實現服務之間訪問隔離，限制特定應用程序對系統資源的訪問配額，還能更精確地管理服務的生命周期。
• 專用的系統日志管理服務：Journald，這個服務的設計初衷是克服現有 Syslog 服務的日志內容易偽造和日志格式不統一等缺點，Journald 用 二進制格式 保存所有的日志信息，因而日志內容很難被手工偽造。Journald 還提供了一個 journalctl 命令來查看日志信息，這樣就使得不同服務輸出的日志具有相同的排版格式， 便於數據的二次處理。

systemctl語法

systemctl [OPTIONS...] {COMMAND} ...

command：

• start：啟動指定的unit，例如systemctl start nginx
• stop：關閉指定的unit，例如systemctl stop nginx
• restart：重啟指定unit，例如systemctl restart nginx
• reload：重載指定unit，例如systemctl reload nginx
• enable：系統開機時自動啟動指定unit，前提是配置文件中有相關配置，例如systemctl enable nginx
• disable：開機時不自動運行指定unit，例如systemctl disable nginx
• status：查看指定unit當前運行狀態，例如systemctl status nginx

查看當前系統Unit

# 列出正在運行的 Unit
$ systemctl list-units

# 列出所有Unit，包括沒有找到配置文件的或者啟動失敗的
$ systemctl list-units --all

# 列出所有沒有運行的 Unit
$ systemctl list-units --all --state=inactive

# 列出所有加載失敗的 Unit
$ systemctl list-units --failed

# 列出所有正在運行的、類型為 service 的 Unit
$ systemctl list-units --type=service

# 查看 Unit 配置文件的內容
$ systemctl cat docker.service

查看Unit狀態

• enabled：已建立啟動鏈接
• disabled：沒建立啟動鏈接
• static：該配置文件沒有 [Install] 部分（無法執行），只能作為其他配置文件的依賴
• masked：該配置文件被禁止建立啟動鏈接

# 顯示系統狀態
$ systemctl status

# 顯示單個 Unit 的狀態
$ ystemctl status bluetooth.service

# 顯示遠程主機的某個 Unit 的狀態
$ systemctl -H root@rhel7.example.com status httpd.service

Unit管理

# 立即啟動一個服務
$ sudo systemctl start apache.service

# 立即停止一個服務
$ sudo systemctl stop apache.service

# 重啟一個服務
$ sudo systemctl restart apache.service

# 殺死一個服務的所有子進程
$ sudo systemctl kill apache.service

# 重新加載一個服務的配置文件
$ sudo systemctl reload apache.service

# 重載所有修改過的配置文件
$ sudo systemctl daemon-reload

# 顯示某個 Unit 的所有底層參數
$ systemctl show httpd.service

# 顯示某個 Unit 的指定屬性的值
$ systemctl show -p CPUShares httpd.service

# 設置某個 Unit 的指定屬性
$ sudo systemctl set-property httpd.service CPUShares=500

查看 Unit 的依賴關系

# 列出一個 Unit 的所有依賴，默認不會列出 target 類型
$ systemctl list-dependencies nginx.service

# 列出一個 Unit 的所有依賴，包括 target 類型
$ systemctl list-dependencies --all nginx.service

Target 管理

Target 就是一個 Unit 組，包含許多相關的 Unit 。啟動某個 Target 的時候，Systemd 就會啟動里面所有的 Unit。

在傳統的 SysV-init 啟動模式里面，有 RunLevel 的概念，跟 Target 的作用很類似。不同的是，RunLevel 是互斥的，不可能多個 RunLevel 同時啟動，但是多個 Target 可以同時啟動。

# 查看當前系統的所有 Target
$ systemctl list-unit-files --type=target

# 查看一個 Target 包含的所有 Unit
$ systemctl list-dependencies multi-user.target

# 查看啟動時的默認 Target
$ systemctl get-default

# 設置啟動時的默認 Target
$ sudo systemctl set-default multi-user.target

# 切換 Target 時，默認不關閉前一個 Target 啟動的進程，systemctl isolate 命令改變這種行為，關閉前一個 Target 里面所有不屬於后一個 Target 的進程
$ sudo systemctl isolate multi-user.target

journalctl語法

Systemd 通過其標准日志服務 Journald 提供的配套程序 journalctl 將其管理的所有后台進程打印到 std:out（即控制台）的輸出重定向到了日志文件。

Systemd 的日志文件是二進制格式的，必須使用 Journald 提供的 journalctl 來查看，默認不帶任何參數時會輸出系統和所有后台進程的混合日志。

默認日志最大限制為所在文件系統容量的 10%，可以修改 /etc/systemd/journald.conf 中的 SystemMaxUse 來指定該最大限制。

語法：

journalctl [OPTIONS...] [MATCHES...]

示例

# 查看所有日志（默認情況下 ，只保存本次啟動的日志）
$ sudo journalctl

# 查看內核日志（不顯示應用日志）：--dmesg 或 -k
$ sudo journalctl -k

# 查看系統本次啟動的日志（其中包括了內核日志和各類系統服務的控制台輸出）：--system 或 -b
$ sudo journalctl -b
$ sudo journalctl -b -0

# 查看上一次啟動的日志（需更改設置）
$ sudo journalctl -b -1

# 查看指定服務的日志：--unit 或 -u
$ sudo journalctl -u docker.servcie

# 查看指定服務的日志
$ sudo journalctl /usr/lib/systemd/systemd

# 實時滾動顯示最新日志
$ sudo journalctl -f

# 查看指定時間的日志
$ sudo journalctl --since="2012-10-30 18:17:16"
$ sudo journalctl --since "20 min ago"
$ sudo journalctl --since yesterday
$ sudo journalctl --since "2015-01-10" --until "2015-01-11 03:00"
$ sudo journalctl --since 09:00 --until "1 hour ago"

# 顯示尾部的最新 10 行日志：--lines 或 -n
$ sudo journalctl -n

# 顯示尾部指定行數的日志
$ sudo journalctl -n 20

# 將最新的日志顯示在前面
$ sudo journalctl -r -u docker.service

# 改變輸出的格式：--output 或 -o
$ sudo journalctl -r -u docker.service -o json-pretty

# 查看指定進程的日志
$ sudo journalctl _PID=1

# 查看某個路徑的腳本的日志
$ sudo journalctl /usr/bin/bash

# 查看指定用戶的日志
$ sudo journalctl _UID=33 --since today

# 查看某個 Unit 的日志
$ sudo journalctl -u nginx.service
$ sudo journalctl -u nginx.service --since today

# 實時滾動顯示某個 Unit 的最新日志
$ sudo journalctl -u nginx.service -f

# 合並顯示多個 Unit 的日志
$ journalctl -u nginx.service -u php-fpm.service --since today

# 查看指定優先級（及其以上級別）的日志，共有 8 級
# 0: emerg
# 1: alert
# 2: crit
# 3: err
# 4: warning
# 5: notice
# 6: info
# 7: debug
$ sudo journalctl -p err -b

# 日志默認分頁輸出，--no-pager 改為正常的標准輸出
$ sudo journalctl --no-pager

# 以 JSON 格式（單行）輸出
$ sudo journalctl -b -u nginx.service -o json

# 以 JSON 格式（多行）輸出，可讀性更好
$ sudo journalctl -b -u nginx.serviceqq
 -o json-pretty

# 顯示日志占據的硬盤空間
$ sudo journalctl --disk-usage

# 指定日志文件占據的最大空間
$ sudo journalctl --vacuum-size=1G

# 指定日志文件保存多久
$ sudo journalctl --vacuum-time=1years

systemd工具集

• systemctl：用於檢查和控制各種系統服務和資源的狀態
• bootctl：用於查看和管理系統啟動分區
• hostnamectl：用於查看和修改系統的主機名和主機信息
• journalctl：用於查看系統日志和各類應用服務日志
• localectl：用於查看和管理系統的地區信息
• loginctl：用於管理系統已登錄用戶和 Session 的信息
• machinectl：用於操作 Systemd 容器
• timedatectl：用於查看和管理系統的時間和時區信息
• systemd-analyze 顯示此次系統啟動時運行每個服務所消耗的時間，可以用於分析系統啟動過程中的性能瓶頸
• systemd-ask-password：輔助性工具，用星號屏蔽用戶的任意輸入，然后返回實際輸入的內容
• systemd-cat：用於將其他命令的輸出重定向到系統日志
• systemd-cgls：遞歸地顯示指定 CGroup 的繼承鏈
• systemd-cgtop：顯示系統當前最耗資源的 CGroup 單元
• systemd-escape：輔助性工具，用於去除指定字符串中不能作為 Unit 文件名的字符
• systemd-hwdb：Systemd 的內部工具，用於更新硬件數據庫
• systemd-delta：對比當前系統配置與默認系統配置的差異
• systemd-detect-virt：顯示主機的虛擬化類型
• systemd-inhibit：用於強制延遲或禁止系統的關閉、睡眠和待機事件
• systemd-machine-id-setup：Systemd 的內部工具，用於給 Systemd 容器生成 ID
• systemd-notify：Systemd 的內部工具，用於通知服務的狀態變化
• systemd-nspawn：用於創建 Systemd 容器
• systemd-path：Systemd 的內部工具，用於顯示系統上下文中的各種路徑配置
• systemd-run：用於將任意指定的命令包裝成一個臨時的后台服務運行
• systemd-stdio- bridge：Systemd 的內部 工具，用於將程序的標准輸入輸出重定向到系統總線
• systemd-tmpfiles：Systemd 的內部工具，用於創建和管理臨時文件目錄
• systemd-tty-ask-password-agent：用於響應后台服務進程發出的輸入密碼請求

systemd配置

配置文件說明

• 每一個Unit都需要有一個配置文件用於告知systemd對於服務的管理方式
• 配置文件存放於/usr/lib/systemd/system/，設置開機啟動后會在/etc/systemd/system目錄建立軟鏈接文件
• 每個Unit的配置文件配置默認后綴名為.service
• 在/usr/lib/systemd/system/目錄中分為system和user兩個目錄，一般將開機不登陸就能運行的程序存在系統服務里，也就是/usr/lib/systemd/system
• 配置文件使用方括號分成了多個部分，並且區分大小寫

相關文件說明：

相關文件	CentOS6	CentOS7
服務啟動的腳本啟動路徑	/etc/init.d	/usr/lib/systemd/system
開機自啟服務存放路徑	/etc/rcN.d	/etc/systemd/system/multi-user.target.wants/
默認運行級別配置文件	/etc/inittab	/etc/systemd/system/default.target

配置說明

Unit 段

• Description：描述這個 Unit 文件的信息
• Documentation：指定服務的文檔，可以是一個或多個文檔的 URL 路徑
• Requires：依賴的其它 Unit 列表，列在其中的 Unit 模板會在這個服務啟動時的同時被啟動。並且，如果其中任意一個服務啟動失敗，這個服務也會被終止
• Wants：與 Requires 相似，但只是在被配置的這個 Unit 啟動時，觸發啟動列出的每個 Unit 模塊，而不去考慮這些模板啟動是否成功
• After：與 Requires 相似，但是在后面列出的所有模塊全部啟動完成以后，才會啟動當前的服務
• Before：與 After 相反，在啟動指定的任務一個模塊之間，都會首先確證當前服務已經運行
• Binds To：與 Requires 相似，失敗時失敗，成功時成功，但是在這些模板中有任意一個出現意外結束或重啟時，這個服務也會跟着終止或重啟
• Part Of：一個 Bind To 作用的子集，僅在列出的任務模塊失敗或重啟時，終止或重啟當前服務，而不會隨列出模板的啟動而啟動
• OnFailure：當這個模板啟動失敗時，就會自動啟動列出的每個模塊
• Conflicts：與這個模塊有沖突的模塊，如果列出的模塊中有已經在運行的，這個服務就不能啟動，反之亦然

Install 段

這部分配置的目標模塊通常是特定運行目標的 .target 文件，用來使得服務在系統啟動時自動運行。這個區段可以包含三種啟動約束：

• WantedBy：和 Unit 段的 Wants 作用相似，只有后面列出的不是服務所依賴的模塊，而是依賴當前服務的模塊。它的值是一個或多個 Target，當前 Unit 激活時（enable）符號鏈接會放入 /etc/systemd/system 目錄下面以 <Target 名> + .wants 后綴構成的子目錄中，如 /etc/systemd/system/multi-user.target.wants/

• RequiredBy：和 Unit 段的 Wants 作用相似，只有后面列出的不是服務所依賴的模塊，而是依賴當前服務的模塊。它的值是一個或多個 Target，當前 Unit 激活時，符號鏈接會放入 /etc/systemd/system 目錄下面以 <Target 名> + .required 后綴構成的子目錄中

• Also：當前 Unit enable/disable 時，同時 enable/disable 的其他 Unit

• Alias：當前 Unit 可用於啟動的別名

Service 段

用來 Service 的配置，只有 Service 類型的 Unit 才有這個區塊。它的主要字段分為服務生命周期和服務上下文配置兩個方面。

服務生命周期控制相關

• Type：定義啟動時的進程行為，它有以下幾種值：
  • Type=simple：默認值，執行ExecStart指定的命令，啟動主進程
  • Type=forking：以 fork 方式從父進程創建子進程，創建后父進程會立即退出
  • Type=oneshot：一次性進程，Systemd 會等當前服務退出，再繼續往下執行
  • Type=dbus：當前服務通過D-Bus啟動
  • Type=notify：當前服務啟動完畢，會通知Systemd，再繼續往下執行
  • Type=idle：若有其他任務執行完畢，當前服務才會運行
• RemainAfterExit：值為 true 或 false（默認）。當配置為 true 時，Systemd 只會負責啟動服務進程，之后即便服務進程退出了，Systemd 也仍然會認為這個服務還在運行中。這個配置主要是提供給一些並非常駐內存，而是啟動注冊后立即退出，然后等待消息按需啟動的特殊類型服務使用的。
• ExecStart：啟動當前服務的命令
• ExecStartPre：啟動當前服務之前執行的命令
• ExecStartPos：啟動當前服務之后執行的命令
• ExecReload：重啟當前服務時執行的命令
• ExecStop：停止當前服務時執行的命令
• ExecStopPost：停止當其服務之后執行的命令
• RestartSec：自動重啟當前服務間隔的秒數
• Restart：定義何種情況 Systemd 會自動重啟當前服務，可能的值包括 always（總是重啟）、on-success、on-failure、on-abnormal、on-abort、on-watchdog
• TimeoutStartSec：啟動服務時等待的秒數，這一配置對於使用 Docker 容器而言顯得尤為重要，因其第一次運行時可能需要下載鏡像，嚴重延時會容易被 Systemd 誤判為啟動失敗殺死。通常，對於這種服務，將此值指定為 0，從而關閉超時檢測
• TimeoutStopSec：停止服務時的等待秒數，如果超過這個時間仍然沒有停止，Systemd 會使用 SIGKILL 信號強行殺死服務的進程

服務上下文配置相關

• Environment：為服務指定環境變量
• EnvironmentFile：指定加載一個包含服務所需的環境變量的列表的文件，文件中的每一行都是一個環境變量的定義
• Nice：服務的進程優先級，值越小優先級越高，默認為 0。其中 -20 為最高優先級，19 為最低優先級
• WorkingDirectory：指定服務的工作目錄
• RootDirectory：指定服務進程的根目錄（/ 目錄）。如果配置了這個參數，服務將無法訪問指定目錄以外的任何文件
• User：指定運行服務的用戶
• Group：指定運行服務的用戶組
• MountFlags：服務的 Mount Namespace 配置，會影響進程上下文中掛載點的信息，即服務是否會繼承主機上已有掛載點，以及如果服務運行執行了掛載或卸載設備的操作，是否會真實地在主機上產生效果。可選值為 shared、slaved 或 private
  • shared：服務與主機共用一個 Mount Namespace，繼承主機掛載點，且服務掛載或卸載設備會真實地反映到主機上
  • slave：服務使用獨立的 Mount Namespace，它會繼承主機掛載點，但服務對掛載點的操作只有在自己的 Namespace 內生效，不會反映到主機上
  • private：服務使用獨立的 Mount Namespace，它在啟動時沒有任何任何掛載點，服務對掛載點的操作也不會反映到主機上
• LimitCPU / LimitSTACK / LimitNOFILE / LimitNPROC 等：限制特定服務的系統資源量，例如 CPU、程序堆棧、文件句柄數量、子進程數量等

注意：如果在 ExecStart、ExecStop 等屬性中使用了 Linux 命令，則必須要寫出完整的絕對路徑。對於 ExecStartPre 和 ExecStartPost 輔助命令，若前面有個 “-” 符號，表示忽略這些命令的出錯。因為有些 “輔助” 命令本來就不一定成功，比如嘗試清空一個文件，但文件可能不存在。

Unit 文件占位符

在 Unit 文件中，有時會需要使用到一些與運行環境有關的信息，例如節點 ID、運行服務的用戶等。這些信息可以使用占位符來表示，然后在實際運行被動態地替換實際的值。

• %n：完整的 Unit 文件名字，包括 .service 后綴名
• %p：Unit 模板文件名中 @ 符號之前的部分，不包括 @ 符號
• %i：Unit 模板文件名中 @ 符號之后的部分，不包括 @ 符號和 .service 后綴名
• %t：存放系統運行文件的目錄，通常是 “run”
• %u：運行服務的用戶，如果 Unit 文件中沒有指定，則默認為 root
• %U：運行服務的用戶 ID
• %h：運行服務的用戶 Home 目錄，即 %{HOME} 環境變量的值
• %s：運行服務的用戶默認 Shell 類型，即 %{SHELL} 環境變量的值
• %m：實際運行節點的 Machine ID，對於運行位置每個的服務比較有用
• %b：Boot ID，這是一個隨機數，每個節點各不相同，並且每次節點重啟時都會改變
• %H：實際運行節點的主機名
• %v：內核版本，即 “uname -r” 命令輸出的內容
• %%：在 Unit 模板文件中表示一個普通的百分號

修改配置文件后重啟

修改配置文件以后，需要重新加載配置文件，然后重新啟動相關服務。

# 重新加載配置文件
$ sudo systemctl daemon-reload

# 重啟相關服務
$ sudo systemctl restart foobar

常見中間件配置

Nginx

[Unit]
Description=nginx
After=network.target
  
[Service]
Type=forking
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s quit
PrivateTmp=true
  
[Install]
WantedBy=multi-user.target

MySQL

[Unit]
Description=MySQL Server
Documentation=man:mysqld(8)
Documentation=http://dev.mysql.com/doc/refman/en/using-systemd.html
After=network.target
After=syslog.target

[Install]
WantedBy=multi-user.target

[Service]
User=mysql
Group=mysql

Type=forking

PIDFile=/var/run/mysqld/mysqld.pid

# Disable service start and stop timeout logic of systemd for mysqld service.
TimeoutSec=0

# Execute pre and post scripts as root
PermissionsStartOnly=true

# Needed to create system tables
ExecStartPre=/usr/bin/mysqld_pre_systemd

# Start main service
ExecStart=/usr/sbin/mysqld --daemonize --pid-file=/var/run/mysqld/mysqld.pid $MYSQLD_OPTS

# Use this to switch malloc implementation
EnvironmentFile=-/etc/sysconfig/mysql

# Sets open_files_limit
LimitNOFILE = 5000

Restart=on-failure

RestartPreventExitStatus=1

PrivateTmp=false