Guia del Estudiante CE 2.0 by lasarux

Guía del Estudiante CE 1.0a Community Edition Comunidad OpenSolaris Hispano es.opensolaris.org

USE

IMPROVE

EVANGELIZE

<Instalación OpenSolaris 2008.05 > <Arranque y parada> <Service Management Facility (SMF)> <Gestión de discos> <Gestión de procesos & señales> <Gestión de usuarios> <Virtualización Zonas & BrandZ> <Virtualizacion xVM> <Almacenamiento ZFS> <Kernel /proc> <Instrumentación Dtrace> <Almacenamiento SVM> <Seguridad RBAC> <Seguridad IPFilter> <Gestión de paquetes (IPS)>

Comunidad OpenSolaris Hispano

Licencia Esta obra está bajo una licencia de Creative Commons. Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by-sa/2.5/ o envíe una carta a Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA. Usted es libre de: -

Copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas.

Bajo las condiciones siguientes: •

Reconocimiento. Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciador (pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que hace de su obra).

•

Compartir bajo la misma licencia. Si altera o transforma esta obra, o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta.

• •

Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor

•

Nada en esta licencia menoscaba o restringe los derechos morales del autor.

Referencias Todos los nombres propios de programas, sistemas operativos, equipos hardware, etc., que aparecen en este libro son marcas registradas de sus respectivas compañías u organizaciones.

Comunidad OpenSolaris Hispano

Changelog Bajo el modelo de licenciamiento actual de tipo CC (Creative Commons) y con las condiciones de Reconocimiento y Compartición de esta licencia ya citadas anteriormente, este apartado pretende ser una apuesta por la colaboración y ademas un sistema de control de versiones / actualizaciones de cada uno de los nuevos anexos que se pueden añadir de forma libre y abierta. Actualmente el estado de las diferentes contribuciones al documento, es el siguiente: David Galan (http://davidgalan.opensolarisblog.org): - Introducción - Instalación - Arranque y Parada - Service Management Facility (SMF) - Gestion de Usuarios - Procesos y señales - Gestion de discos - Zettabyte File Systems (ZFS) - Zonas/Contenedores y BrandZ Juan Jose Mora (http://jjmora.es): - Xen Virtual Machine (xVM) Juan Jose Mora (http://jjmora.es) & Roger Jordan (http://rjblog.es): - Navegando por el /Proc - Rendimiento y Tunning Iban Nieto (http://inieto.wordpress.com): - Introducción a DTRACE Victor M. Fernández (http://vfernandezg.blogspot.com): - Role Based Access Control (RBAC) - Solaris Volume Manager (SVM) - IPFilter (IPF) - Image Packaging System (IPS)

Comunidad OpenSolaris Hispano

OpenSolaris OpenSolaris nace en Junio de 2005 y es el resultado de la liberación de la mayor parte del código fuente de Solaris pasando a ser un proyecto de software libre. Desde este nuevo enfoque nacen nuevas distribuciones que aportan mejoras al sistema además de enriquecerlas con más software.

Distribuciones OpenSolaris De las diferentes aportaciones realizadas por comunidades de usuarios o desarrolladores nacen las siguientes distribuciones: •

Solaris 10: es la versión oficial de Sun Microsystems disponible para arquitectura Sparc y x86. Es estable y robusta estando diseñada para entornos de producción donde se necesita estabilidad. Es gratuita y podemos descargarla del sitio web oficial de Sun.

•

Solaris Express Community Edition: su nombre en clave es “nevada” es una distribución binaria que se actualiza cada dos viernes, es una versión que puede no ser compatible con otras versiones ya que incorpora muchos cambios.

•

Solaris Express Developer Edition: contiene todas las nuevas incorporaciones de funcionalidades y software que darán lugar a la próxima versión estable de Solaris por lo tanto esta recomendada para entornos de desarrollo o preproducción. Se actualiza cada tres o cuatro meses.

Comunidad OpenSolaris Hispano •

OpenSolaris Developer Preview: mas conocida como OpenSolaris 2008.05 es una distribución en un solo CD que combina livecd e instalación en disco. OpenSolaris 2008.05 esta en sus primeras fases de desarrollo. Las versiones actualmente liberadas no son totalmente estables. Incluye un kit para crear tu propia distribución y es instalable en una llave USB.

•

Nexenta OS: es una distribución totalmente independiente a Sun y esta basado en GNU libre y de código abierto, integra el kernel de OpenSolaris y un conjunto de aplicaciones Open Source. Es una distribución que comparte la filosofía de a Ubuntu.

•

Belenix: LiveCD basado en OpenSolaris que esta dando pasos en convertirse en una distribución completa. Aporta un conjunto de software OpenSource. Incluye scripts para crear tu propio livecd y se puede instalar y arrancar desde una llave USB.

•

MartUX mBE :es un DVDlive para SPARC y x64/x86 y esta cargado de paquetes de CommunitySoftWare.

•

Shillix: es una distro basada en OpenSolaris y es LiveCD para arquitecturas x86,x64 y EM64T. Esta basada en Nevada Build 17.

OpenGrok OpenGrok es el motor de búsqueda de código fuente, con OpnGrok podemos descargar el fuente de OpenSolaris y examinar su código ademas de poder hacer modificaciones para realizar modificaciones al ya existente. Para entrar en OpenGrok entre en la dirección: http://cvs.opensolaris.org/source

Las comunidades Las comunidades son puntos de encuentro dentro de OpenSolaris.org donde puedes encontrar otras personas con las mismas inquietudes sobre una tecnología o apliación. Hay comunidades alrededor de ZFS, DTrace, SMF, Virtualización etc.. Algunas de las comunidades: • • • • • • • •

Teoría e investigación: http://www.opensolaris.org/os/community/edu DTrace: http://www.opensolaris.org/os/community/dtrace ZFS : http://www.opensolaris.org/os/community/zfs Redes: http://www.opensolaris.org/os/community/networking Zonas: http://www.opensolaris.org/os/community/zones Documentación: http://www.opensolaris.org/os/community/documentation Controladores de dispositivos: http://www.opensolaris.org/os/community/device_drivers Herramientas: http://www.opensolaris.org/os/community/tools 5

Comunidad OpenSolaris Hispano • • • •

Impulsores: http://www.opensolaris.org/os/community/advocacy Seguridad: http://www.opensolaris.org/os/community/security Rendimiento: http://www.opensolaris.org/os/community/performance Almacenamiento: http://www.opensolaris.org/os/community/storage

Proyectos Los proyectos alojados en www.opensolaris.org albergan las contribuciones de código, documentos, gráficos o productos de varios autores. Los proyectos disponen de espacio para alojar código.

Participa Puedes participar en la comunidad OpenSolaris Hispano de formas diferentes y da igual tu nivel de experiencia con OpenSolaris. •

Si eres principiante puedes desarrollar documentos y alimentar la Wiki: http://www.genunix.org/wiki/index.php/OpenSolarisHispano con el conocimiento que vas aprendiendo, tu aportación será muy útil para otros recién llegados.

•

Si eres desarrollador puedes participar bien proponiendo un proyecto o unirte a un proyecto de la comunidad para participar en su desarrollo.

•

Si eres un usuario experimentado puedes participar impartiendo charlas, desarrollando documentación, alimentado la Wiki y ayudando a otros usuarios.

Comunidad OpenSolaris Hispano

Instalando OpenSolaris 2008.05 Novedades de OpenSolaris OpenSolaris 2008.05 incorpora importantes novedades sobre sus antecesores inmediatos. Veamos algunas de ellas: • Solaris Service Manager es una nueva infraestructura que viene a sustituir al clásico inicio secuencial de Unix System V. Esta nueva infraestructura permite arrancar los servicios de forma paralela acorde a sus relaciones de dependencia. Permite al administrador observar, deshabilitar, arrancar y parar de una manera sencilla y eficiente. • Solaris Containers es una tecnología de virtualización que permite la ejecución de servicios y aplicaciones de forma totalmente aisladas. • ZFS (Solaris Zeta File System) nuevo sistema de archivos de 128bits. Su capacidad de almacenamientos es practicante ilimitada. Su implantación y administración comparada con los sistemas anteriores muy sencilla. Implementa un nuevo modelo de ACL sencillo de administrar utilizando los comandos chmod y ls. • DTrace es una potente herramienta que permite a los administradores observar procesos del núcleo y de los usuarios. Se compone de más de 30.000 sensores que aportan información sobre las aplicaciones asociadas a estos. • Image Packaging System es el nuevo sistema de paquetes de OpenSolaris 2008.05 que permite la instalación de paquetes de repositorios de una forma sencilla resolviendo problemas como dependencias. IPS instalar, actualizar y eliminar aplicaciones. 7

Comunidad OpenSolaris Hispano •

Slim Install un nuevo instalador que solo necesita de seis pasos para instalar OpenSolaris 2008.05 . Sun xVM Hypervisor (basado en el trabajo de la comunidad Xen permitiendo correr Solaris, GNU/Linux y Windows en máquinas virtuales)

•

Requisitos de Instalación Antes de comenzar la instalación debemos comprobar si la maquina destino cumple con los requisitos demandados por OpenSolaris 2008.05 . En la siguiente tabla podemos ver dichos requisitos mínimos: Arquitectura X86 Memoria

Mínimo necesarios 512MB recomendados.

Espacio en disco

10GB

Iniciando OpenSolaris 2008.05 El proceso de instalación de OpenSolaris 2008.05 esta basado en Slim Install que nos permitirá instalar el sistema de forma sencilla. Resumimos la instalación en: •

Arranque del LiveCD de OpenSolaris 2008.05 .

•

Arrancar el instalador Slim Install e inicia la instalación.

•

Reiniciar.

Iniciando el LiveCD Comenzamos el proceso de instalación arrancando desde CD con el LiveCD de OpenSolaris 2008.05 , lo primero que veremos será el gestor de arranque GRUB.

Comunidad OpenSolaris Hispano

OpenSolaris 2008.05 comenzara a iniciarse y solicitarรก el idioma del teclado y del escritorio como podemos ver en las siguientes capturas:

Comunidad OpenSolaris Hispano

Después de seleccionar el idioma continua el arranque del sistema y procede a arrancar el escritorio GNOME donde nos muestra la licencia.

Una vez aceptada la licencia veremos el escritorio donde tenemos el sistema totalmente operativo en modo live, ahora tenemos que iniciar la instalación. Para ello arrancamos el instalador identificado en el escritorio como “Install OpenSolaris”.

Comunidad OpenSolaris Hispano

Ecritorio Live-CD OpenSolaris 2008.05 Al arrancar nos mostrará el proceso de instalación que consiste en un volcado a disco de todo el sistema. Los pasos del instalador son: 1. Pantalla de bienvenida. 2. Seleccionar el disco o partición donde vamos a instalar. 3. Seleccionar la zona horaria. 4. Introducimos la contraseña, creamos un usuario y damos nombre al sistema. 5. Inicia la instalación. 6. Finaliza y reinicio. Veamos una captura de cada uno de los pasos:

Comunidad OpenSolaris Hispano

Pantalla de bienvenida, seleccionamos instalar o realizar un Upgrade.

Elegimos en que disco queremos instalar o usar una partici贸n ya existente.

Comunidad OpenSolaris Hispano

Seleccionamos nuestra zona horaria, fecha y hora.

Seleccionamos el entorno regional.

Comunidad OpenSolaris Hispano

Creamos un usuario de sistema, damos contraseña al root y establecemos el nombre de la máquina.

Pantalla que muestra

información de

las opciones elegidas.

Comunidad OpenSolaris Hispano

Se inicia el proceso de copiado a disco del sistema. Cuando finaliza el copiado a disco de todo el sistema reiniciamos y ya tenemos instalado OpenSolaris 2008.05 . Al reiniciar veremos GRUB e iniciamos el arranque esta vez ya desde el disco y no del Live-CD:

GRUB

Comunidad OpenSolaris Hispano

Inicia la primera carga de los servicios SMF (nuevo sistema de arranque por dependencias). Lo siguiente que veremos será la pantalla de bienvenida donde hacemos login con el usuario que hemos creado durante el proceso de instalación. Después de introducir el usuario y contraseña tenemos disponible el sistema con el escritorio GNOME. Con la instalación base dispones de tecnologías como Zonas, BrandZ, SMF, ZFS y DTrace y xVM Hypervisor (basado en XEN).

Comunidad OpenSolaris Hispano

Arranque y Parada Introducción En este capitulo veremos el proceso arranque y parada de OpenSolaris 2008.05 , los comandos necesarios para reiniciar y parar el sistema Parada y reinicio

del sistema

Cuando finaliza el arranque de la máquina se encuentra en el nivel de ejecución multi-user-server o run level 3. En ocasiones hay que reiniciar el sistema para realizar tareas de mantenimiento como añadir hardware. A continuación veremos las diferentes formas de reiniciar y parar el sistema. Reinicio

de la máquina:

Si deseamos realizar un reinicio del sistema y queremos emitir un mensaje personalizado avisando a los usuarios usaremos el comando shutdown que permite los siguientes parámetros: shotdown –i niveldeejecución –g segundosdeespera “mensaje de aviso” Ejemplo del uso de shotdown para reiniciar:

Comunidad OpenSolaris Hispano #/usr/sbin/shutdown -i 6 –g 360 “Aviso a los usuarios. El sistema se reiniciará en 60 segundos. Cierre sus aplicaciones.”

Con –i indicamos el nivel de ejecución, con –g damos 360 segundos a los usuarios para cerrar sus aplicaciones y ficheros. Cuando finalicen los 360 segundos el sistema solicita la confirmación del reinicio al administrador: # Do you want to continue? (y or n):

Para reiniciar el sistema también podemos ejecutar la orden reboot: # /usr/sbin/reboot

El comando reboot ejecuta una parada inmediata e inicia el sistema en el nivel 3 de ejecución ahora llamado multi-user-server. Parada de la máquina: Para parar el sistema de forma ordenada y después realizar un apagado eléctrico de la máquina ejecutamos: #/usr/sbin/shutdown -i 0 –g 360 “Aviso a los usuarios. El sistema se reiniciará en 60 segundos. Cierre sus aplicaciones.”

Si la ejecutamos el comando en una máquina SPARC se quedara en la OpenBoot momento en el que podemos realizar el apagado eléctrico ejecutando desde la OpenBoot el comando: ok power-off

Si es una máquina x86 mostrara el siguiente mensaje: Svcd.startd: The system is down. Syncing file systems…done Pres any key to reboot.

Podemos pulsar cualquier tecla y reiniciar o realizar directamente el apagado eléctrico de la máquina. Si necesitáramos parar la máquina de forma urgente podemos utilizar el comando halt que realizara una parada inmediata no ordenada: # /usr/sbin/halt

Para una parada urgente no ordenada pero con parada eléctrica: # /usr/sbin/poweroff

Comunidad OpenSolaris Hispano Para reiniciar el sistema podemos ejecutar la orden reboot que antes proceder al reinicio actualiza el superbloque: # /usr/sbin/reboot

Gestor de arranque GRUB (Grand Unified Bootloader) Introducción a GRUB GRUB es el nuevo gestor de arranque para arquitecturas x86 que añade nuevas posibilidades de arranque a OpenSolaris 2008.05 . GRUB se inicia en el MBR ocupando tan solo 512 bytes y este pequeño código comienza la carga del resto de GRUB ubicado en el disco. No podemos comparar GRUB con la OpenBoot para arquitecturas SPARC ya que la OBP se basa en hardware y software, pero sin duda viene a mejorar las posibilidades de Solaris y su integración con otros sistemas operativos como Linux. GRUB es un gran conocido dentro de la comunidad Linux por lo que facilita aun mas el acercamiento de administradores Linux a Solaris. GRUB nos ofrece tres interfaces diferentes para el uso y configuración de GRUB: •

•

• •

Interfaz de menú: es la primera que vemos cuando arranca GRUB y muestra una lista con todas las opciones disponibles para elegir con que sistema queremos arrancar. (ver figura 4.4) Interfaz de edición: Permite la edición de las opciones de arranque establecidas para cada sistema operativo configurado. Un ejemplo es cambiar de forma temporal el kernel para realizar pruebas. (ver figura 4.3) Interfaz de línea de comandos: es una pequeña shell que permite configurar GRUB, realizare pruebas de dispositivos, red etc.. eprom: OpenSolaris se integra con GRUB con el comando eprom al igual que lo hace con la OpenBoot en SPARC.

Opciones de arranque Cuando arrancamos la máquina lo primero que nos muestra GRUB es la Interfaz de menú donde podemos elegir el sistema operativo. Esta interfaz se basa en un fichero de configuración que permite añadir nuevos sistemas o modificar los ya existentes. El fichero de configuración se encuentra en /boot/grub/menu.lst . Cuando finalizamos la instalación de Solaris el archivo queda de la siguiente forma: #---------- ADDED BY BOOTADM - DO NOT EDIT ---------title Solaris 11 11/06 s10x_u3wos_10 X86 root (hd0,0,a) kernel /platform/i86pc/multiboot module /platform/i86pc/boot_archive 19

Comunidad OpenSolaris Hispano #---------------------END BOOTADM-------------------#---------- ADDED BY BOOTADM - DO NOT EDIT ---------title Solaris failsafe root (hd0,0,a) kernel /boot/multiboot kernel/unix -s module /boot/x86.miniroot-safe #---------------------END BOOTADM--------------------

Podemos establecer el fichero /boot/grub/menu.lst los siguientes parámetros: • default: contiene un valor numérico que se corresponde con la posición en la lista que muestra GRUB para seleccionar una opción de arranque. Comienza con el valor 0, para arrancar por defecto con la opción failsafe estableceríamos el valor a 1. • timeout: son los segundos que esperara para que el usuario elegía una opción de arranque, si no interviene el usuario arrancara el sistema establecido por defecto con el valor default . Con valor -1 espera indefinidamente. Para cambiar estos valores editamos el fichero menu.lst con cualquier editor de texto y cambiamos el valor en la línea donde aparece default o timeout: # # default menu entry to boot default 0 # # menu timeout in second before default OS is booted # set to -1 to wait for user input timeout 10

Comunidad OpenSolaris Hispano

Service Management Facility (SMF) Introducción a SMF OpenSolaris 2008.05 incorpora un nuevo sistema de gestión del arranque que ofrece nuevas posibilidades y optimiza el arranque del sistema, este nuevo componente se llama SMF (Service Management Facility) y forma parte de una nueva infraestructura que viene a sustituir al clásico inicio secuencial de Unix System V. Esta nueva infraestructura permite arrancar los servicios de forma paralela acorde a sus relaciones de dependencia. Una vez arrancado el sistema el administrador puede observar, deshabilitar, arrancar y parar servicios de una manera sencilla y eficiente. Características de SMF: • • •

Ofrece los mecanismos para establecer relaciones de dependencia entre servicios. Un servicio no arranca hasta que estén correctamente arrancadas sus dependencias. Repositorio que contiene toda la información referente a la configuración del servicio, modos de arranque, parada, reinicio y el estado en el que se encuentra. Log con información de eventos de cada servicio. 21

Comunidad OpenSolaris Hispano •

Cambios de niveles de ejecución a mantenimiento etc..

mono usuario, red,

Beneficios de SMF: • • •

Los servicios al ser objetos pueden ser vistos y gestionados con sencillos comandos de administración. Se puede definir que SMF monitorice un proceso del servicio y tomar acciones si detecta que el proceso a muerto o hay un fallo hardware. Delegar en otros usuarios el poder arrancar o parar servicios de esta forma no necesitamos utilidades como sudo o la cuenta de root.

Un servicio definido en SMF no tiene por que estar necesariamente asociado a un proceso que se este ejecutando en el sistema, un servicio puede ser el estado de un dispositivo, de una tarjeta de red o de un sistema de ficheros.

Repositorio (Repository SMF) Es la pieza principal y en el se almacena la configuración de cada servicio tanto en local como en memoria. También contiene el procedimiento para parar, arrancar y verificar un servicio. Cuando un servicio se ha iniciado correctamente en el arranque del sistema es guardada una foto de la configuración de dicho servicio con el objetivo de saber cual es la configuración correcta en caso de tener que restaurar el servicio. SMF Restarters: svc.startd Es el proceso que permite reiniciar un servicio en caso de fallo, para ello consulta el repositorio para identificar el método definido para reiniciar el servicio y hacerlo respetando las dependencias establecidas. Si hemos definido dependencias para un servicio y una de estas falla SMF Restarters solucionará el problema con la dependencia para restaurar el servicio. SMF Service Instances Un servicio puede estar compuesto a su vez por otra serie de servicios a los que se denominan instancias. Un ejemplo seria un servidor web Apache con el servicio web escuchando por el puerto 80, otro seguro por el 443 y un tercero por el 8080. Para gestionar el servicio deberíamos crear el servicio web con tres instancias. Componentes de un servicio SMF

Comunidad OpenSolaris Hispano Un servicio en SMF esta formado por un conjunto de componentes que interactúan entre si. Veamos cada uno de estos componentes: SMF manifiest: es un fichero XML en el que se definen las características de un servicio o una instancia del servicio. Los ficheros XML con las propiedades de los servicios se almacenan en /var/svc/manifest. Estos ficheros son cargados en el repositorio SMF. Methods: los métodos son usados por el restarter para interactuar con el servicio y puede ser un fichero ejecutable: un script o una palabra clave. Se utilizan para definir los métodos de arranque, parada o reinicio de un servicio. Los métodos son almacenados en /lib/svc/method. Service Log Files: es un servicio que escribe un log con todo los datos sucesos sobre un servicio, los logs se encuentran en /var/svc/log. Service Identifiers : cada servicio y cada instancia de servicio tienen un nombre con el que identificarse con “Fault Management Resource Identifier (FMRI)” en el que se especifica como actuar en caso de fallo en el sistema.

Estados de un servicio SMF Los servicios pueden tener varios estados en los que podemos ver si el servicio esta parado, arrancado, degradado o en mantenimiento. Anteriormente se utilizaba el comando “ps –ef” para ver si un servicio estaba arrancado, ahora podemos utilizar los comandos de SMF para ver el estado del servicio además de poder continuar haciéndolo con el comando “ps –ef” para buscar el proceso. Estados en los se puede encontrar un servicio SMF: • online: la instancia del servicio esta disponible y se esta ejecutando correctamente. • offline: la instancia del servicio esta disponible pero no esta ejecutandose. • disabled: la instancia del servicio no esta disponible y no esta ejecutándose. • maintenance: la instancia del servicio tiene un error y esta siendo resuelto por el administrador. • degraded: la instancia del servicio esta disponible pero esta funcionando al límite de su capacidad. • uninitialized: este es el estado inicial de todos los servicios antes de iniciar su ejecución. • legacy_run: este estado solo se utiliza para guardar la compatibilidad con los viejos niveles de arranque y nos índica que el estado en el que se encuentran. Los niveles de arranque solo pueden ser observados con SMF son se pueden editar. Dependencias Cuando definimos un servicio podemos definir dependencias, estableciendo que no arranque el servidor Apache hasta que no este arrancado el sistema en multiusuario (run level 3) y la bbdd MYSQL 23

Comunidad OpenSolaris Hispano iniciada. Para cada servicio podemos establecer desde ninguna a varias dependencias. Veamos las propiedades que podemos definir para las dependencias: • require_all: todos los servicios de la dependencia deben estar online (arrancados) antes de iniciar el servicio. • require_any: es suficiente con que uno de los servicios de la dependencia se ejecute para que el servicio se inicie. • optional_all: si los servicios de la dependencia están disponibles y pueden ejecutarse deben estar online o degraded antes de la ejecución del servicio. Si están en mantenimiento el servicio no arrancara. • exclude_all: significa que no todos los servicios de la dependencia deben estar corriendo para hincar el servicio. Proceso de arranque con SMF En arranque de Solaris se realiza como en versiones anteriores y el proceso init continua siendo el primer proceso del sistema leyendo fichero /etc/initab. initab contiene la siguiente entrada: smf::sysinit:/lib/svc/bin/svc.startd

>/dev/msglog 2<>/dev/msglog </dev/console

Dicha entrada ejecuta el proceso svc.startd que inicia el proceso svc.configd que es el encargado de conectar con el repositorio SMF que reside en /etc/svc/repository.db. El repositorio tiene la propiedad de auto recuperarse si se producen daños ya que siempre mantiene una copia de respaldo. (ver figura 3.1) Los primeros errores producidos durante la ejecución de SMF bien del repositorio o con problemas de inicio de un servicio se escriben en el directorio /etc/svc/volatile (montado en memoria) ya que todavía no esta montado o disponible “/var”, una vez sea accesible “/var” los logs son escritos en la ruta predeterminada “/var/svc/log”.

Comunidad OpenSolaris Hispano

boot

Init (pid 1)

bbdd configurac ión SMF

init lee /etc/initta

svc.startd

svc.confif.d

svc:/platform svc:/site svc:/mileston e svc:/system Figura 3.1 Milestone Services Con la llegada de SMF también se ha redefinido la forma de poner la máquina en diferentes niveles de ejecución. Los niveles de ejecución mas conocidos son sigle user y multi user. Ahora se les denomina milestone. Milestone no es más que un servicio especial de SMF que agrupa las dependencias necesarias para establecer un nivel de ejecución. Se han añadido dos nuevos niéveles de ejecución: none que no ejecuta ningún servicio y all en el que se ejecutan todos los servicios disponibles. Las equivalencias al sistema tradicional son las reflejadas en la siguiente tabla: SMF Milestone Run Level

Run Level

milestone single-user

S 2 3 3 No existe

milestone multi-user milestone multi-user-server milestone all milestone none

Para pasar de un nivel de ejecución a otro podemos realizarlo sin problemas de la manera tradicional con el comando init y el número 25

Comunidad OpenSolaris Hispano del nivel de ejecución al que queremos pasar o con el comando svcadm de la siguiente forma: Pasar a single-user: # svcadm milestone single-user

A multi-user # svcadm milestone multi-user

A multi-user-server # svcadm milestone multi-user-server

Para averiguar en que Runlevel esta ejecutándose el sistema lanzamos el siguiente comando: # svcprop svc:/system/svc/restarter:default | grep -i milestone options_ovr/milestone astring svc:/milestone/multi-user-server:default

Podemos ver que el sistema se encuentra en el nivel de ejecución multi-user-server. Si la ejecución del comando no muestra nada en pantalla significa que estemos en el nivel de ejecución all. Un milestone es un servicio tiene definidas dependencias de otros servicios, por ejemplo el servicio multi-user depende de los servicios de red. Obervando las dependencias de cada nivel de ejecución podemos averiguar que servicios ejecuta el milestone multi-user. Para ello ejecutamos el comando svcs –d servicio para ver sus dependencias: Para ver las dependencias del milestone multi-user ejecutamos: bash-3.00# svcs -d milestone/multi-user STATE disabled disabled disabled disabled disabled online online online online online online online online online online online online online online online online online

STIME 12:52:37 12:52:37 12:52:37 12:52:39 12:52:39 12:52:42 12:52:54 12:52:55 12:52:55 12:53:01 12:53:04 12:53:04 12:53:06 12:53:09 12:53:09 12:53:10 12:53:11 12:53:24 12:53:25 12:53:26 12:53:26 12:53:26

FMRI svc:/system/auditd:default svc:/application/print/server:default svc:/network/ntp:default svc:/system/mdmonitor:default svc:/system/rcap:default svc:/milestone/name-services:default svc:/system/rmtmpfiles:default svc:/system/power:default svc:/system/name-service-cache:default svc:/milestone/single-user:default svc:/system/filesystem/local:default svc:/system/cron:default svc:/network/rpc/bind:default svc:/platform/i86pc/kdmconfig:default svc:/milestone/sysconfig:default svc:/network/inetd:default svc:/system/utmp:default svc:/network/nfs/client:default svc:/system/filesystem/autofs:default svc:/system/system-log:default svc:/system/system-log:default svc:/network/smtp:sendmail

Como se puede ver el número de servicios que ejecuta multi-server es muy superior al single-user que no requiere de tantos servicios como podemos ver en el ejemplo: bash-3.00#

svcs -d milestone/single-user 26

Comunidad OpenSolaris Hispano

STATE disabled online online online online online online online online online

STIME 12:52:32 12:52:39 12:52:48 12:52:49 12:52:51 12:52:52 12:52:54 12:52:55 12:52:56 12:53:00

FMRI svc:/system/metainit:default svc:/network/loopback:default svc:/milestone/network:default svc:/system/identity:node svc:/system/keymap:default svc:/system/filesystem/minimal:default svc:/system/cryptosvc:default svc:/system/sysevent:default svc:/milestone/devices:default svc:/system/manifest-import:default

Gestión de los servicios con SMF A continuación vamos a ver los comandos que tiene SMF para la monitorizar el estado de los servicios, obtener información de un servicio y como parar o arrancar servicios. El conjunto de comandos que nos permite la administración de SMF son: • • • •

svcs: Proporciona información sobre el estado de un servicio y sus dependencias: svcadm: Permite realizar acciones administrativas como cambiar el estado de un servicio. svccfg: Tiene la función de crear nuevos servicios a partir de un fichero xml y modificar las propiedades de un servicio. svcprop: Obtenemos y cambiamos valores de la bbdd sobre un servicio.

Obtener información de los servicios (svcs) Los servicios SMF están organizados en grupos con los siguientes nombres: Application: Contiene los servicios asociados con aplicaciones. Device: Usado para las dependencias Milestone: Equivalente a los niveles de ejecución SVR4 Network: Todos los servicios del antiguo inetd.conf Platform: Servicios específicos de la plataforma. System: Servicios independientes de la plataforma Site: Sin uso, reservado para uso futuro. El siguiente ejemplo muestra el grupo al que pertenece el servicio de telnet: # svcs –a | grep telnet disabled Dec_28 svc:/network/telnet:default

Como se puede observar pertenece a /network

Comunidad OpenSolaris Hispano Ver el estado de un servicio Para ver el estado todos los servicios recurrimos al comando svcs que en ejemplo lo ejecutamos con la opción –a para que muestre todos los servicios independientemente de su estado. # svcs –a STATE legacy_run legacy_run legacy_run legacy_run legacy_run legacy_run legacy_run legacy_run legacy_run legacy_run legacy_run ……….. online online online online online online online online online

STIME 10:10:30 10:10:31 10:10:55 10:10:56 10:10:56 10:10:56 10:10:56 10:10:56 10:10:56 10:10:59 10:10:59

FMRI lrc:/etc/rcS_d/S50sk98sol lrc:/etc/rcS_d/S51installupdates lrc:/etc/rc2_d/S10lu lrc:/etc/rc2_d/S20sysetup lrc:/etc/rc2_d/S40llc2 lrc:/etc/rc2_d/S42ncakmod lrc:/etc/rc2_d/S47pppd lrc:/etc/rc2_d/S70uucp lrc:/etc/rc2_d/S72autoinstall lrc:/etc/rc2_d/S73cachefs_daemon lrc:/etc/rc2_d/S81dodatadm_udaplt

10:10:49 10:10:49 10:10:50 10:10:50 10:10:51 10:10:51 10:10:51 10:10:52 10:10:53

svc:/network/ftp:default svc:/network/finger:default svc:/network/ssh:default svc:/system/dumpadm:default svc:/system/system-log:default svc:/network/login:rlogin svc:/network/shell:default svc:/network/rpc-100235_1/rpc_ticotsord:default svc:/network/smtp:sendmail

En el ejemplo podemos observar el servicio legacy_run utilizado para guardar la compatibilidad con las practicas administrativas de versiones anteriores de Solaris. Del servicio legacy_run solo se puede consultar su estado y no podemos realizar cambios sobre el. Si añadimos un servicio de la forma tradicional con un script en el directorio ined.d y el enlace en el rc* correspondiente funcionara con normalidad viéndolo en el SMF como un servicio legacy_run . En OpenSolaris 2008.05 no es recomendable seguir utilizando el viejo sistema para añadir servicios al arranque debiendo utilizar SMF. También podemos observar que los servicios tradicionales como ftp y ssh están en estado online. Ver las dependencias de un servicio Para ver las dependencias de un servicio, es decir que servicios tienen que estar arrancados para que pueda ejecutarse utilizamos el comando svcs con la opción –d. Veamos el ejemplo: # svcs -d STATE online online online

svc:/network/http:apache2 STIME FMRI 10:10:12 svc:/milestone/network:default 10:10:33 svc:/system/filesystem/local:default 10:10:48 svc:/system/filesystem/autofs:default

Figura 3.2 28

Comunidad OpenSolaris Hispano

En el ejemplo de la figura 3.2 vemos que para que pueda ejecutarse el servicio web Apache 2 necesitamos que estén levantados los servicios network, y filesystem. Procesos asociados a un servicio: Para averiguar que procesos están asociados a un servicio ejecutamos el comando svcs con la opción –p . El resultado de la ejecuión produce la siguiente salida: # svcs -p svc:/network/smtp:sendmail STATE STIME FMRI online 10:10:53 svc:/network/smtp:sendmail 10:10:54 334 sendmail 10:10:54 341 sendmail

Figura 3.3 En el ejemplo de la figura 3.3 podemos ver los pid asociados al servicio sendmail aunque podemos averiguarlo tambien de la forma tradicional con la orden ps -ef | grep sendmail. Obtener información detallada de un servicio SMF puede aportar información detallada de un servicio como su nombre, si esta habilitado, su propio estado y las dependencias. Ejecutamos svcs con el parámetro –l : # svcs -l svc:/network/http:apache2 fmri svc:/network/http:apache2 nombre Apache 2 HTTP server habilitada Falso estado disabled next_state none state_time Thu Dec 28 10:10:08 2006 reiniciador svc:/system/svc/restarter:default dependency require_all/error svc:/milestone/network:default (online) dependency require_all/none svc:/system/filesystem/local:default (online) dependency optional_all/error svc:/system/filesystem/autofs:default (online)

Diagnostico de fallos SMF con el comando svcs puede aportarnos información sobre la causa de porque un servicio no puede arrancar, para ellos utilizamos el comando svcs con el parámetro –x. Para este ejemplo hemos deshabilitado manualmente el servicio de apache. Veamos el resultado del diagnostico: # svcs -x svc:/network/http:apache2 svc:/network/http:apache2 (Apache 2 HTTP server) Estado: disabled desde Thu Dec 28 10:10:08 2006 Motivo: Un administrador lo ha inhabilitado. Consulte: http://sun.com/msg/SMF-8000-05 Consulte: httpd(8) Impacto: Este servicio no está funcionando. 29

Comunidad OpenSolaris Hispano

La salida del comando nos indica que el servicio fue parado por un administrador, en que momento lo hizo y el impacto sobre el servicio. También nos remite a una url de Sun donde se nos amplia información sobre la causa por la que no esta arrancado el servicio. Sea cual sea el error siempre nos dará una url para obtener información que nos ayude a diagnosticar y solucionar el problema. Cambios de estado de un servicio (svcadm). Parada de un servicio Para parar un servicio utilizamos el comando svcadm con los parámetros disable y –t seguido del nombre de servicio: svcadm

disable -t svc:/network/http:apache2

Verificamos que ha parado con el comando svcs –p el cual nos indicara que el proceso esta en disable y que no hay procesos de apache2 ejecutándose. El resultado es el siguiente: # svcs -p svc:/network/http:apache2 STATE disabled

STIME FMRI 12:20:21 svc:/network/http:apache2

ps -ef | grep -i apache2 root 1549 1444 0 12:22:51 pts/4

0:00 grep -i apache2

La opción –t estipula que es una para temporal si olvidamos poner el parámetro –t en el próximo arranque de la máquina el servicio no arrancara quedando en disable. Arrancar un servicio Para arrancar un servicio utilizamos el comando svcadm con los parámetros enable y –t seguido del nombre de servicio: #

svcadm enable

-t svc:/network/http:apache2

Y verificamos que ha arrancado correctamente: # # svcs -p svc:/network/http:apache2 STATE STIME FMRI online 12:31:23 svc:/network/http:apache2 12:31:23 1559 httpd 12:31:24 1560 httpd 12:31:24 1561 httpd 12:31:24 1562 httpd 12:31:24 1563 httpd 12:31:24 1564 httpd

Figura 3.3 30

Comunidad OpenSolaris Hispano

Tal como podemos ver en la figura 3.3 el servicio ha arrancado correctamente y podemos ver todos los pid de los procesos en ejecución. Reiniciar un servicio Hasta el momento si queríamos reiniciar un servicio como por ejemplo ssh acudíamos a ejecutar: /etc/init.d/sshd stop; /etc/init.d/sshd start

Ahora ejecutamos el comando svcs con la opción restart : # svcadm

restart

svc:/network/http:apache2

Y verificamos que los procesos han cambiado de pid: # svcs -p svc:/network/http:apache2 STATE STIME FMRI online 12:37:27 svc:/network/http:apache2 12:37:27 1577 httpd 12:37:28 1578 httpd 12:37:28 1579 httpd 12:37:28 1580 httpd 12:37:28 1581 httpd 12:37:28 1582 httpd

Ver la configuración de un servicio Si deseamos saber los valores de las propiedades de un servicio disponemos del comando svcprop que extrae dicha información del repositorio. Como ejemplo vamos a averiguar que método esta definido para arrancar el servicio apache2. Ejecutamos primeramente el comando svcprop y el nombre del servicio para obtener una lista de las propiedades definidas: # svcprop svc:/network/http:apache2 httpd/ssl boolean false httpd/stability astring Evolving network/entities fmri svc:/milestone/network:default network/grouping astring require_all ……. …….. general/entity_stability astring Evolving start/exec astring /lib/svc/method/http-apache2\ start start/timeout_seconds count 60 start/type astring method stop/exec astring /lib/svc/method/http-apache2\ stop stop/timeout_seconds count 60 stop/type astring method refresh/exec astring /lib/svc/method/http-apache2\ refresh refresh/timeout_seconds count 60 refresh/type 31

Comunidad OpenSolaris Hispano ………… ……….. restarter/state_timestamp time 1167305847.133954000 general_ovr/enabled boolean true restarter_actions/restart integer

Figura

3.4

En el ejemplo de la figura 3.4 podemos ver una lista con todas las propiedades del servicio, para nuestro ejemplo nos centramos en la línea que pone: start/exec astring /lib/svc/method/http-apache2\ start

Esta línea muestra el fichero que ejecuta el arranque del apache 2 que es /lib/svc/method/http-apache2 pasándole el parámetro start. Podemos ver el contenido del scritp realizando un more sobre /lib/svc/method/http-apache2. Si queremos obtener datos formateados sobre una de las propiedades ejecutamos: svcprop –p nombredelapropiedad nombredelservicio En la figura 3.5 muestra la información sobre los valores de la propiedad start/exec y start/timeout_seconds . # svcprop -p start/exec svc:/network/http:apache2 /lib/svc/method/http-apache2\ start # svcprop -p 60 #

Figura

start/timeout_seconds

svc:/network/http:apache2

3.5

inetd como servicio SMF El proceso inetd ha sido migrado completamente como un servicio SMF, ya no es necesario editar el fichero /etc/inet/inetd.conf para establecer valores o habilitar y deshabilitar servicio como telnet, ftp, tftp etc.. Si deshabilitamos un servicio como telnet ya no es necesario reiniciar con el comando kill el proceso inet.d. Ver servicios de inetd Para ver todos los servicios del proceso inetd y el estado en el que se encuentran ejecutamos el comando inetadm y pulsamos intro: # inetadm ENABLED enabled enabled enabled enabled

STATE online online offline online

FMRI svc:/application/x11/xfs:default svc:/application/font/stfsloader:default svc:/application/print/rfc1179:default svc:/network/rpc/mdcomm:default 32

Comunidad OpenSolaris Hispano enabled enabled enabled enabled ………… ………….. enabled disabled enabled disabled disabled enabled disabled disabled

online online online online

svc:/network/rpc/meta:default svc:/network/rpc/metamed:default svc:/network/rpc/metamh:default svc:/network/rpc/gss:default

online disabled online disabled disabled online disabled disabled

svc:/network/ftp:default svc:/network/comsat:default svc:/network/finger:default svc:/network/login:eklogin svc:/network/login:klogin svc:/network/login:rlogin svc:/network/shell:kshell svc:/network/talk:default

Deshabilitar un servicio inetd Al ser un servicio mas de SMF recurrimos al comando svcadm y el parámetro disable. Ejemplo para no permitir conexiones telnet: Con la opción –t se volverá a habilitar el servicio al reiniciar la máquina: # svcadm disable –t

svc:/network/telnet:default

Sin la opción –t

el cambio es permanente:

# svcadm disable svc:/network/telnet:default

Ver el valor de un servicio inetd En versiones anteriores si queríamos cambiar un valor al servicio ftp editábamos la línea y cambiamos los valores en el propio fichero. Con SMF es mas sencillo ya las propiedades están almacenadas en el repositorio. Antes de utilizar SMF editábamos la siguiente línea de inetd.conf: ftp

stream

tcp6

nowait

root

/usr/sbin/in.ftpd

in.ftpd -a

Para conocer el valor que tiene un servicio ejecutamos el comando: inetadm –l nombredelservicio Ejemplo de la ejecución para ver los valores del servicio

ftp:

#inetadm -l ftp SCOPE

default

NAME=VALUE name="ftp" endpoint_type="stream" proto="tcp6" isrpc=FALSE wait=FALSE exec="/usr/sbin/in.ftpd -a" user="root" bind_addr="" 33

Comunidad OpenSolaris Hispano default default default default default default default default default default

bind_fail_max=-1 bind_fail_interval=-1 max_con_rate=-1 max_copies=-1 con_rate_offline=-1 failrate_cnt=40 failrate_interval=60 inherit_env=TRUE tcp_trace=FALSE tcp_wrappers=FALSE

Cambiar un valor de un servicio inet.d Para cambiar un valor de los servicios inet.d utilizamos el comando inetadm de la siguiente forma: inetadm –m nombreservicio parametroacambiar=nuevovalor La ejecución del comando para cambiar el valor wait=FALSE del servicio ftp a valor wait=TRUE seria: inetadm

-m ftp

wait=TRUE

y lo verificamos con: # inetadm -l ftp SCOPE NAME=VALUE name="ftp" endpoint_type="stream" proto="tcp6" isrpc=FALSE wait=TRUE exec="/usr/sbin/in.ftpd -a" user="root" default bind_addr="" default bind_fail_max=-1 default bind_fail_interval=-1 default max_con_rate=-1 default max_copies=-1 default con_rate_offline=-1 default failrate_cnt=40 default failrate_interval=60 default inherit_env=TRUE default tcp_trace=FALSE default tcp_wrappers=FALSE

Cambios en inetd.conf El fichero /etc/inet/inetd.conf no puede sufrir cambios ya que toda la gestión recae sobre SMF pero en caso de producirse un cambio voluntario o por una aplicación el sistema nos alertara en /adm/messages que el fichero ha sido modificado para que el administrador determine su naturaleza. 34

Comunidad OpenSolaris Hispano Dec 28 17:11:11 aulaunix inetd[1737]: [ID 702911 daemon.warning] Configuration file /etc/inet/inetd.conf has been modified since inetconv was last run. "inetconv -i /etc/inet/inetd.conf" must be run to apply any changes to the SMF

Convertir un servicio de inetd.conf a SMF En OpenSolaris 2008.05 se han migrado todos los demonios del fichero /etc/inet/inetd.conf, pero si necesitamos añadir posteriormente un servicio contamos con la utilidad inetconv. El procedimiento es el siguiente: 1. Creamos los directorio temporales: a. /tmp/nuevoservicio b. /tmp/destinoXML 2. Creamos en el directorio /tmp/nuevoservicio un fichero llamado migracion.conf que contenga el nuevo demonio del servicio usando la sintaxis del fichero /etc/inetd.conf. Para nuestro ejemplo hemos creado el fichero con la siguiente línea: tftp

dgram udp6 -s /tftpboot

wait

root

/usr/sbin/in.tftpd

in.tftpd

3. Ejecutamos el comando: # inetconv -i /tmp/nuevoservicio/migracion.conf

-n -o /tmp/destinoXML

4. En el directorio /tmp/destinoXML encontraremos un nuevo fichero con extensión .XML al que le ha dado el nombre de tftp-udp6.xml para ser cargado en el repositorio. 5. Cargamos la nueva configuración en el repositorio con el comando svcconfig. Ejecutamos el comando: # svccfg import /tmp/destinoXML/tftp-udp6.xml

Verificamos que ha sido cargado con: # svcs -a | grep -i tftp online 12:39:09 svc:/network/tftp/udp6:default

Ya podemos gestionar el servicio servicio mas de SMF.

svc:/network/tftp como un

Crear un nuevo servicio SMF Para crear un nuevo servicio SMF debemos definir un nuevo SMF manifiest que es fichero XML que contiene los métodos para arrancar, parar, reiniciar, definición de dependencias, documentación etc.. Recordemos que los servicios SMF están organizados en grupos con los siguientes nombres: Application: Contiene los servicios asociados con aplicaciones. Device: Usado para dispositivos. 35

Comunidad OpenSolaris Hispano Milestone: Equivalente a los niveles de ejecución SVR4 Network: Todos los servicios del antiguo inetd.conf Platform: Servicios específicos de la plataforma. System: Servicios independientes de la plataforma Site: Sin uso, reservado para uso futuro. Para pasos: 1. 2. 3.

crear un servicio SMF debemos de seguir los siguientes

Establecer el grupo y el nombre para el servicio Definir las dependencias Definir instancias y los métodos de arranque, parada y reinicio. 4. Ubicación de la documentación 5. Crear el fichero XML 6. Cargar el fichero XML en el repositorio

Vamos a proceder a crear un nuevo servicio SMF de un servidor web de Sun Microsystems: Sun ONE Web Server 6 para ello recopilamos la siguiente información: •

•

Vamos a crear el servicio dentro del grupo Application y a su vez dentro de un nuevo subgrupo definido por nosotros llamado servidoresweb y finalmente el identificador del servicio AulaUnix que se corresponde con el servidor web Sun One. Quedando se la siguiente forma: /application/servidoresweb/AulaUnix. Definimos como dependencia el nivel de ejecución 3 o multiuser-server. Los scripts de arranque, parada y reinicio son:

•

/software/binarios/webserversunone/httpsaulaunix.aulaunix.org/start o /software/binarios/webserversunone/httpsaulaunix.aulaunix.org/stop o /software/binarios/webserversunone/httpsaulaunix.aulaunix.org/restart La documentación la ubicamos en /software/documentacion

•

Creación del XML En el ejemplo de la figura 3.6 podemos ver un XML completo en el que se define el servicio /application/servidoresweb/AulaUnix. Veamos las partes mas importantes: En la primera parte del XML vemos que se han creado los comentarios sobre el servicio y se ha definido un identificador: <service_bundle type='manifest' name='SunOneWebAulaunix'>

Este identificador debe ser único y podemos personalizar el texto acorde al servicio que vamos a dar de alta. 36

Comunidad OpenSolaris Hispano En el siguiente se establece a que grupo pertenece y se define un subgrupo para albergar los servidores web: <service name='application/servidoresweb/AulaUnix' type='service' version='1'>

El nombre definido con name= será el que nos muestre el comando svcs cuando verifiquemos el estado del servicio. Debe ser un nombre sencillo y que permita identificar los servicios de forma practica. En este caso hemos optado por organizar todos los servidores web por debajo de servidoresweb. La propiedad de la figura 3.6 create_default_instance nos permite dos valores false y true con los que indicamos que el servicio se inicie o se detenga con las paradas y arranques del sistema. Anteriormente esto lo hacíamos con los scripts dentro del run revel correspondient pondiendo la S deltante del nombre para arrancar o la K para parar el servicio. <create_default_instance enabled='false' />

Figura 3.6 Con <single_instance/> estamos definiendo una sola instancia, un servicio puede estar compuesto a su vez por otra serie de servicios a los que se denominan instancias. Un ejemplo seria un servidor web Apache con el servicio web escuchando por el puerto 80, otro seguro por el 443 y un tercero por el 8080. Para gestionar el servicio deberíamos crear el servicio web con tres instancias. Para nuestro ejemplo solo vamos el servicio con una sola instancia. Tenemos que crear las dependencias para que solo arranque el servicio si están funcionando correctamente todos los servicios del nivel de ejecución 3. Podemos crear tantas dependencias como sean necesarias haciendo referencia al nombre del servicio: <dependency name='multi-user-server' type='service' grouping='require_all' restart_on='none'> <service_fmri value='svc:/milestone/multi-user-server' /> </dependency>

Ya hemos definido las dependencias y ahora vamos a crear los métodos para arrancar, reiniciar y parar. Como vemos en el ejemplo de la figura 3.6 con la opción name= establecemos el valor start para arrancar, stop para parar y restart para reiniciar. Los métodos definidos se ejecutaran cuando llamemos al comando svcadm de la siguiente forma: svcs

Método

svcadm enable nombredelservicio svcadm disable nombredelservicio svcadm restart nombredelservicio

start stop restar t 37

Comunidad OpenSolaris Hispano

El valor de exec= contiene la ruta absoluta al script o binario que se ejecutara y con time timeout_seconds definimos los segundos que esperara SMF como limite para el arranque: <exec_method type='method' name='start' exec='/software/binarios/webserversunone/https-aulaunix.aulaunix.org/start' timeout_seconds='30' > </exec_method>

Ya tenemos creados los métodos y nos queda definir la información sobre la documentación del servicio en la etiqueta <documentation> donde establecemos el valor para manpage title con el titulo de la documentación y del valor manpath con el path absoluto del lugar donde se encuentra la máquina. <documentation> <manpage title='Documentos Web Server' section='1M' manpath='/software/documentacion' /> </documentation>

Importando el

servicio en XML a SMF

Ya tenemos creado el fichero XML y nos queda cargarlo en el repositorio para poder ser gestionado. La carga en el repositorio la realizamos con el comando svccfg ejecutando la siguiente sentencia: svccfg -v import fichero.xml # svccfg -v import

aulaunix.xml

svccfg: Tomando captura "previous" de svc:/application/servidoresweb/AulaUnix:default. svccfg: Actualización de propiedades de svc:/application/servidoresweb/AulaUnix de acuerdo con la instancia "default". svccfg: svc:/application/servidoresweb/AulaUnix: Actualizando propiedad "tm_man_Documentos_Web_Server/manpath". svccfg: Tomando captura "last-import" para svc:/application/servidoresweb/AulaUnix:default. svccfg: svc:/application/servidoresweb/AulaUnix:default actualizado. svccfg: Importación finalizada con éxito.

Y verificamos que ha cargado correctamente ejecutando: # svcs -l fmri nombre habilitada estado next_state state_time reiniciador dependency

svc:/application/servidoresweb/AulaUnix svc:/application/servidoresweb/AulaUnix:default Servicio SMF de ejemplo sobre SunONE Falso disabled none Tue Jan 02 17:56:41 2007 svc:/system/svc/restarter:default require_all/none svc:/milestone/multi-user-server (online) 38

Comunidad OpenSolaris Hispano Podemos ver las propiedades correctamente, el nombre es svc:/application/servidoresweb/AulaUnix tal como hemos definido en el XML y su estado es disabled.. El servicio ya esta disponible para gestionarlo con SMF. Verificamos el método start arrancando el servidor web con el comando svcadm: # svcadm enable svc:/application/servidoresweb/AulaUnix # svcs | grep -i aula online 10:41:16 svc:/application/servidoresweb/AulaUnix:default # svcs -p STATE online

svc:/application/servidoresweb/AulaUnix:default STIME FMRI 10:41:16 svc:/application/servidoresweb/AulaUnix:default 10:41:06 3986 webservd-wdog 10:41:06 3987 webservd 10:41:07 3988 webservd

Podemos verificar el servidor web con ps –ef o ejecutando el comando svcs –p que nos mostrara los procesos y su pid asociados al servicio. Modificar y eliminar un servicio SMF Para modificar las propiedades de un servicio SMF es suficiente con modificar el fichero XML con los nuevos datos y realizar la importación al repositorio con el comando svccfg: # svccfg -v import

aulaunix.xml

Para eliminar un servicio del repositorio ejecutamos la orden: svcfg delete nombredelservicio: # svccfg delete svc:/application/servidoresweb/AulaUnix # svcs -a | grep -i aula #

La figura 3.6 muestra el XML completo del ejemplo que hemos seguido, puedes encontrar el fichero para descargarlo en: www.aulaunix.org/ejemplos <?xml version='1.0'?> <!DOCTYPE service_bundle SYSTEM "/usr/share/lib/xml/dtd/service_bundle.dtd.1"> <!-XML de ejemplo de ejemplo creado por David Galan dgalan@aulaunix.org www.aulaunix.org wikilaris.aulaunix.org blog.aulaunix.org --> <service_bundle type='manifest' name='SunOneWebAulaunix'> <service name='application/servidoresweb/AulaUnix' type='service' version='1'> 39

Comunidad OpenSolaris Hispano

<create_default_instance enabled='false' /> <single_instance/> <dependency name='multi-user-server' type='service' grouping='require_all' restart_on='none'> <service_fmri value='svc:/milestone/multi-user-server' /> </dependency> <exec_method type='method' name='start' exec='/software/binarios/webserversunone/httpsaulaunix.aulaunix.org/start' timeout_seconds='30' > </exec_method> <exec_method type='method' name='stop' exec='/software/binarios/webserversunone/httpsaulaunix.aulaunix.org/stop' timeout_seconds='60' /> <exec_method type='method' name='restart' exec='/software/binarios/webserversunone/httpsaulaunix.aulaunix.org/restart' timeout_seconds='120'> </exec_method> <stability value='Unstable' /> <template> <common_name> <loctext xml:lang='C'> Servicio SMF de ejemplo sobre SunONE </loctext> </common_name> <documentation> <manpage title='Documentos Web Server' section='1M' manpath='/software/documentacion' /> </documentation> </template> </service> </service_bundle>

Figura 3.6 Delegar la gesti贸n de SMF a otros usuarios En alg煤n momento puede surgir la necesidad de delegar la gesti贸n de un servicio a otro usuario del sistema para poder arrancar, parar y reiniciar servicios. 40

Comunidad OpenSolaris Hispano En nuestro ejemplo vamos a dar permisos al usuario aulaunix para que pueda gestionar el servidor web. El primer paso es añadir al servicio el atributo value_authorization utilizando el comando svcprop: svccfg -s /application/servidoresweb/AulaUnix setprop general/value_authorization = astring: solaris.smf.manage

Ahora añadimos al fichero /etc/user_attr la siguiente línea y grabamos los cambios: aulaunix::::type=normal;auths=solaris.smf.manage

Con estos dos pasos el usuario servicio web: # su - aulaunix bash-3.00$ /usr/sbin/svcadm bash-3.00$ /usr/sbin/svcadm

aulaunix ya puede gestionar el

disable /application/servidoresweb/AulaUnix enable /application/servidoresweb/AulaUnix

Si deseamos quitarle los permisos para que no pueda continuar gestionando el servicio ejecutamos el comando svcprop para eliminar la propiedad value_authorization: #svccfg -s /application/servidoresweb/AulaUnix general/action_authorization

delprop

Comunidad OpenSolaris Hispano

Gestión de usuarios Las cuentas de usuario para el acceso al sistema no difieren en Solaris de otros sistemas unix, en el siguiente capitulo aprenderemos a: •

Identificar los ficheros de configuración de usuarios

•

Gestión de usuarios (alta, modificación y borrado)

•

Gestión

•

Gestionar usuarios en grupos (alta, modificación y borrado)

•

Ficheros de inicialización

de grupos (alta, modificación y borrado)

Ficheros de configuración Los ficheros de configuración contienen la información sobre las cuentas de usuario, los grupos y contraseñas. Los ficheros son: /etc/passwd Cada una de las líneas del fichero contiene la información de un usuarios. Cada línea esta organizada en campos separados por el carácter dos puntos que hace de separador de campo. Ejemplo de una línea del fichero passwd: aulaunix:x:65535:1:Nombre y apellidos:/export/home/aulaunix:/bin/bash

El formato tiene la siguiente estructura: 42

Comunidad OpenSolaris Hispano

IDlogin:x:UID:GID:comentario:home_directory:login_shell Estos campos son: •

IDlogin: es el identificador con el que hacemos login en el sistema debe de ser único.

•

Contraseña: la contraseña representada por x es almacenada en el fichero /etc/shadow

•

UID: esta representado por un número superior a 0 ya que 0 pertenece al usuario root. Los números del 1 al 99 están reservados para usuarios administradores del sistema. Para el resto de usuarios se utiliza el rango del 100 al 60000. Se reserva para el usuario nobody el 60001 y para el usuario noaccess el 60002.

•

GID: número mayor de 0 que pertenece el usuario.

•

Comentario: Nombre completo del usuario.

•

Directorio home (home_directory): ruta absoluta del directorio home para el usuario.

•

Shel (login_shell ): Define la shell para el usuario (sh, ksh, csh, etc..)

representa el grupo primario al que

/etc/shadow Contiene las contraseñas de las cuentas de usuario, al ser un fichero que puede comprometer la seguridad del sistema solo el usuario root debe de tener permisos de lectura para el archivo. El contenido del archivo es el siguiente: root:SbEPJrMu/wMTw:6445:::::: daemon:NP:6445:::::: bin:NP:6445:::::: sys:NP:6445:::::: adm:NP:6445:::::: lp:NP:6445:::::: uucp:NP:6445:::::: nuucp:NP:6445:::::: dladm:*LK*::::::: smmsp:NP:6445:::::: listen:*LK*::::::: gdm:*LK*::::::: webservd:*LK*::::::: postgres:NP::::::: nobody:*LK*:6445:::::: noaccess:*LK*:6445:::::: nobody4:*LK*:6445:::::: aulaunix:nMF64Wg9ff/HU:13570:::::: 43

Comunidad OpenSolaris Hispano

El formato tiene la siguiente estructura: IDlogin:pwd:lastchg:min:max:warn:inactivo:expiracion: Los datos que contiene cada línea del fichero shadow son: •

IDlogin: identificador de entrada al sistema.

•

pwd: contraseña del usuario cifrada.

•

lastchg: días transcurridos entre el 11 de enero de 1970 y la ultima fecha de modificación.

•

min: establece el mínimo número de días antes de cambiar la contraseña.

•

max: establece el máximo numero de días que una contraseña esta activa.

•

warn: el número de días de antelación para el aviso al usuario de la expiración de la contraseña-

•

inactive: días que puede estar la cuenta inactiva (sin entradas al sistema) antes de bloquearse.

•

expiracion: Fecha de expiración de la cuenta.

/etc/group/ Todos los usuarios del sistema tienen que pertenecer a un grupo principal definido en el fichero /etc/passwd. Adicionalmente un usuario puede pertenecer más grupos disponibles en el sistema denominados grupos secundarios definidos en el fichero /etc/group. El siguiente ejemplo muestra las entradas por defecto en el fichero group: root::0: other::1:root bin::2:root,daemon sys::3:root,bin,adm adm::4:root,daemon uucp::5:root mail::6:root tty::7:root,adm lp::8:root,adm nuucp::9:root staff::10: daemon::12:root sysadmin::14: smmsp::25: gdm::50: webservd::80: postgres::90: 44

Comunidad OpenSolaris Hispano nobody::60001: noaccess::60002: nogroup::65534:

El formato tiene la siguiente estructura: nonmbredelgrupo:group-password:GID:listausuarios Los datos que contiene cada línea del fichero group son: •

nonmbredelgrupo: contiene el nombre del grupo.

•

group-password: Utilizado en versiones mas antiguas de unix. Actualmente no es utilizado.

•

GID: número que identifica al grupo y debe único en el sistema.

•

listausuarios: contiene la lista de usuarios separados por coma que pertenecen al grupo.

Gestión de usuarios Crear usuario El comando empleado para crear usuarios es useradd con las siguiente sintaxis: useradd [–u uid] –g [gid] –G [gid1,gid2, …] [-d dir] –m [–s shell] [–c comment] [–e expire] usuario Los parámetros admitidos son los siguientes: • • • • • • • • • •

-u define un uid único para el usuario. -g define el grupo primario al que va a pertenecer el usuario. -G define los grupos secundarios a los que va a pertenecer el usuario. -d define el path absoluto para el home del usuario. -m fuerza la creación del home del usuario si no existe. -s define la shell para el usuario, por defecto asigna /bin/sh -c establece el nombre completo del usuario o cualquier otro comentario. -o permite la duplicación del uid del usuario. -e fecha de expiración de la cuenta. -f tiempo máximo admitido de inactividad para la cuenta. Si el usuario no entra en el sistema en el tiempo establecido la cuenta se bloquea. 45

Comunidad OpenSolaris Hispano •

-k permite la copia de archivos de inicialización personalizados al home del usuario al crearlo.

Ejemplo de uso de useradd: Crear usuario: El siguiente ejemplo muestra como crear el usuario aula, definir su UID manualmente e incluirlo en el grupo alumnos definiendo su home en /export/home/aulaunix, definimimos la shell como ksh. Ejecución del comando: # useradd -u 109 -g alumnos -d /export/home/aulaunix -m -s /bin/ksh -c “usuario de pruebas” aula

Inmediatamente se añade la siguiente línea al fichero /etc/passwd: aula:x:109:100:usuarios de pruebas:/export/home/aulaunix:/bin/ksh

Modificar un usuario Si ya tenemos un usuario en el sistema y deseamos cambiar alguna de sus propiedades utilizamos el comando usermod: Las opciones permitidas son: •

-o permite la duplicación de un UID

•

-m Mueve el home del usuario

•

-l Cambio del nombre de inicio de sesión

•

-f Definimos el número de días puede estar inactiva. Si la cuenta no es usada en el número de días especificado se bloquea.

•

-e Define la fecha de caducidad de la cuenta. Cuando llega ldicha fecha la cuenta es inutilizable.

Ejemplo de uso del comando usermod: Cambiamos el home del usuario dgalan a /home/nuevopath #usermod –m –d /export/nuevohome dgalan

Este ejemplo implica que el nuevo home para el usuario dgalan es /export/nuevohome y mueve todos los archivos del viejo directorio al nuevo. Vamos a ejecutar el ejemplo anterior pero además vamos a cambiar el nombre de inicio de sesión: 46

Comunidad OpenSolaris Hispano

#usermod –m –d /export/nuevohome –l davidgalan

Después de ejecutar el comando tenemos un nuevo home y un nuevo nombre de inicio de sesión. Borrado de usuarios Borrar un usuario del sistema es muy sencillo utilizando el comando userdel. userdel –r [usuario a borrar] La opción –r elimina el home del usuario si este existe, pero no borra los archivos que el usuario pueda tener repartidos en otros directorios de la máquina. Para eliminar todos los archivos del usuario deberíamos de recurrir a una búsqueda recursiva utilizando el comando find. Buscaríamos todos los archivos y directorios pertenecientes al usuario eliminado. Ejemplo de borrado de usuario: userdel –r dgalan

Borramos el usuario dgalan y los contenidos de su directorio home. Cambiar la contraseña de usuario Para cambiar la contraseña de un usuario passwd:

recurrimos al comando

passwd [usuario] Ejemplo de cambio de contraseña: bash-3.00# passwd dgalan Nueva contraseña: Vuelva a escribir la nueva contraseña: passwd: la contraseña se ha cambiado por dgalan satisfactoriamente bash-3.00#

Gestión de grupos Hemos visto como crear, modificar y eliminar usuarios. Ahora vamos a realizar el mismo recorrido pero esta vez gestionando grupos, para ello utilizaremos los comandos: •

groupadd

•

groupmod

•

groupdel

Comunidad OpenSolaris Hispano Añadir un nuevo grupo al sistema Para añadir un nuevo grupo al sistema recurrimos al comando groupadd. El GID y el nombre del grupo han de ser únicos. Ejemplo para añadir un grupo llamado operadores: bash-3.00# groupadd -g 124 admins

Lo verificamos: bash-3.00# grep admins /etc/group admins::124: bash-3.00#

Hemos buscado el nuevo usuario en el fichero de grupos y efectivamente se añada la nueva entrada de grupo. Modificar un grupo Podemos ejecutar cambios en un grupo existente con el comando groupmod que nos permite modificar el GID o renombrar un grupo. groupmod –d [GID] –n [nuevo nombre de grupo] Este primer ejemplo cambia el GID para el grupo opera: #groupmod –g 125 opera

Y este otro ejemplo cambia el nombre al grupo opera por monitor #groupmod –n monitor opera

Eliminar un grupo Eliminar un grupo existente es muy facil con el comando groupdel. groupdel [nombre del grupo] Ejemplo: bash-3.00# groupdel admins

Cambio de grupos Siempre que entramos al sistema lo hacemos perteneciendo al grupo principal, pero un usuario que pertenece a varios grupos puede necesitar operar en cada uno de ellos en diferentes momentos de su sesión en el sistema. Para cambiar de grupo recurrimos al comando newgrp, veamos un ejemplo practico: Hemos entrado al sistema con el usuario dgalan tal como se puede ver en el siguiente ejemplo: 48

Comunidad OpenSolaris Hispano $ id uid=109(dgalan) gid=1(other)

Para pasarnos al grupo admin ejecutamos: # newgrp admins

Lo verificamos: $ id uid=109(dgalan) gid=1(other) gid=45(admins)

A partir de este momento todos los ficheros y directorio creados pertenecerán al grupo admins. ¿Qué hacen los usuarios en el sistema? El comando who Solaris al igual que el resto de sistemas Unix nos facilita una serie de comandos que nos permite averiguar que usuarios están conectados al sistema y desde donde se han conectado. El primero de estos comandos es who que muestra una lista con todos los usuarios conectados al sistema mostrando datos como: • • •

usuario conexión fecha de entrada

Ejemplo del comando who: $ who root aula $

console pts/1

Sep Sep

1 19:41 1 19:45

(192.168.1.33)

El comando w Otro comando a nuestro alcance es w que muestra la lista de usuarios en el sistema como el comando who pero añadiendo datos como los procesos y carga de CPU. Ejemplo del comando w: $ w 9:05pm en funcionamiento 1:26, 2 usuarios, promedio de carga: 0,01, 0,01, 0,21 User tty login@ idle JCPU PCPU what root console 7:41pm 1:21 -sh aula pts/1 7:45pm 1 w

El comando finger Muestra información detallada de los usuarios conectados al sistema y detalles de usuarios de forma individual, es un comando basado 49

Comunidad OpenSolaris Hispano

Ejemplo de la salida del comando finger finder: no encontrado $ finger Login Name root Super-User aula ??? $

TTY console pts/1

Idle When 1:30 Sat 19:41 Sat 19:45

Ejemplo de la salida del comando finger solo usuario: Login name: root Directory: / On since Sep 1 19:41:45 on console 1 hour 31 minutes Idle Time No unread mail No Plan.

para todos los usuarios:

Where 192.168.1.33

para obtener detalles de un

In real life: Super-User Shell: /sbin/sh

El segundo ejemplo nos aporta informaci贸n como la shell y el home del usuario as铆 como el tiempo conectado.

Comunidad OpenSolaris Hispano

Procesos y señales Introducción En este capitulo veremos como gestiona Solaris los procesos que no difiere mucho del resto de unix existentes en el mercado. Igualmente si provienes de Linux te resultará fácil adaptarte a las singularidades de Solaris. Cada programa que se ejecuta en el sistema se corresponde con uno o varios procesos. Solaris como cualquier sistema multiusuario permite a cualquier usuario ejecutar más de un proceso simultáneamente, los procesos de un mismo usuario pueden comunicarse entre si pero no con los procesos de otro usuario. El usuario root es el único que puede comunicarse con todos los procesos en ejecución. Cada proceso está identificado por un PID único y a su vez tienen asociado un identificador de usuario (UID) y su grupo (GID). Ver los procesos en ejecución Uno de los comandos mas habituales para un administrador de sistemas es sin duda el comando ps. El comando ps permite ver los procesos en ejecución en el sistema y obtener información de cada uno de ellos. Veamos un ejemplo de la ejecución del comando ps –ef: UID

PID root root root root daemon root root root root root root root

PPID 0 1 2 3 223 7 45 9 230 419 139 71

C 0 0 0 0 1 1 1 1 1 1 1 1

STIME TTY 23:51:57 23:51:58 23:51:58 23:51:58 23:52:18 23:51:58 23:52:02 23:51:58 23:52:18 23:52:29 23:52:14 23:52:09

0 0 0 0 0 0 0 0 0 0 0 0

? ? ? ? ? ? ? ? ? ? ? ?

TIME CMD 30:42 0:00 0:00 0:01 0:00 0:10 0:00 0:19 0:00 0:00 0:00 0:00

sched /sbin/init pageout fsflush /usr/sbin/rpcbind /lib/svc/bin/svc.startd /sbin/dhcpagent /lib/svc/bin/svc.configd /usr/lib/dmi/dmispd /usr/lib/autofs/automountd /usr/lib/sysevent/syseventd /usr/sfw/sbin/snmpd 51

Comunidad OpenSolaris Hispano La información que nos aporta la salida del comando: • • • • • •

UID: usuario propietario del proceso. PID: número de identificación del proceso. PPID: número que identifica el proceso padre. STIME: fecha en la que se arrancó el proceso. TTY: terminal del proceso. CMD: programa en ejecución.

La siguiente tabla contiene los parámetros más útiles para utilizar con el comando ps: Parámetro -a -e -f -p -u -c -G

Función Muestra los procesos mas solicitados. Muestra todos los procesos en ejecución. Muestra información ampliada de los procesos. Muestra el ID de la CPU asociada al proceso. Muestra todos los procesos de un usuario específico. Muestra los datos con formato planificación y prioridad de procesos. Muestra los procesos ejecutados por un grupo.

Los siguientes ejemplos muestran el uso del comando ps: Ver los procesos pertenecientes al usuario aulaunix: bash-3.00$ ps -u aulaunix PID TTY TIME CMD 712 pts/1 0:00 bash 733 pts/1 0:00 ps 682 ? 0:01 sshd 684 pts/1 0:00 sh

Muestra los datos en formato planificación: bash-3.00$ ps -c PID CLS PRI TTY 712 TS 49 pts/1 734 TS 49 pts/1 684 TS 59 pts/1

TIME 0:00 0:00 0:00

CMD bash ps sh

La opción ejecutada en el ejemplo con –c muestra información interesante como los valores CLS que indica el tipo de prioridad y PRI que muestra la prioridad del proceso. Muestra los procesos en ejecución del grupo aulaunix: bash-3.00$ grep -i aulaunix /etc/group aulaunix::100: 52

Comunidad OpenSolaris Hispano bash-3.00$ ps -G 100 PID TTY TIME 712 pts/1 0:00 742 pts/1 0:00 682 ? 0:01 684 pts/1 0:00

CMD bash ps sshd sh

Observa que el grupo es indicado con su GID que hemos obtenido mirando su valor en el fichero /etc/group. El comando prstat El comando prstat muestra información de los procesos en ejecución ordenados por el uso de CPU. Ejemplo de la ejecución del comando prstat: bash-3.00$ prstat PID USERNAME SIZE RSS STATE PRI 668 noaccess 159M 80M sleep 744 aulaunix 4492K 2644K cpu0 682 aulaunix 7952K 2100K sleep 712 aulaunix 2484K 1612K sleep 131 root 3824K 2360K sleep 535 root 4444K 1724K sleep 670 root 7096K 2076K sleep 1 root 2024K 1120K sleep 269 root 4416K 3052K sleep 278 root 2820K 1140K sleep 214 root 2272K 900K sleep 143 daemon 3932K 1968K sleep 111 root 2156K 1296K sleep 258 root 1700K 896K sleep 71 root 6556K 4572K sleep Total: 43 processes, 180 lwps, load

NICE 59 0 39 0 59 0 49 0 59 0 59 0 59 0 59 0 59 0 59 0 59 0 59 0 59 0 59 0 59 0 averages:

TIME CPU PROCESS/NLWP 0:00:29 0,5% java/24 0:00:00 0,4% prstat/1 0:00:00 0,0% sshd/1 0:00:00 0,0% bash/1 0:00:00 0,0% nscd/24 0:00:00 0,0% dtlogin/1 0:00:00 0,0% sendmail/1 0:00:00 0,0% init/1 0:00:03 0,0% inetd/4 0:00:00 0,0% sh/1 0:00:00 0,0% cron/1 0:00:00 0,0% kcfd/3 0:00:00 0,0% snmpdx/1 0:00:00 0,0% sac/1 0:00:00 0,0% snmpd/1 0,02, 0,03, 0,31

En la siguiente lista puedes ver la información aportada por la ejecución del comando: • • • • • • • • •

PID: identificador del proceso. USERNAME: propietario del proceso. SIZE: memoria virtual utilizada por el proceso. STATE: estado del proceso, los estados del proceso pueden ser cpu, sleep, run, zombie y stop. PRI: prioridad del proceso. NICE: valor para el calculo de la prioridad del proceso. TIME: tiempo total que lleva el procesos ejecutandose. CPU: porcentaje de CPU utilizado por el proceso. PROCCESS: nombre del proceso.

El comando prstat proporciona diversos parámetros para obtener mas información, los parámetros mas útiles son: •

-t: muestra información agrupada por usuario. 53

Comunidad OpenSolaris Hispano • •

-p [PID]: muestra solo la información para un solo proceso identificado por su PID. -n: número máximo de procesos mostrados.

Señales Los procesos en ejecución puede ser necesario detenerlos por que su funcionamiento no es el esperado, no responden o cualquier otra causa. El comando kill nos permite enviar una señal al proceso para que se detenga. Las señales que podemos enviar son: Nombre

Número de señal.

Descripción

SIGHUP

Señal de corte de señal, interrumpir la señal de la conexión telefónica o un terminal.

SIGINT

Señal de Control-C (procedente del teclado)

SIGKILL

Señal de eliminación ningún proceso puede ignorar esta señal.

SIGTERM

Finalizar proceso de forma ordenada. Ejemplo para una BDDD, LDAP etc.. para que cierre las conexiones, ficheros etc..

Formato de kill: kill –señal pidproceso Ejempo de kill Matar una sesión ssh: # adtasweb01 /var/opt/aat/d#ps -ef | grep ssh root 449 1 0 Aug 20 ? 1:01 /usr/local/sbin/sshd root 25618 449 0 17:51:52 ? 0:00 /usr/local/sbin/sshd -R ora9 18084 18082 0 20:25:28 ? 0:00 /usr/local/sbin/sshd -R ora9 8645 8476 0 20:22:26 ? 0:00 /usr/local/sbin/sshd –R # kill -9 25618 #

La señal SIGHUP comúnmente conocida como interrumpir una conexión telefónica o de Terminal, esta señal puede provocar en servicios como inetd que relean el fichero de configuración. Señal en curso En algún momento puede interesarnos ver todas las señales enviadas a un proceso en ejecución para ello recurrimos al comando psig. Formato: psig pid Ejemplo de psig: #psig

13936 54

Comunidad OpenSolaris Hispano 13936: HUP INT QUIT ILL TRAP ABRT EMT FPE KILL BUS SEGV SYS PIPE ALRM TERM USR1 USR2 CLD PWR WINCH URG

/usr/lib/ssh/sshd default default default default default default default default default default default default ignored caught 0x2d7fc default default default caught 0x40f14 default default default

RESETHAND,NODEFER

Señales de proceso: Nombre

Número de señal.

Descripción

SIGHUP

Señal de corte de señal, interrumpir la señal de la conexión telefónica o un terminal.

SIGINT

Señal de Control-C (procedente del teclado)

SIGKILL

Señal de eliminación ningún proceso puede ignorar esta señal.

SIGTERM

Finalizar proceso de forma ordenada. Ejemplo para una BDDD, LDAP etc.. para que cierre las conexiones, ficheros etc..

SIGINT

Salir

SIGILL

Instrucción ilegal.

SIGTRAP

Punto de ruptura

SIGABRT

Abortar

SIGEMT

Trap de emulación

SIGFPE

Excepción aritmética

SIGBUS

Error en bus

SIGSEGV

Fallo de segmentación

SIGSYS

Llamada al sistema errónea

SIGPIPE

Pipe rota 55

Comunidad OpenSolaris Hispano SIGALRM

Finalizada

Árbol de procesos Disponemos de un comando llamado ptree que nos permite ver los procesos de forma jerárquica es decir podemos ver los procesos hijos desplegados de forma arbórea. El comando ptree se lanza sin opciones, veamos el ejemplo de su ejecución: adtasbac01 /opt/na#ptree 51 /usr/lib/sysevent/syseventd 60 /usr/lib/picl/picld 137 /usr/lib/sparcv9/cpudiagd -i 174 /usr/sbin/rpcbind 197 /usr/sbin/inetd -s 326 rpc.metad 5089 in.telnetd 5094 -ksh 16041 bash 28382 bash 15728 ptree 22123 in.telnetd 22125 -ksh 23114 bash 218 /usr/lib/nfs/statd 219 /usr/lib/nfs/lockd 221 /usr/lib/autofs/automountd 224 /usr/lib/autofs/automountd 235 /usr/sbin/syslogd 242 /usr/sbin/cron 263 /usr/sbin/nscd 266 /usr/lib/power/powerd

Información sobre procesos: A continuación vamos a ver una serie de comandos que nos aportaran información sobre los procesos en ejecución. Ver

las

librerías en uso por un proceso.

Para averiguar las librerías en uso por un proceso recurrimos al comando pldd: pldd [PID del proceso] El siguiente ejemplo muestra las librerías utilizadas por el proceso 6171 perteneciente a un servicio web de Sun Java: # pldd 6717 6717: ../../bin/https/bin/Cgistub -f /tmp/https-admserv-98ccc083/.cgistub_88 /usr/lib/libsocket.so.1 /usr/lib/libnsl.so.1 /usr/lib/libC.so.5 /usr/lib/libm.so.1 /usr/lib/libw.so.1 56

Comunidad OpenSolaris Hispano /usr/lib/libc.so.1 /usr/lib/libdl.so.1 /usr/lib/libmp.so.2 /usr/platform/sun4u-us3/lib/libc_psr.so.1

Descriptores de ficheros abiertos El comando pfiles lista todos los descriptores de ficheros abiertos por un proceso: pfiles [PID del proceso] El resultado de la ejecuci贸n del comando pfiles para un servicio web es la siguiente: # pfiles 6717 6717: ../../bin/https/bin/Cgistub -f /tmp/https-admserv-98ccc083/.cgistub_88 Current rlimit: 1024 file descriptors 1: S_IFCHR mode:0666 dev:85,1 ino:72269 uid:0 gid:3 rdev:13,2 O_RDWR 2: S_IFCHR mode:0666 dev:85,1 ino:72269 uid:0 gid:3 rdev:13,2 O_RDWR

Mapa de espacio de direcciones El comando pmap mu茅strela el uso que hace de la memoria un proceso mostrando una mapa del espacio de direcciones: pmap [PID del proceso ] El siguiente ejemplo muestra la salida del comando pmap: #pmap 6717 6717: ../../bin/https/bin/Cgistub -f /tmp/https-admserv-98ccc083/.cgistub_88 00010000 24K read/exec /opt/app/SunWeb/ /bin/https/bin/Cgistub 00024000 8K read/write/exec /opt/app/SunWeb/ 0/bin/https/bin/Cgistub 00026000 8K read/write/exec FF080000 688K read/exec FF13C000 32K read/write/exec FF1B0000 224K read/exec FF1F6000 8K read/write/exec FF200000 312K read/exec FF25C000 32K read/write/exec FF264000 64K read/write/exec FF280000 576K read/exec FF310000 40K read/write/exec FF31A000 24K read/write/exec FF330000 16K read/exec FF344000 8K read/write/exec FF350000 8K read/write/exec FF360000 8K read/exec FF370000 8K read/write/exec FF380000 40K read/exec

[ heap ] /usr/lib/libc.so.1 /usr/lib/libc.so.1 /usr/lib/libm.so.1 /usr/lib/libm.so.1 /usr/lib/libC.so.5 /usr/lib/libC.so.5 /usr/lib/libC.so.5 /usr/lib/libnsl.so.1 /usr/lib/libnsl.so.1 /usr/lib/libnsl.so.1 /usr/lib/libmp.so.2 /usr/lib/libmp.so.2 /usr/lib/libdl.so.1 /usr/platform/sun4u-us3/lib/libc_psr.so.1 [ anon ] /usr/lib/libsocket.so.1 57

Comunidad OpenSolaris Hispano FF39A000 FF3A0000 FF3B0000 FF3E0000 FF3E2000 FFBEA000 total

8K 8K 192K 8K 8K 24K 2376K

read/write/exec read/exec read/exec read/write/exec read/write/exec read/write/exec

/usr/lib/libsocket.so.1 /usr/lib/libw.so.1 /usr/lib/ld.so.1 /usr/lib/ld.so.1 /usr/lib/ld.so.1 [ stack ]

Información sobre las CPU A continuación veremos una serie de comandos que nos permiten observar los procesos y la carga de trabajo de las CPU del sistema. El comando ps pero en versión BSD alojado en /usr/ucb nos permite ver el consumo de CPU y memoria de los procesos: /usr/ucb/ps -aux El siguiente ejemplo muestra los diez primeros procesos que mas consumen recursos, se ha añade el comando head para que solo muestra los diez primeros resultados: /#usr/ucb/ps -aux |head USER PID %CPU %MEM SZ RSS TT root 792 0.5 0.271760 3528 ? root 3 0.4 0.0 0 0 ? j.vazque 20211 0.4 0.1 3040 1632 ? root 790 0.2 1.713910434080 ? root 438 0.2 1.04366418752 ? root 607 0.2 0.314600 5968 pts/2 root 937 0.1 0.164576 1576 ? root 677 0.1 0.176912 1800 ? root 20213 0.1 0.1 1384 952 pts/6

S START TIME COMMAND S Aug 24 588:50 /usr/lib/mixer_app S Aug 24 842:00 fsflush S 12:39:01 0:00 /usr/local/bin/cvs S Aug 24 230:50 /usr/bin/java -jar S Aug 24 189:06 /usr/openwin/bin/X S Aug 24 197:45 /usr/lib/gconfd-2 S Aug 24 144:52 /usr/lib/at-spi-re S Aug 24 147:34 gnome-panel --sm-c O 12:39:33 0:00 usr/ucb/ps –aux

Los comandos psinfo y mpstat nos muestran estadísticas sobre el estado de las CPU del sistema: mpstat muestra la actividad de las CPU de forma individual, veamos la ejecución del comando mpstat: CPU minf mjf xcal 1 7 1 120 3 7 1 13

intr ithr 412 309 115 107

csw icsw migr smtx 168 4 21 3 179 7 21 3

srw syscl 0 638 0 633

usr sys 1 4 1 3

wt idl 0 95 0 96

La información más importante que vemos en el resultado de la ejecución del comando es: • mjf que corresponde con fallos importantes. • minf que corresponde con fallos de menor importancia. • xcal aporta información sobre la llamada entre las CPU. • intr indica el número de interrupciones. • wt indica en % el tiempo consumido por los procesos de usuario. • sys tiempo de CPU consumido por los procesos del sistema. El comando psrinfo mostrará el estado de las CPU y cuando se iniciaron. Ejemplo de la salida del comando psrinfo: #psrinfo 58

Comunidad OpenSolaris Hispano 0 1 2 3 4 5 6 7 16 17 18 19 20 21 22 23

on-line on-line on-line on-line on-line on-line on-line on-line on-line on-line on-line on-line on-line on-line on-line on-line

since since since since since since since since since since since since since since since since

10/04/07 10/04/07 10/04/07 10/04/07 10/04/07 10/04/07 10/04/07 10/04/07 10/04/07 10/04/07 10/04/07 10/04/07 10/04/07 10/04/07 10/04/07 10/04/07

09:03:13 09:03:13 09:03:13 09:03:13 09:03:13 09:03:13 09:03:13 09:03:01 09:03:13 09:03:13 09:03:13 09:03:13 09:03:13 09:03:13 09:03:13 09:03:1

Trabajos planificados El comando at El comando at permite la ejecución de un trabajo una sola vez en una fecha y hora determinada. Sintaxis: at [-m] [-r id_trabajo] [-q nombre_cola][-t hora] [fecha] Parámetro -m -r -q -l hora fecha

Función Cuando termina el trabajo envía un correo al usuario. Elimina un trabajo programado. Establece nombre de cola. Muestra los procesos en cola. Establece la hora de ejecución. Establece la fecha de ejeución.

Ejemplos de utilización del comando at: Programar un trabajo. El siguiente ejemplo planifica la parada de un servidor web para las 15:30: # at 03:00 pm at> /opt/servidorweb/stop.sh at> <pulsa Control-d para finalizar> at> <EOT> commands will be executed using /sbin/sh job 1195653600.a at Wed Nov 21 15:00:00 2007 #

El ejemplo primero establece la hora con at 03:00 pm seguidamente introducimos el comando que se va a 59

Comunidad OpenSolaris Hispano ejecutar /opt/servidorweb/stop.sh y salimos pulsando Control-d. Observa que el comando nos devuelve el nombre del trabajo job 1195653600.a.

Ver los trabajos en espera de ejecución. El comando at –l muestra los trabajos pendientes y su hora de ejecución: # at -l user = root #

1195653600.a

Wed Nov 21 15:00:00 2007

El ejemplo muestra el trabajo 1195653600.a Miércoles 21 de Noviembre a las 15:00.

que se ejecutará el

Eliminar un trabajo programado. Para eliminar la ejecución de un trabajo programado utilizamos el comando at –r nombredeltrabajo : El siguiente ejemplo muestra como eliminar un trabajo: # at -r 1195653600.a

Permitir

la ejecución del comando at

No todos los usuarios del sistema pueden ejecutar el comando at, para autorizar o denegar el uso del comando at hay que editar los ficheros /etc/cron.dat.deny o /etc/cron.d/at.allow ambos ficheros de root. El fichero at.deny contiene los usuarios a los que se deniega el uso del comando at: Contenido del fichero at.deny: # cat /etc/cron.d/at.deny daemon bin smtp nuucp listen nobody noaccess

El fichero at.allow contiene los usuarios que pueden ejecutar el comando at, en ocasiones el fichero puede no existir por lo que hay que crearlo. Contenido del fichero at.allow: 60

Comunidad OpenSolaris Hispano

# cat /etc/cron.d/at.allow web ldap dgalan

Logs de at Toda la actividad realizada con el comando at queda registrada en el log ubicado en /var/cron/log.

Crontab El comando crontab permite la ejecución de tareas programadas y forma repetitiva. A modo de ejemplo práctico permite tareas como: • Programar un backup que se ejecute solamente por la noche los martes y jueves de cada semana. • Un proceso que se ejecute cada cinco minutos los lunes, miércoles y viernes. • Un parada de un servicio todos los domingos a las 12:00. Cuando programamos una tarea con el comando crontab estas se almacenan en /var/spool/cron/crontabs. El comando crontab almacena la información en diferentes líneas con el siguiente formato: 1 2 3 4 5 /usr/local/bin/iniciobackup.sh Comienza con cinco campos separados por espacios seguido de la tarea a ejecutar. Los cinco campos representan: Campo 1 2 3 4 5

Descripción El primer campo contiene los minutos. Valores entre 0 y 59. El segundo campo tiene la hora. Valores entre 0 y 23. Día del mes, valore entre 1 y 31. El mes del año, valores entre 1 y 12. Día de la semana, valores entre 0 y 6.

Usando crontab El comando crontab permite ver, crear, modificar o eliminar un trabajo planificado. Ver tareas planificadas 61

Comunidad OpenSolaris Hispano Para ver las tareas planificadas ejecutamos el comando crontab –l obteniendo la lista de tareas programas: # crontab -l #ident "@(#)root 1.20 01/11/06 SMI" # # The root crontab should be used to perform accounting data collection. # # The rtc command is run to adjust the real time clock if and when # daylight savings time changes. # 10 3 * * * /usr/sbin/logadm 15 3 * * 0 /usr/lib/fs/nfs/nfsfind 1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1 30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean #10 3 * * * /usr/lib/krb5/kprop_script ___slave_kdcs___

Cada usuario solo puede ver sus propias planificaciones siendo una excepción el usuario root que puede ver la planificación de cualquier usuario del sistema utilizando el comando crontab de la siguiente forma: crontab –l nombre_de_usuario Editor o crear entradas en el crontab En los siguientes ejemplos vamos a mostrar como editar el crontab para editar o añadir nuevas entradas. Para comenzar tenemos que establecer el editor por defecto ejecutando: EDITOR=vi export EDITOR

Abrimos el fichero crontab ejecutando: crontab -e

Ahora veremos en el editor vi las diferentes entradas programadas: # The root crontab should be used to perform accounting data collection. # # The rtc command is run to adjust the real time clock if and when # daylight savings time changes. # 10 3 * * * /usr/sbin/logadm 15 3 * * 0 /usr/lib/fs/nfs/nfsfind 1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1 30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean #10 3 * * * /usr/lib/krb5/kprop_script ___slave_kdcs___

Con el editor vi podemos añadir nuevas líneas, modificar las existentes o eliminar entradas para eliminarlas de la planificación. 62

Comunidad OpenSolaris Hispano La siguiente tabla muestra ejemplos de entradas crontab: Entrada en el crontab

Descripción

0 0 * * * /opt/miscript.sh 30 6 9 * * /opt/miscript.sh

Se ejecuta todos los días a las 00.00 Se ejecuta el día 9 de cada mes las 6:30.

00 7 1,3,7,12,15,20 * * /opt/miscript.sh

Se ejecuta los días 1,2,3,4,5,6 de cada mes a las 19:00 Se ejecuta cada diez minutos

0,10,20,30,40,50 * * * * /opt/miscript.sh

Permitir

la ejecución del comando crontab

No todos los usuarios del sistema pueden ejecutar el comando crontab, para autorizar o denegar el uso del comando at hay que editar los ficheros /etc/cron.dat.deny o /etc/cron.d/at.allow ambos ficheros de root. El fichero at.deny contiene los usuarios a los que se deniega el uso del comando at: Contenido del fichero at.deny: # cat /etc/cron.d/at.deny daemon bin smtp nuucp listen nobody noaccess

El fichero at.allow contiene los usuarios que pueden ejecutar el comando at, en ocasiones el fichero puede no existir por lo que hay que crearlo. Contenido del fichero at.allow: # cat /etc/cron.d/at.allow web ldap dgalan

Comunidad OpenSolaris Hispano

Gestión de discos El siguiente capitulo comprende la gestión de discos con OpenSolaris 2008.05 aprendiendo a configurar y dividir el disco en particiones. También aprenderemos el nuevo sistema de ficheros ZFS (Zettabyte) incorporado a OpenSolaris 2008.05 . Nombres de Dispositivos Solaris gestiona los nombres de los dispositivos con la siguiente referencia: • Dispositivos lógicos: son nombres sencillos para una identificación cómoda e intuitiva de un dispositivo. Los dispositivos de disco están en los directorios /dev /dsk para acceso a dispositivos mediante bloques y /dev/rdsk para acceso a dispositivos mediante raw o character . Un nombre lógico se forma de la siguiente forma: numero de controladora, numero de target , el numero de disco y su partición. E l siguiente ejemplo muestra un nombre de dispositivo lógico con su respectivo enlace a un dispositivo físico: bash-3.00# cd /dev/dsk bash-3.00# ls –l lrwxrwxrwx 1 root root 50 Dec 19 16:59 c0d0s0 ->../../devices/pci@0,0/pci-ide@7,1/ide@0/cmdk@0,0:a 64

Comunidad OpenSolaris Hispano lrwxrwxrwx 1 root root 50 Dec 19 16:59 c0d0s1 ->../../devices/pci@0,0/pci-ide@7,1/ide@0/cmdk@0,0:b …… ……

•

Dispositivos físicos: los nombres para los dispositivos físicos identifican su ubicación en el hardware de la máquina. Son mas complejos de utilizar en la administración diaria por lo que es mas práctico la utilización de los nombres lógicos. Ejemplo de un dispositivo físico: /devices/pci@0,0/pci-ide@7,1/ide@0. Cada nodo esta separado con una / que se corresponde también con su ruta en disco, es decir podemos ir al directorio ejecutando: cd /devices/pci@0,0/pci-ide@7,1/ide@0 Nombres de instancia: es un nombre de dispositivo abreviado que es creado por el propio kernel. Un ejemplo del uso de los nombres de instancia lo encontramos en la ejecución del comando ifconfig –a donde podemos ver en negrita el nombre de la instancia que corresponde con la interfaz de red:

#ifconfig -a lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.65.164.155 netmask fffffc00 broadcast 10.65.167.255 karol@un19009>>

Ver

los dispositivos con prtconf

Para obtener información sobre todos los dispositivos instalados en el sistema ejecutamos el comando prtconf: aulaunix@aulaunix>> prtconf | grep -v not System Configuration: Sun Microsystems sun4u Memory size: 384 Megabytes System Peripherals (Software Nodes): SUNW,Ultra-1 options, instance #0 sbus, instance #0 zs, instance #0 zs, instance #1 SUNW,fas, instance #0 sd, instance #0 sd, instance #6 SUNW,hme, instance #0 SUNW,ffb, instance #0 pseudo, instance #0

La opción de grep -v not mostrada en el ejemplo es añadida para que no muestre los dispositivos que no tienen el driver cargado. Si no ponemos dicha opción que aparecen con el texto “driver not attached”. Si ejecutamos el comando prtconf con la opción –v obtenemos mas detalles sobre todos los dispositivos del sistema. 65

Comunidad OpenSolaris Hispano

Ver

los dispositivos con /etc/path_to_inst

Todos los dispositivos reconocidos por el sistema son registrados en el fichero /etc/path_to_inst que contiene una lista de los dispositivos y su nombre de instancia. Un ejemplo del contenido del archivo: aulaunix@aulaunix>> more path_to_inst # # Caution! This file contains critical kernel state # "/sbus@1f,0" 0 "sbus" "/sbus@1f,0/sbusmem@2,0" 2 "sbusmem" "/sbus@1f,0/SUNW,fas@e,8800000" 0 "fas" "/sbus@1f,0/SUNW,fas@e,8800000/ses@4,0" 4 "ses" "/sbus@1f,0/SUNW,fas@e,8800000/ses@5,0" 5 "ses" "/sbus@1f,0/SUNW,fas@e,8800000/st@6,0" 6 "st" "/sbus@1f,0/SUNW,fas@e,8800000/sd@f,0" 14 "sd" "/sbus@1f,0/SUNW,fas@e,8800000/st@4,0" 4 "st" "/sbus@1f,0/SUNW,fas@e,8800000/st@0,0" 0 "st" "/sbus@1f,0/SUNW,fas@e,8800000/st@1,0" 1 "st" "/sbus@1f,0/SUNW,fas@e,8800000/sd@8,0" 7 "sd" "/sbus@1f,0/SUNW,fas@e,8800000/sd@9,0" 8 "sd" "/sbus@1f,0/sbusmem@3,0" 3 "sbusmem" "/sbus@1f,0/SUNW,CS4231@d,c000000" 0 "audiocs" "/sbus@1f,0/sbusmem@f,0" 6 "sbusmem" "/sbus@1f,0/SUNW,hme@e,8c00000" 0 "hme" "/sbus@1f,0/zs@f,1000000" 1 "zs" "/sbus@1f,0/SUNW,bpp@e,c800000" 0 "bpp" "/sbus@1f,0/zs@f,1100000" 0 "zs" "/sbus@1f,0/SUNW,fdtwo@f,1400000" 0 "fd" "/options" 0 "options" "/scsi_vhci" 0 "scsi_vhci" "/SUNW,ffb@1e,0" 0 "ffb" "/pseudo" 0 "pseudo"

Ver discos con format Para ver los discos reconocidos por el sistema ejecutamos el fomando format: AVAILABLE DISK SELECTIONS: 0. c0d0 <DEFAULT cyl 4092 alt 2 hd 128 sec 32> /pci@0,0/pci-ide@7,1/ide@0/cmdk@0,0 1. c0d1 <DEFAULT cyl 2044 alt 2 hd 128 sec 32> /pci@0,0/pci-ide@7,1/ide@0/cmdk@1,0 Specify disk (enter its number):

El comando format muestra los discos reconocidos por el sistema. Para salir pulsamos ctrl + c. Muestra los discos numerados y con su nombre de dispositivo asignado. No olvidar que cada partici贸n viene definida en el nombre l贸gico por la letra s (slice), es decir que para el disco c0t0d0 las particiones son c0t0d0s0, c0t0ds1, c0t0d0s2 etc..

Comunidad OpenSolaris Hispano Instalar y configurar un nuevo disco Hemos visto como ver los dispositivos instalados en una máquina y ahora vamos a explicar como reconocer un nuevo disco instalado en la máquina para su división en particiones. Cuando queremos añadir un nuevo disco al sistema pueden ocurrir dos circunstancias: añadir el disco con la máquina arrancada por que alberga un servicio 24x7 o tenemos que parar sistema y hardware para instalar el disco. La primera opción es viable con el hardware apropiado obligando al sistema a detectar el nuevo disco sin reiniciar. Detectando nuevo hardware parando el sistema Para una máquina que no admite añadir discos en caliente tenemos que realizar una parada completa de la máquina para añadir el nuevo hardware. Para reconocer nuevo componente en el sistema actuaríamos de la siguiente forma: 1. Realizamos una copia del fichero /etc/path_to_inst 2. Creamos el fichero /reconfigure ejecutando: touch /reconfigure esto obliga al sistema en el próximo arranque a detectar y reconfigurar todo el hardware. 3. Paramos la máquina con init 5. 4. Instalamos el nuevo hardware. 5. Arrancamos nuevamente la máquina. 6. Ejecutamos el comando prtconf para ver si esta el nuevo hardware, también podemos comparar con el comando diff el backup del fichero /etc/path_to_inst con el nuevo siendo las diferencias el nuevo hardware instalado. Detectando nuevo hardware online Ahora vamos a proceder a reconocer un nuevo disco sin necesidad de detener la máquina para ello ejecutamos el comando devfsadm. La ejecución de este comando implica la regeneración de los directorios: • /dev • /devices • Actualización del fichero /etc/path_to_inst Antes de la ejecución del comando devfsadm es recomendable realizar un backup del fichero /etc/path_to_inst para poder realizar una comparación entre el backup y el nuevo fichero /etc/path_to_inst generado por el comando devfsadm. La comparación de ambos fichero nos mostrara el nuevo hardware detectado. Ejemplo de la comparación del fichero /etc/path_to_inst antes de la ejecución devfsadm y el nuevo fichero generado por devfsadm: # diff path_to_inst path_to_inst.backup 30d29 < "/pci@0,0/pci1000,30@10/sd@0,0" 0 "sd"

Comunidad OpenSolaris Hispano Ejecutamos el comando prtconf detectado por el sistema.

para ver si esta el nuevo hardware

Crear nuevas particiones en disco El nuevo disco ya es visible para sistema y podemos proceder a crear las particiones (slices). Para crear las particiones utilizamos el comando format. Los pasos a seguir son los siguientes: • • • • •

Seleccionar el disco Crear las particiones Etiquetar el nuevo disco Crear el sistema de ficheros Montar el disco

Ejecutamos el comando format y veremos el siguiente menú: # format Searching for disks...done AVAILABLE DISK SELECTIONS: 0. c0d0 <DEFAULT cyl 4092 alt 2 hd 128 sec 32> /pci@0,0/pci-ide@7,1/ide@0/cmdk@0,0 1. c0d1 <DEFAULT cyl 2044 alt 2 hd 128 sec 32> /pci@0,0/pci-ide@7,1/ide@0/cmdk@1,0 2. c1d1 <DEFAULT cyl 1021 alt 2 hd 64 sec 32> /pci@0,0/pci-ide@7,1/ide@1/cmdk@1,0 3. c2t0d0 <DEFAULT cyl 2045 alt 2 hd 128 sec 32> /pci@0,0/pci1000,30@10/sd@0,0 Specify disk (enter its number):

En el menú de format muestra de forma numerada los discos disponibles con su nombre de lógico, seleccionamos el disco con el que queremos trabajar y pulsamos intro: selecting c1d1 Controller working list found [disk formatted, defect list found] FORMAT MENU: disk type partition current format fdisk repair show label analyze defect backup verify save volname

select a disk select (define) a disk type select (define) a partition table describe the current disk format and analyze the disk run the fdisk program repair a defective sector translate a disk address write label to the disk surface analysis defect list management search for backup labels read and display labels save new disk/partition definitions set 8-character volume name 68

Comunidad OpenSolaris Hispano

!<cmd> quit

- execute <cmd>, then return

La utilizad format nos muestra un nuevo menú donde vamos a elegir la opción partition. Para entrar en la utilizad de particiones tecleamos partition y pulsamos intro; nos mostrara un nuevo menú: PARTITION MENU: 0 1 2 3 4 5 6 7 select modify name print label !<cmd> quit partition>

change `0' partition change `1' partition change `2' partition change `3' partition change `4' partition change `5' partition change `6' partition change `7' partition select a predefined table modify a predefined partition table name the current table display the current table write partition map and label to the disk execute <cmd>, then return

Ahora teclea print para ver la tabla de particiones que existe actualmente: partition> print Current partition table (original): Total disk cylinders available: 2044 + 2 (reserved cylinders) Part Tag 0 unassigned 1 unassigned 2 backup 3 unassigned 4 unassigned 5 unassigned 6 unassigned 7 unassigned 8 boot 9 alternates

Flag wm wm wu wm wm wm wm wm wu wm

Cylinders 0 0 0 - 2043 0 0 0 0 0 0 0 1 2

Size 0 0 3.99GB 0 0 0 0 0 2.00MB 4.00MB

Blocks (0/0/0) 0 (0/0/0) 0 (2044/0/0) 8372224 (0/0/0) 0 (0/0/0) 0 (0/0/0) 0 (0/0/0) 0 (0/0/0) 0 (1/0/0) 4096 (2/0/0) 8192

La partición numero dos es solo informativa y muestra el tamaño total del disco disponible. Podemos definir hasta siete particiones, por lo tanto tenemos que planificar bien las particiones que queremos crear. El comando print muestra el estado actual de las particiones y la información es: • Part: numero de la partición • Tag: etiqueta predefinida.. Los valores posibles son: o unassigned o boot o root o swap o usr o backup 69

Comunidad OpenSolaris Hispano

•

• • •

o stand o home o alternates Flag: etiqueta predefinida. Los valores posibles son: o wm: la partición se puede leer y escribir. Se puede montar o wu: la partición es solo de lectura y no se pude montar. o rm: la partición es solo de lectura y se puede montar. o ru: la partición es solo de lectura y no se puede montar Cylinders: Numero de cilindro de comienzo y final de la partición. Size: tamaño de la partición Blocks: numero total de cilindros y bloques de la partición.

Para crear una partición seguimos los siguientes pasos: -

seleccionamos la partición 0, tecleamos 0 y pulsamos intro:

Part Tag 0 unassigned

Flag wm

Cylinders 0

Size 0

Blocks (0/0/0)

Seguidamente nos pregunta el valor para el tag. Tecleamos ? y pulamos intro para que muestre todos los valores posibles. Elegimos la opción alternates ya que ninguna de las opciones mostradas será el uso final del disco.

Enter partition id tag[unassigned]: ? Expecting one of the following: (abbreviations ok): unassigned boot root swap usr backup stand var home alternates reserved Enter partition id tag[unassigned]: alternates

Ahora tenemos que definir los permisos para la partición, elegimos la opción por defecto wm que permite la escrita en disco y su montaje.

Enter partition permission flags[wm]:

Ahora nos pedirá el cilindro de inicio. Esta opción la dejamos por defecto para que el sistema la complete:

Enter new starting cyl[1]:

Definimos el tamaño para la partición. Para nuestro ejemplo definimos un 1gb:

Enter partition size[0b, 0c, 1e, 0.00mb, 0.00gb]: 1gb

Comunidad OpenSolaris Hispano -

Tecleamos print para ver el resultado:

partition> print Current partition table (unnamed): Total disk cylinders available: 2044 + 2 (reserved cylinders) Part Tag 0 alternates 1 unassigned 2 backup 3 unassigned 4 unassigned 5 unassigned 6 unassigned 7 unassigned 8 boot 9 alternates

Flag wm wm wu wm wm wm wm wm wu wm

Cylinders 1 - 512 0 0 - 2043 0 0 0 0 0 0 0 1 2

Size 1024.00MB 0 3.99GB 0 0 0 0 0 2.00MB 4.00MB

Blocks (512/0/0) 2097152 (0/0/0) 0 (2044/0/0) 8372224 (0/0/0) 0 (0/0/0) 0 (0/0/0) 0 (0/0/0) 0 (0/0/0) 0 (1/0/0) 4096 (2/0/0) 8192

Podemos observar que la partición denominada 0 tiene asignado un tamaño de 1024MB. - Si todo es correcto tecleamos el comando label para grabar la información de la partición: partition> label Ready to label disk, continue? y

Repetiremos el proceso para el resto de particiones que necesitamos crear. Cuando finalicemos podemos salir de la utilidad format tecleando el comando quit. Crear una nueva tabla de particiones Si al ejecutar el comando partition de la utilidad format responde el siguiente mensaje: Please run fdisk first debemos ejecutar el comando fdisk para crear la tabla de particiones. El siguiente ejemplo muestra la ejecución del comando: format> partition Please run fdisk first. format> fdisk No fdisk table exists. The default partition for the disk is: a 100% "SOLARIS System" partition Type "y" to accept the default partition, partition table. y

otherwise type "n" to edit the

Al teclear fdisk y pulsar intro nos informa de que va a crear una tabla de particiones por defecto y nos pide confirmación. Tecleamos y pulsamos intro. Ya podemos continuar gestionando el disco. La VTOC Todos los discos en Solaris tienen un área especial que esta definida para almacenar toda la información sobre el controlador de 71

Comunidad OpenSolaris Hispano disco y sus particiones. A esta información sobre las particiones se la denomina label y contiene información sobre las particiones que contiene el disco como su tamaño, los límites de inicio y final de cada partición con datos sobre los cilindros. Para ver la información de la VTOC dentro de la utilidad format seleccionamos el disco y ejecutamos el comando verify. Backup la VTOC Para realizar un backup de la VTOC hay que ejecutar el comando prtvtoc redirigiendo la salida a un archivo que contendrá el backup de la VTOC. Ejemplo: prtvtoc /dev/rdsk/c0d1s0 > /backup/vtoc/cod1s0

Restaurar la VTOC Restaurar nuevamente la VTOC es sencillo con el comando fmthard: fmthard –s backupdelavtoc disodestinodelavtoc Ejemplo sobre la restauración de una VTOC: # fmthard -s /backup/vtoc/cod1s0 /dev/rdsk/c0d1s0 fmthard: New volume table of contents now in place.

Nota: los comandos fmthard y prtvtoc necesitan tener acceso a los discos en modo raw por lo que hay que utilizar siempre la ruta /dev/rdsk/nombre_del_disco Sistema de ficheros UFS Hemos visto como crear los slices o particiones con la utilidad format ahora hay que crear un sistema de ficheros por cada partición creada y posteriormente poder montarla. El comando que permite la creación de un sistema de ficheros ufs es newfs. Creación del sistema de ficheros UFS El siguiente ejemplo muestra la ejecución del comando newfs que solicita confirmación antes de ejecutar el comando ya que borra de forma irreversible todos los datos. # newfs /dev/rdsk/c0d1s0 newfs: construir un nuevo sistema de archivos /dev/rdsk/c0d1s0: (y/n)? y /dev/rdsk/c0d1s0: 8368128 sectores en 2043 cilindros de 128 pistas, 32 sectores 4086,0MB en 79 grupos de cilindros (26 c/g, 52,00MB/g, 6400 i/g) copias de seguridad super-bloque (para fsck -F ufs -o b=#) en: 32, 106560, 213088, 319616, 426144, 532672, 639200, 745728, 852256, 958784, 7350464, 7456992, 7563520, 7670048, 7776576, 7883104, 7989632, 8096160, 72

Comunidad OpenSolaris Hispano 8202688, 8309216

El comando newufs utiliza el acceso a disco en modo raw por lo que siempre hay que darle la ruta del dispositivo /dev/rdsk. Si creamos varias particiones o slices tenemos que ejecutar el comando newfs por cada una de ellas. Recordar que cada partición viene definida en el nombre lógico por la letra s (slice), es decir que para el disco c0t0d0 las particiones son c0t0d0s0, c0t0ds1, c0t0d0s2 etc.. El directorio lost+found Cuando el comando newufs crea el nuevo sistema de ficheros reserva un pequeño porcentaje de disco para crear el directorio lost +found en el que se guarda la información necesaria para una posible reparación del disco con la utilidad fsck. Este espacio reservado se le denomina minfree. Montar el nuevo sistema de ficheros Ya tenemos creado el sistema de ficheros utilizando el comando newufs ahora hay que definir un punto de montaje y montar el disco. El comando que nos permite montar un sistema de ficheros es mount. El siguiente ejemplo crea un punto de montaje y monta la partición: # mkdir /nuevodisco # mount /dev/dsk/c0d1s0 /nuevodisco/ # cd /nuevodisco/ # ls lost+found

Si ejecutamos el comando df –kh veremos el nuevo sistema de ficheros montado: # df -kh Sistema de archivos tamaño usados aprovechar capacidad Montado en /dev/dsk/c0d0s0 4,6G 3,2G 1,4G 70% / /devices 0K 0K 0K 0% /devices ctfs 0K 0K 0K 0% /system/contract proc 0K 0K 0K 0% /proc mnttab 0K 0K 0K 0% /etc/mnttab swap 341M 648K 341M 1% /etc/svc/volatile objfs 0K 0K 0K 0% /system/object /usr/lib/libc/libc_hwcap1.so.1 4,6G 3,2G 1,4G 70% /lib/libc.so.1 fd 0K 0K 0K 0% /dev/fd swap 341M 520K 341M 1% /tmp swap 341M 96K 341M 1% /var/run /dev/dsk/c0d0s7 2,8G 86M 2,6G 4% /export/home /export/home/aulaunix 2,8G 86M 2,6G 4% /home/aulaunix /dev/dsk/c0d1s0 3,9G 4,0M 3,9G 1% /nuevodisco

Hemos finalizado todo el proceso y ya podemos comenzar a utilizar el sistema de ficheros.

Comunidad OpenSolaris Hispano El comando mount El comando mount lo utilizaremos para montar unidades de forma manual desde una partición de un disco, a un CDROM o un disquete. La sintaxis del comando mount es: mount

[opciones] [dispositivo] [punto de montaje]

Las opciones mas interesantes de las que disponemos son: - ro: monta el sistema de fichero para solo lectura. - noatime: no guarda información sobre el ultimo acceso a los ficheros. Si esta información son es imprescindible aumentamos el rendimiento. - nolargefile: no permite ficheros con un tamaño superior a 2GB. El siguiente ejemplo monta un sistema de ficheros con todas las opciones que hemos visto: mount -o ro,noatime,nolargefiles /dev/dsk/c0d1s0 /nuevodisco

Para montar un sistema de ficheros diferente a ufs utilizamos el mount con el parámetro –F. Los sistemas de ficheros soportados por Solaris son: • ufs: sistema de ficheros UNIX estándar. • pcfs: sistema de ficheros que permite acceder a FAT32 para lectura y escritura. • hsfs: sistema de ficheros High Sierra es el estándar para los CDROM. • udf: de Formato de Disco Universal con soporte operaciones de lectura y escribe sobre DVD y CD. El siguiente ejemplo muestra como montar un sistema de ficheros FAT32 #mount -F pcfs /dev/dsk/c0t0d0s0

/midisco/

Desmontar un sistema de ficheros Desmontar un sistema de ficheros es sencillo solo tenemos que ejecutar el comando umount seguido del punto de montaje. Un ejemplo para desmontar una unidad: #umount /nuevodisco

Ver el tipo de un sistema de ficheros Para averiguar el formato de un el comando fstyp:

sistema de ficheros utilizamos

Comunidad OpenSolaris Hispano El siguiente ejemplo muestra como obtener la información sobre el sistema de ficheros de /dev/dsk/c0d1s0: # bash bash-3.00# fstyp /dev/dsk/c0d1s0 ufs

Montar un disco de forma permanente Hasta el momento todos los comandos que hemos ejecutados no permanecen si reiniciamos la máquina. Es decir si montamos un disco y lo utilizamos en el próximo arranque no esta montado y solo veremos su punto de montaje. Para dejar una unidad montada de forma permanente en el sistema tenemos que añadir los datos al fichero /etc/vfstab. El contenido del vfstab es leído en el arranque del sistema y montadas todas las unidades que en el se encuentran. En contenido del fichero es el siguiente:

Se compone de siete campos separados por tabulación y los campos sin valor se representan con un guión “-“. Los campos que contiene son: • • • • • •

•

device to mount: dispositivo que se va montar con su nombre lógico. Ejemplo /dev/dsk/cd1s0s0 device to fsck: dispositivo que cuqueara la utilidad fsck con formato raw. Ejemplo /dev/rdsk/cd1s0s0. mount point: directorio que se establece como punto de montaje. FS type: tipo de sistema de ficheros que se va montar. fsck pass: activa el chequeo en al arranque. Se activa con un número como valor, excepto 0 que desactiva el chuequeo. mount at boot: con valor yes se monta el sistema de ficheros en el arranque, y con valor no se queda sin montar. Esto es utilizado para una desactivación temporal del sistema de ficheros. mount options: opciones separadas por comas que se pasan al comando mount cuando se monta file systems. Un ejemplo puede ser montarlo solo en modo lectura.

Para añadir una partición de forma permanente al sistema editamos el archivo /etc/vfstab y añadimos la nueva línea: 75

Comunidad OpenSolaris Hispano /dev/dsk/c0d1s0 /dev/rdsk/c0d1s0

/nuevodisco

ufs

yes

En el próximo arranque el sistema montara automáticamente el sistema de ficheros. El comando umount El comando umount permite desmontar un sistema de ficheros, su uso es muy sencillo: umount

[nombre dispositivo a desmontar o nombre punto de montaje]

Ejemplo: bash-3.00# df -k Sistema de archivos

kbytes

/export/home/aulaunix 2899319 /dev/dsk/c0d1s0 4119582

usados aprovechar capacidad Montado en 87603 2753730 4105 4074282

4% 1%

/home/aulaunix /nuevodisco

bash-3.00# bash-3.00# umount /nuevodisco

Con la opción –f en el comando umount desmontamos de forma forzosa el sistema de ficheros, si lo hacemos de esta manera podemos generar daños o inconsistencias de ficheros que estuvieran siendo utilizados por una aplicación. Consideraciones para desmontar un filesytem Para desmontar un disco con seguridad ningún usuario o aplicación tiene que estar haciendo uso del filesystem. Si al intentar desmontar un disco nos da el mensaje de ocupado es porque hay accesos al file system y al desmontarlo podemos generar errores en una aplicación. Ejemplo de aviso al intentar desmontar un disco: bash-3.00# umount /nuevodisco/ umount: /nuevodisco ocupado bash-3.00#

Para averiguar que procesos están haciendo uso de un file system recurrimos al comando fuser. #fuser -cu

/nuevodisco

Comunidad OpenSolaris Hispano

ZFS Introducción a ZFS ZFS (Zettabyte File System ) es el nuevo sistema de archivos incorporado a OpenSolaris. Es un sistema de archivos de 128 bits y su límite de tamaño máximo es de 256 cuatrillones de zettabytes1. En la wikipedia se hace la siguiente referencia sobre la capacidad de ZFS: “Como ejemplo de las capacidades expresadas por estos números, si un usuario crease 1000 ficheros por segundo, tardaría unos 9000 años en alcanzar el límite impuesto por el número de ficheros.”. En este capitulo pretendemos ver la parte práctica de ZFS, si deseas conocer los límites teóricos de ZFS puedes ver los valores de referencia en la wikipedia o en www.sun.com . Las principales características de ZFS son: •

Tamaño máximo de 256 cuatrillones de zettabytes

•

Administración sencilla por comandos o web. (nos olvidamos de format, newfs, mount, vfstab, etc..)

•

Copy-on-write (ZFS no sobrescribe los nuevos datos directamente, crea los datos en un nuevo bloque y posteriormente cambia los punteros de datos y realiza la escritura definitiva. Con este método siempre esta garantizada la integridad de los datos y no es necesario el uso de utilidades como fsck )

•

Snapshots (capturas). Podemos sacar un “foto” de forma rápida a todo un sistema de ficheros. Podemos instalar un paquete en el sistema y si este no cumple nuestras expectativas podemos realizar un rollback para volver al estado anterior.

•

Comprensión. Podemos definir un sistema de ficheros donde toda la información este comprimida.

•

Mirror y RAID-Z: Se pueden definir de forma muy sencilla mirroring entre discos y RAID-Z.

Información detallada sobre la unidad de medida en la wikipedia: http://es.wikipedia.org/wiki/Zettabyte 1

Comunidad OpenSolaris Hispano

Actualmente cuando trabajamos con herramientas como Solaris Volume Manager hay que crear las particiones (slice), agrupar discos y crear la base de datos que alberga la configuración y estado de todos los volúmenes. Todo esto implica la ejecución de comandos como prtvtoc, fmthard, metadb, metainit y metaroot sin contar las modificaciones en el fcihero /etc/vfstab. Con ZFS todo se resume a dos comandos zfs y zpool. Tal como podemos ver en la figura 4.1 ZFS trabaja con un pool que esta formado por todos los dispositivos físicos. Las características del pool son: •

El pool esta formado por dispositivos de almacenamiento de igual o diferentes capacidades.

•

El pool puede crecer y encoger añadiendo y quitando discos.

•

Los sistemas de ficheros ZFS comparten el pool y se puede definir cuotas y reservar de espacio para un solo sistema de ficheros.

Forma

V O

ZFS

STORAGE POOL

Crear un pool Vamos a crear un pool de 4GB comprendido por lo discos c1d0 y c1d1 ambos con un tamaño de 2GB. Para crear un pool llamado babilonia utilizamos el comando zpool de la siguiente forma: zpool create –f [nombre del pool] [lista de dispositivos] #/usr/sbin/zpool create -f babilonia c1d0 c1d1

Para verificar que se ha creado correctamente ejecutamos el comando zpool list: # zpool list NAME babilonia #

SIZE 3,88G

USED 59,5K

AVAIL 3,87G

CAP 0%

HEALTH ONLINE

ALTROOT 78

Comunidad OpenSolaris Hispano

Podemos ver que el tamaño del pool es de 3,88GB y es accesible desde /babilonia. Crear sistemas de ficheros ZFS Ya tenemos creado el pool y ahora podemos comenzar a definir sistemas de ficheros. Vamos a crear dos sistemas de ficheros uno para instalar aplicaciones y otro para datos utilizando el comando zfs con la opción create: zfs create [nombre del pool/sistema de ficheros] # /usr/sbin/zfs create babilonia/aplicaciones # /usr/sbin/zfs create babilonia/datos

Para ver los nuevos sistema de ficheros ejecutamos el comando zfs con la opción list: # zfs list NAME USED AVAIL REFER MOUNTPOINT babilonia 138K 3,81G 27,5K /babilonia babilonia/aplicaciones 24,5K 3,81G 24,5K /babilonia/aplicaciones babilonia/datos 24,5K 3,81G 24,5K /babilonia/datos

La salida muestra los dos nuevos sistemas de ficheros que también son visibles con el comando df –k. Se puede observar que todos los sistemas de ficheros comparten el mismo espacio de 3,81GB que es el tamaño del pool. Los sistemas de ficheros creados con ZFS se montan automáticamente y de forma persistente. Con ZFS nos hemos ahorrado los pasos con los comandos format, newfs, mount y la posterior edición del fichero /etv/vfstab para dejarlo de forma persistente. Propiedades de un ZFS Los sistemas de ficheros ZFS tienen propiedades que pueden ser activadas o desactivadas según nuestras necesidades. Para establecer el valor de una propiedad se ejecuta el comando zfs con las opciones set para establecer o get para leer. Veamos algunos de los mas interesantes: Creación cuotas y reserva de espacio ZFS nos da la posibilidad de controlar el espacio de los sistemas de ficheros estableciendo cuotas y reserva de espacio para los sistemas de ficheros. Continuando con el pool de los ejemplos anteriores vamos a establecer una cuota para el sistema de ficheros babilonia/aplicaciones y reservar espacio del pool para babilonia/datos. 79

Comunidad OpenSolaris Hispano Estableciendo una cuota a un sistema de ficheros limitamos el espacio máximo que puede tener. Para crear una cuota utilizamos el comando zfs y la opción set quota=1GB: zfs set quota=[tamaño] [nombre del pool/sistema de ficheros] # # /usr/sbin/zfs set quota=1GB babilonia/aplicaciones

Si ejecutamos el comando zfs list para ver los sistemas de ficheros observaremos que se ha establecido la cuota correctamente: # zfs list NAME babilonia babilonia/aplicaciones babilonia/datos

USED

AVAIL REFER MOUNTPOINT 138K 3,81G 27,5K /babilonia 24,5K 1024M 24,5K /babilonia/aplicaciones 24,5K 3,81G 24,5K /babilonia/datos

Una cuota limita el espacio de un sistema de ficheros pero no garantiza dicho espacio. Para reservar el espacio para un sistema de ficheros dentro del pool ejecutamos zfs con el parámetro set reservation=1GB: zfs set reservation=[tamaño] [nombre del pool/sistema de ficheros] # /usr/sbin/zfs set reservation=1GB babilonia/datos

El sistema de ficheros babilonia/datos tiene reservados 1GB del pool. Si el resto de ficheros llena el pool no peligra nuestro espacio reservado. Ejecutando zfls list se puede ver que el pool babilonia tiene como usado 1GB y para el resto de sistemas de ficheros hay disponible 2,81GB. Salida de zfs list: # zfs list NAME babilonia babilonia/aplicaciones babilonia/datos

USED

AVAIL REFER MOUNTPOINT 1,00G 2,81G 27,5K /babilonia 24,5K 1024M 24,5K /babilonia/aplicaciones 24,5K 3,81G 24,5K /babilonia/datos

Realizar una reserva de espacio no implica un limite de cuota para el sistema de ficheros este puede utilizar todo el tamaño del pool. Se pueden combinar las opciones de cuota y reserva para un sistema de ficheros. Sistema de ficheros comprimido ZFS ofrece nuevas posibilidades como tener un sistema de ficheros con información comprimida. El comando para habilitar la compresión del sistema de ficheros es zfs con el parámetro compression=on. El siguiente ejemplo activa la compresión para el sistema de ficheros babilonia/datos: zfs set compression=[on/off] [nombre del pool/sistema de ficheros] 80

Comunidad OpenSolaris Hispano #/usr/sbin/zfs set compression=on babilonia/datos

Para obtener datos del ratio de compresi贸n del sistema de ficheros: zfs get [nombre de la propiedad] [nombre del pool/sistema de ficheros] #zfs get compressratio babilonia/datos NAME babilonia/datos

PROPERTY compressratio

VALUE 1.00x

SOURCE -

Sistema de ficheros de solo lectura Para establecer un sistema de ficheros como solo lectura utilizamos el colmando zfs con el par谩metro readonly=on zfs set readonly =[on/off] [nombre del pool/sistema de ficheros] #/usr/sbin/zfs set readonly=on babilonia/datos

Cambiar el punto de montaje Para cambiar el punto de montaje de un sistema de ficheros ejecutamos el comando zfs estableciendo el nuevo punto de montaje con el par谩metro mountpoint. El siguiente ejemplo muestra como cambiar el punto de montaje de babilonia/datos a /aulaunix: zfs set mountpoint =[/punto de montaje] ficheros]

[nombre del pool/sistema de

#cd / # zfs set mountpoint=/aulaunix babilonia/datos

Verificamos el cambio # zfs list NAME babilonia babilonia/aplicaciones babilonia/datos

ejecutando

zfs list:

USED AVAIL REFER MOUNTPOINT 1,00G 2,81G 25,5K /babilonia 24,5K 1024M 24,5K /babilonia/aplicaciones 24,5K 3,81G 24,5K /aulaunix

Ver las propiedades de un ZFS Hasta ahora hemos utilizado el comando zfs set para establecer propiedades del sistema de archivos. Para ver los valores de las propiedades de un ZFS ejecutamos zfs con la opci贸n get: zfs get [nombre de la propiedad]

poll/sistemdeficheros 81

Comunidad OpenSolaris Hispano

# zfs get quota babilonia/aplicaciones NAME PROPERTY VALUE babilonia/aplicaciones quota

SOURCE

local

Con la opción all podemos ver todos los valores de las propiedades de un ZFS y cuales son sus valores por defecto: # zfs get all

babilonia/aplicaciones

NAME PROPERTY VALUE babilonia/aplicaciones type babilonia/aplicaciones creation babilonia/aplicaciones used babilonia/aplicaciones available babilonia/aplicaciones referenced babilonia/aplicaciones compressratio babilonia/aplicaciones mounted babilonia/aplicaciones quota babilonia/aplicaciones reservation babilonia/aplicaciones recordsize babilonia/aplicaciones mountpoint babilonia/aplicaciones sharenfs babilonia/aplicaciones checksum babilonia/aplicaciones compression babilonia/aplicaciones atime babilonia/aplicaciones devices babilonia/aplicaciones exec babilonia/aplicaciones setuid babilonia/aplicaciones readonly babilonia/aplicaciones zoned babilonia/aplicaciones snapdir babilonia/aplicaciones aclmode babilonia/aplicaciones aclinherit

SOURCE filesystem Fri Jan 26 19:11 2007 24,5K 1024M 24,5K 1.00x yes 1G none 128K /babilonia/aplicaciones off on off on on on on off off hidden groupmask secure

local default default default default default default default default default default default default default default default

Gestión del POOL Añadir nuevos discos al pool Para ampliar el espacio disponible en un pool tenemos que añadir nuevos discos a la máquina o utilizar particiones (slices) no usada en otro disco. Para ampliar el pool utilizamos el comando zpool con la opción add: zpool add –f

[nombre del pool] [dispositivo a añadir]

bash-3.00# zpool list -H babilonia 1,98G 77,5K

1,98G

EN LÍNEA

bash-3.00# /usr/sbin/zpool add -f babilonia c0d1 bash-3.00# zpool list -H babilonia 3,97G 184K

3,97G

EN LÍNEA

Comunidad OpenSolaris Hispano Tal como podemos ver en la salida de la ejecución de zpool add el espacio a aumentado de 1,89G a 3,97G. Se pueden añadir tantos discos como sean necesarios. Quitar discos al pool Se pude sacar un disco que forma parte del pool utilizamos la orden zpool remove : zpool remove [nombre del pool] [dispositivo aquitar] # zpool remove babilonia c0d1

Eliminar un pool Si tenemos que eliminar un pool por completo y dejar los dispositivos libres para otro uso utilizamos el comando zpool: zpool destroy –f [nombre del pool] # /usr/sbin/zpool destroy -f babilonia

Esta opción es “destructiva” por lo que tenemos que estar muy seguros de que no tenemos información valiosa en el pool a borrar. Reemplazar

un disco del pool

En caso de que un de los discos falle y se tenga que reemplazar utilizamos el comando zpool con el parámetro replace: zpool replace –f nuevo]

[pool] [dispositivo a reemplazar] [dispositivo

Antes del cambio: # zpool status conjunto: babilonia estado: ONLINE limpiar: resilver completed con 0 errores en Wed Jan 31 16:46:57 2007 config: NAME almoroz mirror c0d1 c1d1

STATE ONLINE ONLINE ONLINE ONLINE

READ WRITE CKSUM 0 0 0 0 0 0 0 0 0 0 0 0

errores: ningún error de datosconocido

Crear un mirror (RAID 1) Si tuviéramos que crear un espejo de dos discos utilizando herramientas como Solaris Volume Manager realizaríamos varias tareas para logar nuestro objetivo. Con ZFS es muy sencillo tan solo necesitamos con los comandos zpool y zfs. 83

Comunidad OpenSolaris Hispano

zpool create –f [nombre del pool] mirror [dispositivos] # zpool create -f

babilonia mirror c0d1 c1d1

Con zpool status verificamos si se ha creado correctamente: bash-3.00# zpool status conjunto: babilonia estado: ONLINE limpiar: no se ha solicitado ninguna config: NAME babilonia mirror c0d1 c1d1

STATE EN LÍNEA 0 EN LÍNEA EN LÍNEA EN LÍNEA

READ WRITE CKSUM 0 0 0 0 0 0 0 0 0 0

Crear un mirror desde un disco existente. Si tenemos un pool de un disco y queremos crear un mirror del disco acudimos al comando zpool con el parámetro attach: zpool attach –f zpool

attach -f

[pool] [dispositivo] [nuevo dispositivo]

almoroz c0d1 c1d1

La ejecución del comando creara un mirror formado por los discos c0d1 ya existente y el nuevo disco c1d1. Reemplazar

un disco del mirror

En caso de que un de los discos falle y se tenga que reemplazar utilizamos el comando zpool con el parámetro replace: zpool replace –f nuevo]

[pool] [dispositivo a reemplazar] [dispositivo

Antes del cambio: # zpool status conjunto: almoroz estado: ONLINE limpiar: resilver completed con 0 errores en Wed Jan 31 16:46:57 2007 config: NAME almoroz mirror c0d1 c1d1

STATE ONLINE ONLINE ONLINE ONLINE

READ WRITE CKSUM 0 0 0 0 0 0 0 0 0 0 0 0

errores: ningún error de datosconocido

Realizamos el cambio del disco c1d1 por c0d1s0: #/usr/sbin/zpool replace -f babilonia c0d1 c1d1

Comunidad OpenSolaris Hispano

Y lo verificamos: zpool status conjunto: almoroz estado: ONLINE limpiar: resilver completed con 0 errores en Wed Jan 31 16:46:57 2007 config: NAME STATE almoroz ONLINE mirror ONLINE c0d1 ONLINE replacing ONLINE c0d1 ONLINE c1d1 ONLINE

READ WRITE CKSUM 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

errores: ningún error de datosconocido # zpool status conjunto: almoroz estado: ONLINE limpiar: resilver completed con 0 errores en Wed Jan 31 16:46:57 2007 config: NAME almoroz mirror c0d1 c0d1s0

STATE READ WRITE CKSUM ONLINE 0 0 0 ONLINE 0 0 0 ONLINE 0 0 0 ONLINE 0 0

Crear RAID-Z ZFS permite la creación de RAID-Z muy similar a RAID 5. RAID 5 se compone como mínimo de tres discos y en cada uno de ellos se reserva un espacio con información de paridad. RAID-Z cuenta con ventajas como la paridad distribuida simple y doble. La doble paridad permite asumir errores en uno dos discos que componen el RAIDZ. Para crear un RAID-Z con paridad simple ejecutamos el comando zpool zpool create –f [pool] raidz [dispositivos] El ejemplo siguiente muestra la creación y su posterior verificación: #/usr/sbin/zpool create -f babilonia raidz # zpool status conjunto: babilonia estado: ONLINE limpiar: no se ha solicitado ninguna config: NAME babilonia raidz1 c0d1 c1d1 c2t0d0

STATE ONLINE ONLINE ONLINE ONLINE ONLINE

c0d1 c1d1 c2t0d0

READ WRITE CKSUM 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

errores: ningún error de datos conocido 85

Comunidad OpenSolaris Hispano

Para crear un RAID-Z con paridad doble ejecutamos el comando zpool zpool create –f [pool] raidz2 [dispositivos] # zpool create -f babilonia raidz2 c0d1 c1d1 c2t0d0 # zpool status conjunto: babilonia estado: ONLINE limpiar: no se ha solicitado ninguna config: NAME babilonia raidz2 c0d1 c1d1 c2t0d0

STATE ONLINE ONLINE ONLINE ONLINE ONLINE

READ WRITE CKSUM 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

errores: ningún error de datos conocido

Snapshots Los snapshots son fotos de los datos de un sistema de ficheros, esto se hace de forma instantánea y comparte el espacio de los datos no modificados. Tiene gran utilidad para realizar modificaciones sobre servicios y si no funcionan realizar un rollback de forma sencilla. Vamos un caso práctico: Disponemos de los siguientes sistemas de ficheros en el pool llamado babilonia: # zfs list NAME babilonia babilonia/prueba1 babilonia/prueba2

USED 500M 500M 24,5K

AVAIL 3,42G 3,42G 3,42G

REFER 27,5K 500M 24,5K

MOUNTPOINT /babilonia /babilonia/prueba1 /babilonia/prueba2

El sistema de ficheros babilonia/prueba1 contiene los siguientes archivos: # ls -lrt total 1024223 -rw------T 1 -rw------T 1 -rw------T 1 -rw------T 1 -rw------T 1

root root root root root

104857600 104857600 104857600 104857600 104857600

Feb Feb Feb Feb Feb

2 2 2 2 2

13:10 13:10 13:10 13:10 13:10

fichero1 fichero2 fichero3 fichero4 fichero5

Procedemos a crear el snapshot o foto del sistema de ficheros babilonia/prueba1 con el comando zfs y e parámetro snapshots: zfs snapshot [pool/sistemadeficheros]@nombrefoto Ejecutamos el comando: #zfs snapshot babilonia/prueba1@nombredelafoto

Con zpool list observamos que se ha creado la foto: 86

Comunidad OpenSolaris Hispano

#zfs list NAME USED AVAIL REFER MOUNTPOINT babilonia 300M 3,61G 27,5K /babilonia babilonia/prueba1 300M 3,61G 300M /babilonia/prueba1 babilonia/prueba1@nombredelafoto 0 300M babilonia/prueba2 24,5K 3,61G 24,5K /babilonia/prueba2

Ahora vamos a simular un pequeño desastre borrando los archivos fichero4 y fichero5: # rm fichero4 fichero5 # ls -lrt total 614541 -rw------T 1 root -rw------T 1 root -rw------T 1 root

root root root

104857600 Feb 104857600 Feb 104857600 Feb

2 13:10 fichero1 2 13:10 fichero2 2 13:10 fichero3

Recuperamos archivos los borrados recurriendo a snapshot creado. Recuperamos con el comando zfs y el parámetro rollback: zfs rollback

[pool/sistemadeficheros]@nombrefoto

Ejecutamos el comando: #zfs rollback # ls -lrt total 1024223 -rw------T 1 -rw------T 1 -rw------T 1 -rw------T 1 -rw------T 1

-r root root root root root

babilonia/prueba1@nombredelafoto root root root root root

104857600 104857600 104857600 104857600 104857600

Feb Feb Feb Feb Feb

2 2 2 2 2

13:10 13:10 13:10 13:10 13:10

fichero1 fichero2 fichero3 fichero4 fichero5

Y el resultado es la recuperación de los archivos fichero4 y fichero5. Tal como se decía al principio la foto comparte los datos con los no modificados, en nuestro ejemplo se traduce con que la foto comparte el espacio de fichero1, fichero2 y fichero3 que no se han modificado ocupando realmente solo el tamaño de fichero4 y fichero5. Borrar snapshots o fotos Cuando ya no sea necesario conservar un snapshot podemos borrarlo con el comando zfs y el parámetro destroy: Ejemplo: #zfs list NAME USED AVAIL REFER MOUNTPOINT babilonia 300M 3,61G 27,5K /babilonia babilonia/prueba1 300M 3,61G 300M /babilonia/prueba1 babilonia/prueba1@nombredelafoto 0 300M babilonia/prueba2 24,5K 3,61G 24,5K /babilonia/prueba2 # zfs destroy -f babilonia/prueba1@nombredelafoto

Comunidad OpenSolaris Hispano Estados de ZFS Con el comando zpool status obtenemos información sobre el estado de un pool: zpool status [pool] #zpool status babilonia conjunto: babilonia estado: ONLINE limpiar: no se ha solicitado ninguna config: NAME babilonia mirror c0d1 c1d1

STATE ONLINE ONLINE ONLINE ONLINE

READ WRITE CKSUM 0 0 0 0 0 0 0 0 0 0 0 0

errores: ningún error de datosconocido

Los estados posibles son: • •

ONLINE: el dispositivo esta operando normalmente. DEGRADED: el dispositivo virtual tiene fallos pero continúa en funcionamiento. Este caso de puede dar cuando falla un dispositivo que forma parte de un RAIDZ. Hay que sustituir lo antes posible dispositivo dañado. • OFFLINE: dispositivo parado manualmente por el administrador. • UNAVAILABLE: dispositivo no disponible. Este estado es el siguiente a DEGRADED cuando finalmente el dispositivo es inaccesible. Con el comando zpool status –x obtenemos de forma rápida sin un pool esta teniendo problemas: El siguiente ejemplo muestra un mirror compuesto por dos dispistivos fallando c0d1 que esta totalmente inaccesible. Al ser un mirror el servicio continuo operativo pero se degrada el rendimiento y perdemos alta disponibilidad hasta que se reponga el disco dañado. Ejemplo de un disco dañado: # zpool status -x conjunto: babilonia estado: DEGRADED estado: no se pudieron abrir uno o varios dispositivos. Hay réplicas suficientes para que el conjunto pueda seguir funcionando con un menor rendimiento. acción: adjunte el dispositivo que falta y establézcalo en línea mediante 'zpool online'. consulte: http://www.sun.com/msg/ZFS-8000-D3 limpiar: no se ha solicitado ninguna config: NAME babilonia mirror c0d1 c1d1

STATE DEGRADED DEGRADED UNAVAIL ONLINE

READ WRITE CKSUM 0 0 0 0 0 0 0 62 0 0 0 0

no es posible abrir

Comunidad OpenSolaris Hispano errores: ningún error de datosconocido

La información que ofrece es detallada indicándonos el estado en el que se encuentra el mirror. En la salida del comando nos remite a la dirección web de Sun Microsystems http://www.sun.com/msg/ZFS-8000-D3 donde podemos encontrar información y soluciones al problema. Para solucionar este problema tenemos que añadir un nuevo disco al sistema o utilizar un slice de otro disco. Una vez localizado el disco que sustituye a c0d1 lo remplazamos con el comando zpool replace: Pasos para reemplazar el disco dañado: # zpool replace babilonia c0d1 c2t0d0 #zpool status babilonia conjunto: babilonia estado: ONLINE limpiar: resilver completed con 0 errores en Fri Feb config: NAME babilonia mirror c2t0d0 c1d1

STATE ONLINE ONLINE ONLINE ONLINE

2 15:04:57 2007

READ WRITE CKSUM 0 0 0 0 0 0 0 0 0 0 0 0

errores: ningún error de datosconocido

En el ejemplo hemos reemplazado el disco c0d1 por c2t0d0 y automáticamente el mirror para a estado ONLINE y replica los datos de c0d1 a c2t0d0. También podemos optar por sacar el disco del mirror para repararlo. Tenemos que desasociar el disco c0d1 del mirror con el comando. zpool detach: zpool detach [pool] [dispositivo] #zpool detach babilonia

c0d1

El disco c0d1 ya no forma parte del mirror babilonia. Podemos someterlo a pruebas y volver a añadirlo al mirror o añadir otro disco distinto se la siguiente forma: zpool attach –f [pool] [chisposito] [nuevo dispositivo] # zpool attach -f babilonia c1d1 c0d1 # zpool status conjunto: babilonia estado: ONLINE limpiar: resilver completed con 0 errores en Fri Feb config: NAME babilonia mirror c1d1

STATE ONLINE ONLINE ONLINE

2 15:18:50 2007

READ WRITE CKSUM 0 0 0 0 0 0 0 0 0 89

Comunidad OpenSolaris Hispano c0d1

ONLINE

errores: ningún error de datosconocido

Operaciones entrada y salida ZFS proporciona el comando zpool iostat que reporta e sobre operaciones de lectura, escritura y ancho de banda. El siguiente ejemplo muestra la salida del comando zpool iostat: zpool iostat [pool] # zpool iostat babilonia capacity pool used avail ---------- ----- ----babilonia 10,1M 1,97G

operations read write ----- ----0 0

bandwidth read write ----- ----41 2

Para obtener información de todos los dispositivos virtuales: zpool iostat –v [pool] # zpool iostat –v babilonia capacity operations pool used avail read write ---------- ----- ----- ----- ----babilonia 10,1M 1,97G 0 0 mirror 10,1M 1,97G 0 0 c1d1 0 0 c0d1 0 0 ---------- ----- ----- ----- -----

bandwidth read write ----- ----41 2 42 2 44 111 0 52 ----- -----

Si omitimos el nombre del pool en el comando lista la información de todos los pool disponibles.

Comunidad OpenSolaris Hispano

Zonas Zonas con OpenSolaris 2008.05 La tecnología de contendedores permite la virtualización de Solaris 10 en zonas aisladas del resto del sistema. La denominación de contenedores es la suma de el SRM (Gestor de Recursos de Solaris) + Zonas. Las zonas ejecutan los procesos de forma aislada al sistema anfitrión sin comunicación con otros procesos fuera de la zona. Las zonas solo pueden ejecutar entornos virtuales con el operativo OpenSolaris 2008.05 compartiendo el kernel del sistema anfitrión Las zonas se dividen en: -

Zona Global: es la primera instalación que se realiza de OpenSolaris 2008.05 físicamente en la máquina y en la que se basan el resto de zonas. Tiene el control de todo el sistema y el hardware de la máquina. Zona no global: es un contenedor aislado de la zona global donde se pueden ejecutar OpenSolaris 2008.05 y aplicaciones forma aislada a la zona global.

Crear una zona

Comunidad OpenSolaris Hispano La zonas no globales pueden compartir directorios con la zona global o estar aislada. Una zona no global puede compartir con la zona global los sistemas de ficheros: • /usr • /lib • /sbin • /platform El uso de una zona no global compartida ocupa tan solo 100MB al tener compartidos directorios con la zona global tal como se puede ver en la figura 5.1.

Zona Global 0

Zona local Compartida

/dev/rdsk/c0d0s0

lofs(ro)

/usr

/lib

/sbin

/platform

/var

/etc

/etc 4GB

100MB

Figura 5.1 Zona compartida

Zona Global 0 /dev/dsk/c0d0

BIG ZONE /dev/dsk/c1d0

/usr

/lib

/sbin

/platform

/var

/etc

/etc 4GB

3GB

Figura 5.2 Zona no compartida Las zonas no compartidas o zonas grandes ocupan 4GB ya que no comparten sistema de ficheros. Al no compartir sistemas de ficheros con la zona global podemos aplicar parches a la zona distintos a los de la zona global. Podemos tener varias zonas con niveles de parche 92

Comunidad OpenSolaris Hispano distintos según las necesidades de las aplicaciones. En la figura 5.2 se representa una zona no compartida. Control de recursos Cuando creamos una zona tenemos que asignarlas recursos como red, memoria, CPU etc.. Asignar CPU El control de recursos sobre tipos: -

la CPU en zonas puede ser de tres

CPU fija: una zona puede tener asignada una o mas CPUs de forma fija. Esta forma puede ser útil cuando licenciamos aplicaciones por el numero de CPU. Esta opción tiene una desventaja si la zona no requiere mucho uso de CPU ya que perdemos capacidad de procesamiento estando la CPU solamente asignada una zona. CPUs dinamicas: se asigna un mínimo y un máximo de CPU´s para una zona. El demonio poold se encarga de balancear el numero de CPUs disponibles según la necesidades de cada zona. CPUs compartidas: consiste en un pool de CPUs asignado a todas las zonas. El sistema repartirá las CPU según las necesidades de cada zona.

Memoria El control de memoria para zonas antes de OpenSolaris 2008.05 no se podía realizar de forma directa utilizando. Se ha incluido una nueva propiedad denominada zone.max-locked-memory que establece el limite de memoria para una zona. Espacio en disco

• • •

La zonas puedes ser creadas en: Discos independientes o particiones (slices): una zona puede ser creada en un directorio de cualquier sistema de ficheros, una partición o en un disco independiente. Volúmenes independientes: puede instalarse las zonas en volúmenes de Solaris Volume Manager y beneficiarse de políticas como RAID1, RAIRD 5 etc.. ZFS: Puede instalarse una zona en uns sistema de ficheros ZFS o compartir un sistema de ficheros de la zona global.

RED Cuando creamos una zona se le asigna una dirección IP e interfaz de red de la zona global. 93

Comunidad OpenSolaris Hispano

Creación de una zona compartida o Small-Zone En el siguiente apartado vamos a seguir los pasos necesarios para crear una zona OpenSolaris 2008.05 no compartida ocupando tan solo 100MB . La zona a crear tiene un dirección IP asociada a la interfaz pcn1 y se instala en /babilonia/mizona. Ejecutamos el comando zonecfg con la opción –z de la siguiente forma: zonecfg –z [nombre de la zona] Al ejecutar el comando aparece un mensaje indicando que la zona no esta configurada. Para configurar la zona tenemos que introducir los comandos de configuración el editor de zonezfg. Los datos a introducir son: • autoboot=trae: este parámetro define si la zona es persintente a los reinitos del sistema. Si reiniciamos la máquina anfitriona la zona también arrancara. • zonepath: PATH donde se instalara la zona Solarias 10. • set address: asigna una dirección IP para la zona • set physical: asocia una interfaz de la zona no global para su uso en la zona. El ejemplo siguiente muestra el proceso completo para la creación de la zona: # zonecfg -z mizona mizona: No se ha configurado esa zona Use 'create' para comenzar a configurar una zona nueva. zonecfg:mizona> create zonecfg:mizona> set autoboot=true zonecfg:mizona> set zonepath=/babilonia/mizona zonecfg:mizona> add net zonecfg:mizona:net> set address=10.73.111.25 zonecfg:mizona:net> set physical=pcn1 zonecfg:mizona:net> end zonecfg:mizona> info zonename: mizona zonepath: /babilonia/mizona autoboot: true pool: limitpriv: inherit-pkg-dir: dir: /lib inherit-pkg-dir: dir: /platform inherit-pkg-dir: dir: /sbin inherit-pkg-dir: dir: /usr net: 94

Comunidad OpenSolaris Hispano address: 10.73.130.25 physical: pcn1 zonecfg:mizona> verify zonecfg:mizona> commit zonecfg:mizona> exit

Con los pasos anteriores hemos creado la zona. Al realizar el commit se crea un fichero XML en /etc/zones con los datos de la zona: Ejemplo de mizona.xml: # more mizona.xml <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE zone PUBLIC "-//Sun Microsystems Inc//DTD Zones//EN" "file:///usr/share/lib/xml/dtd/zonecfg.dtd.1"> <!-DO NOT EDIT THIS FILE. Use zonecfg(1M) instead. --> <zone name="mizona" zonepath="/babilonia/mizona" autoboot="true"> <inherited-pkg-dir directory="/lib"/> <inherited-pkg-dir directory="/platform"/> <inherited-pkg-dir directory="/sbin"/> <inherited-pkg-dir directory="/usr"/> <network address="10.73.130.25" physical="pcn1"/> </zone>

Para comprobar que la máquina esta correctamente creada ejecutamos el comando: zoneadm list -cv # zoneadm list -cv ID NAME 0 global - mizona

STATUS running configured

PATH / /babilonia/mizona

Ya esta creada la zona y tenemos que inicializarla para que se instalen los paquetes necesarios. Este paso puede tardar varios minutos por que implica la copia de todos los paquetes necesarios. Antes de iniciar la instalación de paquetes para la zona debemos de comprobar los permisos de la zona par ello acudimos al comando zoneadm para verificar que la zona tiene los permisos necesarios para su creación. Para verificar ejecutamos: zoneadm –z [nombre de la zona] verify Al lanzar el comando nos muestra un mensaje avisando que los permisos sobre los ficheros de la zona no son los correctos: bash-3.00# zoneadm -z mizona /babilonia/mizona no debe ser /babilonia/mizona no debe ser /babilonia/mizona no debe ser /babilonia/mizona no debe ser

verify legible por grupo. ejecutable por grupo. legible por todos. ejecutable por todos. 95

Comunidad OpenSolaris Hispano no se ha podido verificar rutazona /babilonia/mizona debido a los errores anteriores. zoneadm: la zona mizona no se ha podido verificar

Solucionamos el problema aplicando el comando chmod con los permisos 700. chmod 700 /babilonia/mizona/

Si ejecutamos nuevamente el comando zoneadm para verificar la zona no observaremos ningún error. Instalamos la máquina ejecutando la orden: zoneadm –z [nombre de la zona] install bash-3.00# zoneadm -z mizona install Preparing to install zone <mizona>. Creating list of files to copy from the global zone. Copying <2430> files to the zone. Initializing zone product registry. Determining zone package initialization order. Preparing to initialize <1042> packages on the zone. Initialized <1042> packages on zone. Zone <mizona> is initialized. El archivo </babilonia/mizona/root/var/sadm/system/logs/install_log> contiene un registro de la instalación por zonas.

Una vez finalizada la copia de paquetes comprobamos que la maquina esta instalada correctamente ejecutando zoneadm list –cv: bash-3.00# zoneadm list -cv ID NAME STATUS 0 global running - mizona installed

PATH / /babilonia/mizona

Arrancar la zona La máquina ya esta configurada e instalada ahora tenemos que arrancar la zona con el comando zoneadm y el parámetro boot: zoneadm –z [nombre de la zona] boot bash-3.00#zoneadm –z mizona boot bash-3.00# zoneadm list -cv ID NAME STATUS 0 global running 4 mizona running

PATH / /babilonia/mizona

Para verificar que la zona esta arrancada ejecutamos el comando zoneadm list –cv y veremos que su estado es running. Zlogin entrar en la nueva zona

Comunidad OpenSolaris Hispano Tenemos la máquina virtual ejecutándose correctamente y queda realizar el ultimo paso supone entrar en la máquina y responder unas preguntas sobre la configuración que queremos para la zona. Las preguntas son las mismas que en una instalación normal de Solaris, realizará las siguientes preguntas: • • • • • • •

Nombre de la máquina Idioma del sistema Idioma del teclado Tipo de Terminal Zona geográfica Contraseña de root Compatibilidad NTFS v4

Para entrar en la máquina ejecutamos la orden zlogin con el parámetro –C: zlogin –C [nombre de la zona] Como se aprecia en el siguiente ejemplo se inicia un pequeño instalador que pregunta nuestras preferencias para el sistema: bash-3.00# zlogin -C mizona [Conectado a la consola de la zona 'mizona'] Select a Language 0. English 1. Spanish 2. it Please make a choice (0 - 2), or press h or ? for help:

Sobre el Terminal: ¿Qué tipo de terminal esta usando? 1) Est√°ndar ANSI CRT 2) DEC VT52 3) DEC VT100 4) Heathkit 19 5) Lear Siegler ADM31 6) Consola PC 7) Herramienta de comandos Sun 8) Estaci√≥n de Trabajo (Workstation) Sun 9) Televideo 910 10) Televideo 925 11) Wyse, modelo 50 12) Emulador X Terminal (xterms) 13) Emulador de terminal CDE (dtterm) 14) Otros Introduzca el número seleccionado y presione Intro:

Cuando finalizamos la preguntas se configura e inicia el arranque del sistema operativo OpenSolaris 2008.05 como en cualquier máquina: SunOS Release 5.10 Version Generic_118855-33 32-bit Copyright 1983-2006 Sun Microsystems, Inc. All rights reserved. 97

Comunidad OpenSolaris Hispano Use is subject to license terms. Hostname: babilonia babilonia console login: Feb 13 03:09:03 babilonia sendmail[5971]: My unqualified host name (localhost) unknown; sleeping for retry babilonia console login:

Estamos dentro de la máquina virtual babilonia y podemos hacer login con el usuario introducido en las preguntas de la instalación de la zona. Ahora podemos instalar y configurar la máquina virtual como cualquier otra. Ahora se puede hacer telnet o ssh a la dirección IP que tenemos asociada a nuestra máquina virtual e instar cualquier servicio normalmente. Parar la

Zona virtual

Para parar una máquina virtual podemos proceder de dos formas diferentes: 1. Al ser una máquina virtual responde a los mismos comandos de parada que cualquier instalación normal de Solaris por lo tanto podemos parar con comandos como init 0, shutdown o halt. 2. Desde la zona global podemos o reiniciar la máquina utilizando el comando zoneadm con los parámetros reboot y halt: a. zoneadm -z [nombre de la zona] reboot b. zoneadm -z [nombre de la zona] halt Crear una zona no compartida o BIG-ZONE Tal como hemos visto al comienzo una zona no compartida no comparte los directorios /usr./lib,/sbin y /platform por lo tanto ocupa 4GB de espacio aportando la ventaja de tener una zona totalmente independiente donde se puede aplicara un nivel de parches diferente a la zona global. Para crear una zona no compartida vamos utilizar un disco completo de 6GB con sistema de ficheros UFS montado en /bigzone. Antes de instalar la zona vemos que tan solo ocupamos el 1% del disco: /dev/dsk/c1d0s0

5783070

5753 5719487

/bigzone

Al finalizar la instalación el espacio ocupado por la zona es igual a una instalación completa de OpenSolaris 2008.05 : /dev/dsk/c1d0s0

5783070 2951463 2773777

52%

/bigzone

Una zona no compartida o BigZone se crea igual que una zona compartida con la salvedad de que indicamos que no se compartan los sistemas de ficheros /usr./lib,/sbin y /platform con los parámetros: •

remove inherit-pkg-dir dir=/sbin 98

Comunidad OpenSolaris Hispano • • •

remove inherit-pkg-dir dir=/usr remove inherit-pkg-dir dir=/platform remove inherit-pkg-dir dir=/lib

Los pasos a realizar son los siguientes: # zonecfg -z mibigzone mibigzone: No se ha configurado esa zona Use 'create' para comenzar a configurar una zona nueva. zonecfg:mibigzone> create zonecfg:mibigzone> remove inherit-pkg-dir dir=/sbin zonecfg:mibigzone> remove inherit-pkg-dir dir=/usr zonecfg:mibigzone> remove inherit-pkg-dir dir=/platform zonecfg:mibigzone> remove inherit-pkg-dir dir=/lib zonecfg:mibigzone> set autoboot=true zonecfg:mibigzone> set zonepath=/bigzone zonecfg:mibigzone> add net zonecfg:mibigzone:net> set address=127.0.0.100 zonecfg:mibigzone:net> set physical=lo0 zonecfg:mibigzone:net> end zonecfg:mibigzone> info zonename: mibigzone zonepath: /bigzone autoboot: true pool: limitpriv: net: address: 127.0.0.100 physical: lo0 zonecfg:mibigzone> verify zonecfg:mibigzone> commit zonecfg:mibigzone> exit

Establecemos los permisos de fichero para la zona: chmod 700 /bigzone

Verificamos la zona y procedemos a la instalación de los paquetes necesarios para la ejecución de la zona: bash-3.00# zoneadm -z nocompartida verify bash-3.00# zoneadm -z nocompartida install Preparing to install zone <nocompartida>. Creating list of files to copy from the global zone. Copying <130622> files to the zone. Initializing zone product registry. Determining zone package initialization order. Preparing to initialize <1042> packages on the zone. Initialized <1042> packages on zone. Zone <nocompartida> is initialized. El archivo </bigzone/root/var/sadm/system/logs/install_log> contiene un registrde la instalación por zonas.

Arrancamos la zona: # zoneadm list -cv ID NAME

STATUS

PATH 99

Comunidad OpenSolaris Hispano 0 global running - nocompartida installed # zoneadm -z nocompartida boot # zoneadm list -cv ID NAME STATUS 0 global running 2 nocompartida running

/ /bigzone PATH / /bigzone

Y finalizamos el proceso de instalación estableciendo el nombre de máquina, contraseña de root, zona geográfica etc..: bash-3.00# zlogin -C nocompartida [Conectado a la consola de la zona 'nocompartida'] Select a Language 0. English 1. Spanish 2. it Please make a choice (0 - 2), or press h or ? for help:

Estados de una zona Hemos visto como de parada y arranque. máquina desde la zona obtenemos información # zoneadm list -cv ID NAME 0 global - nocompartida

crear una zona, configurarlas y las operaciones Ahora veremos como detectar el estado de una global. Con el comando zoneadm list –cv sobre el estado de una zona:

STATUS running installed

PATH / /bigzone

Los estados posibles son: • • • • • •

Configured: se encuentra en estado estado cuando finalizamos la configuración y realizamos un commit. Incomplete: mostrará este estado muestran se están instalando los paquetes al ejecutar zoneadm con la opción install. Installed: la zona tiene todos los paquetes necesarios para su funcionamiento. Ready: la zona esta lista tiene creado el kernel, los controladores de red están cargados y los sistemas de ficheros montados. Running: la zona esta arrancada. Shutting Down: la zona esta en proceso de parada.

Monitorizar una zona Una zona puede ser monitorizada desde la zona global utilizando el comando zlogin con la opción –S que permite la ejecución de un 100

Comunidad OpenSolaris Hispano comando dentro la zona y enviar la salida del comando a la zona global. Zlogin –S [nombre de la zona]

“comando”

Ejemplos para monitorizar una zona: Uptime: # zlogin -S nocompartida "uptime" 10:43am up 8 min(s), 0 users, load average: 0.18, 0.87, 0.98

FileSystems: # # zlogin -S nocompartida "df -k" Filesystem kbytes used avail capacity / 5783070 2964445 2760795 52% /dev 5783070 2964445 2760795 52% proc 0 0 0 0% ctfs 0 0 0 0% swap 513036 260 512776 1% mnttab 0 0 0 0% /usr/lib/libc/libc_hwcap1.so.1 5783070 2964445 2760795 fd 0 0 0 0% swap 512812 36 512776 1% swap 512796 20 512776 1%

Mounted on / /dev /proc /system/contract /etc/svc/volatile /etc/mnttab 52% /lib/libc.so.1 /dev/fd /tmp /var/run

Uname –a: # zlogin -S nocompartida "uname -a" SunOS babilonia 5.10 Generic_118855-33 i86pc i386 i86pc

Validarse en una zona Para entrar a una zona podemos realizar un telnet o ssh a la dirección IP asociada a la zona o entrar por consola con la utilizad zlogin: zlogin –l [usuario] [nombre de zona] Ejemplo de conexión a una zona con un usuario: # zlogin -l aulaunix nocompartida [Conectado a la zona 'nocompartida' pts/5] No directory! Logging in with home=/ Sun Microsystems Inc. SunOS 5.10 Generic January 2005 $ id uid=100(aulaunix) gid=1(other) $

Desinstalar una zona

101

Comunidad OpenSolaris Hispano Para desinstalar una zona tenemos que detener la zona y ejecutar el comando zoneadm con la opción uninstall. Hay que usar esta opción con mucha precaución ya que elimina todos los ficheros: # zoneadm -z nocompartida halt # zoneadm -z nocompartida uninstall –F # df –k /dev/dsk/c1d0s0 5783070 5894 5719346

/bigzone

La desinstalación de la zona puede tardar varios minutos al igual que al crearla. ¿Cómo funcionan las Zonas? Introducción Debemos imaginar una zona de OpenSolaris como un contenedor de procesos, es decir la zona es una jaula cuyo contenido no puede ver lo que hay fuera de ella. Para que los procesos puedan ejecutarse el kernel debe proporcionar una serie de recursos a dicha zona, como pueden ser acceso a discos, interfaces de red, etc. Dichos recursos no pueden ser compartidos entre zonas. La excepción es la zona global con id 0, esta se crea cuando arranca el sistema y tiene asociado todos los recursos sin restricciones de privilegios. Incluso en los sistemas que no se ha definido ninguna zona existe una zona global. Cada zona esta identificada por un nombre y un id, el nombre global y el id 0 está reservados para la zona global. Notas sobre el kernel En nuestro sistema solo tenemos un Kernel ejecutándose, los procesos de las distintas zonas se ejecutan todos en el mismo que, lógicamente es el que se inicia al arrancar la zona global. Esto tiene grandes beneficios a nivel de performance, especialmente si el diseño de las zonas ha sido bien pensado. •

Las páginas de texto (el código de los ejecutables y librerías) que ha cargado en memoria una zona son compartidas con las demás.

•

La caché de nombres de directorios del sistema (DNLC) también es compartida.

•

Las tareas que periódicamente se ejecutan en el kernel (p.ej. todas las de la callout table) no se duplican por cada zona.

Teniendo en cuenta lo anterior interesa, desde el punto de vista de la performance, que las distintas zonas sean los mas parecidas posible y compartan el mayor número de directorios posibles. P. ej. mientras que levantar el sistema consume en mi equipo 339 megas de la memoria física, arrancar una zona adicional consume solo 79 mb. 102

Comunidad OpenSolaris Hispano

####sistema solo con la zona global bash-3.00# mdb -k Loading modules: [ unix genunix specfs dtrace uppc pcplusmp scsi_vhci ufs ip hook neti sctp arp usba fctl nca lofs mpt audiosup zfs random cpc crypto fcip nsctl ptm sppp ipc ] > ::memstat Page Summary Pages MB %Tot --------------------------- ---------------- ---Kernel 15066 58 12% Anon 52276 204 41% Exec and libs 11141 43 9% Page cache 5927 23 5% Free (cachelist) 24358 95 19% Free (freelist) 20142 78 16% Total 128910 Physical 128909 ###iniciamos una nueva zona > ::memstat Page Summary Pages --------------------------Kernel 17944 Anon 69002 Exec and libs 11305 Page cache 6139 Free (cachelist) 18639 Free (freelist) 5881 Total Physical >

128910 128909

503 503 MB ---------------70 269 44 23 72 22

%Tot ---14% 54% 9% 5% 14% 5%

503 503

Notas sobre la seguridad Si bien ejecutar todos los hilos en el mismo kernel es un beneficio para la performance también supone un reto de cara a la seguridad. El modelo de permisos de OpenSolaris va más allá del tradicional en *nix, root (id =0) todos los privilegios, los demás usuarios ninguno. En su lugar tenemos un modelo mas granular, donde podemos asignar a los procesos/usuarios un set de privilegios específicos para realizar las tareas que necesiten. Por ejemplo, ya no es necesario arrancar un servidor web como root, en su lugar podemos dar a un usuario privilegios para que sus procesos puedan hacer un bind al puerto 80. El hecho que cada proceso pueda ejecutarse con los mínimos privilegios necesarios, en contra del todo o nada tradicional, favorece enormemente la seguridad global del sistema. Los privilegios que tienen los procesos dentro de una zona no global están prefijados y no pueden ser alterados por el administrador, este set está diseñado de manera que evita la interacción de los threads entre zonas , así como el uso de algún privilegio para conseguir otros adicionales. Incluso los hilos que se ejecutan con id 0 tienen este set. Estas restricciones no se aplican en la zona global. Como consecuencia hay una serie de privilegios no podrán adquirir los procesos ejecutándose en una zona no global: Privilege

Description 103

Comunidad OpenSolaris Hispano PRIV_NET_RAWACCESS

Allows a process to have direct access to the network layer. PRIV_PROC_CLOCK_HIGHRES Allows process to create high-resolution timers. PRIV_PROC_LOCK_MEMORY Allows process to lock pages in physical memory. PRIV_PROC_PRIOCNTL Allows process to change scheduling priority or class. PRIV_PROC_ZONE Allows process to control/signal other processes in different zones. [...]

De esta manera los procesos se hallan aislados de forma efectiva de aquellos que no se están ejecutando en su misma zona. Obviamente, a parte de la restricción nivel de privilegios, es vital para la seguridad de las zonas, que los derechos de acceso a los distintos recursos sean correctos. Es decir, los privilegios nos indican que "acciones" podemos realizar (p. ej. Un chown), pero donde realizarlas está controlado a nivel de objetos (p. ej. Usando zonecfg damos acceso a los filesystem que nos interesa.). Es la combinación de ambas cosas, privilegios y restricciones de acceso , lo que finalmente garantiza la seguridad entre zonas. Como pequeño ejemplo prático podemos comprobar como desde la zona global vemos los pids de las demás y no así a viceversa. En ambos casos el id del usuario es 0 (root). #ps dentro de la zona test bash-3.00# id uid=0(root) gid=0(root) bash-3.00# uname -a SunOS test 5.11 snv_70b i86pc i386 i86pc bash-3.00# ps PID TTY TIME CMD 11227 console 0:01 bash 29665 console 0:02 sh 26806 console 0:00 ps #ps desde la zona global con un grep para ver el proceso bash de la zona test bash-3.00# id uid=0(root) gid=0(root) bash-3.00# ps -ef | grep 11227 root 11227 29665 1 Jan 18 zoneconsole 0:01 bash root 26809 555 1 09:45:14 pts/2 0:00 grep 11227 #ps desde la zona global bash-3.00# ps PID TTY TIME CMD 555 pts/2 0:03 bash 551 pts/2 0:00 sh 26812 pts/2 0:00 ps #ps desde la zona test buscando el pid del bash de la zona global bash-3.00# ps -ef | grep 555 | grep -v grep bash-3.00#

Como consecuencia de lo anterior existen algunas tareas que no están permitidas ejecutarse dentro de una zona: •

Modificar interfaces de red o tablas de rutas.

•

Acceder al dispositivo /dev/kmem.

•

Rebotar o apagar todo el sistema. 104

Comunidad OpenSolaris Hispano •

Cargar módulos personalizados del kernel.

Procesos que gestionan una Zona Existen dos nuevos procesos por cada zona no global que tenemos en el sistema, su función gestionar los recursos de ellas: El primero es el zoneadmd. Sus tareas son las siguientes: •

Crear las estructuras del kernel necesarias y iniciar un proceso zsched.

•

Configurar el control a los recursos de dicha zona (como pools de CPU, memoria o privilegios).

•

Configurar los dispositivos de la zona con el comando devfsadmd.

•

Crear y destruir las interfaces de red virtuales.

•

Montar los filesystems.

•

Proporcionar un servidor de consola para el comando zconsole.

•

Ejecutar el proceso init de la zona.

•

Proporcionar un Door Server, los clientes como el zoneadm o el propio kernel se conectan a el para enviar mensajes de cambio de estado a la zona como halt, reboot, ...

Hay una completa descripción de este proceso en el fichero zoneadmd.c del código fuente. El otro proceso es el zsched, sus tareas son: •

Es el padre de todos los threads del kernel de su zona.

•

Lanza el proceso init de la zona cuando arranca.

Ciclo de vida de una zona Estos son los estados (a nivel de kernel) en los que se puede encontrar una zona, ordenados por el flujo natural de arranque a parada. ZONE_IS_UNINITIALIZED: la zona se ha añadido a la lista de zonas activas pero aun no es accesible. ZONE_IS_READY: el proceso zsched esta preparado. ZONE_IS_BOOTING: es un estado de transición el proceso zsched esta tratando de lanzar el init de la zona. ZONE_IS_RUNNING: zsched a lanzado correctamente el init, la zona esta lista para trabajar. Permanece en este estado hasta que se le haga un shutdown. ZONE_IS_SHUTTING_DOWN: se ha ejecutado la llamada zone_shutdown(), el sistema esta matando todos los procesos dentro de la zona. ZONE_IS_EMPTY: no quedan mas procesos de esta zona ejecutándose. ZONE_IS_DOWN: todos los threads del kernel relacionados con la zona han terminado. 105

Comunidad OpenSolaris Hispano La estructura zone_t Por cada zona existente en el sistema hay una estructura zone_t en el kernel, en ella tenemos información acerca del estado y configuración de esta. Podemos ver su definición en el fichero zone.h de nuestro sistema: typedef struct zone { /* * zone_name is never modified once set. */ char *zone_name; /* zone's configuration name */ /* * zone_nodename and zone_domain are never freed once allocated. */ char *zone_nodename; /* utsname.nodename equivalent */ char *zone_domain; /* srpc_domain equivalent */ /* * zone_lock protects the following fields of a zone_t: * zone_ref * zone_cred_ref * zone_ntasks * zone_flags * zone_zsd */ kmutex_t zone_lock; /* [...]

Dentro de ella encontramos los parámetros con los que hemos configurado la zona, entre ellos los que limitan el consumo, como por ejemplo el máximo de memoria, el número de semáforos, etc. Vamos hacer un breve repaso a los mas destacados: *zone_name; zoneid_t rctl_qty_t memoria*/ rctl_qty_t swap */ [...]

/* nombre de la zona */ zone_id; /* ID de la zona */ zone_locked_mem_ctl; /* límite máximo de zone_max_swap_ctl;

/* límite máximo de

También hay información de la zona, como por ejemplo: char zone_status_t zona*/ rctl_qty_t [...]

*zone_rootpath; /* path de la raíz de la zona */ zone_status; /* en que estado esta actualmente la zone_nlwps;

/* número de hilos ejecutándose */

Podemos acceder fácilmente a ella usando mdb: bash-3.00# mdb -k Loading modules: [ unix genunix specfs dtrace uppc pcplusmp scsi_vhci ufs ip hook neti sctp arp usba fctl nca lofs mpt audiosup zfs random sppp crypto ptm md nfs cpc fcip fcp logindmux nsctl sdbc sv ii rdc ] > ::walk zone fec7f028 d5072b40 d884ac40 > ::walk zone fec7f028 d5072b40 d884ac40 > d5072b40 ::zone ADDR ID NAME PATH 106

Comunidad OpenSolaris Hispano d5072b40 1 linux /zone/root/ > d884ac40 ::zone ADDR ID NAME PATH d884ac40 3 test /zone_OS/root/ > d884ac40 ::print zone_t { zone_name = 0xd7ce69c0 "test" zone_nodename = 0xd86e5400 "test" zone_domain = 0xd86e57c0 "" zone_lock = { _opaque = [ 0, 0 ] } zone_linkage = { list_next = zone_active+8 list_prev = 0xd5072b54 } zone_id = 0x3 zone_ref = 0x13 zone_cred_ref = 0x1e zone_rootvp = 0xd5074240 zone_rootpath = 0xd884ed10 "/zone_OS/root/" zone_flags = 0 zone_status = 3 (ZONE_IS_RUNNING) zone_ntasks = 0x11 zone_nlwps_lock = { _opaque = [ 0, 0 ] } [...]

107

Comunidad OpenSolaris Hispano

Brandz y Linux Introducción Brandz es un tipo específico de zona que permite la ejecución de binarios no nativos dentro de ella. Esta tecnología se está desarrollando dentro de el proyecto OpenSolaris, puesto que aun no está finalizado puede que este documento quede obsoleto tras pasar algunos meses, sin embargo es difiícil que se produzca un cambio radical de diseño por lo que en su mayoría debería ser aplicable. Linux dentro de un Brandz Aunque con la tecnología de los brandz podríamos ejecutar binarios de múltiples S.O. lo cierto es que actualmente solo está probados versiones anteriores de Solaris y Linux. En este artículo nos centraremos en este último. Dado que el formato de los ejecutables de Linux y OpenSolaris es el mismo (ELF) idealmente deberíamos poder procesarlos sin más, sin embargo estos esperan unos servicios por parte del kernel, a los que suelen acceder mediante llamadas al sistema que, lógicamente, son distintas en ambos S.O.. En el caso de Linux el problema va incluso un paso más allá, ya que existen diferencias entre las distintas distribuciones dependiendo del nivel de kernel y de la versión de glibc. Técnica de interposición 108

Comunidad OpenSolaris Hispano En Linux un proceso para usar una llamada al sistema ejecuta la interrupción 80, este método no existe en OpenSolaris, para emularlo se ha diseñado una macro BRAND_CALLBACK() que captura ese punto de entrada. Una vez capturado, en lugar de seguir el flujo normal dentro del kernel, esos hilos son procesados por un módulo específico para tareas dentro de un brandz. Existen otros puntos de interposición situados en el flujo de vida de un proceso para asegurar que el kernel presta todos los servicios necesarios, como por ejemplo en la creación/salida de hilos, tratamiento de señales, etc. Dicho módulo hace de traductor, es decir modifica el formato de la llamada al sistema de Linux a su equivalente a OpenSolaris. El ciclo de vida sería el siguiente: 1. El proceso Linux ejecuta la interrupción 80. 2. La macro BRAND_CALLBACK() comprueba si la interrupción tiene origen en un Brandz. 3. Opensolaris pasa el control del thread al módulo específico para brandz. 4. El módulo lx lanza la librería de emulación. 5. Dicha librería modifica la llamada al sistema para que sea compatible con OpenSolaris. 6. El kernel de OpenSolaris procesa la llamada y devuelve la salida a la librería. 7. Otra vez se realizan las operaciones oportunas, ahora para adaptar la salida a lo que espera el proceso Linux. 8. La librería devuelve el resultado al proceso. Puesto que los servicios del kernel tienen pequeñas variaciones dependiendo de la versión y de que las librerías glibc usadas, ha día de hoy (febrero del 2008) está probado y funciona de forma estable RHEL 3, se está trabajando para que funcione RHEL 4 pero aun quedan algunos flecos. Peculiaridades A pesar que lo expuesto parece sencillo, su implementación práctica es compleja, ya que son numerosas las peculiaridades con las que topamos, teneís una lista detallada en la web de la comunidad. A continuación explico un par de ejemplos: Algunas llamadas al sistema son muy diferentes entre OpenSolaris y Linux, algunas ni siquiera tienen equivalente. Quizás el caso más llamativo es la llamada clone (), que Linux usa para crear un hijo y que no existe en OpenSolaris. En su lugar se utiliza fork (2), sin embargo alguno de los flags no tienen ninguna equivalencia, afortunadamente su uso es marginal. Otro caso curioso es que el número de señales existentes en Linux y OpenSolaris para procesos en Real Time es distinto, 32 vs 7, afortunadamente esas señales extras no tienen uso en la actualidad, por lo que directamente se ignoran. 109

Comunidad OpenSolaris Hispano Caso Práctico Crear un Brandz es sencillo, el procedimiento es identico a como crear una zona, solo que al ejecutar el create debemos espcificar que use el módulo lx, por otro lado, cuando hacemos el install debemos especificar la fuente de donde se deben copiar los binarios. Para ir rápido podeís descargar un tar de Centos 3.5 directamente de la web de la comidad OpenSolaris, os dejo una captura de la shell de todo el proceso: # zonecfg -z linux linux: No such zone configured Use 'create' to begin configuring a new zone. zonecfg:linux> create -t SUNWlx zonecfg:linux> set zonepath=/linux-zone zonecfg:linux> commit zonecfg:linux> exit # mkdir /linux-zone # chmod 700 /linux-zone bash-3.2# zoneadm -z linux install -d /centos_fs_image.tar Installing zone 'linux' at root directory '/linux-zone' from archive '/centos_fs_image.tar' This process may take several minutes. Setting up the initial lx brand environment. System configuration modifications complete. Setting up the initial lx brand environment. System configuration modifications complete. Installation of zone 'linux' completed successfully. Details saved to log file: "/linux-zone/root/var/log/linux.install.7598.log" bash-3.2# zoneadm list -cv ID NAME STATUS PATH 0 global running / - linux installed /linux-zone bash-3.2# zomadm -z linux boot bash-3.2# zoneadm list -cv ID NAME STATUS PATH 0 global running / 1 linux running /linux-zone bash-3.2# zlogin -C linux [Connected to zone 'linux' console]

BRAND native lx

IP shared shared

BRAND native lx

IP shared shared

CentOS release 3.7 (Final) Kernel 2.4.21 on an i686 linux login: ~. [Connection to zone 'linux' console closed]

110

Comunidad OpenSolaris Hispano

Virtualizando con xVM En esta entrada vamos a hablar sobre una de las opciones de virtualización que podemos encontrar en OpenSolaris, se trata de xVM, un hypervisor basado en Xen, que nos permite arrancar varias instancias de distintos SO, como Linux, Windows y Solaris, en una máquina con Solaris Express a partir de la build 75. •

Permite ejecutar Windows, Linux y Solaris como SO invitados.

•

Solo corre en sistemas x86/x64.

•

Permite dos modos de virtualización, HVM y PVM.

•

Migración de “invitados” en caliente.

•

Soporte para Intel VT-x y AMD-V.

Por qué utilizar xVM En el siguiente esquema, podemos ver los cuatro nichos, que Solaris tiene para la gestión de los recursos. No podemos olvidar que las distintas técnicas de virtualización, tienen como fin, no el que podamos disfrutar en una máquina de un SO 111

Comunidad OpenSolaris Hispano Linux, un Windows y varias versiones distintas de Solaris, aunque aparentemente suena tentador. El objetivo principal de utilizar tecnología de virtualización consiste en mejorar la forma en la que se hace uso de los recursos disponibles en un sistema.

Cualquier persona que haya administrado un número considerable de máquinas, conoce perfectamente que el uso de CPU y memoria está muy por debajo de las posibilidades reales de la propia máquina, es normal que la mayoría de las máquinas se encuentren entre un 30% y un 60%, en entornos de desarrollo estos valores decrecen considerablemente. Si realizamos el ejercicio de calcular los recursos utilizados normalmente en nuestras máquinas y sumamos estos resultados, nos llevaremos una grata sorpresa, LOS RECURSOS DE LOS QUE DISPONEMOS ESTÁN MUY POR ENCIMA DEL USO REAL QUE SE HACE DE LOS MISMO, os recomiendo que esta información nunca llegue al departamento financiero, porque el año siguiente recibiréis una desagradable sorpresa, al ver reducido el presupuesto de vuestra área. . El objetivo de la virtualización es aprovechar de la mejor manera posible los recursos disponibles en nuestros sistemas. Sin entrar en detalles, los recursos mas preciados en un sistema son: •

Tiempo de ejecución de CPU

•

Uso de la memoria

•

Entrada/Salida

Particiones físicas. En una máquina realizamos una serie de particiones a nivel físico de forma que se reparten los recursos disponibles entre los distintos SO que van a ser ejecutados en la máquina. A todos los efectos disponemos de varias máquinas, esa es la visión que tiene el SO. Máquinas virtuales. En una máquina podemos tener corriendo varias máquinas virtuales con distintos SO. En este caso los recursos son asignados mediante la utilización de un Hypervisor que se encarga de gestionar el acceso al 112

Comunidad OpenSolaris Hispano HW, los distintos SO tienen asignados unos recursos que son controlados por el Hypervisor. Virtualización de SO. La virtualicación de SO, consiste en que un SO anfitrión ejecuta varias instancias del mismo SO, asignando y gestionando los recursos del sistema. La impresión es de disponer varios sistemas con el mismo SO. Control de recursos. Solaris dispone de una serie de herramientas para controlar los recursos del sistema. CPU, memoria, tiempo de CPU, de esta forma los recursos no son asignados a un SO invitado, sino que se asigna mediante políticas a los procesos o grupos de procesos que están ejecutándose en el sistema. xVM se encuentra dentro del nicho de máquinas virtuales y sería para x86 lo mismo que LDoms para SPARC. Arquitectura La arquitectura de un sistema con xVM consiste en: •

Un hypervisor que controla el acceso a los recursos del sistema y sirve como capa de abstracción, entre los SO huéspedes y el HW.

•

Un dominio principal, denominado dom0, que se encarga de gestionar los recursos y los SO huéspedes.

•

Dominios de usuario, denominados domU, estos dominios son los distintos SO huéspedes que se ejecutarán en la máquina. Como SO huéspedes podemos tener: o

PVM (paravirtualización), todos aquellos SO cuyo kernel tenga soporte para Xen.

HVM (virtualización total), el SO no necesita que su kernel disponga de soporte para Xen, la única condición es que los procesadores de nuestro sistema tengan, en caso de Intel® que tenga soporte para Virtualization Technology y en AMD®, AMD-V.

113

Comunidad OpenSolaris Hispano

v Red

Los distintos domU acceden a dispositivos virtuales, que están asociado a dispositivos virtuales en el dom0 que a su vez se encuentran asociados a un dispositivo físico, como en este caso una interfaz de red bge0. Dispositivos de bloque Un dominio, puede ser bien el dominio de control dom0, bien cualquiera de los dominios de usuarios domU, pueden exportar un dispositivo de bloques, que puede ser a su vez, un dispositivo físico, como un disco o bien puede ser un fichero del FS, el cual es exportado al domU y éste la visión que tendrá será la de que está accediendo a un dispositivo de bloques. •

Dispositivo físico disk = [‘phy:dispositivo_dom0, disp_domU, rw’]

•

Fichero disk = [‘file:file_dom0, disp_domU, rw’]

114

Comunidad OpenSolaris Hispano ¿Tiene nuestro sistema soporte para xVM? xVM esta disponible desde la build 75 de Solaris Express. Para comprobar que tenemos instalado en nuestra maquina xVM, podemos chequear el directorio /boot/ bash-3.2# cd /boot/ bash-3.2# ls acpi grub amd64 platform bash-3.2#

solaris solaris.xpm

x86.miniroot-safe xen-syms

xen.gz

En la salida anterior podemos comprobar que existe un kernel con soporte para Xen, el fichero es xen.gz. También podemos chequear el estado de los servicios en SMF. bash-3.2# svcs | grep xvm disabled 23:36:20 svc:/system/xvm/store:default disabled 23:36:20 svc:/system/xvm/domains:default disabled 23:36:21 svc:/system/xvm/console:default disabled 23:36:22 svc:/system/xvm/xend:default bash-3.2#

Los servicios de xVM xVM cuenta con 4 servicios en el sistema de arranque SMF, estos 4 servicios deben estar habilitados para que podamos trabajar con xVM. •

svc:/system/xvm/store:default, controla la configuración de los distintos dominios creados en el sistema.

•

svc:/system/xvm/xend:default, gestiona al demonio que controla todos los dominios

•

svc:/system/xvm/console:default, se encarga de controlar las consolas de los dominios. svc:/system/xvm/domains:default, se encarga de la parada/arranque de los dominios durante la parada/arranque del sistema.

GRUB para xVM En el apartado anterior hemos comprobado que nuestro sistema puede correr con xVM, el siguiente paso consistes en arrancar el kernel con soporte para Xen, para ello, vamos añadir a GRUB las siguientes líneas: bash-3.2# cat /boot/grub/menu.lst #--------------------- xVM 64bits-------------------title Solaris xVM kernel$ /boot/$ISADIR/xen.gz module$ /platform/i86xpv/kernel/$ISADIR/unix /platform/i86xpv/kernel/$ISADIR/unix module$ /platform/i86pc/$ISADIR/boot_archive #---------------------------------------------------#--------------------- xVM 32bits-------------------title Solaris xVM 32bits kernel$ /boot/xen.gz module$ /platform/i86xpv/kernel/unix /platform/i86xpv/kernel/unix module$ /platform/i86pc/boot_archive #----------------------------------------------------

Hemos añadido 2 entradas en GRUB, una para que arranque xVM en 64bits y otra en 32bits. La razón principal para añadir una entra para 115

Comunidad OpenSolaris Hispano 32bits, es que si el dom0 esta en 64bits,los SO de los distintos domU también deben correr en 64bits y si el dom0 esta corriendo a 32bits, todos los domU deben correr a 32bits. Herramientas para xVM La gestión de los distintos domU que vayamos a tener en nuestro sistema la podemos realizar con 4 herramientas: •

virt-install, consiste en un script que nos ayuda en el proceso de instalación de un nuevo domU, podemos ejecutarlo, pasando una serie de parámetros o bien ejecutarlo sin ningún parámetro e iremos contestando a una serie de preguntas.

•

virsh, es una shell con la que podemos gestionar los distintos domU que tengamos creados en nuestro sistema.

•

xm, este comando nos permite realizar la gestión de los domU desde la linea de comando, mediante la utilización de una serie de parámetros.

•

virt-manager, es un sencillo GUI que nos ayuda con la gestión de los domU.

Directorios Entre los directorios utilizados por xVM, vamos a destacar los siguientes, por que son donde se almacenan los ficheros que vamos a necesitar cuando comencemos a trabajar con xVM: •

/var/log/xen, se utiliza para almacenar los logs, es importante echar un vistazo a este directorio, ya que los errores que devuelven los distintos comandos no son demasiado descriptivos.

•

/var/lib/xend/domains, cada dominio que creemos disponde de un directorio, identificado con el ID del dominio. Existe un directorio por cada dominio.

•

/var/xen/dump, en este directorio se almacenan, por defecto, los ficheros cores que se crean cuando los solicitamos con el subcomando dump-core de xm.

Creando un domU con Linux Centos La creación de un nuevo domU, es un proceso bastante sencillo, la parte más complicada está en la propia instalación del SO que se realizará sobre el nuevo domU. Para el ejemplo, vamos a utilizar una imagen ISO del DVD de instalación de Centos 5.1, esta es la imagen de uno de los mirror oficiales. Vamos a realizar la instalación utilizando el comando virt-install, al que pasaremos los siguientes parámetros: •

-n centos_x64_2, nombre para el nuevo domU

•

-r 512, cantidad de memoria asignada al nuevo dominio, en MB

•

-f /export/home/xen/CentOS-5.1/centos_51_x64_2.img, fichero de imagen se se utilizará como disco root del nuevo dominio. 116

Comunidad OpenSolaris Hispano •

-s 5, tamaño en GB de disco.

•

–nographics, no queremos configurar la consola gráfica para el nuevo dominio.

•

–paravirt, vamos a utilizar la paravirtualización

•

–os-type=linux, el SO que vamos a instalar en el domU es de tipo linux.

•

-l /export/home/root/Desktop/CentOS-5.1-x86_64-bin-DVD.iso, es el fichero con la imagen de un SO que utilizaremos para instalar.

(huelva@dom0)# virt-install -n centos_x64_2 -r 512 -f /export/home/xen/CentOS-5.1/centos_51_x64_2.img -s 5 --nographics --paravirt --os-type=linux -l /export/home/root/Desktop/CentOS-5.1-x86_64-bin-DVD.iso Starting install... Creating storage file... 100% |=========================| 5.0 GB 00:00 Creating domain... 0 B 00:06 Bootdata ok (command line is method=/export/home/root/Desktop/CentOS-5.1-x86_64bin-DVD.iso) Linux version 2.6.18-53.el5xen (mockbuild@builder6.centos.org) (gcc version 4.1.2 20070626 (Red Hat 4.1.2-14)) #1 SMP Mon Nov 12 02:46:57 EST 2007 BIOS-provided physical RAM map: Xen: 0000000000000000 - 0000000020800000 (usable) No mptable found. Built 1 zonelists. Total pages: 133120 Kernel command line: method=/export/home/root/Desktop/CentOS-5.1-x86_64-binDVD.iso Initializing CPU#0 PID hash table entries: 4096 (order: 12, 32768 bytes) Xen reported: 2194.498 MHz processor. Console: colour dummy device 80x25 Dentry cache hash table entries: 131072 (order: 8, 1048576 bytes) Inode-cache hash table entries: 65536 (order: 7, 524288 bytes) Software IO TLB disabled Memory: 500480k/532480k available (2357k kernel code, 23224k reserved, 1326k data, 172k init) Calibrating delay using timer specific routine.. 5489.47 BogoMIPS (lpj=10978940) Security Framework v1.0.0 initialized SELinux: Initializing. .... Welcome to CentOS +---------+ Choose a Language +---------+ | | What language would you like to use | during the installation process? | | Catalan ^ | Chinese(Simplified) : | Chinese(Traditional) # | Croatian : | Czech : | Danish : | Dutch : | English v

| | | | | | | | | | | | 117

Comunidad OpenSolaris Hispano | | | +----+ | | | OK | | | +----+ | | | | | +---------------------------------------+ / between elements

selects |

next screen

Para el ejemplo utilizaremos la opción de instalar mediante NFS, para ellos utilizaremos como servidor NFS nuestro dom0 y compartiremos el directorio donde se encuentra la ISO de Centos. (huelva@dom0)# share /export/home/root/Desktop/ (huelva@dom0)# share /export/home/root/Desktop rw (huelva@dom0)#

El siguiente paso consiste en configurar una IP cuando el instalador de Centos nos lo solicite, también nos pedirá que le digamos cual es la IP del servidor de NFS y el directorio que dicho servidor está compartiendo. Welcome to CentOS +----------------------+ NFS Setup +----------------------+ | | | Please enter the following information: | | | | o the name or IP number of your NFS server | | o the directory on that server containing | | CentOS for your architecture | | | | NFS server name: 192.168.0.192___________ | | CentOS directory: port/home/root/Desktop/_ | | | | +----+ +------+ | | | OK | | Back | | | +----+ +------+ | | | | | +---------------------------------------------------------+ mo / between elements

selects |

next screen

Una vez terminado el proceso de instalación, podemos arrancar el nuevo domU en el que hemos instalado nuestro Centos, con el comando xm start arrancaremos el dominio centos_x64. (huelva@dom0)# xm start centos_x64 (huelva@dom0)# xm list Name Domain-0 centos_x64 (huelva@dom0)#

ID 0 30

Mem VCPUs 774 2 720 2

State r-----b----

Time(s) 389.4 39.0

Nuestro Centos está arrancando, podemos conectarnos a la consola del nuevo dominio, utilizando el comando xm console. bash-3.2# xm console centos_x64 rtc: IRQ 8 is not free. rtc: IRQ 8 is not free. i8042.c: No controller found. Red Hat nash version 5.1.19.6 starting Reading all physical volumes. This may take a while... 118

Comunidad OpenSolaris Hispano Found volume group "VolGroup00" using metadata type lvm2 2 logical volume(s) in volume group "VolGroup00" now active Welcome to CentOS release 5 (Final) Press 'I' to enter interactive startup. Cannot access the Hardware Clock via any known method. Use the --debug option to see the details of our search for an access method. Setting clock (utc): Wed Mar 12 01:09:11 CET 2008 [ OK ] Starting udev: [ OK ] Loading default keymap (us): [ OK ] Setting hostname trantor: [ OK ] Setting up Logical Volume Management: 2 logical volume(s) in volume group "VolGroup00" now active [ OK ] Checking filesystems Checking all file systems. [/sbin/fsck.ext3 (1) -- /] fsck.ext3 -a /dev/VolGroup00/LogVol00 /dev/VolGroup00/LogVol00: clean, 108551/1007872 files, 735200/1007616 blocks [/sbin/fsck.ext3 (1) -- /boot] fsck.ext3 -a /dev/xvda1 /boot: clean, 36/26104 files, 16420/104388 blocks [ OK ] Remounting root filesystem in read-write mode: [ OK ] Mounting local filesystems: [ OK ] Enabling local filesystem quotas: [ OK ] Enabling /etc/fstab swaps: [ OK ] INIT: Entering runlevel: 3 Entering non-interactive startup Applying Intel CPU microcode update: [FAILED] Starting monitoring for VG VolGroup00: 2 logical volume(s) in volume group "VolGroup00" monitored [ OK ] Starting background readahead: [ OK ] Checking for hardware changes [ OK ] Applying ip6tables firewall rules: [ OK ] ... Starting sm-client: [ OK ] Starting console mouse services: [ OK ] Starting crond: [ OK ] Starting xfs: [ OK ] Starting anacron: [ OK ] Starting atd: [ OK ] Starting yum-updatesd: [ OK ] Starting Avahi daemon... [ OK ] Starting HAL daemon: [ OK ] Starting smartd: [ OK ] CentOS release 5 (Final) Kernel 2.6.18-53.el5xen on an x86_64 trantor login:

La siguiente imagen muestra como podemos exportar el display de nuestra maquina virtual centos_x64 para trabajar con el entorno KDE, desde una ventana de Xnest

119

Comunidad OpenSolaris Hispano

Parando un domU Para parar un domU, podemos utilizar varios subcomandos del comando xm: xm destroy, esto es parecido a meter un botonazo al domU. (huelva@dom0)# xm list Name ID Mem VCPUs Domain-0 0 774 2 centos_x64 30 720 2 (huelva@dom0)# (huelva@dom0)# xm destroy centos_x64 (huelva@dom0)# xm list Name ID Mem VCPUs Domain-0 0 774 2 centos_x64 512 1 (huelva@dom0)# •

State r-----b----

Time(s) 389.4 39.0

State r-----

Time(s) 391.7 0.0

xm reboot, provoca un reboot en el domU.

Pausando un domU Tenemos dos formas de suspender la ejecución de un domU y volver a ejecutarla cuando nosotros deseemos: •

xm pause, provoca una pausa en la ejecución del domU. Para que el dominio vuelva a ejecutarse utilizaremos el comando xm unpause.

(huelva@dom0)# xm pause centos_x64 (huelva@dom0)# xm list Name Domain-0 centos_x64 solaris_11_x64 (huelva@dom0)#

ID 0 6

Mem VCPUs 1485 2 512 1 750 1

State r------p---

Time(s) 256.9 40.7 64.8 120

Comunidad OpenSolaris Hispano •

xm suspend, en este caso se provoca una suspensión del dominio, se almacena en disco el estado de ejecución del dominio y se para, de echo podriamos volver a ejecutar el dominio, bien con el comando xm resume o bien volviendo a arrancarlo con el comando xm start, es este caso arrancaría como si hubiéramos dado un botonazo al dominio.

(huelva@dom0)# xm list Name Domain-0 centos_x64 solaris_11_x64 (huelva@dom0)# (huelva@dom0)# xm suspend centos_x64 (huelva@dom0)# xm list Name Domain-0 centos_x64 solaris_11_x64

ID 0 8

Mem VCPUs 1479 2 511 1 750 1

State r-----b----

Time(s) 366.0 0.1 64.8

ID 0

Mem VCPUs 1479 2 1 1 750 1

State r-----

Time(s) 374.7 0.1 64.8

Como podemos ver en el ejemplo, al suspender un dominio no tiene estado en la columna state. Puntos de control Tenemos la posibilidad de almacenar en un fichero, la ejecución de un dominio en un determinado instante, esto nos permite crear puntos de control, para posteriormente recuperarlos en caso necesario. (huelva@dom0)# xm save centos_x64 /var/snap/centos_x64.save_01;xm restore /var/snap/centos_x64.save_01 (huelva@dom0)#

Con la línea anterior hemos creado un fichero con la imagen de la ejecución del dominio centos_x64 en un momento determinado, justo después hemos utilizado el comando xm restore para continuar la ejecución. El tiempo que el dominio ha estado parado correspondo con el tiempo que hemos tardado en almacenar en disco el fichero. Si no ejecutamos el comando xm restore el dominio estará offline. Borrando un domU Para borrar un domU, necesitamos que primero esté parado y posteriormente podemos utilizar el comando xm delete : (huelva@dom0)# xm list

Name Domain-0 centos_x64 (huelva@dom0)# (huelva@dom0)# xm delete centos_x64 (huelva@dom0)# xm list Name Domain-0 (huelva@dom0)#

ID 0

Mem VCPUs 774 2 512 1

State r-----

Time(s) 391.7 0.0

ID 0

Mem VCPUs 774 2

State r-----

Time(s) 392.6

El domU centos_x64 ha sido eliminado, pero el fichero que hemos utilizado como disco root continua en su directorio original, por lo que podemos utilizarlo para otra prueba. El comando xm delete solo elimina las configuraciones del domU que utiliza xVM.

121

Comunidad OpenSolaris Hispano Asignando CPU a un domU Al crear el domU se le asigna un número de CPUs determinado, con el comando xm podemos cambiar, posteriormente, el número de CPUs asignados a un domU. (huelva@dom0)# xm list Name Domain-0 centos_x64 (huelva@dom0)# xm vcpu-set centos_x64 (huelva@dom0)# xm list Name Domain-0 centos_x64

ID 0 30

Mem VCPUs 774 2 512 1

State r-----b----

Time(s) 389.4 39.0

ID 0 30

Mem VCPUs 774 2 512 2

State r-----b----

Time(s) 389.4 39.0

Si modificamos el número de CPUs, debemos reiniciar el domU para que el cambio tenga efecto. [trantor@domU ~]# ... [trantor@domU ~]# processor : vendor_id : cpu family : model : model name : stepping : cpu MHz : cache size : physical id : siblings : core id : cpu cores : fpu : fpu_exception : cpuid level : wp : flags : mmx fxsr sse sse2 ss ht tm lahf_lm bogomips : clflush size : cache_alignment : address sizes : power management: processor : vendor_id : cpu family : model : model name : stepping : cpu MHz : cache size : physical id : siblings : core id : cpu cores : fpu : fpu_exception : cpuid level : wp : flags : mmx fxsr

init 6 cat /proc/cpuinfo 0 GenuineIntel 6 15 Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz 13 2194.500 2048 KB 0 1 0 1 yes yes 10 yes fpu tsc msr pae mce cx8 apic mca cmov pat pse36 clflush dts acpi syscall nx lm constant_tsc pni monitor ds_cpl est tm2 cx16 xtpr 5489.33 64 64 36 bits physical, 48 bits virtual 1 GenuineIntel 6 15 Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz 13 2194.500 2048 KB 1 1 0 1 yes yes 10 yes fpu tsc msr pae mce cx8 apic mca cmov pat pse36 clflush dts acpi 122

Comunidad OpenSolaris Hispano sse sse2 ss ht tm lahf_lm bogomips : clflush size : cache_alignment : address sizes : power management: [trantor@domU ~]

syscall nx lm constant_tsc pni monitor ds_cpl est tm2 cx16 xtpr 5489.33 64 64 36 bits physical, 48 bits virtual

Asignando memoria a un domU Al crear un nuevo domU se le asigna una cantidad de memoria, con el comando xm mem-set y xm mem-max podemos modificar la cantidad de memoria asignada a un domU. (huelva@dom0)# Name Domain-0 centos_x64 (huelva@dom0)# (huelva@dom0)# (huelva@dom0)# Name Domain-0 centos_x64 (huelva@dom0)#

xm list

xm mem-set centos_x64 720 xm mem-max centos_x64 720 xm list

ID 0 30

Mem VCPUs 774 2 512 1

State r-----b----

Time(s) 389.4 39.0

ID 0 30

Mem VCPUs 774 2 720 2

State r-----b----

Time(s) 389.4 39.0

Al igual que ocurre con los cambios en el nĂşmero de CPUs, cuando realizamos cambios en la cantidad de memoria asignada a un domU, debemos reiniciar el domU para que los cambios tengan efecto. [trantor@domU ... [trantor@domU MemTotal: MemFree: Buffers: Cached: SwapCached: Active: Inactive: HighTotal: HighFree: LowTotal: LowFree: SwapTotal: SwapFree: Dirty: Writeback: AnonPages: Mapped: Slab: PageTables: NFS_Unstable: Bounce: CommitLimit: Committed_AS: VmallocTotal: VmallocUsed: VmallocChunk:

~] init 6 ~]# cat /proc/meminfo 737280 kB 462248 kB 12920 kB 152432 kB 0 kB 70148 kB 144184 kB 0 kB 0 kB 737280 kB 462248 kB 1081336 kB 1081336 kB 764 kB 0 kB 49060 kB 9012 kB 18428 kB 2996 kB 0 kB 0 kB 1449976 kB 94868 kB 34359738367 kB 1160 kB 34359736511 kB

Asignando interfaz de red un domU Podemos aĂąadir interfaces de red a un domU ya creado utilizando el comando xm network-attach, este comando acepta una serie de 123

Comunidad OpenSolaris Hispano parámetros, que nos permitirán definir las características del nuevo interfaz. (huelva@dom0)# xm network-attach centos_x64 Si vemos el fichero /var/log/messages del domU. [trantor@domU]# tail -f /var/log/messages | grep device trantor kernel: netfront: device eth1 has flipping receive path.

Vemos como el dispositivo eth1 ha sido añadido al sistema, al contrario de lo que ocurre con los cambios en CPUs y memoria, en este caso no necesitamos reinicial el domU. Asignando un nuevo disco a un domU Vamos a ver cómo podemos asignar un nuevo disco a un domU que está corriendo. Lo primero que tenemos que hacer es decidir, qué vamos a utilizar como almacenamiento, para nuestro ejemplo utilizaremos un fichero de 50MB, que crearemos con el comando dd. (huelva@dom0)# dd if=/dev/zero of=/var/prueba/discos1.img count=100000 100000+0 records in 100000+0 records out (huelva@dom0)#

Una vez creado el fichero, lo asignamos al dominio centos_x64. (huelva@dom0)# xm block-attach centos_x64 file:/var/prueba/discos1.img hdd1 w (huelva@dom0)#

Le hemos dado el nombre hdd1 al nuevo dispositivo asignado al domU. Si antes de asignar el dispositivo, tenemos una sesión abierta con la consola del domU centos_x64, veremos como el sistema registra el nuevo dispositivo y aparece un mensaje parecido a “Registering block device major 22″, este mensaje dependerá el SO que tenemos instalado en el domU. Con el comando ls podemos comprobar que en el directorio /dev/ del domU a aparecido el dispositivo hdd1, ejecutamos el comando fdisk sobre el nuevo disco. [trantor@domU ]# Registering block device major 22 [trantor@domU ]# ls console loop3 parport3 ram4 tty tty22 tty37 tty51 tty9 core loop4 port ram5 tty0 tty23 tty38 tty52 ttyS0 cpu loop5 ppp ram6 tty1 tty24 tty39 tty53 ttyS1 disk loop6 ptmx ram7 tty10 tty25 tty4 tty54 ttyS2 evtchn loop7 pts ram8 tty11 tty26 tty40 tty55 ttyS3 fd MAKEDEV ram ram9 tty12 tty27 tty41 tty56 urandom full mapper ram0 ramdisk tty13 tty28 tty42 tty57 vcs gpmctl md0 ram1 random tty14 tty29 tty43 tty58 vcsa hdd1 mem ram10 rawctl tty15 tty3 tty44 tty59 VolGroup00 initctl net ram11 root tty16 tty30 tty45 tty6 X0R input null ram12 rtc tty17 tty31 tty46 tty60 xvc0 kmsg nvram ram13 shm tty18 tty32 tty47 tty61 xvda log oldmem ram14 stderr tty19 tty33 tty48 tty62 xvda1 loop0 parport0 ram15 stdin tty2 tty34 tty49 tty63 xvda2 loop1 parport1 ram2 stdout tty20 tty35 tty5 tty7 xvdb loop2 parport2 ram3 systty tty21 tty36 tty50 tty8 zero [trantor@domU ]# fdisk /dev/hdd1 Device contains neither a valid DOS partition table, nor Sun, SGI or OSF disklabel Building a new DOS disklabel. Changes will remain in memory only, until you decide to write them. After that, of course, the previous content won't be recoverable.Warning: invalid flag 0x0000 of partition table 4 will be corrected by w(rite) Command (m for help): p Disk /dev/hdd1: 51 MB, 51200000 bytes 255 heads, 63 sectors/track, 6 cylinders 124

Comunidad OpenSolaris Hispano Units = cylinders of 16065 * 512 = 8225280 bytes Device Boot Start End Blocks Id Command (m for help):

System

Creando un domU con Solaris Express Vamos a realizar una instalación básica de un Solaris en un nuevo domU, para la instalación utilizaremos la imagen ISO del primer disco. Utilizaremos el comando virt-install y utilizaremos los siguientes parámetros: •

-n solaris_11_x64, nombre para el nuevo domU

•

-r 512, cantidad de memoria asignada al nuevo dominio, en MB

•

-f /export/home/xen/Solaris_11/solaris_11_x64.img, fichero de imagen se se utilizará como disco root del nuevo dominio.

•

-s 5, tamaño en GB de disco.

•

–nographics, no queremos configurar la consola gráfica para el nuevo dominio.

•

–paravirt, vamos a utilizar la paravirtualización

•

–os-type=solaris, el SO que vamos a instalar en el domU es de tipo linux.

•

-l /export/home/IMAGES/Solaris_11_x86_1.iso, es el fichero con la imagen de un SO que utilizaremos para instalar.

bash-3.2# virt-install -n solaris_11_x64 -r 512 -f /export/home/xen/Solaris_11/solaris_11_x64.img -s 5 --nographics --paravirt --os-type=solaris -l /export/home/IMAGES/Solaris_11_x86_1.iso Starting install... Creating storage file... 100% |=========================| 5.0 GB 00:00 Creating domain... 0 B 00:07 v3.0.4-1-xvm chgset 'Mon Nov 12 23:09:42 2007 -0800 13228:ed897008a4c9' SunOS Release 5.11 Version snv_78 64-bit Copyright 1983-2007 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring /dev Solaris Interactive Text (Console session) Using install cd in /dev/dsk/c0d1p0 Using RPC Bootparams for network configuration information. Attempting to configure interface xnf0... Skipped interface xnf0 Reading ZFS config: done. Setting up Java. Please wait... Y tanto que esperé, de aquí no pasó la instalación, tuve que subir a 750MB la memoria asignada para que la instalación pudiera continuar. bash-3.2# virt-install -n solaris_11_x64 -r 750 -f /export/home/xen/Solaris_11/solaris_11_x64.img -s 5 --nographics --paravirt --os-type=solaris -l /export/home/IMAGES/Solaris_11_x86_1.iso Starting install... Creating domain... 0 B 00:06 v3.0.4-1-xvm chgset 'Mon Nov 12 23:09:42 2007 -0800 13228:ed897008a4c9' SunOS Release 5.11 Version snv_78 64-bit 125

Comunidad OpenSolaris Hispano Copyright 1983-2007 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring /dev Solaris Interactive Text (Console session) Using install cd in /dev/dsk/c0d1p0 Using RPC Bootparams for network configuration information. Attempting to configure interface xnf0... Skipped interface xnf0 Reading ZFS config: done. Setting up Java. Please wait... Beginning system identification... Searching for configuration file(s)... Search complete. Discovering additional network configuration... Select a Language 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

English French German Italian Japanese Korean Simplified Chinese Spanish Swedish Traditional Chinese

Please make a choice (1 - 10), or press h or ? for help: - The Solaris Installation Program --------------------------------------------The Solaris installation program is divided into a series of short sections where you'll be prompted to provide information for the installation. At the end of each section, you'll be able to change the selections you've made before continuing. About navigation... - The mouse cannot be used - If your keyboard does not have function keys, or they do not respond, press ESC; the legend at the bottom of the screen will change to show the ESC keys to use for navigation. -------------------------------------------------------------------------------F2_Continue F6_Help - DHCP for xnf0 ---------------------------------------------------------------Specify whether or not this network interface should use DHCP to configure itself. Choose Yes if DHCP is to be used, or No if the network interface is to be configured manually. NOTE: DHCP support will not be enabled, if selected, until after the system reboots. Use DHCP for xnf0 ----------------[ ] Yes [X] No -------------------------------------------------------------------------------Esc-2_Continue Esc-6_Help 126

Comunidad OpenSolaris Hispano - Confirm Information for xnf0 ------------------------------------------------> Confirm the following information. If it is correct, press F2; to change any information, press F4. Networked: Use DHCP: Host name: IP address: System part of a subnet: Netmask: Enable IPv6: Default Route: Router IP Address:

Yes No mordor 192.168.0.190 Yes 255.255.255.0 No Specify one 192.168.0.1

-------------------------------------------------------------------------------Esc-2_Continue Esc-4_Change Esc-6_Help - Time Zone -------------------------------------------------------------------On this screen you must specify your default time zone. You can specify a time zone in three ways: select one of the continents or oceans from the list, select other - offset from GMT, or other - specify time zone file. > To make a selection, use the arrow keys to highlight the option and press Return to mark it [X].

¦ ¦ ¦ ¦ ¦ ¦ ¦ v

Continents and Oceans ---------------------------------[ ] Africa [ ] Americas [ ] Antarctica [ ] Arctic Ocean [ ] Asia [ ] Atlantic Ocean [ ] Australia [X] Europe [ ] Indian Ocean

-------------------------------------------------------------------------------Esc-2_Continue Esc-6_Help - Profile ---------------------------------------------------------------------The information shown below is your profile for installing Solaris software. It reflects the choices you've made on previous screens. NOTE: You must change the BIOS because you have changed the default boot device. ============================================================================ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ v

Installation Option: Initial Boot Device: c0d0 Client Services: None Locales: Spain (ISO8859-1) System Locale: C ( C ) Software: Solaris 11, Core System Support File System and Disk Layout: / swap

c0d0s0 1134 MB c0d0s1 512 MB 127

Comunidad OpenSolaris Hispano

-------------------------------------------------------------------------------Esc-2_Begin Installation F4_Change F5_Exit F6_Help Executing JumpStart postinstall phase... The begin script log 'begin.log' is located in /var/sadm/system/logs after reboot. The finish script log 'finish.log' is located in /var/sadm/system/logs after reboot. Pausing for 90 seconds at the "Reboot" screen. The wizard will continue to the next step unless you select "Pause". Enter 'p' to pause. Enter 'c' to continue. [c] Unable to run Launcher without Java. The following CDs will not be installed: Solaris Software 2 for x86 Platforms Creating ram disk for /a updating /a/platform/i86pc/boot_archive...this may take a minute updating /a/platform/i86pc/amd64/boot_archive...this may take a minute syncing file systems... done rebooting... Guest installation complete... restarting guest. v3.0.4-1-xvm chgset 'Mon Nov 12 23:09:42 2007 -0800 13228:ed897008a4c9' SunOS Release 5.11 Version snv_78 64-bit Copyright 1983-2007 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Hostname: mordor Configuring devices. Loading smf(5) service descriptions: 114/114 /dev/rdsk/c0d0s7 is clean Reading ZFS config: done. mordor console login: root Mar 12 22:36:29 mordor login: ROOT LOGIN /dev/console Sun Microsystems Inc. SunOS 5.11 snv_78 October 2007 mordor# uname -a SunOS mordor 5.11 snv_78 i86pc i386 i86xpv mordor# mordor# df -k Filesystem kbytes used /dev/dsk/c0d0s0 1125599 595232 /devices 0 0 /dev 0 0 ctfs 0 0 proc 0 0 mnttab 0 0 swap 1073356 376 objfs 0 0 sharefs 0 0 /usr/lib/libc/libc_hwcap3.so.1 1125599 595232 fd 0 0 swap 1072980 0 swap 1072992 12 /dev/dsk/c0d0s7 3494494 3489 mordor#

avail capacity 474088 56% 0 0% 0 0% 0 0% 0 0% 0 0% 1072980 1% 0 0% 0 0%

Mounted on / /devices /dev /system/contract /proc /etc/mnttab /etc/svc/volatile /system/object /etc/dfs/sharetab

474088 0 1072980 1072980 3456061

/lib/libc.so.1 /dev/fd /tmp /var/run /export/home

56% 0% 0% 1% 1%

128

Comunidad OpenSolaris Hispano

Navegando en el /proc Todos los sistemas Unix disponen de una serie de ficheros, los cuales mantienen informaciรณn sobre los distintos procesos que se estรกn ejecutando en la mรกquina, Solaris utiliza un pseudo sistemas de ficheros llamado Procfs, en el cual, el kernel mantiene informaciรณn sobre los procesos que estรก corriendo. 129

Comunidad OpenSolaris Hispano El sistema de archivos procfs está organizado en directorios, uno por cada proceso en que se ejecuta en la máquina, los directorios se llaman con el PID del proceso del cual mantienen la información. (root@huelva)# cd /proc (root@huelva)# ls 0 14470 18279 19575 1 1464 18340 19604 10192 1465 18709 19634 10622 14896 18779 2 11058 15321 18973 20009 11478 15751 18983 20063 11906 16187 19031 20450 1215 1646 19047 20490 12332 16460 19059 2072 127 16611 19064 20881 12756 16959 19086 20923 13186 17051 19092 21312 13622 17405 19100 21362 1372 17480 19105 21744 14 17849 19141 21785 14042 17907 19202 22178 (root@huelva)#

22216 22610 22645 23054 23072 23484 23505 23785 23909 23945 24099 24121 24336 24369 24764 24800

2496 25190 25229 25479 25626 25656 26047 26089 26474 26528 26900 26951 27324 27382 27754 27811

28190 28252 285 28610 28685 29038 29039 29124 2926 29464 29888 3 326 3362 353 371

3782 398 421 4210 439 442 4428 445 4608 4609 4610 4611 4613 4614 4619 4621

4622 4636 472 476 496 5021 505 5061 507 508 520 523 5491 552 554 5927

605 606 6347 664 6775 678 679 680 7077 7082 7204 73 7628 784 789 8058

Cada uno de estos ficheros que representa a un proceso contiene un a serie de ficheros y directorios, de los cuales podemos obtener información sobre el proceso y todos sus LWP. (root@huelva)# (root@huelva)# total 5933 -rw------1 -r-------1 -r-------1 --w------1 lr-x-----1 dr-x-----2 -r--r--r-1 -r-------1 -r--r--r-1 dr-xr-xr-x 5 -r-------1 dr-x-----2 -r-------1 -r--r--r-1 -r-------1 lr-x-----1 -r-------1 -r-------1 -r--r--r-1 -r-------1 -r-------1 (root@huelva)#

cd 29039 ls -l nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios

nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios nagios

2998272 152 36 0 0 8208 344 2720 1064 80 3744 800 4336 336 3744 0 1472 1232 256 0 5928

Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr

11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11 11

12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13 12:13

as auxv cred ctl cwd -> fd lpsinfo lstatus lusage lwp map object pagedata psinfo rmap root -> sigact status usage watch xmap

/proc/< pid >/as Este fichero contiene una imagen del espacio de direcciones del proceso, podemos abrirlo para realizar tanto lecturas como escrituras. /proc/< pid >/auxv Contiene una array de elementos de tipo auxv_t los cuales son pasados al linkador dinámico en el momento en el que se arrancó el proceso. /proc/< pid >/cred 130

Comunidad OpenSolaris Hispano Este fichero contiene la descripción de las credenciales del proceso. Las credenciales del proceso las define la estructura de datos struct prcred que podemos encontrar el fichero de cabecera sys/procfs.h /proc/< pid >/ctl Este fichero es solo de lectura y lo podemos utilizar para enviar mensajes de control al proceso. /proc/< pid >/cwd Es un enlace simbólico al directorio actual de trabajo del proceso. /proc/< pid >/fd/ Este directorio contiene una referencia a cada uno de los descriptores de ficheros que tiene abierto el proceso. /proc/< pid >/psinfo Este fichero contiene información del proceso, tal como el PID del su proceso padre, la lista de argumentos, el tamaño de la imagen del proceso en memoria. Para obtener la información de este fichero debemos utilizar una estructura de datos de tipo struct psinfo que está definida en el fichero sys/procfs.h. typedef struct psinfo { int pr_flag; /* process flags */ int pr_nlwp; /* number of lwps in process */ pid_t pr_pid; /* unique process id */ pid_t pr_ppid; /* process id of parent */ pid_t pr_pgid; /* pid of process group leader */ pid_t pr_sid; /* session id */ uid_t pr_uid; /* real user id */ uid_t pr_euid; /* effective user id */ gid_t pr_gid; /* real group id */ gid_t pr_egid; /* effective group id */ uintptr_t pr_addr; /* address of process */ size_t pr_size; /* size of process image in Kbytes */ size_t pr_rssize; /* resident set size in Kbytes */ size_t pr_pad1; dev_t pr_ttydev; /* controlling tty device (or PRNODEV) */ /* The following percent numbers are 16-bit binary */ /* fractions [0 .. 1] with the binary point to the */ /* right of the high-order bit (1.0 == 0x8000) */ ushort_t pr_pctcpu; /* % of recent cpu time used by all lwps */ ushort_t pr_pctmem; /* % of system memory used by process */ timestruc_t pr_start; /* process start time, from the epoch */ timestruc_t pr_time; /* usr+sys cpu time for this process */ timestruc_t pr_ctime; /* usr+sys cpu time for reaped children */ char pr_fname[PRFNSZ]; /* name of execed file */ char pr_psargs[PRARGSZ]; /* initial characters of arg list */ int pr_wstat; /* if zombie, the wait() status */ int pr_argc; /* initial argument count */ uintptr_t pr_argv; /* address of initial argument vector */ uintptr_t pr_envp; /* address of initial environment vector */ char pr_dmodel; /* data model of the process */ char pr_pad2[3]; taskid_t pr_taskid; /* task id */ projid_t pr_projid; /* project id */ int pr_filler[5]; /* reserved for future use */ lwpsinfo_t pr_lwp; /* information for representative lwp */ } psinfo_t;

/proc/< pid >/map Consiste en un array de elementos del tipo struct prmap los cuales representan un mapa del espacio de direcciones del proceso. 131

Comunidad OpenSolaris Hispano /proc/< pid >/rmap Exactamente igual que ocurría con el fichero map, el fichero rmap contien un array de elementos de tipo struct prmap los cuales representan los rangos de direcciones reservadas del proceso dentro de su espacio de direcciones. /proc/< pid >/xmap Contiene información extendida sobre el espacio de direcciones del proceso. Para poder leer correctamente el contenido de este fichero necesitaremos utilizar un elemento de tipo struct prxmap, cuya definición podemos encontrar en sys/procfs.h /proc/< pid >/object/ Es un directorio que contiene los objetos binarios que han sido linkados en el arranque del proceso. /proc/< pid >/pagedata Contiene una representación del espacio de direcciones del proceso, de las cual podemos sacar información como el número de páginas que conforman un mapeo de memoria concreto. /proc/< pid >/sigact Contiene información sobre las acciones asignadas a las señales que serán tratadas por el proceso. /proc/< pid >/status Contiene información de estado del proceso, para poder leer esta información correctamente, debemos utilizar un elemento de tipo struct pstatus que está definido en el fichero sys/procfs.h typedef struct pstatus { int pr_flags; int pr_nlwp; pid_t pr_pid; pid_t pr_ppid; pid_t pr_pgid; pid_t pr_sid; id_t pr_aslwpid; id_t pr_agentid; sigset_t pr_sigpend; uintptr_t pr_brkbase; size_t pr_brksize; uintptr_t pr_stkbase; size_t pr_stksize; timestruc_t pr_utime; timestruc_t pr_stime; timestruc_t pr_cutime; timestruc_t pr_cstime; sigset_t pr_sigtrace; fltset_t pr_flttrace; sysset_t pr_sysentry; sysset_t pr_sysexit; char pr_dmodel; char pr_pad[3]; taskid_t pr_taskid; projid_t pr_projid; int pr_filler[17]; lwpstatus_t pr_lwp; } pstatus_t;

/* /* /* /* /* /* /* /* /* /* /* /* /* /* /* /* /* /* /* /* /* /*

flags (see below) */ number of lwps in the process */ process id */ parent process id */ process group id */ session id */ lwp id of the aslwp, if any */ lwp id of the /proc agent lwp, if any */ set of process pending signals */ address of the process heap */ size of the process heap, in bytes */ address of the process stack */ size of the process stack, in bytes */ process user cpu time */ process system cpu time */ sum of children's user times */ sum of children's system times */ set of traced signals */ set of traced faults */ set of system calls traced on entry */ set of system calls traced on exit */ data model of the process (see below) */

/* /* /* /*

task id */ project id */ reserved for future use */ status of the representative lwp */

/proc/< pid >/usage Este fichero contiene información sobre estadísticas del proceso, tales como tiempos de uso de CPU, tiempos de fallos de páginas, número de llamadas a sistema, etc. Para poder leer toda esta información 132

Comunidad OpenSolaris Hispano necesitamos utilizar la estructura de datos struct prusage, la cual está definida en el fichero sys/procfs.h. /proc/< pid >/watch Contiene un array con todos los watchpoints activos en el proceso. /proc/< pid >/lwp/ Este directorio contiene a su vez un subdirectorio por cada LWP del proceso, el nombre de este subdirectorio corresponde con el ID del LWP. /proc/< pid >/lwp/< lwpid >/lwpctl Al igual que podemos enviar mensajes de control al proceso, podemos hacer lo mismo con cada LWP, mediante este fichero que es de solo escritura. /proc/< pid >/lwp/< lwpid >/lwpsinfo Contiene información del LWP tal como el id del procesador en el que ha corrido, uso de CPU o la dirección de la WCHAN que tiene asociado el LWP. Para poder leer toda esta información necesitamos un elemento de tipo struct lwpsinfo, cuya definición podemos encontrarla en el fichero sys/procfs.h. /proc/< pid >/lwp/< lwpid >/lwpstatus Contiene información de estado del LWP, para acceder a esta información necesitamos un elemento de tipo struct lwpstatus. typedef struct lwpstatus { int pr_flags; /* flags (see below) */ id_t pr_lwpid; /* specific lwp identifier */ short pr_why; /* reason for lwp stop, if stopped */ short pr_what; /* more detailed reason */ short pr_cursig; /* current signal, if any */ short pr_pad1; siginfo_t pr_info; /* info associated with signal or fault */ sigset_t pr_lwppend; /* set of signals/ pending to the lwp */ sigset_t pr_lwphold; /* set of signals blocked by the lwp */ struct sigaction pr_action; /* signal action for current signal */ stack_t pr_altstack; /* alternate signal stack info */ uintptr_t pr_oldcontext; /* address of previous ucontext */ short pr_syscall; /* system call number (if in syscall) */ short pr_nsysarg; /* number of arguments to this syscall */ int pr_errno; /* errno for failed syscall, 0 if successful */ long pr_sysarg[PRSYSARGS]; /* arguments to this syscall */ long pr_rval1; /* primary syscall return value */ long pr_rval2; /* second syscall return value, if any */ char pr_clname[PRCLSZ]; /* scheduling class name */ timestruc_t pr_tstamp; /* real-time time stamp of stop */ timestruc_t pr_utime; /* lwp user cpu time */ timestruc_t pr_stime; /* lwp system cpu time */ int pr_filler[12 - 2 * sizeof (timestruc_t) / sizeof (int)]; uintptr_t pr_ustack; /* address of stack boundary data (stack_t) */ ulong_t pr_instr; /* current instruction */ prgregset_t pr_reg; /* general registers */ prfpregset_t pr_fpreg; /* floating-point registers */ } lwpstatus_t;

/proc/< pid >/lwp/< lwpid >/lwpusage Al igual que la información de uso del proceso, cada LWP dispone de una fichero del que podemos obtener información sobre el uso de CPU, tiempo de fallo de página, señales recibidas. Para leer el fichero necesitamos utilizar un elemento de tipo struct prusage, la 133

Comunidad OpenSolaris Hispano definición de este tipo la podemos encontrar en el fichero sys/procfs.h /proc/< pid >/lpsinfo El fichero está formado por una cabecera, la cual tiene un estructura de tipo struct prheader, dicha cabecera está formada por 2 campos, uno con el número de elementos y otro con el tamaño de cada elemento. A la cabecera le sigue el cuerpo que está formado por un arrays de elementos, uno por cada LWP del proceso, estos elementos son del tipo struct lwpsinfo. /proc/< pid >/lstatus Al igual que en el caso anterior, este fichero contiene información de estado de todos los LWP que tiene el proceso, para ello se utiliza una cabecera de tipo struct prheader, dicha cabecera está formada por 2 campos, uno con el número de elementos y otro con el tamaño de cada elemento. A la cabecera le sigue el cuerpo que está formado por un arrays de elementos, uno por cada LWP del proceso, estos elementos son del tipo struct lwpstatus. /proc/< pid >/lusage El fichero está formado por una cabecera, la cual tiene un estructura de tipo struct prheader, dicha cabecera está formada por 2 campos, uno con el número de elementos y otro con el tamaño de cada elemento. A la cabecera le sigue el cuerpo que está formado por un arrays de elementos, uno por cada LWP del proceso, estos elementos son del tipo struct prusage. La definición de la estructura de datos prheader, la podemos encontrar en el fichero sys/procfs.h typedef struct prheader { long pr_nent; long pr_entsize; } prheader_t;

/* number of entries */ /* size of each entry, in bytes */

Espacio de direcciones de un proceso El espacio de direcciones de un proceso lo podemos definir como la cantidad de memoria a la que el proceso puede acceder. Un espacio de direcciones está formando por, al menos, 4 segmentos, el segmento de texto, el segmento de datos, el heap y el stack. En el sistema de archivos /proc el SO mantiene un fichero el cual es una representación del mapa de direcciones /proc/< PID >/map. Empezaremos con un sencillo programa que nos permitirá representar el mapa de direcciones del espacio de direcciones de un proceso, el mismo resultado que podemos obtener con el comando pmap, salvando las distancias, claro está, lo que vamos a hacer es leer el contenido del fichero /proc/< PID >/map el cual está formando por un array de elementos de tipo struct prmap, este tipo de datos está definido en el fichero sys/procfs.h, la estructura prmap la forman, entre otros, los siguientes campos: pr_vaddr Dirección de memoria del segmento pr_size Tamaño en bytes del segmento pr_mapna Nombre del fichero que está mapeado 134

Comunidad OpenSolaris Hispano me en el segmento. pr_mflag Atributos del segmento. s pr_pages Tamaño de página del segmento. ize El siguiente programa acepta como único parámetro el PID de un proceso, para abrir el fichero /proc/< PID >/map, como sabemos el fichero está formando por un array de elementos de tipo struct prmap. Programa proc_lwp_map.c 1 #include < stdio.h > 2 #include < sys/types.h > 3 #include < sys/stat.h > 4 #include < fcntl.h > 5 6 #define _STRUCTURED_PROC 1 7 8 #include < sys/procfs.h > 9 10 main(int argc, char **argv) 11 { 12 13 int fd; 14 char cadena[80]; 15 int pid; 16 struct prmap pmap; 17 18 if (argc<2) 19 {printf("Error: Falta el < pid >nn Uso: %s < pid >nn",argv[0]);return;} 20 21 pid=atoi(argv[1]); 22 23 sprintf(cadena,"/proc/%d/map",pid); 24 fd=open(cadena,O_RDWR); 25 26 if (fd<0) 27 {printf("n Error: No se ha podido abrir el fichero %sn",cadena);return(1);} 28 29 printf("nAddrttSizetPSizetFlagstObject"); 30 printf("n-------------------------------------------------------n"); 31 32 while((read(fd,&pmap,sizeof(struct prmap)))>0) 33 { 34 printf("n0x%.8lx",pmap.pr_vaddr); 35 printf("t%dK",pmap.pr_size/1024); 36 printf("t%dt",pmap.pr_pagesize); 37 38 if(pmap.pr_mflags & MA_READ) 39 {printf("r");} 40 else 41 {printf("-");} 42 43 if(pmap.pr_mflags & MA_WRITE) 44 {printf("w");} 45 else 46 {printf("-");} 47 48 if(pmap.pr_mflags & MA_EXEC) 49 {printf("x");} 135

Comunidad OpenSolaris Hispano 50 else 51 {printf("-");} 52 53 if(pmap.pr_mflags & MA_SHARED) 54 {printf("s");} 55 else 56 {printf("-");} 57 58 if(pmap.pr_mflags & MA_ANON) 59 {printf("A");} 60 else 61 {printf("-");} 62 63 printf("t%s",pmap.pr_mapname); 64 } 65 66 close(fd); 67 printf("n"); 68 } Una vez que compilemos el programa, la salida de su ejecuci贸n ser谩 algo parecido a esto: (root@huelva)# ./proc_lwp_map 520 Addr Size PSize Flags Object ------------------------------------------------------0x00010000 0x000fe000 0x00110000 0xfef60000 0xfef72000 0xfef80000 0xff03c000 0xff060000 0xff07a000 0xff080000 0xff16e000 0xff178000 0xff190000 0xff1a0000 0xff1b2000 0xff1c0000 0xff1d2000 0xff1e0000 0xff1f6000 0xff200000 0xff29e000 0xff2a8000 0xff2c0000 0xff2d4000 0xff2e0000 0xff300000 0xff310000 0xff320000 0xff33a000 0xff340000 0xff38e000 0xff3a0000 0xff3b0000 0xff3ee000 0xff3f0000 0xff3fa000 0xffbee000

888K 72K 224K 16K 16K 688K 32K 40K 8K 888K 40K 24K 8K 8K 8K 8K 8K 24K 8K 568K 40K 24K 16K 8K 128K 16K 8K 40K 8K 248K 16K 8K 184K 8K 8K 8K 72K

8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192 8192

r-x-rwx-rwx-A r-x-rwx-r-x-rwx-r-x-rwx-r-x-rwx-rwx-A rwx-A r-x-rwx-r-x-rwx-r-x-rwx-r-x-rwx-rwx-A r-x-rwx-r-x-rwx-rwx-A r-x-rwx-r-x-rwx-r-x-r-x-rwx-rwx-A rwx-rw--A

a.out a.out ufs.273.0.73701 ufs.273.0.73701 ufs.273.0.2794 ufs.273.0.2794 ufs.273.0.2791 ufs.273.0.2791 ufs.273.0.2826 ufs.273.0.2826 ufs.273.0.2808 ufs.273.0.2808 ufs.273.0.2833 ufs.273.0.2833 ufs.273.0.2852 ufs.273.0.2852 ufs.273.0.2839 ufs.273.0.2839 ufs.273.0.2836 ufs.273.0.2836 ufs.273.0.2859 ufs.273.0.2859 ufs.273.0.2860 ufs.273.0.2860 ufs.273.0.2850 ufs.273.0.2850 ufs.273.0.3238 ufs.273.0.1448 ufs.273.0.1448 ufs.273.0.2807 136

Comunidad OpenSolaris Hispano (root@huelva)#

La salida está compuesta por una serie de líneas, una por cada segmento que formen el espacio de direcciones del proceso, la primera es la dirección de memoria en la que podemos localizar el segmento, la última columna presenta el nombre del fichero que se ha mapeado en el segmento, el tamaño de un segmento no tiene por qué coincidir con el tamaño del fichero que se mapea, ya que puede que el segmento se mapee un trozo del fichero. El nombre el nombre del objeto está formado con el inodo del fichero que se está utilizando, podemos buscar el fichero cuyo inodo es 2794. (root@huelva)# ls -li | grep 2794 2794 -rwxr-xr-x 1 root (root@huelva)#

bin

867400 Dec 23

2004 libc.so.1

El fichero cuyo inodo estamos buscando es una de las librerías que se han linkado en el ejecutable. Como podemos ver la salida es bastante parecida a la que obtendríamos con el programa pmap. Uno de los ficheros más interesante que podemos encontrar en el FS /proc, es sin duda /proc/< PID >/as, el cual contiene una imagen del espacio de direcciones de memoria del proceso. Para leer el contenido de este fichero no necesitamos ningún tipo de estructura de datos, ni está formado por arrays, sencillamente son datos, a los que se puede acceder mediante la dirección que ocupan en la memoria. Si conocemos en qué posición de memoria se encuentra un dato, por ejemplo un entero, podemos abrir el fichero /proc/< PID >/as, mediante la llamada open() y desplazar el puntero hasta dicha posición y leer el dato. Esto nos permite muchas posibilidades, como son el poder ver el contenido de la pila de un p Comprobando los permisos que tiene el fichero vamos a llevarnos una grata sorpresa y es que tiene permisos de escritura para el propietario, esto nos va a permitir poder escribir directamente en este fichero, lo que significa que podremos modificar zonas de memoria de un proceso, ESTO PUEDE SER BASTANTE PELIGROSO PARA NUESTRO SISTEMA, como root podemos modificar el contenido de cualquier espacio de direcciones, incluido el del kernel, pero esto lo veremos en otro momento. Para conocer las posibilidades que nos ofrece el acceso en lectura/escritura al espacio de direcciones de cualquier proceso, vamos a realizar un sencillo ejercicio, en el que desarrollaremos 2 pequeños programas en C: ejemplo1.c Consiste en un programa que dispone de un contador, el cual se irá incrementando cada 5 segundos. 1 2 3 4 5 6 7 8 9

#include < stdio.h > void main() { int *cont; cont=malloc(sizeof(int)); *cont=0; printf("n Dir. Memoria de la varable cont: 0x%lx

%lun",cont,cont); 137

Comunidad OpenSolaris Hispano 10 11 12 13 14 15 16 17 18

for(;;) { printf("n Contador: %d",*cont); sleep(5); *cont=*cont+1; } return; }

Una vez compilado, al ejecutar el programa, la salida será parecida a la siguiente: (root@huelva)# ./ejemplo1 Dir. Memoria de la varable cont: 0x209d8

133592

Contador: 0 Contador: 1 Contador: 2 Contador: 3 Contador: 4 Contador: 5 Contador: 6 Contador: 7 Contador: 8^C (root@huelva)#

Presenta la dirección de memoria de la variable cont, la cual como podemos ver en la línea 5 de ejemplo1.c es de tipo puntero a un entero. Cada 5 segundos se incrementará el contenido de la dirección donde apunta *cont. Podemos dejar corriendo ejemplo1. proc_as_wr.c Este programa aceptará como parámetros el PID de un proceso y una dirección de memoria, el PID lo utilizará para abrir el fichero del espacio de direcciones del proceso y la dirección de memoria, para, en primer lugar leer su contenido y posteriormente incremetar dicho contenido en 100. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

#include #include #include #include

< < < <

stdio.h > sys/types.h > sys/stat.h > fcntl.h >

#define _STRUCTURED_PROC 1 #include < sys/procfs.h > main(int argc, char **argv) { long puntero,addr; int i_cont; int fd; char cadena[80]; int pid; if (argc<2) {printf("nn

Uso: %s < pid >

< addr >nn",argv[0]);return;}

pid=atoi(argv[1]); addr=atol(argv[2]); 138

Comunidad OpenSolaris Hispano 23 24 printf("n PID:%d Direccion de memoria: 0x%lx (%ld)n",pid,addr,addr); 25 26 sprintf(cadena,"/proc/%d/as",pid); 27 fd=open(cadena,O_RDWR); 28 29 if (fd<0) 30 {printf("n Error: Abriendo el fichero %sn",cadena);return;} 31 printf("n Abriendo el fichero %sn",cadena); 32 33 if (lseek(fd,addr,SEEK_SET)<0) 34 {printf("nError: Leyendo el fichero %sn",cadena);return;} 35 36 if(read(fd,&i_cont,sizeof(i_cont))<0) 37 {printf("nError: Escribiendo el fichero %sn",cadena);return;} 38 39 printf("n La direccion de memoria 0x%lx (%ld) = %dn",addr,addr,i_cont); 40 41 i_cont=i_cont+100; 42 43 if (lseek(fd,addr,SEEK_SET)<0) 44 {printf("nError: Leyendo el fichero %sn",cadena);return;} 45 46 if (write(fd,&i_cont,sizeof(i_cont))<0) 47 {printf("nError: Escribiendo el fichero %sn",cadena);return;} 48 49 printf("n Se ha escrito corretamente en la posicion 0x%lx (%ld)nn",addr,addr); 50 51 close(fd); 52 }

Una vez que compilemos el programa podemos realizar la prueba de nuestro ejemplo, para ello ejecutaremos ejemplo1 en un terminal y lo dejaremos ejecutandose, tenemos que recordar la direcciรณn de memoria del contador. (root@huelva)# ./ejemplo1 Dir. Memoria de la varable cont: 0x209d8 Contador: Contador: Contador: Contador: ...

133592

0 1 2 3

Como vemos en la salida de ejemplo1 la direcciรณn de memoria en hexadecimal 0ร 209d8 y en decimal 133592, abrimos otro terminal y ejecutamos el programa proc_as_wr con los siguientes parรกmetros, pero antes debemos saber cual es el PID con el que se estรก ejecutando ejemplo1. (root@huelva)# ps -ef | grep ejemplo root 17783 25395 0 23:12:27 pts/1 0:00 grep ejemplo root 17397 25512 0 23:08:10 pts/3 0:00 ./ejemplo1 (root@huelva)# (root@huelva)# (root@huelva)# ./proc_as_wr 17397 133592 PID:17397

Direccion de memoria:

0x209d8 (133592) 139

Comunidad OpenSolaris Hispano Abriendo el fichero /proc/17397/as La direccion de memoria 0x209d8 (133592) = Se ha escrito corretamente en la posicion

64 0x209d8 (133592)

(root@huelva)#

Si comprobamos el terminal donde se está ejecutando ejemplo1 comprobaremos que el contador se ha incrementado en 100. Este es un sencillo ejemplo de como podemos hacer uso del fichero /proc/< PID >/as y sobre todo de lo sencillo que es modificar algo del espacio de direcciones de un proceso. Hasta ahora hemos visto, la estructura básica del sistema de archivos /proc, la estructura de algunos de los fichero que lo forman y como podemos acceder al espacio de direcciones de un proceso simplemente utilizando las llamadas open() y read(), hasta hemos visto como cambiar el valor de una variable de un proceso. Este artículo nació de la charla que tuvimos algunos compañeros con los que trabajo, sobre la razón de que una de las aplicaciones con las que trabajamos estaba continuamente realizando llamadas poll() y necesitabamos conocer cuales son los descriptores de ficheros que están utilizando las distintas llamadas a poll(). Comando truss El primer paso consiste en realizar un pequeño estudio sobre el número de llamadas al sistema, su frecuencia y el tipo, para esta tarea podemos utiliza el comando truss, con la opción -c obtendremos las estadísticas de las llamadas a sistema. Este puede ser un ejemplo de la salida del comando truss. (root@huelva)# truss -c -p 25089 ^C syscall seconds calls read .000 36 write .000 12 close .000 1 fcntl .000 1 poll .010 1419 lwp_self .000 8 lwp_mutex_wakeup .000 31 lwp_mutex_lock .000 18 lwp_cond_wait .002 95 lwp_cond_signal .000 4 lwp_cond_broadcast .000 30 lwp_schedctl .000 8 accept .000 1 send .001 17 getsockname .000 4 setsockopt .000 1 -------- -----sys totals: .015 1686 usr time: .114 elapsed: 2.480

errors 12

---73

140

Comunidad OpenSolaris Hispano (root@huelva)#

Con los resultados anteriores no podemos considerar que tengamos un ejemplo, unicamente es un ejemplo para destacar que el número de llamadas poll() es bastante superior al del resto de llamadas. Ahora tenemos que averiguar si existen varias llamadas poll() distintas, en distintos procesos o si solo existe un poll, responsable de todas las llamadas, ejecutaremos el comando truss para que unicamente nos enseñe las llamadas poll(). (root@huelva)# truss -t poll -f -p 25089 25089/10: poll(0x310FFD58, 3, 50) 25089/46: poll(0x00273E50, 3, -1) 25089/46: poll(0x00273E50, 4, -1) 25089/46: poll(0x27DFEE10, 1, 30000) 25089/10: poll(0x310FFD58, 3, 50) 25089/46: poll(0x00273E50, 3, -1) 25089/46: poll(0x00273E50, 4, -1) 25089/46: poll(0x27DFEE10, 1, 5000) ...

= = = = = = = =

0 1 1 1 0 1 1 1

En la salida del ejemplo podemos observar que la llamada poll() acepta como parámetros, el puntero a un array de elementos de tipo struct pollfd, el número de elementos del array y un timeout. Como conocemos la dirección del array de elementos podemos utilizar el fichero /proc/< PID >/as, que recordemos es el espacio de direcciones del proceso, para leer el contenido del array, para ello utilizaremos el siguiente programa en C. proc_as_rd.c /* * Este programa lee una dir de memoria y la interpreta * como dato de tipo "pollfd_t" el cual es una estructura * que contiene un descriptor de fichero y dos mascaras de * eventos. * * La llamada poll() utiliza un array de elementos de tipo "pollfd_t". * * Uso: proc_as_rd < pid > 0x< addr_hex > < iter > * * < pid > PID del proceso. * 0x< addr_hex > es la dir de memoria en hexadecimal. * < iter > es el numero de elementos del array * * IMPORTANTE: Este programa debe compilarse con la opcion de soporte para * 64bits, en gcc es "-m64" */ #include #include #include #include

< < < <

stdio.h > sys/types.h > sys/stat.h > fcntl.h >

#include < poll.h > main(int argc, char **argv) { int fd; char s_dir[16]; char cadena[80]; char HEX[]="0123456789ABCDEF"; 141

Comunidad OpenSolaris Hispano int pid; int n,i; long long addr; char c; int nelem; pollfd_t dato; if (argc<3) {printf("nn Uso: %s 0x nn”,argv[0]);return;} pid=atoi(argv[1]); nelem=atoi(argv[3]); /* * Se lee la dir de memoria en formato HEX * y se convierte en una dir de tipo “long long” */ if(argv[2][1]==’x') argv[2][1]=’0′; else {printf(”nn Uso: %s 0x “); printf(”nnLa direccion de memoria tiene que estar en formato hex 0xnn”,argv[0]);return;} sprintf(s_dir,”%016s”,argv[2]); addr=0; for(n=0;n< sizeof(s_dir);n++) { i=0; while((HEX[i]!=toupper(s_dir[n]))&&(i<16)) {i++;} if (i>15) {printf(”nError: La direccion contiene caracteres no validosnn”);return;} addr|=i; addr=addr<<4; } addr=addr>>4; /* * La variable addr contiene la dir de memoria * convertida de HEX -> long long */ printf(”n PID: %d n Dir. de memoria: 0x%llx n”,pid,addr); sprintf(cadena,”/proc/%d/as”,pid); fd=open(cadena,O_RDONLY); if (fd<0) {printf(”n Error: Abriendo el fichero %sn”,cadena);return;} printf(”n Abriendo el fichero %sn”,cadena); for(n=0;n< nelem;n++) { 142

Comunidad OpenSolaris Hispano

if (lseek(fd,addr,SEEK_SET)<0) {printf(”nError: Moviendo el puntero %sn”,cadena);return;} if(read(fd,&dato,sizeof(dato))<0) {printf(”nError: Escribiendo el fichero %sn”,cadena);return;} printf(”n Dir. de memoria 0x%lx (%ld) n”,addr,addr); printf(”n typedef struct pollfd {”); printf(”n int fd = %d”,dato.fd); printf(”n short events = %d”,dato.events); printf(”n short revents = %d”,dato.revents); printf(”n} pollfd_t;”); printf(”n———————-n”); addr=addr+(sizeof(pollfd_t)); } close(fd); }

El programa abre el fichero /proc/< PID >/as, desplaza el puntero a la dirección 0xaddr_hex y leen tantas estructuras de tipo pollfd_t como le digamos con el parámetro < iter>. La salida será parecida a la siguiente, utilizaremos la información de las llamadas poll() que recuperamos con el comando truss, ejecutaremos proc_as_rd con el proceso 25089 y la dirección de memoria 0×27DFEE10 (root@huelva)# ./proc_as_rd 25089 0x27DFEE10 1 PID: 25089 Dir. de memoria: 0x27dfee10 Abriendo el fichero /proc/25089/as Dir. de memoria 0x27dfee10 (668986896) typedef struct pollfd { int fd = 77 short events = 39 short revents = 24568 } pollfd_t; ---------------------(root@huelva)#

La salida devuelve la información representada como una estructura struct pollfd, cuya definición podemos encontrar en el fichero de cabecera /usr/include/sys/poll.h, para nuestro ejemplo, la llamada poll() utiliza un array, el cual tiene solo un elemento, de elementos de tipo pollfd_t, cuyo campo fd almacena el descriptor de fichero 77. Podemos ver a qué fichero corresponde el descriptor de fichero 77 en el proceso 25089 mediante el comando pfiles (root@huelva)# pfiles 25089 25089: Current rlimit: 1024 file descriptors 0: S_IFIFO mode:0000 dev:301,0 ino:125986510 uid:10001 gid:10000 size:0 O_RDWR 1: S_IFREG mode:0644 dev:261,44006 ino:296 uid:10001 gid:10000 size:1340974 O_RDWR|O_APPEND 2: S_IFREG mode:0644 dev:261,44006 ino:297 uid:10001 gid:10000 size:2965 O_RDWR|O_APPEND ... 143

Comunidad OpenSolaris Hispano

77: S_IFSOCK mode:0666 dev:300,0 ino:12816 uid:0 gid:0 size:0 O_RDWR sockname: AF_INET 192.168.0.72 port: 64095 peername: AF_INET 192.168.0.126 port: 5588

En este caso, el descriptor de fichero corresponde con un socket, que la aplicación está utilizando, esta información nos puede ayudar para identificar cual es la causa para que la aplicación esté realizando un uso excesivo de llamadas poll(). Este artículo pretende enseñar lo sencillo que es trabajar con el fichero del espacio de direcciones del proceso y como nos puede ayudar a identificar problemas, ya que nos permite consultar la información del proceso que nos interese. Rendimiento/Tuning Solaris: Introducción Este es el primero de una serie de artículos sobre la forma de medir el rendimiento de nuestro sistema Solaris. Existe mucha documentación relacionada con este tema, esta serie de artículo solo pretende ser una sencilla guía que nos permita por un lado, conocer las herramientas de las que disponemos en Solaris y por otro lado, conocer cómo podemos utilizar estas herramientas para que nos ayuden a diagnosticar problemas de rendimiento. El objetivo de esta serie de artículo, como se ha comentado antes, es que sirvan como guía para comenzar el estudio de un posible problema en el rendimiento del sistema, se ha organizado el contenido en 3 bloques: - Procesos y procesadores - Entrada/Salida - Memoria No solo se tratarán los distintos comandos para medir el rendimiento, sino que se explicaran algunos de los parámetros que podremos cambiar en nuestro sistema para mejorar el rendimiento, ya sea de memoria, procesador, entrada/salida, etc. De todas formas es importante conocer como pueden afectar los cambios propuestos en cada uno de nuestros sistemas y el objetivo no es dar una serie de axiomas o parámetro, los cuales deben aplicarse ciegamente, sino el que, como administradores, conozcamos las posibilidades que tenemos para evitar problemas en el rendimiento.

144

Comunidad OpenSolaris Hispano

Rendimiento/Tuning Procesos y procesadores Ahora veremos algunas de las herramientas que nos permitan identificar posibles cuellos de botella, tanto en los procesos que se están ejecutando en el sistema como en las operaciones que estén realizando los procesadores. Para ellos vamos a comenzar haciendo una aclaración sobre lo que parece, para mucha gente, un axioma indiscutible sobre el rendimiento de un sistema.“Mucho uso de CPU está directamente relacionado con un problema de rendimiento” Aunque muchas veces esto puede ser cierto, existen casos en los que no se cumple y otros casos en los que una solución al problema, como sería aumentar el número de CPUs del sistema, no conseguiría aumentar el rendimiento. Por lo tanto no debemos alarmarnos frente a un aumento del uso de CPU, tendremos que analizar la causa para intentar dar una solución. Podemos decir, y lo comprobaremos mas adelante, que “frente a un uso alto de CPU, comprar más procesadores no garantiza que se solucione el problema.” es importante que tengamos claro este principio, ya que normalmente, cuando existe un problema de rendimiento, se suele optar por la solución rápida, comprar HW y podemos llevarnos una desagradable sorpresa, cuando descubrimos que el haber gastado una suma importante de dinero para conseguir únicamente, el el porcentaje de uso de CPU se ha reducido, pero el rendimiento del sistema es igual de malo. El rendimiento de un procesos no se puede medir simplemente con el porcentaje de uso de CPU, existen una serie de parámetros que nos 145

Comunidad OpenSolaris Hispano ayudarán a conocer no solo qué está haciendo el proceso, sino la causa de un posible problema de degradación en nuestro sistema. NOTA - No podemos basar nuestro análisis del problema de rendimiento, únicamente en el uso de CPU. Como hemos comentado, existen otros factores que puede generar un cuello de botella y no tiene por qué ser el uso de CPU, en sistemas multitareas y multithreads como es Solaris, el que un proceso decremente su rendimiento se debe principalmente a dos posibles causas: -Externa, la lentitud en el proceso se produce por un elemento externo al proceso, como puede ser el acceso a la memoria, lentitud en los dispositivos de E/S, pésima asignación de tiempo de CPU, etc. -Interna, en los procesos con múltiples threads, normalmente existen una serie de sincronizaciones entre los distintos threads, estas sincronizaciones, pueden provocar bloqueos entre varios de los threads, produciendo una pérdida del rendimiento del proceso. Tendremos que analizar si la causa de que el rendimiento del proceso no es el esperado está en el propio proceso, que a su vez está afectando al rendimiento del resto de procesos del sistema o por el contrario, la razón de la pérdida de rendimiento se debe un causa externa al proceso. Nuestro análisis debe comenzar desde un punto de vista global, hasta desembocar en un foco concreto, no es buena idea centrarnos, a priori, en un elemento particular, ya que esto, nos podría evitar ver la causa del problema en otro elemento que no esté relacionado con el que nosotros pensamos que es la causa de todo el problema. Estado del sistema El primer paso para el diagnóstico de un problema en el sistema, es ver de forma global el estado en el que se encuentra. Tenemos que conocer qué se está ejecutando en el sistema, para ello, utilizaremos el comando prstat. # prstat PID USERNAME SIZE RSS STATE PRI NICE TIME CPU PROCESS/NLWP 23288 app01 1592M 1255M sleep 29 10 7:13:46 34.8% java/129 9302 app01 1322M 911M sleep 29 10 7:49:56 3.7% java/76 23647 app01 8920K 8504K sleep 49 0 0:00:00 0.6% perl/1 23681 app01 56M 12M cpu0 0 10 0:00:00 0.4% java/8 23672 app01 5552K 5000K sleep 0 0 0:00:00 0.3% perl/1 1425 root 13M 5704K sleep 59 0 46:41:35 0.2% scopeux/1 13 root 12M 9128K sleep 59 0 17:09:01 0.1% vxconfigd/1 18985 app01 734M 562M sleep 29 10 0:10:15 0.1% java/100 22690 jjmora 2456K 2168K cpu3 59 0 0:00:00 0.1% prstat/1 26948 root 57M 11M sleep 59 0 0:26:15 0.1% java/9 442 root 4720K 4024K sleep 59 0 14:57:55 0.0% picld/6 1465 root 2648K 2216K sleep 59 0 3:42:50 0.0% vold/2 23287 app01 1639M 1180M sleep 29 10 2:42:39 0.0% java/131 29782 root 5248K 3448K sleep 59 0 0:46:40 0.0% NICAgent/13 1 root 1320K 768K sleep 59 0 2:02:59 0.0% init/1 23648 app01 1008K 776K sleep 59 0 0:00:00 0.0% grep/1 29784 root 5192K 3240K sleep 59 0 0:16:13 0.0% Notifier/13 12556 app01 63M 57M sleep 59 0 0:01:20 0.0% adr3/57 19640 app01 119M 62M sleep 29 10 0:00:16 0.0% java/20 3363 app01 98M 39M sleep 29 10 0:00:18 0.0% java/20 Total: 167 processes, 1854 lwps, load averages: 4.61, 4.30, 3.71

146

Comunidad OpenSolaris Hispano Como podemos comprobar, el comando prstat nos permite disponer de una primera visión de qué se está ejecutando en nuestros sistema. En el ejemplo, lo primero que nos llama la atención es el proceso con PID 23288, es un proceso java con 129 threads, a priori y sin ningún diagnóstico previo, podemos pensar que la causa del problema es este proceso, pero no podemos parar aquí nuestro análisis, ya que puede que la causa de lentitud del sistema no se deba solo a este proceso y sea un elemento ajeno a él la razón de la lentitud. Lo que si nos debe llamar la atención, es el crecimiento que se está produciendo en la carga media del sistema load averages: 4.61, 4.30, 3.71, que podemos ver que está creciendo. mpstat Como segundo paso vamos a ver qué está ocurriendo con los procesadores del sistema, es decir, en qué están empleando su tiempo, esto nos ayudará a que nos aproximemos al diagnostico. Para ver qué están haciendo los procesadores de nuestro sistema utilizaremos el comando mpstat. La salida del comando muestra una fila por cada uno de los procesadores presentes en el sistema y una serie de columnas con estadísticas sobre distintos elementos, cada una de las columnas vienen explicadas en la documentación del man, por lo tanto no vamos a perder tiempo explicándolas y solo vamos a ver las que pueden ser más intersante para nosotros en estos momentos. # mpstat 1 CPU 0 1 2 3 CPU 0 1 2 3 CPU 0 1 2 3

minf mjf xcal 737 0 172 627 0 185 342 0 414 492 0 691 minf mjf xcal 1046 0 556 844 0 882 619 0 842 816 0 913 minf mjf xcal 795 0 255 868 0 556 654 0 1049 1161 0 1187

intr 229 235 222 2252 intr 234 225 236 2053 intr 361 353 358 2673

ithr 3 7 4 2139 ithr 2 7 3 1933 ithr 3 11 2 2543

csw icsw migr smtx 2429 143 500 72 2461 152 519 95 2872 140 608 109 2258 52 447 191 csw icsw migr smtx 2494 155 504 95 2327 162 556 114 3055 164 693 126 1795 96 449 203 csw icsw migr smtx 3249 290 772 81 2789 307 745 72 3131 320 847 95 2319 203 646 210

srw 0 0 0 1 srw 0 0 0 0 srw 0 0 0 0

syscl 3903 4429 3818 3815 syscl 10747 10418 4954 10199 syscl 5503 5091 5175 5291

usr sys 40 10 42 12 23 8 31 9 usr sys 44 11 43 15 32 9 54 11 usr sys 60 6 54 20 55 14 59 20

wt idl 0 50 0 46 0 69 0 60 wt idl 0 46 0 43 0 59 0 35 wt idl 0 34 0 26 0 31 0 21

De todas las columnas vamos a centrar nuestro análisis únicamente en las siguientes: minf, fallos menores de memoria, estos fallos afectan a los accesos a memoria y se tratan de fallos de cache, por lo tanto no afectan, de forma directa, al rendimiento del sistema. Este tipo de fallos nos pueden servir de indicativo sobre el comportamiento de la aplicación. Los fallos de memoria se deben analizar dentro del contexto de uso de memoria. xcall, refleja el número de cross-call de cada procesador. Las crosscall son llamadas que realiza un procesador a otro, a modo de interrupciones, para indicarle que debe realizar alguna operación. Las cross-call las suelen utilizar los procesadores para informar de cambios en las caches de la MMU. Un número elevado de cross-call puede indicarnos un problema de rendimiento en las caches, de todas 147

Comunidad OpenSolaris Hispano formas, el que se produzacan muchas llamadas de este tipo provocará que los procesadores consuman mucho tiempo atendiendo dichas interrupciones y por lo tanto afecten al rendimiento. csw y icsw, cambio de contexto voluntario y cambio de contexto involuntario. El número de cambios de contexto dependerá, principalmente del número de procesos que se estén ejecutando en el sistema, recordemos que un cambio de contexto consiste en el proceso por el cual el kernel detiene un proceso que se está ejecutando en un procesador, elije otro proceso de la cola de ejecución, actualiza los registros del procesador con la información del nuevo proceso y el procesador continua ejecutando el nuevo proceso en el punto donde fue parado previamente por otro cambio de contexto. Cuando el Kernel tiene que elegir un proceso para sacarlo de un procesador, tiene 2 opciones, elegir uno que esté esperando un dato de E/S, por ejemplo leyendo de disco, a esto se le llama un cambio de contexto voluntario, es el proceso el que anuncia que no está haciendo nada en ese instante o elegir uno de los que no están esperando E/S, esto se conoce como cambio de contexto involuntario. Si el valor de icsw se bastante superior a csw, podemos decir, que el Kernel está sacando de los procesadores a procesos que están ejecutando código que no está en un estado de espera, sino que está ejecutando código y que es el propio kernel el que está ralentizando la ejecución de esos procesos en concreto. Por otra parte no debemos entender esto como un problema del Kernel, sino más bien, un problema con el número de procesos que se están ejecutando, debería intentar reducir el factor procesos/CPU, bien bajando el número de procesos, bien aumentando el número de CPUs. smtx, presenta el número de veces que se ha intentado acceder a un mutex y no se ha conseguido en el primer intento. Podemos considerar que existe un problema de contención con los mutex, si el valor de smtx es superior a 300 intentos por CPU y el valor de sys > usr, esto significaría que el Kernel está consumiendo CPU intentando acceder a una serie de mutex sin conseguirlo. srw, presenta el número de veces que se ha intentado acceder a un lock de tipo lectura/escritura y no se ha conseguido en el primer intento. syscl, número de llamadas ejecutadas por cada CPU. kstat Este comando nos permite visualizar una serie de datos estadísticos del Kernel. Mediante kstat podemos obtener la misma información que obtendremos con los comandos mpstat, vmstat, etc. Los valores que devuelve el comando kstat son contadores, por lo tanto, tendremos que ser nosotros los que calculemos los valores realizando una sencilla resta. Las estadísticas del Kernel están organizadas de la siguiente forma módulo:instancia:nombre:estadistica si ejecutamos el comando kstat tal cual, la salida será parecida a la siguiente. (root@huelva)# kstat ... module: cpu_info name: cpu_info0 chip_id clock_MHz cpu_type

instance: 0 class: misc 0 1062 sparcv9 148

Comunidad OpenSolaris Hispano crtime device_ID fpu_type implementation snaptime state state_begin

147.6276642 209202519330 sparcv9 UltraSPARC-IIIi 25738067.4963142 on-line 1154200415

module: cpu_info name: cpu_info1 chip_id clock_MHz

instance: 1 class: misc 1 1062

...

De toda la información que podemos obtener con kstat, nos interesa la que se almacena en el módulo unix:*:sysinfo, es algo parecido a la siguiente salida: (root@huelva)# kstat -p unix:0:sysinfo:class unix:0:sysinfo:crtime unix:0:sysinfo:runocc unix:0:sysinfo:runque unix:0:sysinfo:snaptime unix:0:sysinfo:swpocc unix:0:sysinfo:swpque unix:0:sysinfo:updates unix:0:sysinfo:waiting #

unix:*:sysinfo misc 85.4492862 1600644 15857131 25738291.5173894 0 0 25737884 346454

Donde las estadisticas almacenan los siguientes datos. Estadís Descripción tica Procesos en la cola runque de ejecución swpquea Procesos en la SWAP Procesos esperando waiting E/S Estos 3 datos, también los podemos obtener del comando vmstat pero esto lo veremos más adelante. De la información obtenida, debemos tener en cuenta que, el número de procesos en la cola de ejecución no debe ser alto, ya que un número alto de procesos en esta cola, significa que hay procesos esperando para que se les asigne un procesador, podemos considerar como número alto el que en la cola haya más de 5 procesos por cada CPU del sistema. Un número elevado de procesos en swap nos avisará de un posible problema con la memoria del sistema, ya que el Kernel ha tenido que pasar algunos procesos al área de swap, previsiblemente por falta de espacio en la memoria del sistema. Y un número elevado de procesos en waiting nos indicará un problema de accesos en la E/S a algún dispositivo. truss Hasta la aparición en escena de Dtrace con comando truss ha sido herramienta esencial para problemas en el rendimiento del sistema. Con el ver, las llamadas a sistema que esté realizando

OpenSolaris, el la identificación de comando truss podremos un proceso en 149

Comunidad OpenSolaris Hispano ejecución, los valores de los distintos parámetros de las llamadas, los valores devueltos, los errores devueltos por las llamadas, etc. Cuando tenemos un problema en el rendimiento del sistema, verificar si los procesos, que pensamos son la causa de la degradación, están haciendo lo que creemos que deben estar haciendo, es una tarea importante, ya que mucha gente (yo diría demasiada), cuando crean software no se preocupan de gestionar los errores que o bien puede generar la aplicación, o bien la aplicación se encuentra, como por ejemplo el intentar acceder a un fichero que no existe, el enviar datos utilizando un socket que se ha cerrado, etc. Estos errores frecuentemente está directamente relacionadas con la caida del rendimiento en las aplicaciones. truss nos puede ayudar a localizar todos los errores o causas de la pérdida del rendimiento. Por ejemplo, nos puede ayudar a descubrir posible contención en el acceso a un fichero o los fallos generados al intentar acceder a un mutex. Las posibilidades de truss van mucho más allá de lo que podemos ver en este sencillo artículo, de todas formas, para que nos sirva como ejemplo y sin entrar en excesivos detalles, vamos a utilizar el comando truss con el el parámetro -c, para que nos muestre una serie de estadísticas sobre las distintas llamadas a sistema que está ejecutando un proceso. (root@huelva)# truss -c -p 14178 ^Csyscall seconds calls errors read .119 5252 36 write .002 41 close .000 19 fcntl .003 19 poll .016 310 lwp_mutex_wakeup .001 7034 lwp_mutex_lock .002 6128 lwp_cond_wait .002 5327 26 lwp_cond_signal .000 121 lwp_cond_broadcast .000 300 accept .006 19 send .119 2689 setsockopt .003 38 -------- --------sys totals: .278 8617 62 usr time: 1.337 elapsed: 11.940 (root@huelva)#

Para poder interpretar los datos que devuelve truss, debemos conocer algunas de las llamadas a sistema, todas las llamadas a sistema están documentadas perfectamente en el man del sistema. Con la salida obtenida del ejemplo anterior, podemos decir, que quizás exista un problema de acceso a un mutex por parte de algunos LWP (Lightweight process) del proceso. Que un proceso tenga una gran cantidad de operaciones sobre un mutex puede significar, dependiendo de si dichas operaciones son todas sobre un mismo mutex o sobre varios, que los LWP del proceso están luchando por obtener acceso al mutex y por lo tanto, que existe un recurso compartido que está provocando una reducción del rendimiento de la aplicación. La columna de errores nos puede dar una pista de la causa de la pérdida de rendimiento, por ejemplo que se deba a un número excesivos de intentos de acceso a un elemento que no existe o de una forma que 150

Comunidad OpenSolaris Hispano no es la correcta, en el siguiente ejemplo, tenemos la salida del comando truss, la cual nos muestra un posible problema con las llamadas read. (root@huelva)# truss -c -p 21182 ^Csyscall seconds calls errors read .214 2336 1754 time .000 26 poll .000 11 sigprocmask .000 2 waitid .000 1 fork1 .000 1 lwp_suspend .000 2 lwp_continue .000 2 nanosleep .000 10 lwp_schedctl .000 3 -------- --------sys totals: .002 64 1754

En la columna de errores de la llamada read(), de 2336 llamadas, 1754 son errores, está claro que tenemos un problema con las llamadas de lectura de este proceso, ahora tendremos que averiguar, si los errores afectan a todos los LWP del proceso, si el problema se reproduce en todos los descriptores de ficheros o está localizados en uno en concreto, etc. Dependiendo del resultado de este análisis podremos identificar la causa. lockstat En el man de este comando podemos leer que nos facilita información sobre los candados (locks) en el kernel. Antes de continuar debemos hacer una aclaración sobre uno de los tipos de objetos que se utilizan para la sincronización entre threads en Solaris, los mutex. Un mutex es un objeto de exclusión mutua, que solo permite que un thread acceda al recurso controlado por dicho mutex, por lo tanto una de las causas que pueden producir una reducción en el rendimiento de nuestro sistema, es que varios threads intenten hacerse a un mismo mutex. Con lockstat podemos identificar qué está intentando bloquear un mutex. En Solaris encontramos dos tipos de candados, los spin locks y los block locks. Los candados de tipo spin son aquellos en los que los threads no dejan de intentar acceder a él, independientemente de que el candado esté bloqueado o no, este tipo de candado se implementa cuando queremos que los threads estén continuamente ejecutándose intentando acceder al candado y sin perder tiempo en esperar algún timeout. Sencillamente el thread más rápido en solicitar el candado, justo después de que el candado se ha liberado, será el afortunado. Los candados de tipo block no utilizan un método tan agresivo como los spin, sino que los threads que intentan acceder a un candado de tipo block que esté bloqueado, sencillamente se bloquean a la espera de que el candado vuelva a ser liberado, estos candado son más lentos con respecto a los anteriores, ya que los procesos deben ser avisados de que el candado se ha liberado. Los candados de tipo block se suelen utilizar para acceder a recursos de E/S. Por lo tanto en Solaris podemos encontrar candados de tipo spin o mutex spin y candados de tipo block o mutex block, además de estos dos 151

Comunidad OpenSolaris Hispano tipos existe un tercer tipo de candado, el cual será de tipo spin o de tipo block, dependiendo del estado en el que esté el thread que lo tiene bloqueado, este tipo de candado se conoce con el nombre de adaptative lock. Si el thread que tiene bloqueado el candado al que queremos acceder está corriendo, todos los threads que están intentando acceder a dicho candado se comportarán como si fuese un spin lock, si por el contrario, el thread que está utilizando el candado, está en un estado bloqueado, por ejemplo, porque esté esperado datos de E/S, todos los threads que estén intentando acceder al cando, se comportarán como si el candado fuese de tipo block locks. Una vez que tenemos claro los distintos tipos de candados que nos podemos encontrar, vamos a continuar con el comando lockstat para ver algunas de las posibilidades que nos ofrece. Ejecutamos lockstat y le pasamos como parámetro -b para que devuelva una salida básica y el comando sleep 1 para que no devuelva la información de los candados durante la ejecución del comando sleep. La salida devuelta será parecida a la siguiente: (root@huelva)# lockstat -b sleep 1 Adaptive mutex spin: 600 events in 1.000 seconds (600 events/sec) Count indv cuml rcnt Lock Caller ------------------------------------------------------------------------------95 16% 16% 1.00 0x30000306000 callout_execute+0x98 89 15% 31% 1.00 0x3000599a420 qfestart+0x294 54 9% 40% 1.00 0x3000030f000 callout_execute+0x98 51 8% 48% 1.00 0x30000306000 untimeout+0x18 45 8% 56% 1.00 0x30000309000 callout_execute+0x98 38 6% 62% 1.00 0x30000306000 timeout_common+0x4 31 5% 67% 1.00 0x30000309000 untimeout+0x18 25 4% 71% 1.00 0x3000030f000 untimeout+0x18 19 3% 75% 1.00 0x3000030c000 untimeout+0x18 ... 1 0% 99% 1.00 0x30092298670 putnext+0x54 1 0% 99% 1.00 0x3008228a418 putnext+0x54 1 0% 99% 1.00 0x300002cdaf8 taskq_d_thread+0x78 1 0% 99% 1.00 0x30003561d00 trap_cleanup+0xe8 1 0% 100% 1.00 0x300002cda08 taskq_d_thread+0x78 1 0% 100% 1.00 0x300002cda08 taskq_bucket_dispatch+0x4 1 0% 100% 1.00 0x30003561d00 post_syscall+0x2f4 1 0% 100% 1.00 0x30003561d00 syslwp_continue+0x8 ------------------------------------------------------------------------------Adaptive mutex block: 9 events in 1.000 seconds (9 events/sec) Count indv cuml rcnt Lock Caller ------------------------------------------------------------------------------2 22% 22% 1.00 0x30000309000 timeout_common+0x4 2 22% 44% 1.00 0x3000030f000 untimeout+0x18 1 11% 56% 1.00 0x3008228a418 cv_wait_sig+0x1a4 1 11% 67% 1.00 0x30000309000 untimeout+0x18 1 11% 78% 1.00 0x30092298670 cv_wait_sig+0x1a4 1 11% 89% 1.00 0x30000303000 timeout_common+0x4 1 11% 100% 1.00 0x3000001fa00 kmem_cache_free+0x50 ------------------------------------------------------------------------------Spin lock spin: 246 events in 1.000 seconds (246 events/sec) Count indv cuml rcnt Lock Caller ------------------------------------------------------------------------------152

Comunidad OpenSolaris Hispano 78 32% 32% 1.00 cpu[2]+0x90 setbackdq+0x29c 51 21% 52% 1.00 cpu[1]+0x90 setbackdq+0x29c 46 19% 71% 1.00 cpu[0]+0x90 setbackdq+0x29c 17 7% 78% 1.00 cpu[2]+0x90 disp+0x90 15 6% 84% 1.00 cpu[0]+0x90 disp+0x90 9 4% 88% 1.00 cp_default disp_getbest+0x4 8 3% 91% 1.00 cpu[1]+0x90 disp+0x90 6 2% 93% 1.00 cpu[1]+0x90 setfrontdq+0x108 6 2% 96% 1.00 cpu[0]+0x90 setfrontdq+0x108 5 2% 98% 1.00 cpu[2]+0x90 setfrontdq+0x108 2 1% 99% 1.00 sleepq_head+0x1ae8 cv_block+0x98 1 0% 99% 1.00 cpu[1]+0x90 setkpdq+0x148 1 0% 100% 1.00 cpu[3]+0x90 disp+0x90 1 0% 100% 1.00 cpu[3]+0x90 setbackdq+0x29c ------------------------------------------------------------------------------Thread lock spin: 5 events in 1.000 seconds (5 events/sec) Count indv cuml rcnt Lock Caller ------------------------------------------------------------------------------1 20% 20% 1.00 sleepq_head+0x848 ts_update_list+0x6c 1 20% 40% 1.00 sleepq_head+0x828 setrun+0x4 1 20% 60% 1.00 cpu[1]+0xd0 preempt+0x1c 1 20% 80% 1.00 sleepq_head+0x1118 setrun+0x4 1 20% 100% 1.00 cpu[1]+0xd0 ts_tick+0x8 ------------------------------------------------------------------------------R/W writer blocked by readers: 1 events in 1.000 seconds (1 events/sec) Count indv cuml rcnt Lock Caller ------------------------------------------------------------------------------1 100% 100% 1.00 0x30011f01df8 as_map+0x40 ------------------------------------------------------------------------------(root@huelva)#

Podemos ver en la salida anterior, que hay una sección por cada tipo de candado al que se intenta acceder, por lo tanto, podemos obtener el número de peticiones a candados de tipo Spin lock spin, en nuestro ejemplo, se producen 246 eventos en 1 segundo. De la salida podemos destacar las siguiente columnas, Count con el número de intentos para acceder a un candado, Lock con los nombres del los candados y Caller con las direcciones de los objetos que han intentado el acceso al candado. Estas 3 columnas nos pueden ayudar a identificar un posible problema de contención en algún candado y si este problema de accesoa un candado está produciendo una degradación del rendimiento de nuestro sistema. Spin lock spin y Adaptive mutex spin Tener un número alto de intentos sobre candados de estos dos tipos, puede provocar que la cantidad de tiempo asignada al sistema SYS aumente, obligando al sistema a reducir la cantidad de tiempo que se asigna al usuario y por lotanto, se producirá una pérdida de rendimiento es todos los procesos de usuario, al recibir menos tiempo de CPU por partedel Kernel.

153

Comunidad OpenSolaris Hispano Adaptive mutex block Si en la salida del comando lockstat vemos que el número de este tipo de candados es considerablemente mayor que cualquiera de los otros tipos, quizás tengamos un problema con el acceso a un recurso, el cual está bloqueando, tantoal thread que lo está utilizando como a todos aquellos que están intentando acceder a él. Como este tipo de bloqueos no produce un aumento del uso de CPU, el problema de rendimiento no se detectará a simple vista mediante el valor de uso de CPU, por lo que es aconsejable, siempre que tengamos dudas del rendimiento de nuestro sistema, aunque el uso de CPU no sea alto, que realicemos un pequeño análisis de los candados mediante el comando lockstat. cpustat y cputrack Los procesadores SPARC disponen de una serie de contadores, lo cuales podemos consultar para medir el rendimiento de ciertas operaciones a nivel de los procesadores. Estos contadores nos permitirán descubrir posibles cuellos de botellas en los procesadores, bien por el número de instrucciones que se estén ejecutando, bien por el nivel de aciertos en las distintas caches. La información almacenada en los contadores, dependerá del tipo de procesador que tenga nuestro sistema, por lo tanto,antes de utilizar este comando, debemos comprobar cuales son los contadores disponibles, para ello solo tendremos que ejecutar cpustat con el parámetro -h. (root@huelva)# cpustat -h Usage: cpustat [-c events] [-nhD] [interval [count]] -c events specify processor events to be monitored -n suppress titles -t include %tick register -D enable debug mode -h print extended usage information Use cputrack(1) to monitor per-process statistics. CPU performance counter interface: UltraSPARC IIIi & IIIi+ events

pic0=,pic1=[,sys][,nouser]

event0: Cycle_cnt Instr_cnt Dispatch0_IC_miss IC_ref DC_rd DC_wr EC_ref EC_snoop_inv Dispatch0_br_target Dispatch0_2nd_br Rstall_storeQ Rstall_IU_use EC_write_hit_RTO EC_rd_miss PC_port0_rd SI_snoop SI_ciq_flow SI_owned SW_count_0 IU_Stat_Br_miss_taken IU_Stat_Br_count_taken Dispatch_rs_mispred FA_pipe_completion MC_read_dispatched MC_write_dispatched MC_read_returned_to_JBU MC_msl_busy_stall MC_mdb_overflow_stall MC_miu_spec_request event1: Cycle_cnt Instr_cnt Dispatch0_mispred EC_wb EC_snoop_cb IC_miss_cancelled Re_FPU_bypass Re_DC_miss Re_EC_miss IC_miss DC_rd_miss DC_wr_miss Rstall_FP_use EC_misses EC_ic_miss Re_PC_miss ITLB_miss DTLB_miss WC_miss WC_snoop_cb WC_scrubbed WC_wb_wo_read PC_soft_hit PC_snoop_inv PC_hard_hit PC_port1_rd SW_count_1 IU_Stat_Br_miss_untaken IU_Stat_Br_count_untaken PC_MS_misses Re_RAW_miss FM_pipe_completion MC_open_bank_cmds MC_reads MC_writes MC_page_close_stall 154

Comunidad OpenSolaris Hispano Re_DC_missovhd See the “SPARC V9 JPS1 Implementation Supplement: Sun UltraSPARC-IIIi” (root@huelva)#

La utilización del comando es bastante sencilla, acepta un evento en cada contador, solo le tenemos que decir qué eventos queremos monitorizar, el intervalo en segundos y el número de repeticiones. Vamos a ejecutar el comando cpustat, cada segundo, 5 veces, para que nos devuelva el contador Cycle_cnt, el cual almacena el número de ciclos de CPU y Instr_cnt que nos dice cuantas instrucciones se han ejecutando, el comando devuelve una línea por cada CPU. (root@huelva)# cpustat -c pic0=Cycle_cnt,pic1=Instr_cnt 1 5 time cpu event pic0 pic1 1.006 1 tick 5253507 2214596 1.006 0 tick 5906614 1840943 2.006 1 tick 751843 173146 2.006 0 tick 694595 118216 3.006 1 tick 557997 194365 3.006 0 tick 1166984 271610 4.006 1 tick 5253396 2321969 4.006 0 tick 4473184 1284188 5.006 1 tick 781913 223580 5.006 0 tick 474001 70561 5.006 2 total 25314034 8713174 (root@huelva)#

Como ya hemos comentado, los contadores que se pueden monitorizar con el comando cpustat dependen del tipo de procesador que tenga nuestro sistema, por lo tanto, tendremos que recurrir a la documentación especifica de cada procesador. En nuestro ejemplo, el procesador que está utilizando la máquina es un UltraSPARC-IIIi y algunos de los contadores son los siguientes: Contador Cycle_cn t Instr_cn t IC_miss DC_rd_mi ss DC_rw_mi ss ITLB_mis s DTLB_mis s EC_misse s

Descripción Contador de cilclos Instrucciones ejecutadas Fallos en la cache de instrucciones Fallos de lectura en la cache Fallos de escritura en la cache Fallos de instrucciones en la TLB Fallos de datos en la TLB Fallos en la cache externa

155

Comunidad OpenSolaris Hispano La mayoría de los contadores, los veremos más adelante, cuando hablemos de la memoria, ya que los más relevantes hacen referencia a estadísticas sobre elementos como las caches. El comando cputrack tiene la misma finalidad que cpustat, pero con la diferencia que podemos analizar los distintos eventos referidos únicamente a un proceso, ya sea en ejecución o que lo lancemos con el propio comando cputrack. (root@huelva)# time lwp 1.012 1 2.012 1 3.012 1 4.012 1 5.002 1 (root@huelva)#

cputrack -T 1 -N 10 -c pic0=Cycle_cnt,pic1=Instr_cnt sleep 5 event pic0 pic1 tick 908377 302623 tick 0 0 tick 0 0 tick 0 0 exit 991739 314472

En el ejemplo anterior, hemos visto el contador de cliclo y el de instrucciones mientras se ejecuta el comando sleep 5, le hemos pasado los párametro -T, para decirle el intervalo en segundos y -N para el número de repeticiones, como el comando sleep 5 solo dura 5 segundos, cputrack solo saca 5 líneas. Este comando nos puede ayudar a conocer cuantas instrucciones ejecuta un proceso, en caso de un problema con el acceso a las caches, podemos comprobar si es un proceso determinado el que provoca la gran mayoría de los fallos de cache, etc. Tanto cpustat como cputrack son herramientas bastante útiles a la hora de intentar encontrar la causa de una reducción del rendimiento en nuestro sistema. Nota - Si tiene alguna pregunta o sugerencia sobre este artículo, por favor, no dude en ponerse en contacto conmigo mediante email en jjmora AT arrakis DOT es

156

Comunidad OpenSolaris Hispano

Introducción a DTrace Hace tiempo que estoy detrás de intentar escribir una pequeña entrada en el blog sobre DTrace, pienso que ha sido una de las herramientas más interesante que han aparecido para el estudio del rendimiento de los sistemas y no solo para eso, tambien puede ayudar a todos aquellos que deseen profundizar en la compresión de cómo funciona el Kernel de Solaris. Creo que cualquier persona que bien vaya a desarrollar, bien administre sistemas Solaris, debería conocer DTrace, sino en profundidad, al menos conocer las posibilidades que nos ofrece. En este artículo veremos una breve introducción a DTrace, de todas formas es imprescindible, para todos aquellos que deseen profundizar más, la lectura de Solaris Dynamic Tracing Guide. ¿Qué es DTrace? Es una herramienta de instrumentación desarrollada por Sun en el 2005 y disponible en Solaris 10. No consiste en una simple herramienta de consulta de estadísticas, al estilo kstat, donde todos los datos son generados y posteriormente recogidos. DTrace explota el concepto de Instumentación, tal y como se conoce en el mundo de la Ingeniería. Instrumentación industrial: es el grupo de elementos que sirven para medir, convertir, transmitir, controlar o registrar variables de un proceso con el fin de optimizar los recursos utilizados en éste. (http://es.wikipedia.org) DTrace está formado por una serie de elementos, el uso de los cuales nos permiten medir, controlar, registrar, etc. variables del sistema. Cuando utilicemos DTrace debes pensar (la misma nomenclatura de DTrace nos lleva a ello) que estamos poniendo sondas en el sistema que están recogiendo datos para nosotros. Está orientada tanto para desarrolladores, a los cuales puede ayudar en las distintas fases de desarrollo, midiendo variables del sistema, de la misma forma que ocurriría en un sistema en producción. También es una herramienta fundamental para los administradores, DTrace va mucho más allá del imprescindible truss, ahora un administrador con unos conocimientos básicos de DTrace puede, por ejemplo, conocer cuanto tiempo tardan las escrituras en disco de un proceso determinado o la veces que se llama a una syscall determinada. 157

Comunidad OpenSolaris Hispano Lo mejor de DTrace es que podemos realizar todas estas tareas en sistemas en producción, sin coste alguno para el rendimiento del sistemas, ya que es una herramienta no intrusiva. Arquitectura de DTrace

En la figura anterior podemos ver un esquema de la arquitectura de DTrace, básicamente está formada por: •

Consumers, son todos aquellos elementos que de una forma u otra utilizan DTrace, en este punto debemos aclarar que DTrace es el sistema de instrumentación y que existe un comando <b>dtrace(1M)</b> que es uno de los <b>consumers</b> de DTrace, pero no el único.

•

Providers, son todos aquellos elementos que pueden generar información sobre el sistema, normalmente consiste en un módulo del Kernel.

•

Probe, es la sonda que definimos para poder extraer información del sistema.

•

Programas en D, son programas desarrollados en lenguaje D, los cuales serán compilados por el comando dtrace(1M) y pasados al Kernel para extraer la información que deseemos. Estos programas definen las sondas y su comportamiento.

Lenguaje D Es una mezcla de C y awk, la característica mas notable es que este lenguaje no dispone de instrucciones para el control de fujo, no tenemos ni if … then, ni while, for, etc. Los programas son compilados con el comando dtrace(1M), de una forma parecida a como se hace en Java, una vez probado que no contiene errores es enviado a Kernel para que lo ejecute DTrace. La estructura básica de un programa en D es: 158

Comunidad OpenSolaris Hispano

Descripción de la sonda / predicado / { Acciones; }

Descripción de la sonda La descripción de la sonda, está formada por una o más cadenas de la forma: provider:module:funcition:name

•

Provider, es el módulo de Dtrace que publica una sonda.

•

Module, las distintas sondas de un provider pueden estar organizadas en módulos.

•

Function, es la función sobre la que actuará la sonda.

•

Name, es una descripción de qué hace la sonda.

Predicado La única forma de controlar el flujo de un programa en D es mediante los predicados. Son expresiones encerradas en / / y que se evaluan como verdaderas o falsas. Ejemplo: / pid == 78 / El PID es igual a 78 / execname == "bash"/ El nombre del programa sea bash / x <= 1 / El valor de la variable x sea menor o igual a 1

Acciones La lógica de la sonda que estamos definiendo, se describe mediante una serie de acciones, las cuales estarán encerradas entre {}. Estas acciones nos permitiran medir, imprimir, contar, modificar, los datos que la sonda obtenga. Disponemos de una serie de funciones, que podemos utilizar para definir el comportamiento de nuestra sonda. Alguna de las cuales son: •

trace, toma una exprecion y la pasa directamente al buffer.

•

printf, nos permite formatear una salida.

•

stack, almacena el stack.

•

stop, para el proceso.

•

system, ejecuta un programa.

•

panic, genera un kernel panic.

•

exit, termina la ejecución de la sonda. 159

Comunidad OpenSolaris Hispano NOTA - Debemos leer la guía de DTrace antes de utilizar las funciones disponibles, ya que algunas de estas funciones son destructivas y podrían generarnos algunos problemas. Existen una serie de variables definidas, la cual contienen cierta información, como el nombre del ejecutable, el pid, el tiempo desde el arranque del sistemas: •

pid, ID del proceso.

•

tid, ID del thread.

•

timestamp, el tiempo en nanosegundos desde el arranque de la máquina.

•

execname, nombre del proceso.

•

arg0-argN, argumento de las funciones.

•

probefunc, es el 3 campo del nombre de la sonda, normalmente el nombre de la función.

•

probename, es el 4 campo de la definición de la sonda.

•

$1..$N, contienen los argumentos de la llamada al comando dtrace(1M).

Ejemplo 1 Este primer ejemplo muestra el sencillo “Hola mundo” en lenguaje D. dtrace:::BEGIN{ trace(“Hola mundo”); } dtrace:::END { trace(“Adios!!”); } bash-3.2# dtrace -s ./hola.d dtrace: script './hola.d' matched 2 probes CPU ID FUNCTION:NAME 0 1 :BEGIN Hola mundo ^C 0 2 :END Adios!!

Ejemplo 2 Este ejemplo muestra una versión en lenguaje D del comando truss. syscall:::entry/ pid == $1 / { printf("%s (%d, 0x%x, %4d)n",probefunc,arg0,arg1,arg2); } bash-3.2# dtrace -q -s ./ejemplo2.d 1046 pollsys (134509504, 0x1, 134509672) gtime (1203163434, 0x4fa7e748, 1336403752) write (3, 0x80b36e8, 8) read (3, 0x8047600, 32) 160

Comunidad OpenSolaris Hispano pollsys (134509568, 0x1, 0) read (3, 0x8047600, 32) gtime (1203163434, 0x4fa7e748, 1336403752) gtime (1203163434, 0x4fa7e748, 1336403752) read (3, 0x80af6e0, 32) ^C

Ejemplo 3 En este ejemplo vamos a crear un programa en D que nos devuelva el tiempo que se ha tardado en ejecutar cada syscall, para obtener el tiempo utilizaremos la variable timestamp, la cual da los nanosegundos desde que se inicio el sistema. syscall:::entry / pid == $1 / { array_sc[probefunc] = timestamp; } syscall:::return / pid == $1 / { printf("time %d t %s (%d, 0x%x, arg0, arg1, arg2); }

%4d) n",timestamp-array_sc[probefunc], probefunc,

bash-3.2# dtrace -q -s ./ejemplo3.d 1046 time time time time time time time ^C

10687 2847 18121 5630 59836 2045 1173

pollsys (0, 0x0, 0) gtime (1203190270, 0x47b739fe, 0) write (8, 0x8, 0) read (-1, 0xffffffffffffffff, 4294967295) pollsys (1, 0x1, 0) ioctl (0, 0x0, 0) ioctl (0, 0x0, 0)

Agregaciones El lenguaje D, dispone de una serie de funciones de agregación, que nos ayudarán a analizar los datos obtenidos tras el lanzamiento de una sonda. •

count(), cuenta el número de veces.

•

avg(), realiza una media de los datos.

•

min(), obtiene el valor mínimo.

•

max(), obtiene el valor máximo.

•

lquantize(), distribución de frecuencia lineal.

•

quantize(), distribución de frecuencia de potencia de 2.

Ejemplo 4 En este ejemplo hemos construido un programa en D, el cual cuenta con 3 probes: •

El primer probe almacena en el array @array_sc_count la veces que se inicia cualquier syscall del proceso pid == $1, también se 161

Comunidad OpenSolaris Hispano almacena en array_sc[probefunc] el timestamp de la entrada en la llamada. •

El segundo probe, solo aplica en la entrada de la syscall read y almacena en el array @array_time_lq[probefunc] el valor devuelto por la función lquantize(arg0,…) que como primer parámetro hemos puesto el primer argumento de la llamada read que es el file descriptor.

•

El tercer probe, solo aplica a la salida de la llamada read, cuyo pid == $1, almacena en el array @array_time_q[probefunc] el valor de la función de agregación quantize(timestamparray_sc[probefunc]).

syscall:::entry / pid == $1 / { @array_sc_count[probefunc] = count(); array_sc[probefunc] = timestamp; } syscall::read:entry / pid == $1 / { @array_time_lq[probefunc]=lquantize(arg0,0,100,1); } syscall::read:return / pid == $1 / { @array_time_q[probefunc]=quantize(timestamp-array_sc[probefunc]); } bash-3.2# dtrace -q -s ./ejemplo4.d 576 lwp_sigmask setcontext setitimer writev pollsys read clock_gettime read value ------------- Distribution ------------- count 11 | 12 | 13 |@@@@ 14 | 41 |@@@@@@@@ 42 | 43 |@@@@@@@@@@@@@@@@@@@@@@@@@@@ 252 44 | read value ------------- Distribution ------------- count 512 | 1024 |@@ 2048 |@@@@@@@@@@@@@@@@@@@@@@@@@@ 241 4096 |@@@@@@@@@ 8192 |@@ 16384 |

53 53 107 131 295 371 521

37 74

0 2 0 0 0

19 86 23

1 162

Comunidad OpenSolaris Hispano 32768 |

dtrace(1M) Es el comando que nos permite compilar nuestros programas en D. Dispone de una serie deparámetros entre los que podemos destacar: o -l listado de todos los probes disponibles. o -s compila un programa en D. o -P lista los probes de un provider específico. o -32/64 compila los programas D en 32 o 64 bits. o -G genera un fichero ELF que podemos usar para linkar con otros programas. o -n especifica el nombre de un probe. bash-3.2# dtrace -l ID PROVIDER 1 dtrace 2 dtrace 3 dtrace 4 Xserver576 5 Xserver576 6 Xserver576 7 Xserver576 8 Xserver576 9 Xserver576 10 Xserver576 ...

MODULE

Xorg Xorg Xorg Xorg Xorg Xorg Xorg

FUNCTION NAME BEGIN END ERROR CloseDownClient client-disconnect Dispatch request-done Dispatch request-start AddResource resource-alloc FreeClientResources resource-free FreeClientNeverRetainResources resource-free FreeResourceByType resource-free

Providers Las sondas (probes) son generadas por unos módulos del kernel que se denominan providers. Con el comando dtrace(1M) podemos ver la lista de providers que tiene nuestro sistema, de esta lista podemos destacar: o fbt (Function Boundary Tracing) nos permiten tracear la mayoría de las funciones del Kernel. Con el comando dtrace l -P fbt podemos ver la lista de los probes disponibles. o lockstat, con este provider podemos tracear posibles problemas de contención en locks. o mib, nos da acceso a los contadores MIBs de Solaris. o proc, obtenemos información sobre el estado de los procesos y los threads. o syscall, nos permite tracear todas las llamadas a systema. o sysinfo, obtenemos información sobre el sistema. o vminfo, obtenemos información sobre el VM.

163

Comunidad OpenSolaris Hispano Integrar DTrace en las aplicaciones Una de las cosas que hace interesante a Dtrace es que podemos crear nuestros propios providers, para que generen probes en cualquiera de nuestras aplicaciones. o Es una herramienta muy potente para las fases de desarrollo de SW, ya que permite de forma sencilla hacer un análisis del rendimiento de la aplicación. o El nuevo provider no generará nada mientras no se cree un probe que lo consulte, por lo que las aplicaciones no reducirán su rendimiento. o Para los administradores, es una forma sencilla de controlar el estado y rendimiento de las aplicaciones, sobre todo de aquellas de las que dispongamos el fuente. Un ejemplo: En cualquier SMTP de código abierto, podríamos modificar el fuente, para que nos devuelva información de cuanto tarda en procesar un mensaje o el tiempo medio que se utiliza para almacenar un mensaje en disco. Cómo crear nuestro propio provider Vamos a ver como en 4 sencillos pasos podemos, crear nuestro propio provider, definir una serie de probes y hacer que cualquiera de nuestras aplicaciones (siempre que tengamos el código fuente) puedan utilizar DTrace. Crear un fichero con la definición del provider. Creamos un fichero en el cual definimos el nuevo provider y los probes que tendrá, para nuestro ejemplo, creamos el fichero myprovider.d y definimos el provider myprovider. bash-3.2# cat myprovider.d provider myprovider { probe op_entry(string); probe op_return(); };

Nuestro provider tendrá dos probes: o op_entry, el cual acepta una parámetro como entrada. o op_return, este probe no acepta parámetros. Modificamos nuestra aplicación para que utilice los probes de nuestro provider. Para modificar nuestra aplicación debemos disponer del código fuente. bash-3.2# cat app_main.c 164

Comunidad OpenSolaris Hispano #include < stdio.h > #include < sys > #include < unistd.h > main() { int sp; for(;;)

}

{ DTRACE_PROBE1(myprovider,op_entry,"Entrada en op"); sp=rand()%5; printf("Inicio Op: sleep (%d) n",sp); sleep(sp); printf("Fin Opn"); DTRACE_PROBE(myprovider,op_return); }

Compilamos nuestra aplicaci贸n junto con nuestro programa en D. bash-3.2# bash-3.2# bash-3.2# bash-3.2# bash-3.2# bash-3.2# bash-3.2# Inicio Fin Op Inicio Fin Op Inicio Fin Op Inicio Fin Op Inicio

gcc -c app_main.c dtrace -G -s myprovider.d app_main.o gcc -o app1 myprovider.o app_main.o ./app1

Op: sleep (3) Op: sleep (3) Op: sleep (4) Op: sleep (3) Op: sleep (2)

Creamos un script en D para poder chequear los nuevos probes en nuestra aplicaci贸n. bash-3.2# cat app1_probe.d myprovider$1:::op_entry { ts = timestamp; } myprovider$1:::op_return { printf("n probename: %s t time: %d ns",probename, (timestamp - ts)); } bash-3.2#

En la siguiente imagen podemos ver un ejemplo de la salida del programa que acabamos de crear app1 y la ejecuci贸n del programa app1_probe.d que hemos lanzado con el comando dtrace(1M).

165

Comunidad OpenSolaris Hispano

DTrace GUI - chime Existe un GUI para Dtrace que nos permite de forma grรกfica realizar un anรกlisis de nuestro sistema. Por defecto vienen algunas sondas preparadas, pero con chime podemos visualizar de una forma rรกpida nuestro propios programas D. La imagen siguiente es un ejemplo de lo que podemos hacer con chime.

166

Comunidad OpenSolaris Hispano

DTrace: preguntas y respuestas ¿Qué es DTrace? DTrace es una herramienta de depuración introducida en el Sistema Operativo Solaris 10 que nospuede ayudar a depurar problemas sistemáticos y/o difíciles de diagnosticar con las herramientas y mecanismos tradicionales. Nos ofrece una vista comprensible del comportamiento del sistema operativo y de las aplicaciones que se ejecutan sobre él. Con funciones similares a las de truss, apptrace, prex y mdb, DTrace integra en una única y poderosa herramienta de instrumentación que examina la actividad de usuario y del kernel de Solaris. Está considerada actualmente como la única herramienta disponible que es lo suficientemente segura para utilizar en sistemas de producción, además con un insignificante impacto en el rendimiento (0% cuando no se emplea). DTrace ha sido además el primer mayor componente del código de Solaris 10 que fue abierto a la comunidad opensource. ¿Para qué se utiliza DTrace? Se utiliza para análisis de rendimiento, observación, búsqueda de problemas, depurado... Ejemplos como revisar los detalles de la 167

Comunidad OpenSolaris Hispano Entrada/Salida de disco (Disk I/O) en tiempo real ó cronometrar las funciones de usuario para determinar si existe problemática alguna en el código. ¿Quién puede usar DTrace? Primero necesitas ser root ó tener algún privilegio DTrace para poder emplear la herramienta. •

Los administradores de sistemas pueden utilizar DTrace para entender el comportamiento del sistema operativo y de las aplicaciones.

•

Los programadores de aplicaciones puede utilizar DTrace para recoger tiempos y argumentar detalles de las funciones que ellos escriben, tanto en entornos de desarrollo como en sistemas en producción.

•

Los ingenieros del kernel y drivers pueden emplear DTrace para depurar un kernel ya cargado en memoria así como todos sus módulos sin necesidad de ejecutar drivers en modo depuración (DEBUG).

¿Es necesario tener conocimientos internos del kernel para emplear DTrace? Cualquiera puede emplear DTrace desde el principio utilizando la documentación de los scripts ya escritos de DTraceToolkit ó los scripts de una única línea documentados en Solaris Performance and Tools. Al principio no necesitarán escribir sus propios scripts, pero a medida que vayan surgiendo necesidades, los usuarios encontrarán que escribir sus propios scripts puede probar una mayor eficacia a la hora de resolver problemas en sus entornos. No es necesario tener conocimientos del kernel para estudiar el código a nivel de usuario. Los desarrolladores de aplicaciones pueden estudiar las funciones que ellos mismos escriben y seguro que además les resultan familiares. Existen muchos providers medida para proveernos de una la Guía DTrace, ej: proc, io, tracing al kernel mucho mejor creer inicialmente.

de alto nivel que pueden ser diseñados a documentada abstracción del kernel (Ver sched, sysinfo, vminfo), que hacen y más fácilmente de lo que se pueda

Comprender el kernel de Solaris es necesario para escribir scripts DTrace avanzados para los que de momento no existe un provider de alto nivel. Por ejemplo para examinar la actividad TCP/IP en detalle. Para ésta cuestión se recomienda leer el libro Solaris Internals 2nd Edition. 168

Comunidad OpenSolaris Hispano ¿Qué privilegios necesito para utilizar DTrace? Sólo ciertos grupos de privilegios permiten funcionar a DTrace. Generalmente el privilegio dtrace_user permite acceso a llamadas al sistema (syscall) y perfiles de proveedores (providers). El privilegio dtrace_proc permite añadir acceso al PID del provider y a otros provideres basados en USDT. Por ejemplo, sin el acceso al privilegio dtrace_doc puedes tener limitada la capacidad de monitorización con agentes DVM dentro de una Máquina Virtual de Java (JVM), pero puedes ver algunas probes de llamadas al sistema. Si no estás seguro de los privilegios que tienes actualmente, ejecutando el comando 'ppriv $$' , obtendrás los privilegios que tu shell te ha proporcionado. ¿No se había inventado ya algo similar hace 20 años para los mainframes?

No, DTrace puede probar dinámicamente cualquier función de entrada/retorno en un kernel en funcionamiento (unos 36.000 probes); incluso cualquier función en el código de espacio de usuario y librerías (por ejemplo, mozilla y sus librerías suman unas 100.000 probes); instrucciones a nivel de usuario (sobre los 200.000 probes sólo para la shell Bourne) y sin perder rendimiento. ¿Hay libros sobre DTrace? Sí, existen de momento dos libros excelentes sobre DTrace: •

“The DTrace Guide” es la mejor referencia para DTrace que cubre el lenguaje, providers y montones de ejemplos más. Fue escrito por los ingenieros de DTrace y es una referencia obligada. El libro entero está online gratuitamente y también se puede bajar en formato PDF.

•

“Solaris Performance and Tools” demuestra el uso de DTrace para la observación y el depurado del rendimiento. Fué escrito por Brendan Gregg (autor del DTraceToolkit), Richard McDougall y Jim Mauro (autor de “Solaris Internals”) .

¿Existe algún caso de éxito empleando DTrace? Existen de momento unos cuantos casos de éxito documentados en la red. Realmente muchos de los ingenieros, consultores, NDAs etc. suelen utilizan habitualmente DTrace, pero lamentablemente no pueden mostrar al mundo los detalles de pruebas y monitorización de sus clientes. 169

Comunidad OpenSolaris Hispano De momento, podemos revisar la documentación de Jarod Jenson, el consultor con más experiencia del mundo en DTrace. Jarod ha sido entrevistado por las revistas SysAdmin Magazine y ACM; en dichas entrevistas podemos ver algunos casos de éxito reales empleando DTrace. Brendan Gregg (DTraceToolkit) también ha documentado algunos ejemplos interesantes de análisis con DTrace, realizando la mayor colección de scripts hasta el momento. ¿Cómo funciona DTrace y el lenguaje D? El lenguaje de programación D está basado en el lenguaje C, así que algún conocimiento inicial de éste lenguaje puede ayudar a su entendimiento. D es bastante más fácil que C ya que sólo hay que aprender un pequeño número de funciones y tipo de variables para ser capaz de escribir poderosos scripts. Además los programas en D también son similares a los programas escritos en awk, lo cual puede resultar de ayuda. El comando dtrace(1M) utiliza una librería llamada libdtrace como punto de entrada de varios “providers” dentro del kernel de Solaris, cada uno de ellos nos ofrece una vista lógica de algunos subsistemas del kernel. El binario dtrace puede ser utilizado tanto desde línea de comandos como desde shell a través del lenguaje D. Cuando se ejecutan, los programas escritos en D son compilados “al vuelo” en bytecodes que pueden ser interpretados dentro del kernel.. La máquina virtual de DTrace ejecuta los bytecodes para garantizar que sean seguros. Si el código es seguro y tenemos los suficientes privilegios, el código se parchea dentro delkernel dinámicamente y es ejecutado como código de kernel. Éste es el por qué los probes que no están activos no pueden crear ninguna sobrecarga. ¿Qué son los probes y providers? Una “probe” es un punto de instrumentación que puede ser seguido (tracing) por DTrace. Por ejemplo, llamamos el probe "syscall:read:entry" cuando invocamos la llamada del sistema (syscall) read(2) y se llama a "syscall::read::return" cuando se completa la syscall read(2). Un ejemplo de probe: io:nfs:nfs_bio:start Ejecutando la instrucción dtrace -l podremos ver la lista de probes. leonidas ~ # dtrace -l | wc -l 48722

170

Comunidad OpenSolaris Hispano Existen cuatro componentes para el nombre de la prueba: provider:module:function:name (proveedor:módulo:función:nombre), de manera que posteriormente podamos reconocer fácilmente los probes que puedan ser de nuestro interés. .El “provider” ó proveedor es una colección de ciertos probes, muy similar a una colección de funciones. Por ejemplo, el provider "syscall" nos provee de probes para la entrada y retorno de todas las llamadas al sistema. Al final de ésta guía podemos encontrar una referencia de los providers. . Los módulos corresponden a los módulos de kernel de Solaris. En caso de crear nuestros propios probes dentro de las aplicaciones, el módulo puede ser la clase ó el código del módulo en el que definimos el probe. Si el probe corresponde a una ubicación específica, el nombre del módulo es donde se localiza la prueba. Las funciones son los nombres de las funciones del código en las que están situados los probes. El nombre es el componente final del probe nos da una idea de cuando se ejecuta el probe, como por ejemplo BEGIN ó END Ejemplos trabajando con DTrace Llamadas al sistema (syscalls) Los syscalls pueden ser fácilmente seguidos utilizando el provider syscall, que nos ofrece un probe para la entrada y retorno de la llamada al sistema. Como un punto en el medio entre en el espacio de usuario y el de kernel, la interfaz syscall refleja perfectamente el comportamiento de la aplicación. Cada syscall está documentada en la sección 2 de las páginas del manual (man). Aquí algunos ejemplos de una sola línea con DTrace: Ficheros abiertos por nombre del proceso, leonidas ~ # dtrace -n 'syscall::open*:entry { printf("%s %s",execname,copyinstr(arg0)); }' dtrace: description 'syscall::open*:entry ' matched 2 probes CPU ID FUNCTION:NAME 0 0 0 0 0 0 0

49565 49565 49565 49565 49565 49565 49565

open:entry open:entry open:entry open:entry open:entry open:entry open:entry

SciTE /usr/lib/iconv/alias SciTE /usr/lib/iconv/alias SciTE /usr/lib/iconv/alias SciTE /usr/lib/iconv/alias SciTE /usr/lib/iconv/alias nscd /etc/security/prof_attr in.routed /dev/kstat

Contador de llamadas al sistema por nombre del proceso, 171

Comunidad OpenSolaris Hispano leonidas ~ # dtrace -n 'syscall:::entry { @num[execname] = count(); }' dtrace: description 'syscall:::entry ' matched 230 probes ^C fmd 1 inetd 1 svc.configd 1 svc.startd 1 automountd 3 gconfd-2 3 ssh-agent 6 screen-4.0.2 7 nmbd 14 xfdesktop 16 ipmon 24 tail 24 nscd 26 env 42 head 48 tr 58 dirname 60 rm 61 xfce4-session 80 uname 92 dsdm 98 firefox-bin 112 xfce-mcs-manager 176 xfterm4 222 init 292 exo-open 399 xfwm4 400 grep 486 dtrace 515 expr 530 netbeans 643 evince 651 xfce4-panel 806 SciTE 918 sh 1115 Terminal 1415 java 3219 Xorg 3422 Contador de llamadas al sistema con syscall, leonidas ~ # dtrace -n 'syscall:::entry { @num[probefunc] = count(); }' dtrace: description 'syscall:::entry ' matched 230 probes ^C fcntl 1 getpid 1 mmap 1 open 1 schedctl 1 fstat64 2 so_socket 2 stat64 2 close 3 sysconfig 3 sigaction 5 brk 6 xstat 10 lwp_sigmask 11 setcontext 11 172

Comunidad OpenSolaris Hispano nanosleep 13 gtime 14 write 15 writev 16 setitimer 19 p_online 32 read 56 lwp_park 66 pollsys 239 ioctl 495

Se puede establece un valor particular para medir el tiempo transcurrido y el tiempo en CPU de las llamadas al sistema, de forma que nos explique el tiempo de carga y respuesta de la CPU. Por ejemplo, la herramienta procsystime de DTraceToolkit realiza ésta función utilizando los flags -e y -o

Entrada/Salida de disco (Disk I/O) Los eventos de disco se pueden seguir empleando el provider io, el cual nos ofrece probes para la petición y completación de Entrada/Salida de discos y clientes NFS. Cada probe nos muestra detalles muy extensos sobre la Entrada/Salida a través de la matriz args[], como está documentado en la guía DTrace. Los siguientes listados nos muestran algunos de éstas pruebas: leonidas ~ # dtrace -ln 'io:genunix::' ID PROVIDER MODULE FUNCTION NAME 3769 io genunix biodone done 3770 io genunix biowait wait-done 3771 io genunix biowait wait-start 3780 io genunix default_physio start 3781 io genunix bdev_strategy start 3782 io genunix aphysio start

Hay que tener en cuenta los siguientes puntos a la hora de utilizar el provider io para el seguimiento de la actividad de disco: Ésta es la petición actual de Entrada/Salida de disco. Tu aplicación puede tener cargas de Entrada/Salida que pueden ser absorvidas por el cache del sistema de ficheros. Las I/O Completions (io:::done) son asíncronas, así que pid y execname podrian no identificar los procesos responsables. Las peticiones de escritura en disco (io:::start) suelen ser a menudo asíncronas a los pocesos responsables, como el sistemas de ficheros ha cacheado la escritura, ya no existirá más adelante en el medio de almacenamiento. .

173

Comunidad OpenSolaris Hispano Los eventos io no significan necesariamente que las cabezas del disco se estén moviendo. Algunos discos tienen buffers para cachear la actividad de Entrada/Salida, especialmente los arrays de discos. Algunos ejemplos de I/O en una única línea: leonidas ~ # dtrace -n 'io:::start { printf("%d %s %d",pid,execname,args[0]> b_bcount); }' dtrace: description 'io:::start ' matched 3 probes CPU ID FUNCTION:NAME 0 0 0 0 0 0 0 0 0 0 0

3781 3781 3781 3781 3781 3781 3781 3781 3781 3781 3781

bdev_strategy:start bdev_strategy:start bdev_strategy:start bdev_strategy:start bdev_strategy:start bdev_strategy:start bdev_strategy:start bdev_strategy:start bdev_strategy:start bdev_strategy:start bdev_strategy:start

0 0 0 0 0 0 0 0 0 0 0

sched sched sched sched sched sched sched sched sched sched sched

512 512 1024 1024 4608 4608 3584 3584 3584 7168 7168

Agregación de tamaño de disco, leonidas ~ # dtrace -n 'io:::start { @size[execname] = quantize(args[0]>b_bcount); }' dtrace: description 'io:::start ' matched 3 probes ^C sched value ------------- Distribution ------------- count 256 | 0 512 |@@@@@@@@@ 9 1024 |@@@@@@@@@@@@ 13

2048 |@@@@@@@@@@@@@@@ 16 4096 | 0 8192 | 0 16384 |@@@@ 4 32768 | 0

Otros ejemplos: el famoso “Hola, mundo!”, Ya en nuestro editor de textos favorito escribimos el siguiente código y lo guardamos con el nombre hola.d : 174

Comunidad OpenSolaris Hispano

BEGIN { trace(“Hola, mundo!); exit(0); }

Para ejecutar el código debemos utilizar el comando dtrace con el flag -s : leonidas ~ # dtrace -s hola.d dtrace: script 'hola.d' matched 1 probe CPU ID FUNCTION:NAME 0 1 :BEGIN Hola, mundo!

Para más información: En DTraceToolkit podremos encontrar numerosos scripts más que nos sirvan de ayuda. Si tienes instalado Solaris Express Developer Edition, en el directorio /usr/demo/dtrace encontrarás más scripts. También puedes usar tu navegador web para verlos todos, escribiendo la URL: file:///usr/demo/dtrace/index.html en la barra de dirección.

175

Comunidad OpenSolaris Hispano

Role Based Access Control (RBAC) Desde hace ya bastantes años tanto en la gestión de los usuarios y grupos dentro del ambito tecnológico de los gestores de Base de Datos (BB.DD.) el uso de roles y perfiles era un concepto asumido y conocido. Sin embargo en el mundo de los sistemas operativos (OS) y sus distribuciones binarias, mas aún en concreto los clasificados como UNIX o de tipo UNIX podian disponer de herramientas de terceros (ej: SUDO) que en ningun caso permitian todas las funcionalidades de un gestor de perfiles y roles integrado con el resto de funcionalidades del sistema. ¿Qué es RBAC? Es una herramienta que posibilita la definición de perfiles asociados a la ejecución de unos determinados binarios o conjunto de ellos. Al mismo timepo estos nuevos atributos (perfiles) se pueden asignar a un determinado usuario/s para conseguir la ejecución de esos binarios de forma controlada. Una variante superior consiste en la agrupacion de estos perfiles en lo que se conoce como roles. Ya no se trata de un atributo concreto, sino que este ultimo concepto practicamente ya goza de identidad dentro de la gestión de usuarios/grupos del sistema.

176

Comunidad OpenSolaris Hispano –

Perfiles

Basicamente en su definición lo asociamos a la ejecución de un determinado/s binario con un identificador de usurios. En el ejemplo posterior se relacciona el comando format con el uid=0 del usuario root. Posteriormente asignaremos a un usuario en particular (victor), este nuevo atributo de tipo perfil “Format” y comprobaremos el resultado de esta asociación, ejecutando esa orden de linea de comandos. pluton ~ # vi /etc/security/prof_attr ... Format:::Allow Users to run format command:: pluton ~ # vi /etc/security/exec_attr ... Format:suser:cmd:::/usr/sbin/format:uid=0 pluton ~ # groupadd users pluton ~ # useradd -s /bin/bash -g users -m -d /export/home/victor victor pluton ~ # usermod -P Format victor pluton ~ # more /etc/user_attr victor::::profiles=Format,auths=solaris.*,solaris.grant;type=normal pluton ~ # su – victor pluton ~ # pfexec /usr/sbin/format

–

Roles

Basicamente en su definición es similar el la parte de asignación de perfiles, pero en este caso la diferencia reside en la asociación de diferentes perfiles a un determinado rol/es. En el ejemplo de mas abajo, creamos de forma sencilla el perfil “Snoop” que asociamos con el binario snoop y con el uid=0 de root. Posteriormente creamos el rol “usrsnoop” en el sistema y se lo asignamos al usuario victor (previamente definido). Posteriormente el usuario victor puede cambiar de identidad al rol “usrsnoop” y ejecutar la orden de linea de comandos permitida. pluton ~ # vi /etc/security/prof_attr Snoop:::Allow Users to run snoop command:: pluton ~ # vi /etc/security/exec_attr Snoop:suser:cmd:::/usr/sbin/snoop:uid=0 pluton ~ # roleadd -m -d /export/home/snoop -s /usr/bin/pfsh -P Snoop,All usrsnoop pluton ~ # usermod -R usrsnoop victor pluton ~ # more /etc/user_attr usrsnoop::::type=role,profiles=Snoop,All pluton ~ # su – victor pluton ~ # su usrsnoop pluton ~ # /usr/sbin/snoop 177

Comunidad OpenSolaris Hispano

En la distribuci贸n binaria de tipo comercial Sun Solaris 10 (cualquier release hasta la 5/08) podemos realizar este tipo de gesti贸n de RBAC de forma mucho mas sencilla a trav茅s de la herramineta gr谩fica: Solaris Management Console (SMC v2/3).

Esta misma funcionalidad se encuentra disponible en las dos distribuciones binarias de tipo Solaris Express, como son la Community Edition (SXCE Build 89) y la Developer Edition (SXDE 1/08). En las otras distribuciones binarias (Nexenta, Belenix, etc...) y en particular en la Release Candidate 3 (RC3) de INDIANA ya no se encuentra disponible la SMC (v2/3), pero dicha funcionalidad existe igualmente y podemos utilizar herramientas sencillas del escritorio GNOME.

178

Comunidad OpenSolaris Hispano

179

Comunidad OpenSolaris Hispano

Solaris Volume Manager (SVM) Ya desde sus versiones iniciales de la distribución comercial Sun Solaris 5, 6, 7 y 8 introduccian un gestor de discos (en particular de metadispositivos) denominado Solstice Disk Suite. Con grandes innovaciones funcionales (aparición del concepto de particiones de tipo soft) en la última de sus releases, incoporada en Sun Solaris 8. La evolución natural del producto y la tendencia del mercado ha originado la nueva denominación como Solaris Volume Manager, sin embargo incorpora (como veremos a los largo de este capitulo) practicamente las mismas funcionalidades que su predecesor. ¿Qué es SVM? Es una herramienta que permite la gestión del almanecamineto de cada uno de los discos del sistema (locales o remotos) en base a particiones de tipo hard (especificado su tamaño con un cilindro de comienzo y otro de finalización) y de tipo soft (especificado su tamaño como una cantidad definida en kilobytes:kb, megabytes:mb o gigabytes: gb). Adicionalmente posibilita la realización de configuraciones de tipo RAID (Redundant Array of Inexpensive) entre las diferentes particiones de tipo hard y soft que hayamos definido. Los diferentes niveles que permite son: RAID 0 (Concat o Stripe), RAID 1 (Mirror), RAID 5 (Parity) y combinaciones de los mismos.

180

Comunidad OpenSolaris Hispano RAID 0 (Concat) Metadispositivo resultante como distribución secuencial de al menos dos particiones, cuyo tamaño consiste en la suma del de sus componentes. pluton ~ # metainit -f d11 3 1 c0d1s4 c1d1s5 c2t0d0s6 d11: Concat/Stripe is setup pluton ~ # metastat -p d11 3 1 c0d1s4 \ 1 c1d1s5 \ 1 c2t0d0s6 pluton ~ # newfs /dev/md/rdsk/d11

RAID 0 (Stripe) Metadispositivo resultante como distribución NO secuencial (es decir en paralelo) de al menos dos particiones, cuyo tamaño consiste en la suma del de sus componentes (deben ser iguales sino se pierde la diferencia). pluton ~ # metainit -f d11 1 3 c0d1s4 c1d1s5 c2t0d0s6 d11: Concat/Stripe is setup pluton ~ # metastat -p d11 1 3 c0d1s4 c1d1s5 c2t0d0s6 pluton ~ # newfs /dev/md/rdsk/d11

En ambos casos del RAID 0 (Concat y Stripe) unicamente se incrementa el tamaño y/o la velocidad, pero no disponemos de tolerancia a fallos. RAID 1 (Mirror) Metadispositivo resultante como distribución en espejo NO secuencial (es decir en paralelo) de dos particiones del mismo tamaño. En este caso una de las particiones actúa de origen y la otra destino de la copia (en todo momento online) de los datos. Se pierde la mitad del tamaño total de sus componentes, pero se gana en tolerancia a fallos de al menos una de las particiones implicadas. pluton ~ # metainit -f d11 1 1 c0d1s4 d11: Concat/Stripe is setup pluton ~ # metainit -f d12 1 1 c0d2s4 d12: Concat/Stripe is setup pluton ~ # metainit d10 -m d10: Mirror is setup

d11

pluton ~ # metattach d10 d12 d10: submirror d12 is attached pluton ~ # metastat -p d10 -m d11 d12 1 d11 1 1 c0d1s4 d12 1 1 c0d2s4 181

Comunidad OpenSolaris Hispano

pluton ~ # newfs /dev/md/rdsk/d10

RAID 5 (Parity) Metadispositivo resultante como distribución en paridad NO secuencial (es decir en paralelo) de al menos 3 particiones del mismo tamaño. En este caso la información se guarda en bandas donde uno de los componentes de la misma alberga la paridad. Con tres particiones implicadas se pierde un tercio del tamaño total, pero se gana en tolerancia a fallos. pluton ~ # metainit -f d10 -r c0d1s4 c1d1s5 c2t0d0s6 d10: RAID is setup pluton ~ # metastat -p d10 -r c0d1s4 c1d1s5 c2t0d0s6 -k -i 32b pluton ~ # newfs /dev/md/rdsk/d10

En la distribución binaria de tipo comercial Sun Solaris 10 (cualquier release hasta la 5/08) podemos realizar este tipo de gestión de SVM de forma mucho mas sencilla a través de la herramineta gráfica: Solaris Management Console (SMC v2/3).

182

Comunidad OpenSolaris Hispano Esta misma funcionalidad se encuentra disponible en las dos distribuciones binarias de tipo Solaris Express, como son la Community Edition (SXCE Build 89) y la Developer Edition (SXDE 1/08). En las otras distribuciones binarias (Nexenta, Belenix, etc...) y en particular en la Release Candidate 3 (RC3) de INDIANA ya no se encuentra disponible la SMC (v3/4). Existen varios proyectos en el desarrollo de interfaz de usuario para este tipo de gesti贸n de los discos del sistema con SVM, en particular cabe destacar Simple Panels (http://trac.neuroomante.com/simplepanels).

183

Comunidad OpenSolaris Hispano

IPFilter (IPF) A diferencia de RBAC y otras herramientas de Seguridad Lógica, desde el punto de vista de la Seguridad Perimetral (a nivel de red y a nivel de host) en la antigua version 8 (independientemente de la release) de la distribución comercial Sun Solaris se incluia como utilidad (gratuita) de Firewall local y remoto el producto SunScreen Lite v3.1 y todavia comptible con Sun Solaris. Actualmente dicho producto esta discontinuado (deprecated) y se ha incluido de forma estandard este nuevo componente del sistema, el cual esta 100% integrado con otros componentes como SMF, etc.. y ademas no es incompatible con otros productos de mercado que ofrecen la misma fucnionalidad o más. ¿Qué es IPF? Es una herramienta que permite el filtrado de tráfico local y remoto de tipo TCP / UDP junto con el enmascaramiento o traducción de direcciones IPv4/6 (Network Address Translation: NAT), incluyendo la redirección por puertos TCP (Network Addess Translatioon Port: NATP). A diferencia de otros productos, NO es un proceso sino un cojunto de modulos del kernel del sistema. Este hecho optimiza su rendimiento y le permite conservar bastantes similitudes con otras utilidades de Firewall de este tipo a nivel de linea de comnandos (CLI). En este articulo vamos a configurar de forma sencilla la protección de nuestro sistema con unas simples reglas y entender su funcionamiento. Inicialmente tenemos que inicializar los modulos del kernel y habilitar el servicio IPFilter a través de SMF. 184

Comunidad OpenSolaris Hispano

pluton ~ # ipf -E pluton ~ # svcadm enable ipfilter pluton ~ # svcs | grep ipfilter online 11:17:24 svc:/network/ipfilter:default pluton ~ [ abr 25 [ abr 25 [ abr 25 [ sep 11 [ sep 11 [ sep 11

# tail -f /var/svc/log/network-ipfilter\:default.log 18:14:26 Disabled. ] 18:14:26 Rereading configuration. ] 18:30:41 Disabled. ] 11:17:11 Enabled. ] 11:17:14 Executing start method ("/lib/svc/method/ipfilter start") ] 11:17:24 Method "start" exited with status 0 ]

pluton ~ # ipfstat -iol empty list for ipfilter(out) empty list for ipfilter(in)

Una vez comprobado que todo esta OK, es el momento para comenzar con su configuraci贸n. En este sencillo ejemplo se puede observar el filtrado de todo el tr谩fico TCP y UDP, unicamente permitiendo el acceso a nuestro sistema por ssh desde la Ipv4 especificada en el fichero de configuraci贸n. pluton ~ # ifconfig -a lo0: flags=2001000849 mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 pcn0: flags=201000843 mtu 1500 index 2 inet 10.73.130.68 netmask ffffff00 broadcast 10.73.130.255 ether 0:c:29:ef:ed:da pluton ~ # vi /etc/ipf/pfil.ap P Filter pfil autopush setup # # See the autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #iprb -1 0 pfil #elxl -1 0 pfil pcn0 -1 0 pfil #e1000g -1 0 pfil #bge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dnet -1 0 pfil #pcelx -1 0 pfil #spwr -1 0 pfil pluton ~ # vi /etc/ipf/ipf.conf # # ipf.conf # # IP Filter rules to be loaded during startup 185

Comunidad OpenSolaris Hispano # See ipf(4) manpage for more information on # IP Filter rules syntax. # Block any packets which are too short to be real block in quick all with short # drop and log any IP packets with options set in them. block in all with ipopts # Allow all traffic on loopback. pass in quick on lo0 all pass out quick on lo0 all # Public Network. Block everything not explicity allowed. block in log on pcn0 from any to any port = 22 block out on pcn0 all # Allow pings out. pass out quick on pcn0 proto icmp all keep state # for testing, allow pings from ben and jerry pass in quick on pcn0 proto icmp from 10.73.130.122/32 to 10.73.130.68/32 # Allow outbound state related packets. pass out quick on pcn0 proto tcp/uDp from any to any keep state # Actually, allow ssh only from ben, jerry, MSU pass in quick on pcn0 proto tcp from 10.73.130.122/32 to 10.73.130.68/32 port = 22

Ă&#x161;nicamente nos quedarĂa reiniciar el servicio SMF asociado a IPFilter y comenzar a observar la actividad de dicho modulo y sus estadisticas. pluton ~ # svcadm disable ipfilter pluton ~ # svcadm enable ipfilter pluton ~ # ipftsat -iol pass out quick on lo0 all block out on pcn0 all pass out quick on pcn0 proto icmp from any to any keep state pass out quick on pcn0 proto tcp/udp from any to any keep state block in quick from any to any with short block in from any to any with ipopts pass in quick on lo0 all block in log on pcn0 from any to any port = 22 pass in quick on pcn0 proto icmp from 10.73.130.122/32 to 10.73.130.68/32 pass in quick on pcn0 proto tcp from 10.73.130.122/32 to 10.73.130.68/32 port= ssh pluton ~ # ipfstat -hio 0 pass out quick on lo0 all 3 block out on pcn0 all 0 pass out quick on pcn0 proto icmp from any to any keep state 2 pass out quick on pcn0 proto tcp/udp from any to any keep state 0 block in quick from any to any with short 0 block in from any to any with ipopts 0 pass in quick on lo0 all 7 block in log on pcn0 from any to any port = 22 0 pass in quick on pcn0 proto icmp from 10.73.130.122/32 to 10.73.130.68/32 2 pass in quick on pcn0 proto tcp from 10.73.130.122/32 to 10.73.130.68/32 port = ssh 186

Comunidad OpenSolaris Hispano Si no estamos acostumbrados a la administraci贸n de este tipo de firewall basados en ordenes de linea de comandos (CLI ), siempre podemos recurrir a herramientas gr谩ficas de gesti贸n de los mismos inclyuendo herramientas de an谩lisis y almacenamiento de Logs en modo Bitacora (ej: Firewall Builder y FWLogWatch)

187

Comunidad OpenSolaris Hispano

Image Packaging System (IPS) A diferencia de las versiones mas clásicas de la distribución comercial Sun Solaris (5, 6, 7, 8, 9 e incluso 10), las distribuciones binarias mas actuales bajo el marco de desarrollo del proyecto internacional OpenSolaris incorporan un nuevo sistema de paquetes denominado Image Packaging System (IPS). ¿Qué es IPS? En particular la distribucuion binaria mas novedosa en este aspecto fue Nexenta (GNU/Solaris). Esta incorpora el conocido sistema de paquetes APT (existente en las conocidas distribuciones Linux como Debian, Fedora, Ubuntu...) de forma compatible junto con el tradicional sistema de paquetes PGK de Sun Solaris. Ambos sistemas son intercambiables mediante la definición y modificación de diferentes variables de entorno del sistema sin dejar de ser 100% compatibles. Sin embargo con la aparición de la distribución final de usuario Indiana y en concreto la Release Candidate 3 (RC3), la cual salió a la luz el pasado mes de Mayo del 2008 (OpenSolaris 2008.05) muchas cosas han cambiado. Mantiene la compatibilidad con el anterior y estático sistema PKG, incorporando el nuevo sistema de paquetes IPS. Este último permite (entre otras cosas) actualización y mantenimiento online al estilo APT / YUM / PORT como en las más conocidas y citadas distribuciones Linux o BSD. ¿Cómo funciona? Una vez instalada nuestra distribución binaria 2008.05 lo primero que podemos comprobar es el conjunto de paquetes actuales, al mismo tiempo que los verificamos. 188

Comunidad OpenSolaris Hispano pluton ~ # pkg list -av FMRI ... pkg:/SUNWtcat@5.25,5.11-0.75:20071114T203821Z pkg:/SUNWtcat@5.25,5.11-0.79:20800205T165922Z pkg:/SUNWtcat@5.26,5.11-0.86:20080422T222737Z pkg:/SUNWtcat@5.26,5.11-0.86:20071114T203821Z pluton ~ # pkg list NAME (AUTHORITY) ... SUNWtcat pluton ~ # pkginfo ... system SUNWtcatr system SUNWtcatu pluton ~ # pkg verify PACKAGE ... pkg:/SUNWtcat

UFIX

Know Know Know installed

-------------

STATE

UFIX

VERSION

STATE

5.5.26-0.86 installed

----

Tomcat Servlet/JSP Container (root) Tomcat Servlet/JSP Container STATUS ..... //

pluton ~ # pkgrm pluton ~ # pkg info -l SUNWtcat Name: SUNWtcat Summary: Tomcat Servlet/JSP Container State: Installed Authority: opensolaris.org (preferred) Version: 5.5.26 Build Release: 5.11 Branch: 0.86 Packaqing Date: Sat Apr 26 18:03:46 2008 Size: 24.4 MB FRMI: pkg:/SUNWtcat@5.26,5.11-0.86:20071114T203821Z pluton ~ # pkginfo -l ... PKGINST: SUNWtcatr NAME: system ARCH: i386 VERSION: 11.11.0,REV=2008.03.19.13.46 VENDOR: Sun Microsystems DESC: Tomcat Servlet/JSP Container (root) HOTLINE: Please contact your local service provider STATUS: Completely installed PKGINST: NAME: ARCH: VERSION: VENDOR: DESC: HOTLINE: STATUS:

SUNWtcatu system i386 11.11.0,REV=2008.03.19.13.46 Sun Microsystems Tomcat Servlet/JSP Container Please contact your local service provider Completely installed

En el primer comando listamos todos los paquetes del sistema y la notaci贸n resultante consiste en su estado y su UFIX. En el segundo ejemplo unicamente listamos los paquetes que han sido instalados utilizando los repositorios on line de IPS. 189

Comunidad OpenSolaris Hispano En ambos casos aparece indicado el estado de ese paquete y su atributo UFIX. Pero, que significa esta nomenclatura? U F I E

= = = =

Upgradable (actualizable, existe una version superior) Frozen (congelado, no existe nueva version prevista) Incorporated (incorporado, es decir actualización reciente) Excluded (excluido)

Sin embargo en el último comando de este ejemplo, hemos utilizado el clásico pkginfo, similar en funcionalidad al segundo (es decir unicamente lista en el antiguo formato los paquetes actualizados online) con la salvedad que es capaz de discriminar la granuralidad de cada uno de los paquetes y dependencias. Como novedad incorpora la opción de buscar un determinado paquete en los distintos repositorios online, instalarlo junto con todas sus dependencias, desinstalarlo y la posibilidad de comprobar su integridad como la del resto de paquetes, asi: pluton ~ # pkg search -r php INDEX ACTION VALUE basename file usr/php5/5.2.4/bin/php basename file usr/php5/5.2.4/bin/php basename file usr/php5/5.2.4/bin/php basename file usr/php5/5.2.4/bin/php basename file usr/php5/5.2.4/bin/php pluton ~ # pkg install Creating Plan /

SUNWphp524

DOWNLOAD Completed

PKGS 11/11

PHASE Install Phase

FILES 829/829

XFER (MB) 44.52/44.52

ACTIONS 1268/1268

pluton ~ # pkg uninstall pluton ~ # pkg verify PACKAGE pkg:/SUNWphp524

PACKAGE pkg:/SUNWphp524usr@5.2.4-0.79 pkg:/SUNWphp524@5.2.4-0.86 pkg:/SUNWphp524@5.2.4-0.86 pkg:/SUNWphp524@5.2.4-0.89 pkg:/SUNWphp524@5.2.4-0.90

SUNWphp524

STATUS ..... //

En la distribución binaria de tipo comercial Sun Solaris 10 (cualquier release hasta la 5/08) podemos realizar únicamente la gestión de los parches (NO de los paquetes) del sistema de forma mucho mas sencilla a través de la herramienta gráfica: Solaris Management Console (SMC v2/3).

190

Comunidad OpenSolaris Hispano

Esta misma funcionalidad se encuentra disponible en las dos distribuciones binarias de tipo Solaris Express, como son la Community Edition (SXCE Build 89) y la Developer Edition (SXDE 1/08) al igual que la herramienta Update Manager, la cual posibilita tanto la actualizaci贸n y mantenimiento de paquetes, como de parches.

191

Comunidad OpenSolaris Hispano

Como dato relevante antes de finalizar este articulo, destacar que en todo momento tenemos garantizada la compatibilidad con el modelo estático de gestión de paquetes y parches PKG, tanto en su instalación, como desinstalación de los mismos. pluton ~ # pkgadd -d STATsrv-Sol86.pkg pluton ~ # pkgadd -d . pluton ~ # pkgrm STATsrv pluton ~ # pkgchk

En el primer caso instalaremos ese paquete en particular, sino especificamos el nombre del paquete. El segundo comando nos presentará la posibilidad de instalar todos los PKGs de ese directorio y sucede los mismo con su eliminación. En el tercer ejemplo desinstalaremos ese paquete en detalle y finalmente chequeamos el estado de los paquetes. pluton ~ # patchadd 118976-07 pluton ~ # patchrm 118976-07

192

Comunidad OpenSolaris Hispano En este sencillo ejemplo se muestra como instalar y desinstalar ese parche en el sistema. En las otras distribuciones binarias (Nexenta, Belenix, etc...) y en particular en la Release Candidate 3 (RC3) de INDIANA ya no se encuentra disponible ni la SMC (v2/3) ni la opción del Update Manager. Sin embargo, si no estamos acostumbrados a la administración de este tipo de utilidades de gestión de paquetes basadas en ordenes de linea de comandos (CLI), siempre podemos recurrir a sencillas herramientas gráficas de administración (integradas en el escritorio GNOME) como es el caso de Package Manager. Esta ultima utilidad coincide el un alto % de similitudes al conocido paquete Synaptic, existente en las distribuciones Linux más conocidas y existentes.

193