ネットワーク経由でFSをマウントする必要のないUbuntuベースのシンディスクレスクライアント

getwallpapers.comからの画像

物語

2013年には、ある銀行がDisklessUbuntuに基づくシンクライアントを使用していました。 それらにはいくつかの問題がありました。私の意見では、脆弱なネットワークを持つ大規模なブランチのネットワーク上でルートFSをマウントすることはあまりうまくいきませんでした。 その後、私の良き友人である@deadrootがシンクライアントの最初のバージョンを作成しました。これは完全にメモリにロードされ、動作するためにネットワークに何もマウントする必要はありません。

その後、私はこのクライアントを積極的に完成させ、私たちのユースケースに特有の多くの有用なことが行われました。 その後、銀行は閉鎖し（ライセンスは取り消されました）、クライアントのソースコードの残りは私のgithub： thunclientに移動しました 。 数回、注文通りに軽く仕上げました。

最近、私はこの恐ろしい信頼できないスクリプトのヒープを使用するのに非常に便利なソリューションにする方法を手に入れました：

• Vagrantは、通常のワークステーションとして構成できる仮想マシンを生成します。
• 1つのスクリプトでは、ネットワーク経由でダウンロードする準備ができているファイルがそこから収集され、余分な部分はカットされます。
• Vagrantは、仮想PXEサーバーとネットワーククライアントを生成して、結果のビルドを検証します。

何ができる

• メモリに完全にロードされているため、操作のためにネットワーク経由でルートFSをマウントする必要はありません。
• Ubuntuに基づいて構築されているため、ほとんどすべてのソフトウェアを豊富なリポジトリからインストールでき、何かが足りない場合はサードパーティを接続できます。 セキュリティ更新プログラムがUbuntuに十分な速さで届くのは特に素晴らしいことです。
• ルートFSの上に追加のオーバーレイをマウントできます。 新しいイメージを収集せずに、一部のワークステーションにのみ一部のソフトウェアを追加できます
• zramが可能 -メモリ圧縮。少量のRAMを持つ古いクライアントに役立ちます。 新しいものの場合、通常は害はありません。
• RDPクライアントを備えたイージーデスクトップ（LXDE）はボックスから組み立てられ、RDPサーバーのアドレスとパラメーターはブート時にパラメーターを介してPXEサーバーから単純に転送されます。
• 構成内の1つのパラメーターを変更すると、不要なソフトウェアなしで最小限のコンソールシステムが組み立てられます。これは、カスタムビルドの基礎となります。
• サーバーまたはネットワークの問題が原因でダウンロードが失敗した場合、長い間エラーメッセージが表示されず、再起動が試行されます。 便利なことに、問題が修正されると、ワークステーションは不必要なジェスチャーをせずに立ち上がります。

銀行では、VNCを使用してユーザーのシンクライアントにリモート接続しました（ x11vnc



は既に実行中のXorgセッションに接続します）。 誰もがそれを必要とするわけではありません（通常、ターミナルサーバー上のRDPセッションに接続する能力で十分です）。ここでは、利便性/セキュリティ要件の点ですべてが非常に個別です。 したがって、私はこの部分を広めませんでした。

アナログ

• シンステーション

Thinstationが完全に満足している場合は、それを使用することをお勧めします。これは、より古く、より成熟したプロジェクトです。 さらに、サイズは1.5倍小さく、結局のところ、最小のボリュームのために特別に研ぎ澄まされたアセンブリであり、通常のUbuntuでわずかにドープされていません。

しかし、その中のソフトウェアのバージョンは非常に古く、それらはほとんどありません。 RDP / Citrix / ...クライアントに加えて、何か追加のものが必要な場合は、手動で収集する必要があります。そのため、更新ごとに収集する必要があります。

• Ltsp

kvapsは、LTSPがネットワーク上にファイルシステムをマウントせずにsquashfsイメージをメモリにコピーして動作できることをコメントで指摘しました。これはLTSP_NBD_TO_RAM変数によって構成されます。 Chrootはカスタマイズに使用されますが、特にグラフィカル環境とアプリケーションのカスタマイズにはあまり便利ではありません。 また、優れた成熟したプロジェクトは、代替案とみなすことができます。

Vagrant vs chroot

以前のバージョンでは、たとえば同じThinstationなど、ほとんどの類似プロジェクトと同様にchrootを使用していました。 これは難しいことではありませんが、それでも、chrootで起動された別のプログラムは実際のマシンで起こっていることに対応していません。システムinit、他のプログラムおよびサービスとの相互作用はありません。 さらに、Vagrantは、クライアントを作成するプロセスを可能な限りシンプルにしました。仮想マシンは通常のマシンのように構成されています。

もちろん、Vagrantの使用にはいくつかの困難が伴います。

共有フォルダが機能するには、 virtualbox-guest-utils



サービスがマシン上で実行されている必要があります。 さらに、ブートマネージャー（ grub



）が必要です。これは、ディスクを搭載したマシンには必要であり、ネットワーク経由でダウンロードするクライアントには役に立たないものです。 これらのパッケージのすべてのファイルをアセンブリから除外することで、これらの問題を解決しました。 したがって、結果の画像のサイズには影響しません。

さらに、Vagrantにはマシンで実行されているサグが必要であり、生成されたキーでユーザーを起動します。 sshキーと共に、構成に使用されたvagrantユーザーのホームディレクトリをアセンブリから除外します。 作業中に使用されるubuntuユーザーのキーは、ホームディレクトリに配置できます。

まあ、仕事のために、Vagrantは、実際のマシンではエラーになるネットワークインターフェイス設定を生成します。 ビルド時にinterfaces



ファイルを置き換え、実際のマシンで構成を生成するスクリプトを記述して、DHCPを介して使用可能なすべてのインターフェイスを構成する必要がありました。

プロビジョニングはAnsibleを使用して行われます。 これは、あらゆる種類のソフトウェアとハ​​ードウェアを構成するための非常に便利なツールです。 しかし、Ansibleと2番目のpythonを最終イメージの必要なライブラリー、つまり役に立たないバラストに含めたくありません。 仮想環境がバグを起こしているマシンにAnsibleを配置する気はありません。作業が複雑になります。

Vagrantを使用すると、同じプレイブック内でAnsibleを1台のマシン（PXEテストサーバー）に配置し、そこから他のマシンを展開できます。 このためには、マシンを静的インベントリに登録して、それを有効なインベントリに登録する必要があります。 さて、最後の段落のインターフェースの構成に関する問題を解決しました。

いたずらズッキーニ

Squashfsは読み取り専用の圧縮ファイルシステムです。 ほとんどの既存のLinux LiveCDの基礎となります。 それにより、シンクライアントのRAMに収まるシステムのかなりコンパクトなイメージを作成できます。

/tmp



、 /run



、 /proc



、 /sys



、 /usr/share/doc



など、最終イメージから多くのものを切り出す必要があります。

mksquashfs



ユーティリティは、ファイルを除外するために、フルパス、マスク、正規表現の3種類のリストをサポートしています。 すべてがうまくいくように思えます。 ただし、最後の2つのオプションは/



始まるパスをサポートしていません。 最後のフォルダーを除外せずに、一部のフォルダー構造内のすべてのファイルを除外できませんでした。

私はすぐにそれと戦うことにうんざりし、除外する必要があるすべてのファイルとフォルダーをfind



て、フルパスに沿って例外を付けて1つの大きなファイルに詰めました。 Crutches.jpg。 しかし、それは機能します。 最終イメージでのこのアプローチの唯一の成果物は、プロセス番号mksquashfsに対応する唯一のフォルダー/proc/NNN



であり、例外リストの作成時にはそこにありませんでした。 上記から、procfsはまだマウントされています。

マジックinitrd

ルートFSをマウントするために必要なすべてのドライバーとロジックをカーネルに引き込まないために、Linuxは初期RAMディスクを使用します。 以前は、このディスクがファイルシステムの実際のイメージであるinitrd形式が使用されていました。 新しいフォーマットがカーネル2.6に登場しました-initramfsは、tmpfsに抽出されたcpioアーカイブです。 initrdとinitramfsの両方を圧縮して、ロード時間を節約できます。 多くのユーティリティ名とファイル名にはinitrdが記載されていますが、使用されなくなりました。

Debian / Ubuntuはinitramfs-toolsパッケージを使用してinitramfsを作成します。 カスタマイズのために次のオプションを提供します。

• フック-カーネルモジュールと実行可能ファイルを必要なすべてのライブラリとともにイメージに追加できる特別な形式のスクリプト
• ディレクトリinit-bottom
  
  
  
  、 init-premount
  
  
  
  、 init-top
  
  
  
  、 local-block
  
  
  
  、 local-bottom
  
  
  
  、 local-premount
  
  
  
  、 local-top



local-premount
  
  
  
  は、対応するロード時に実行されます。 man initramfs-tools（8）を参照してください
• 最も興味深いのは、ルートFSのマウントを担当する独自のブートスクリプトを追加することです。 main /init
  
  
  
  スクリプトで使用されるシェル関数mountroot()
  
  
  
  定義する必要があります。 構造には、ローカルディスクにルートをマウントするためのローカルと、ネットワーク経由でルートをマウントするためのnfs
  
  
  
  が既にあります。 使用されるスクリプトは、ブートboot
  
  
  
  オプションによって選択されます。

合計で、非常にトリッキーな方法でルートFSをマウントするには、ブートスクリプトを作成し、その中にmountroot()



関数を定義し、ブートboot



パラメーターでこのスクリプトの名前を渡し、initramfsでスクリプトに必要なすべてのプログラムとモジュールをプルするフックを忘れずに記述する必要がありますカーネル。

オーバーレイファイト

OverlayFSは 、複数のルートファイルシステムを作成するために使用されます。 最初のバージョンでは、AUFSが使用されていました（ほとんどのLinux LiveCDで使用されています）。 しかし、カーネルには受け入れられなかったため、OverlayFSに切り替えることをお勧めします。

実際のルートFSをinitramfs内のディレクトリにマウントした後、 klibc-utils



run_init



プログラムが起動します。 ルートFSがinitramfs内にマウントされていることを確認し、initramfsをクリーンアップし（メモリを失う必要があるのはなぜですか？）、ルートFSのマウントポイントを/



に移動し、システムinitを実行します。 詳細 外部ユーティリティを使用するスクリプトは、initramfsをクリアすると壊れるので、このプログラムは個別の実行可能ファイルとしてコンパイルされます。

ルートFSがinitramfs内にマウントされた複数のオーバーレイからアセンブルされている場合、 run_init



これらのマウントポイントが消えて壊れます。 この問題は、オーバーレイのマウントポイントをルートFS 内で移動することで解決できます。 再帰:)次のようにmount --move olddir newdir



ます： mount --move olddir newdir



。

AppArmorは無効にする必要がありました。そのプロファイルは、単一のデバイスからルートFSを直接マウントするように設計されています。 OverlayFSを使用するとき、彼女は/sbin/dhclient



が実際に/AUFS/root/sbin/dhclient



であり、プロファイルが壊れていることを確認します。 これを使用する唯一のオプションは、すべてのアプリケーションのすべてのプロファイルを書き換え、必要に応じて更新することです。

どこで録音が必要ですか

この考えでは、すべてのFSが読み取り専用でマウントされている場合、Linuxは静かに動作できます。 しかし、多くのプログラムはディスクへの書き込み機能に依存しているため、そこにtmpfsをマウントする必要があります。

• /tmp
  
  
  
  、 /var/tmp
  
  
  
  もちろん、非常に多くの必要性
• /var/log
  
  
  
  書き込む
• /run
  
  
  
  -ほとんどのサービスはそれなしでは開始されません
• /media
  
  
  
  media-接続されたメディアをマウントします
• /var/lib/system
  
  
  
  -systemdの多くのプログラム、特にsystemd-timesyncd
  
  
  
  で使用されsystemd-timesyncd
  
  
  
  
• /var/lib/dhclient
  
  
  
  ここでdhclientはリースに関する情報を書き込みます
• /etc/apparmor.d/cache
  
  
  
  まだAppArmorに勝っている場合は、 /etc
  
  
  
  ファイルを書き込む必要があります/etc
  
  
  
  私見嫌な、そのようなことのために/var
  
  
  
  ます。

合計

ネットワーク経由でダウンロード可能で、メモリからのみ動作するUbuntuビルドをビルドする場合は、既製の便利なコンストラクターthinclientがあります。 助けが必要な場合は、PMまたはGitHubのチケットに手紙を書いてください。

PS 私のブログの記事 の 英語版 。