Re: jails und freebsd-update

From: Oliver Fromme <oliver(at)fromme.com>
Date: Mon, 9 May 2016 13:09:59 +0200 (CEST)



Hallo Sascha,



Sascha Hüdepohl wrote:


 > Was ich mir erhoffe ist etwa folgendes Szenario:


 > 


 > Auf dem Host läuft das reine Basis-System und in ein paar Jails die


 > eigentlichen Netzwerkdienste. Ich denke das ist nichts besonderes und


 > gang und gäbe so. Dann stelle ich mir vor, von einem Jail einen Snapshot


 > (zfs) zu erstellen, den Snapshot in einem neuen Jail zu starten und


 > darauf updates zu installieren. Alle Konfiguraionen anpassen, alles ganz


 > in Ruhe und Streßfrei. Und wenn alles Läuft das alte Jail stoppen und


 > das neue an dessen Stelle starten.


 > 


 > Ist das soweit sinnvoll?



Kann man so machen, ja.



 > Ist es überhaupt möglich/sinnvoll verschiedene Versionen auf Host und


 > Jail laufen zu lassen? Auf dem Host 10.1 und ein Jail schon auf 10.3


 > oder umgekehrt?



Das Entscheidende ist, dass die Binaries kompatibel zur API


des Kernels sind.  Garantiert wird das nur, wenn der Kernel


nicht älter ist als die Binaries.  Mit anderen Worten:  Du


kannst ein altes Jail auf einem neueren Kernel laufen lassen,


aber nicht umgekehrt.



Theoretisch kann man Glück haben, dass es innerhalb desselben


stable-Branches in beiden Richtungen funktioniert.  Also z.B.


Jail mit 10.3 auf einem 10.1er-Kernel, wie Du schriebst (ich


habe das nicht probiert, ist nur ein Beispiel).  I. allg. wird


versucht, die Kernel-API innerhalb eines stable-Branches nicht


zu "brechen", aber das klappt nicht immer.



Ãœbrigens:  Die Version des Basissystems auf dem Host ist den


Jails komplett wumpe.  Wichtig ist nur die Kernel-Version.



 > Wenn ich ein Jail updaten möchte, dann kann ich es nicht aus dem Jail


 > heraus machen, weil mir da Rechte zum Ändern von Dateiattributen fehlen.



Du kannst einem Jail das Ändern von Dateiattributen erlauben,


wenn Du möchtest.  Der Jail-Parameter dafür heißt "allow.chflags".


Man kann es auch global per sysctl security.jail.chflags_allowed


einschalten (in /etc/sysctl.conf eintragen, wenn die Einstellung


einen Reboot überleben soll).  Per default ist beides aus.



Zu freebsd-update kann ich nichts Näheres zu sagen, da ich es


nicht verwende (ich mache immer Source-Updates, und Jails


repliziere ich vom Host, teilweise mounte ich auch einfach


Teile des Host-Systems per NULLFS read-only in die Jails).


Vielleicht kann das ein anderer kommentieren.



 > [...]


 > Ist das was ich mir vorstelle also überhaupt sinnvoll: 10.1 Host und ein


 > Jail dann irgendwann auf 11.0 upgraden?


 > Was ist da die gängige Praxis?



Ein 11er-Userland (egal ob Jail oder außerhalb) wird unter


einem 10er-Kernel vermutlich nicht funktionieren.  Faustregel


ist, dass als erstes immer der Kernel aktualisiert werden


muss, dann der Rest.



Gruß


   Olli



-- 
Oliver Fromme, München   --   FreeBSD + DragonFly BSD
``We are all but compressed light'' - Albert Einstein
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Mon 09 May 2016 - 13:10:05 CEST













search this site