вот на это и надо давить, чё

Надо брать документацию и результаты тестов

Но это не путь хрыча

Что значит современнее?

по сути firewalld это и есть iptables ток доработанный

по сути firewalld это и есть iptables ток доработанный

Что доработанное?

Конкретнее

Вот почему нетстат деприкейт я могу нагуглить

по сути firewalld это и есть iptables ток доработанный

вероятнее всего firewalld генерирует неоптимальные правила для iptables, потому что в десктопах оптимальность не важна.

вероятнее всего firewalld генерирует неоптимальные правила для iptables, потому что в десктопах оптимальность не важна.

поэтому он в rhel 7?

поэтому он в rhel 7?

в рхел оно потому что рх мудаки

А

и впихнули десктопный системд в серверную ос

Ну если он в рхел то пиздец

Пошел везде ставить

Это довод в стиле лора

поэтому он в rhel 7?

системд в рхел7 это источник большей части проблем, потому что он ломает существующие кейсы, некорректно работает на ряде оборудования и т.п.

и впихнули десктопный системд в серверную ос

у меня особых проблем с системд нет, и очень просили разрабы, создать тикеты на твои баги https://bugzilla.redhat.com/

у меня особых проблем с системд нет, и очень просили разрабы, создать тикеты на твои баги https://bugzilla.redhat.com/

они есть в багзилле системд

системд в рхел7 это источник большей части проблем, потому что он ломает существующие кейсы, некорректно работает на ряде оборудования и т.п.

кейсы надо дорабатывать, как при любом обновлении

даже не мной созданные

кейсы надо дорабатывать, как при любом обновлении

ну смотри - у меня есть демон, он умеет проверять свой конфиг по команде. Мне нужно чтобы restart не начинался если конфиг не валидный

С системд зачастую виноваты разрабы, которые не пишут скрипты

в systemd этого сделать нельзя от слова совсем.

Или пишут жопами

Надо брать документацию и результаты тестов

ну, у меня спросили не как это сделать, а как отговорить

Ну если он в рхел то пиздец

в firewalld не нужно сохранять конфиг, и перезагружать весь фаервол чтобы применить правило

ну, у меня спросили не как это сделать, а как отговорить

Так и отговаривать надо

ну смотри - у меня есть демон, он умеет проверять свой конфиг по команде. Мне нужно чтобы restart не начинался если конфиг не валидный

можно это сделать, пишешь это прямо в системд-инит

в firewalld не нужно сохранять конфиг, и перезагружать весь фаервол чтобы применить правило

Иптейблес не умеет сигхап?

@erzent расскажи как.

@erzent в системд restart это последовательное stop -> post-stop -> pre-start -> start

stop нельзя отменить

by design

Врапер писать надо

Но по хорошему сам софт должен это проверять

Норм софт с невалидной конфигой шлет нах

Норм софт с невалидной конфигой шлет нах

не, ты не понял задачу

@erzent расскажи как.

мы писали для софтины, что она перед запуском должна проверить свою хеш сумму прямо в инити системд

Норм софт с невалидной конфигой шлет нах

я хочу чтобы в ситуации апгрейда софтины, когда дергается restart, оно не стопалось если конфиг не валидный. А в системд оно будет убито

Ааа

Я понял

я хочу чтобы в ситуации апгрейда софтины, когда дергается restart, оно не стопалось если конфиг не валидный. А в системд оно будет убито

чекай при выключении

если оно не умрет за таймаут то системд в логах скажет что они считают что наверное так и должно быть и начнет выполнять дальше шаги

чекай при выключении

да, можно сделать ExecStop="conftest && kill"

я хочу чтобы в ситуации апгрейда софтины, когда дергается restart, оно не стопалось если конфиг не валидный. А в системд оно будет убито

это тоже вроде как можно, спроси в #fedora канале даже тут

но как только таймаут пройдет, софтине прилетит в морду SIGKILL

ещё можно отдельный сервис и туда эту чекалку при выключении

и зависимость

если поменять SIGKILL на что-то еще или выключить, то оно еще подождет и скажет что оно сдается, считает это нормальным

и пойдет стартовать демон заново

при этом демон перейдет по мнению системд в статус stopped

а процесс останется висеть

ещё можно отдельный сервис и туда эту чекалку при выключении

пока непонятно как это спасет от SIGKILL в морду

ну вот можно сделать service.target и к нему два check-app-service-config.service и app-service.service

один за другим (прописать там After= )

это как альтернатива ExecStop="conftest && kill"

и делать рестарт таргета, а не сервиса

это как альтернатива ExecStop="conftest && kill"

ну ExecStop в таком виде не работает

ну вот можно сделать service.target и к нему два check-app-service-config.service и app-service.service

да вот тут вопрос в том что сделает системд в ситуации когда check-app-service-config сфейлится

если в app-service.service написано Requires=check-app-service-config.service , то по идее он не должен запускать его

или не Requires а что-то другое, возможно?

там что-то такое было, я сильно не вникал

если в app-service.service написано Requires=check-app-service-config.service , то по идее он не должен запускать его

так у меня задача не в том чтоб не запустить, а в том чтоб не ПЕРЕзапустить если конфиг-тест не отработал

@lorddaedra давай представим допустим nginx (пример не очень хороший, потому что там альтернативным способом проблема решается). Ты ставишь новую версию

Чтобы обновить версию нужно делать restart

вот эти моменты через systemd криво решаются, да

но ты не хочешь уронить сервис если по какой-то причине конфиг оказался невалидным.

поэтому нужно проверить конфиг и сделать рестарт

ERROR: S client not available

но у системд нет PreStop

в nginx это решается через скрипты для апгрейда

видимо, это нужно делать скриптом

и делать релоад вместо рестарт

видимо, это нужно делать скриптом

ну сейчас это решается тем что в папете прописан notify на Exec который делает conftest && systemctl restart

что решает не все кейсы, но их большую часть

я не знаю, как без скриптов тут гибко настроить systemd, мне бы хотелось, чтобы этот функционал появился в новых версиях

у самого нечто подобное было

просто кажется тут даже два сервиса не помогут

А если конфиг не валидный и рестарта не произошло. Дальше то что? Бинарник обновился уже.

А если конфиг не валидный и рестарта не произошло. Дальше то что? Бинарник обновился уже.

дальше можно увидеть что что-то пошло не так, пойти и посмотреть почему. То что бинарник обновился не значит что сервис перезапустился

в firewalld не нужно сохранять конфиг, и перезагружать весь фаервол чтобы применить правило

в iptables тоже

сервис со старым конфигом в старой версии продолжает работать

ты можешь руками удалить любое правило и добавить новое в любое место таблицы фильтра

дальше можно увидеть что что-то пошло не так, пойти и посмотреть почему. То что бинарник обновился не значит что сервис перезапустился

А как? Должны быть какие то нотификейшины, процедуры.

дальше можно увидеть что что-то пошло не так, пойти и посмотреть почему. То что бинарник обновился не значит что сервис перезапустился

напиши вопрос в #fedora

А как? Должны быть какие то нотификейшины, процедуры.

exit code вполне достаточно

А как? Должны быть какие то нотификейшины, процедуры.

чем бы ты это не делал фразы failed to restart + exit code достаточно чтобы это заметить

ты можешь руками удалить любое правило и добавить новое в любое место таблицы фильтра

от того, что модно стирать всю таблицу правил и заного все вносить не значит, что такого функционала нет.

как зафейлившийся паппет ран или если кто-то через pssh/salt дергает команды или еще каким образом

как зафейлившийся паппет ран или если кто-то через pssh/salt дергает команды или еще каким образом

чисто в теории ничто не мешает это сделать. Но то что это делается как удаление гланд через задницу никто не отменял

чисто в теории ничто не мешает это сделать. Но то что это делается как удаление гланд через задницу никто не отменял

ну чисто на практике в системд такого функционала нет

Ну инструмент относительно свежий и развивается

Ну инструмент относительно свежий и развивается

нефиг пихать всякое сырое говно в LTS варианты дистрибутивов

ну чисто на практике в системд такого функционала нет

напиши свою задачу в #rhel #fedora канале в телеграмме и irc, тебе напишут

напиши свою задачу в #rhel #fedora канале в телеграмме и irc, тебе напишут

напишут почему так делать не надо?

нет, помогут твой старый конфиг преобразовать в то что нужно иниту системд

нет, помогут твой старый конфиг преобразовать в то что нужно иниту системд

ок, спасибо за совет, попробую. Но кажется что в системд нет такого функционала в принципе.

у меня была задача, чтобы если сервис после моих изменений не запускался, он не перезагружался

мне в 2014 помогли это сделать для федора

это делалось в системд ините

но как именно я не помню уже