Эксплуатация

Сервис vhostd поставляется в составе комплекса программ Cloud SDS. Исполняемый файл и типовые файлы конфигурации растространяются в виде deb и rpm пакетов для ОС Ubuntu и ОС Sberlinux соответственно с именем storage-vhostd. Установка осуществляется из репозитория штатными средствами ОС. Пример установки пакета с зависимостями из внутреннего репозитория Cloud.ru для ОС Ubuntu 22.04:

Сервис vhostd использует технологию общей памяти (shared memory), чтобы общаться с процессами виртуальных машин. В общем случае QEMU можно настроить хранить память виртуальной машины в обычной памяти из малых страниц, и сервис vhostd будет с ними работать, но рекомендуется включить поддержку больших страниц памяти (Huge Pages) и использовать их при запуске виртуальных машин. Для включения больших страниц необходимо передать специальный флаг на старте ОС, для чего в системах на базе загрузчика GRUB в файл /etc/default/grub добавьте в строку GRUB_CMDLINE_LINUX параметры default_hugepagesz, hugepagesz, hugepages, transparent_hugepage.

Пример с 2МБ страницами:

Выделяется 2048 больших страниц размером по 2 МБ, таким образом всего под большие страницы будет выделено 4096 МБ.

В следующем примере выделяется 10 страниц по 1 ГБ:

Описание и назначение различных параметров ядра при настройке больших страниц выходят за рамки данного руководства. Подробнее в документации:

После обновления настроек запуска ядра выполните команду update-grub и перезагрузить ОС, чтобы настройки применились.

Каждый участник SDS-кластера имеет свой уникальный ID. Сервера метаданных различают клиентов по их ID. Если на настраиваемом хосте нет других сервисов SDS или сервис vhostd настраивается первым — необходимо произвести инициализацию хоста.

Выполните команду storage host init:

В результате выполнения команды будет создан файл /etc/storage/host.yml.

Сервису vhostd необходим первоначальный файл mds_list.yml, откуда сервис сможет узнать о структуре кластера, с которым предстоит работать. Это можно сделать двумя способами — скопировать с другой ноды или испольховать команду storage mds list:

Одной из ключевых задач при настройке взаимодействия между компонентами libvirt/qemu и vhostd является корректная конфигурация прав доступа. По умолчанию vhostd запускается под управлением пользователя storage, в то время как libvirt/qemu работают от имени пользователя libvirt. Реализация Unix domain sockets в Linux требует наличия прав на чтение и запись (RW). По умолчанию vhostd создает сокеты с правами доступа 0644:

Libvirtd запускает экземпляры QEMU с включенным профилем AppArmor, что ограничивает доступ к сокетам в директории /var/lib/storage.

Для обеспечения корректной работы выполните следующие действия:

При работе в контейнерной среде последовательность действий может отличаться, однако общий принцип настройки прав доступа остается неизменным.

Операционные системы на базе SberLinux используют механизм безопасности SELinux для разграничения доступа к системным ресурсам. Аналогично настройке прав доступа к сокетам в Ubuntu, в SELinux необходимо правильно настроить модуль Type Enforcement.

Пример модуля Type Enforcement для SELinux:

Для применения модуля выполните следующие команды:

Где $QEMU_KVM_TE — файл, содержащий текст из SELinux Type Enforcement Unit Example. Подробная документация по SELinux доступна по ссылке.

Режим миграции post-copy является более сложным по сравнению с pre-copy, требует дополнительных прав доступа и может представлять определенные риски. При недостаточно качественном сетевом соединении между гипервизорами в режиме post-copy могут наблюдаться значительные снижения производительности виртуальных машин. В случае post-copy — ряд страниц RAM оказывается недоступен и перед продолжением работы должен быть загружен через сеть.

Поддержка post-copy обеспечивается механизмом ядра Linux под названием userfaultfd, который позволяет настраивать специальную обработку определенных областей памяти. При попытке доступа к защищенным страницам памяти ядро передает управление приложению, которое приостанавливает выполнение виртуальной машины до получения требуемых страниц с удаленного гипервизора.

По умолчанию доступ к механизму userfaultfd имеют только пользователи с правами root. Для предоставления доступа обычным пользователям необходимо изменить параметр ядра vm.unprivileged_userfaultfd:

Также доступ можно контролировать через механизм capabilities, предоставив пользователю права CAP_SYS_PTRACE.

В новых версиях ядра (начиная с Ubuntu 22.04 HWE Linux 6.1) появилось устройство /dev/userfaultfd, позволяющее более тонко настраивать доступ к функционалу userfaultfd. Подробнее в документации userfaultfd.

Сервис vhostd проверяет доступность post-copy в следующем порядке:

В логах сервиса отображается статус доступности post-copy:

Если в логах в ответ на команду VHOST_USER_GET_PROTOCOL_FEATURES появляется строка VHOST_USER_PROTOCOL_F_PAGEFAULT, то это значит, что поддержка post-copy доступна на уровне vhostd.

Поскольку сервер vhostd может выполняться с разными правами для гипервизора QEMU и libvirt — post-copy и доступ до подсистемы userfaultd может быть открыт для vhostd, но закрыт для QEMU. В этом случае при попытке postcopy миграции будут видны сообщения вида: «error: internal error: unable to execute QEMU command „migrate-set-capabilities“: Postcopy is not supported», в логе мигрирующей VM также можно будет встретить сообщения типа postcopy_ram_supported_by_host: userfaultfd not available: Operation not permitted, что означает, что гипервизору QEMU не достаточно прав для post-copy.

Выбор post-copy миграции осуществляется на этапе архитектуры системы в зависимости от политик безопасности и потребностей пользователя.

После завершения установки и настройки сервис управляется стандартными средствами systemd.

Запуск сервиса vhostd:

Перезапуск в случае критической ошибки:

Описание

Добавляет новую привязку диска к сокету. Единственным обязательным параметром является volume, который задает ID диска в кластере. Остальные параметры являются необязательными:

Несколько идентичных команд привязки завершатся успещно, если первая из них завершилась успешно. Ошибки могут быть разными, если состояние сервиса изменилось между реальными вызовами команды.

Начиная с версии 1.2.43 можно указывать полный путь к сокету, при условии что директория пути соответствует параметру конфигурации unix-sock-prefix.

Начиная с версии 1.4.6 (1.3.63) поддерживается установка пользовательского имени устройства диска, которое будет отображаться внутри виртуальной машины:

Параметры

Результат

Примеры

Полная форма:

Пример:

Описание

Удаляет привязку по пути к сокету. Обязательным параметром является socket, который должен содержать полный путь к точке привязки. Оригинальный дизайн команды предполагает, что на вход принимается результат команды attach. То есть, переданное из attach передается в detach для удаления точки привязки.

Начиная с версии 1.2.43 поведение команды было изменено:

Параметры

Socket — полный путь к UNIX-сокету привязки.

Результат

Примеры

Полная форма:

Пример:

Описание

Отображает список активных привязок.

Параметры

Отсутствуют.

Результат

В случае успеха возвращает список из всех зарегистрированных привязок:

Примеры

Полная форма и пример:

Описание

Выполняет штатную остановку сервиса vhostd.

Параметры

Отсутствуют.

Примеры

Полная форма и пример:

Сервис vhostd запускает на порту 9991 HTTP-сервер, предоставлящий метрики, совместимые с ПО Prometheus. Проверить работу сервиса можно командой curl:

Метрики vhostd начинаются с префикса sds_vhostd_ , затем идет имя метрики. vhostd — многопоточное приложение, метрики каждого потока учитываются отдельно, определить к какому потоку относится данная метрика позволяет атрибут "shard". Он есть у большинства метрик, кроме тех, которые характеризуют сервер в целом. Большинство метрики имеют атрибут client_id — это ID самого процесса сервера, по которому его идентифицирует SDS-кластер. Любой диск, используемый заданным экземпляром сервера vhostd, на стороне SDS закреплен за указанным client_id. У метрик, связанных с дисками, есть атрибут volume_id — это уникальный идентификатор данного диска внутри SDS-кластера. У метрик, связанных с IO-командами, есть атрибут type, описывающий к какой IO-команде принадлежит данная метрика, есть следующие команды: caws, reads, writes, flushes, unmaps.

В таблице ниже приведены основные доступные метрики без общего префикса sds_vhostd_, характерные атрибуты метрики представлены в столбце «Атрибуты»:

Любой создаваемый диск требует место для размещения. Место выделяется не сразу, а по мере необходимости. При попытке выполнения операций ввода-вывода с диском сервис может вернуть ошибку:

Сервис vhostd продолжает попытки выделения места, ожидая изменения конфигурации кластера. Логи при этом заполняются запросом GetMap. Для виртуальной машины это проявляется как зависание операций ввода-вывода.

Привязки в vhostd в общем случае создаются с эксклюзивными правами доступа — в конкретный момент времени у диска может быть только один владелец. При попытке доступа к диску, который уже используется другим клиентом, в логах появляются сообщения:

В версиях QEMU 6.2 и libvirt 8.0.0 в Ubuntu обнаружена ошибка, проявляющаяся при миграции виртуальных машин с чипсетом pc-q35-6.2. Hotplug-диски vhost-user становятся недоступными на целевом хосте после миграции, хотя сама миграция завершается успешно. При выполнении команды virsh qemu-monitor-command ${VM_DOMAIN} --hmp 'info pci':

Ожидаемое:

Реальное:

Ошибка не имеет отношения к сервису vhostd, исправление необходимо проводить на стороне QEMU с бекпортом фикса из ветки 7.1. Необходимо убедиться, что ошибка исправлена в используемом ПО QEMU.

После перезапуска сервиса vhostd hotplug-диски не восстанавливают соединение автоматически. Проблема вызвана ошибкой в libvirt, не передающем параметр reconnect. Необходимо использовать версию libvirt с исправлением.

Виртуальные машины меняют данные в памяти, передаваемые через дескрипторы virtio, сервис вынужден делать копию данных перед расчетом контрольных сумм, для создания копии необходимо место в памяти равное размеру запроса. АИнтенсивные операции записи могут привести к исчерпанию доступной памяти и падению сервиса. Начиная с версии 1.2.25 и 1.1.51 в сервис добавлен семафор-очередь для памяти IO-запросов, которая настраивается флагами конфигурации io-mem-limit-mb, io-mem-max-req, io-mem-handicap-kb (см. описание конфигурации) — меняя границы, можно избежать падения из-за перегрузки операциями write. Если smp = 4, memory = 4 ГБ, то для каждого шарда будет выделен 1 ГБ памяти, параметр можно установить на уровне io-mem-limit-mb ~ 512. Если памяти шарда больше, то лимит можно увеличить. Для точной настройки в конкретных условиях стоит произвести мониторинг метрик сервиса vhostd и определить максимальные уровни потребления на ожидаемых нагрузках. За количеством выделенной памяти можно следить используя метрики sds_vhostd_memory_allocated_memory, sds_vhostd_memory_free_memory.

Если в контейнере не сохранился файл host.yml, или он пересоздается при каждом создании контейнера, то диски, захваченные прошлой итерацией контейнера, могут быть привязаны к старому client_id. Попытка нового vhostd с новым host.yml захватить диски приведет к ошибке ERR_LEASE_CONFLICT.

Внешний сервис управления может потерять синхронизацию с локальной таблицей привязок. Причиной может стать ситуацию, когда виртуальная машина с диском мигрирует на другой гипервизор, сервис vhostd временно недоступен, а управляющий сервис пытается удалить привязку в этот момент. В версиях vhostd до 1.2.43/1.1.58 это могло приводить к ошибкам при повторном подключении виртуальной машины. Команда attach работала не идемпотентно, из-за чего считала попытку привязки на известный ей сокет ошибкой.

Неиспользуемые привязки не потребляют ресурсов, потому что захват диска происходит позже, уже после того как виртуальная машина подключилась и пытается выполнять первые IO-запросы.

Версии vhostd до 1.2.43/1.1.58 не удаляли файлы сокетов в директории /var/lib/storage после удаления привязок, потому что в общем случае сервис не знает используются ли эти файлы другой программой. Современные версии пытаются удалить файл сокета при получении команды detach.

Код libvirt игнорирует факт, что настройки IO-тротлинга для vhostuser диска не заданы в конфигурации виртуальной машины, и производит проверку на доступность функции тротлинга для диска, функция недоступна средствами QEMU. Логгирование ошибки в коде библиотеки реализовано в самом методе проверки qemuDomainDiskBlockIoTuneIsSupported, из-за чего в логе libvirt появляются сообщения об ошибке:

Функция IO-тротлинга реализуется средствами Cloud SDS и настраивается через утилиту storage (Подробнее в разделе Rate/bandwidth лимитирование Руководства администратора).

Версии vhostd до 1.2.61 не обновляют список mds_list.yml при отсутствии активных виртуальных машин. Если состав серверов метаданных (MDS) изменился полностью, либо все известные инстансу vhostd недоступны и ему негде обновить карту, то при попытке подключиться к диску виртуальная машина не сможет запуститься. Для решения проблемы обновите vhostd до версии 1.2.61, либо проверьте актуальность файла mds_list.yml перед attach и запуском новых виртуальных машин на ноде. Если mds_list.yml устарел, то до того как запускать новые виртуальные машины нужно:

Сервис прочтет актуальный файл mds_list.yml и сможет подключиться к серверу.

В блок-схеме работы сервиса vhostd представлен алгоритм обработки команд RPC, присылаемых командой storage vhost. Каждый запрос обрабатывается синхронно. Операция attach ждет создания unix-сокета на диске и запуска задачи обработки сокета, которые могут занимать достаточно много времени. При одновременном запуске сотен запросов storage vhost attach, время ожидания увеличивается. До релиза storage версии 1.2.75 утилита не учитывала флаг --timeout (по умолчанию 30 секунд) и операция завершалась ошибкой i/o timeout: server closed через 3 секунды. Начиная с версии 1.2.75 утилита storage ждет указанное время timeout. Из-за ограничений алгоритма обработки командных запросов в текущей версии vhostd ошибки timeout будут продолжать появляться, если число одновременных запросов на attach будет расти.

Начиная с версии 1.3.1 vhostd способна обработать 1000 одновременных команд storage vhost attach за 25 секунд. В реальности такие нагрузки маловероятны, так как менеджеры виртуальных машин libvirt/OpenStack запускают их намного медленнее. В таких условиях время выполнения команды attach не превышает 0.1 секунды.

vhostd использует очереди virtio для чтения запросов и отправки результатов в виртуальные машины. Если очередь virtio повреждена, адреса в ней могут стать невалидными. В этом случае работать с этой очередью нельзя. В логе vhostd происшествие будет отмечено ошибкой PanicDevice. До версии 1.2.76 эти ошибки считались фатальными и приводили к падению приложения, начиная с версии 1.2.76 — сервер разрывает соединение с указанной виртуальной машиной. На стороне виртуальной машины данная ошибка выглядит как зависание при попытке сделать IO-операцию со сломанным диском. Виртуальная машина автоматически попытается восстановить соединение после исправления очереди. Если на заданный unix-сокет для связи с ВМ приходило много соединений, которые заканчивались ошибкой PanicDevice, то перезапуск этого сокета будет выполнен через увеличивающиеся промежутки времени.

Была внесена ошибка форматирования сообщений в логе для некоторых команд vhost на control plane, из-за чего в лог выводилась ошибка InvalidPayloadSize. Ошибка не давала удалять диски из ВМ в режиме реального времени. Внесено в 1.2.96. Исправлено в 1.2.104 и 1.3.12.

QEMU поддерживает разные режимы работы со снапшотами При неправильной настройке режима снапшотов у диска будут появляться сообщения вида unsupported configuration: disk 'vda' must use snapshot mode XXX, где XXX — один из режимов.

Режимы:

QEMU/libvirt не могут контролировать снапшоты — уровень интеграции систем меньше, чем когда libvirt делает снапшот диска средствами QEMU. Таким образом, за правильным сохранением и загрузкой снапшотов должен следить драйвер.

Поддержка виртуальных машин с дисками sbd отсутствует в базовых версиях libvirtd и QEMU, поставляемых ubuntu. Версии пакетов libvirtd и QEMU c патчем для актуальной версии ubuntu доступны по ссылке.

vhostd был запущен без корректного файла mds_list.yml. vhostd не гарантирует работоспособность ПО без правильных файлов конфигурации.

Ошибка вида «Unable to connect character device „XXX“: Failed to connect to „/var/lib/storage/YYY.sock“: Permission denied» в логе виртуальной машины QEMU ^^^^^^^^^^^^^^^^^^^^^^^^^^I^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Подключение к vhostd происходит через unix-сокеты, которые по умолчанию хранятся в директории /var/lib/storage/, linux контролирует права доступа к сокетам по аналогии с обычными файлами на файловой системе. Помимо правил доступа могут включены SELinux или Apparmor, которые также ограничивают возможности приложений, запущенных через них, для доступа к системным ресурсам и файлам/сокетам.

При добавлении поддержки работы нескольких ВМ с одним диском на vhostd, была внесена ошибка с конкурентным доступом к единому реестру доступных дисков. Доступ на запись 99% времени осуществлялся отдельными шардами, оставшийся 1% мог происходить, когда много виртуальных машин могли быстро подключиться к vhostd и ожидали диски. Это приводило к перезапуску vhostd. Данные пользователей/виртуальные машины при этом не оказывались затронуты. Ошибка внесена с версии 1.1. Исправлено в релизах на всех новых версиях 1.2.110, 1.3.53, 1.4.7.

Для старых версий:

Падение происходит при спользовании занятого сокета или недостаточных правах доступа. На эту проблему указывают сообщения в логе перед падением:

Тип error system указывает на проблему с сокетом.

Начиная с версий 1.4.12 и 1.3.59, если подобная ошибка возникает при старте, то vhost завершает выполнение с выводом конкретной ошибки. Если ошибка возникает при вызове команды storage vhost attach, то vhost продолжает работу, а утилита storage выводит ошибку failed to add new attachment. Подробности ошибки можно найти в логе по listen_unix_socket: error:.

Ошибка появляется, если версия storage tool не совпадает с версией сервиса vhostd. X и Y — версии RPC ABI.