Linux Systemd 的解析与实践应用
- 2026-02-06 23:25:45
Linux Systemd 的解析与实践应用一 1.1 架构演进路线 SysVinit → Upstart → Systemd (现代初始化系统) 1.2 核心能力对比
二 2.1 主要功能 2.2 核心组件 2.3 单元类型体系
三 3.1 服务生命周期控制 3.2 依赖关系配置示例 3.3 条件启动机制 四 4.1 CPU/内存限制示例 4.2 cgroups高级控制参数
五 常用诊断命令: 六 6.1 套接字激活示例 隔离配置: 日志配置: 重启策略: 资源限制: 运行环境: 超时设置: ▶ 机制:由systemd监听3306端口,收到请求时才启动mysql。 6.2 路径监控配置 ▶ 支持事件类型:PathChanged/PathMovedTo/DirectoryNotEmpty 6.3 Systemd Timer替代Cron Crontab痛点解决: 七 7.1 运维最佳实践 7.2 常用参数 规避参数警告: 动态调优技巧: 版本适配说明: 
END 
点击上方“IT那活儿”公众号--专注于企业全栈运维技术分享,不管IT什么活儿,干就完了!!!
Systemd vs. 传统初始化系统对比
Systemd核心架构
服务管理 控制服务的启动、停止、重启和状态监控。 依赖管理 定义服务之间的依赖关系,确保服务按正确的顺序启动。 资源管理 通过 cgroups 控制和管理进程的资源使用,如 CPU、内存和 I/O。 日志管理 提供统一的日志记录系统,方便系统管理员查看和分析系统日志。 定时任务 支持基于时间的定时任务,类似于传统的 cron,但功能更强大。 套接字激活 允许按需启动服务,即当有连接请求时才启动服务,优化系统资源使用。 路径监控 根据文件系统路径的变化触发服务的启动。 系统状态管理 管理系统的运行级别(runlevels),如图形界面和命令行界面。
systemd 核心守护进程,负责启动和管理所有系统服务。 systemctl 命令行工具,用于管理 Systemd 系统和服务。 journalctl 命令行工具,用于查看和管理系统日志。 systemd-analyze 工具,用于分析系统启动时间和性能。 systemd-tmpfiles 工具,用于管理临时文件和目录。
服务管理实战
# 启停服务 systemctl start|stop|restart nginx.service # 开机管理 systemctl enable|disable nginx # 配置重载 systemctl daemon-reloadRequires:强依赖关系,被依赖服务启动失败时,当前服务也会启动失败。[Unit]Requires=serviceB.serviceWants:弱依赖关系,被依赖服务启动失败时,当前服务仍然可以启动。[Unit]Wants=serviceB.serviceAfter:当前服务在指定服务之后启动。[Unit]After=serviceB.serviceBefore:当前服务在指定服务之前启动。[Unit]Before=serviceB.serviceConditionPathExists:路径(文件)存在时启动服务。[Unit]ConditionPathExists=/path/to/fileConditionPathIsDirectory:路径是目录时启动服务。[Unit]ConditionPathIsDirectory=/path/to/directoryConditionFileNotEmpty:文件不为空时启动服务。[Unit]ConditionFileNotEmpty=/path/to/file资源控制 (cgroups集成)
MemoryLimit:限制服务使用的内存。[Service]MemoryLimit=1GCPUShares:设置服务的 CPU 权重。[Service]CPUShares=100LimitNOFILE:限制服务打开的文件描述符数量。[Service]LimitNOFILE=65536日志管理系统 (journald)
journalctl -eu sshd 查看sshd服务日志,并直接跳转到日志末尾。 journalctl -xeu sshd 查看sshd服务日志,并直接跳转到日志末尾,同时打印可用的服务描述。 journalctl -u sshd -n 10 查看sshd服务日志,并只打印前10行。 journalctl -u sshd -f 以实时更新的方式查看sshd服务日志。 journalctl --file ${FILENAME} 读journal文件内容,journal文件一般存放在/run/log/journal/目录下。
# 容器化环境专用journalctl –u tomcat.service CONTAINER_ID=$(docker inspect -f '{{.Id}}' tomcat)# 查看完整日志流journalctl -u tomcat.service –f# 按日志级别过滤(DEBUG=7, INFO=6, ERROR=3)journalctl -u tomcat.service --priority 3..6# 查看最新 100 条日志journalctl -u tomcat.service --lines=100# JSON 格式输出(用于数据管道)journalctl -u tomcat.service -o json-pretty# 组合查询(时间 + 进程)journalctl --since "2023-08-01 00:00:00" --until "2023-08-02 12:00:00" –u tomcat.service# 关键词搜索journalctl -u tomcat.service --grep=“OutOfMemoryError”高级功能应用
# /home/wang6237/.config/systemd/user/mysqld.socket[Unit]Description=MySQL Socket ActivationPartOf=mysqld.service可选,关联到服务单元[Socket]监听 Unix 套接字(推荐)ListenStream=/home/wang6237/app/mysqld/mysql.sock或监听 TCP 端口(如 3306)#ListenStream=3306设置套接字权限(Unix 套接字需要)SocketUser=wang6237SocketGroup=wang6237SocketMode=0660关联的服务名称(默认与 socket 同名,这里显式指定)Service=mysqld.service[Install]WantedBy=sockets.target# /home/wang6237/.config/systemd/user/mysqld.service[Unit]服务描述Description=MariaDB 11.4.5 database server相关文档资源(man手册和网页文档)Documentation=man:mariadbd(8)Documentation=https://mariadb.com/kb/en/library/systemd/定义启动顺序:在网络服务启动后启动After=network.target强依赖的关联服务(必须成功启动 mysqld.socket)Requires=mysqld.socket[Install]定义在 multi-user 模式时启用该服务(常规多用户运行级别)WantedBy=multi-user.target[Service]服务类型为 notify(服务会发信号通知systemd其状态)Type=notify禁用网络命名空间隔离(允许访问主机网络)PrivateNetwork=false禁用设备节点隔离(允许访问系统设备)PrivateDevices=false严格保护系统目录(/usr/, /boot/ 等只读)ProtectSystem=full禁止访问 /home/, /root/ 和 /run/user/ProtectHome=true仅在启动阶段检查权限(后续操作不以root运行)PermissionsStartOnly=true文件系统权限 ------------------------------------------------------------指定可读写目录(数据存储路径)ReadWritePaths=-/home/wang6237/app/mysqld/data文件创建时的权限掩码(属主和组可读写,其他无权限)UMask=007进程参数 ----------------------------------------------------------------ExecStart=/home/wang6237/app/mysqld/bin/mariadbd --basedir=/home/wang6237/app/mysqld --datadir=/home/wang6237/app/mysqld/data --plugin-dir=/home/wang6237/app/mysqld/lib/plugin --log-error=/home/wang6237/app/mysqld/logs/error.log --pid-file=/home/wang6237/app/mysqld/data/wang6237-ubuntu.pid --socket=/home/wang6237/app/mysqld/mysql.sock--port=3306标准输入通过套接字传递StandardInput=socket标准输出记录到systemd日志StandardOutput=journal标准错误记录到systemd日志StandardError=journal辅助命令 ----------------------------------------------------------------启动后清理环境变量ExecStartPost=/bin/sh -c "systemctl --user unset-environment _WSREP_START_POSITION"信号处理 ----------------------------------------------------------------首先发送终止信号(允许优雅退出)KillSignal=SIGTERM不强制发送SIGKILLSendSIGKILL=no停止超时时间(15分钟,处理大事务时可能需要较长时间)TimeoutStopSec=900仅在异常退出时自动重启Restart=on-abort重启前等待时间RestartSec=5s禁用临时目录隔离(使用系统/tmp)PrivateTmp=false最大任务数(相对系统总限制的百分比)TasksMax=99%最大打开文件描述符数(默认1024,数据库服务需要更高)LimitNOFILE=32768设置时区Environment="TZ=Asia/Shanghai"启动超时时间(15分钟,等待数据库初始化)# file-monitor.path [Path] PathModified=/data/upload/ # 监控目录修改 Unit=process-files.service # 触发服务 # process-files.service [Service] Type=oneshot ExecStart=/opt/scripts/process.sh[Unit]Description=Daily Backup Timer # 定时器描述Requires=daily-backup.service # 依赖的 Service[Timer]OnCalendar=--* 02:00:00 # 每天凌晨2点执行AccuracySec=1s # 时间精度(秒级)Persistent=true # 若错过时间,启动后立即补执行Unit=daily-backup.service # 关联的 Service[Install]WantedBy=timers.target # 系统启动时激活定时器[Unit]Description=Daily Database Backup # 任务描述After=network.target # 确保网络可用后执行[Service]Type=oneshot # 单次任务(非守护进程)User=appuser # 以非特权用户运行Group=appgroupEnvironment="PATH=/usr/local/sbin:/usr/local/bin:/usr/bin:/bin" # 显式定义环境变量Environment="DB_HOST=localhost" # 自定义环境变量ExecStart=/opt/scripts/backup.sh # 必须使用绝对路径ExecStartPost=/usr/bin/logger "Backup completed" # 任务完成后记录日志Restart=on-failure # 失败时自动重试RestartSec=30s # 重试间隔StandardOutput=journal # 输出到 systemd 日志StandardError=journal # 错误输出到 systemd 日志[Install]WantedBy=multi-user.target实践场景
服务隔离 使用.slice划分资源域 (如 db.slice/app.slice) ; 启动加速 并行启动无关服务 + 禁用延迟启动; 安全加固 Service单元中配置`ProtectSystem=strict` ; 故障自愈 `Restart=on-failure` + `StartLimitIntervalSec=60` 。
[Unit]Description=Resource Constrained ServiceAfter=network.target[Service]Type=simpleExecStart=/usr/bin/your-service# CPU 限制CPUWeight=50# 相对权重 (1-10000, 默认100)CPUQuota=150% # 最大 CPU 时间份额AllowedCPUs=0-2# CPU 核心限定 (NUMA 优化)# 内存限制MemoryHigh=512M # 软性内存限制 (系统主动回收)MemoryMax=768M # 硬性内存限制 (单独使用,会使用swap。当swap不够时,会触发oom-kill)MemorySwapMax=128M # Swap 用量上限(触发 OOM 终结)MemoryZswapMax=64M # 压缩内存上限# I/O 流量限制IOWeight=500# 块设备权重 (1-10000)IODeviceWeight=/dev/nvme0n1 200# 指定设备权重IOReadBandwidthMax=/dev/nvme0n1 50MIOWriteBandwidthMax=/dev/nvme0n1 30M# 高级限制层AllowedMemoryNodes=0-1# NUMA 内存节点限定AllowedCPUMEM=0# CPU 内存强关联DeviceAllow=/dev/nvme0n1 rw # 设备访问白名单DevicePolicy=closed# 安全沙盒ProtectSystem=strictPrivateTmp=yesRestrictAddressFamilies=AF_INET AF_INET6[Install]WantedBy=multi-user.target过时参数 (cgroups v1 时代) - CPUShares → 改用 CPUWeight - MemoryLimit → 改用 MemoryMax - BlockIO* → 改用 IO* 前缀参数 - TasksMax → 在 [Service] 中使用,但建议配置为数值而非百分比
实时调整 systemctl set-property service.service CPUQuota=200%; 压力测试 stress-ng --vm 2 --io 4 --cpu 8 --timeout 60s; 监控调试 systemd-cgtop -n -1 -m。
资源控制参数需Linux 4.15+内核支持; cgroups v2特性需Systemd 247+版本。
本文作者:王玉坤(上海新炬中北团队)
本文来源:“IT那活儿”公众号
本文来自网友投稿或网络内容,如有侵犯您的权益请联系我们删除,联系邮箱:wyl860211@qq.com 。
