<![CDATA[Davy's Blog]]>https://blog.davy.tw/https://blog.davy.tw/favicon.pngDavy's Bloghttps://blog.davy.tw/Ghost 5.79Sat, 11 Apr 2026 06:32:42 GMT60<![CDATA[使用 cert-manager 透過 ACME 從 FreeIPA 簽發憑證]]>https://blog.davy.tw/posts/automatically-sign-certificate-using-cert-manager-and-freeipa/669927175cd7770001511718Sun, 21 Jul 2024 10:30:19 GMT 使用 cert-manager 透過 ACME 從 FreeIPA 簽發憑證

本篇 TL;DR 因包含腳本及 K8s yaml 內容較長,有興趣直接閱讀全文的讀者可以按此跳到正文

TL;DR

分成 FreeIPA 與 cert-manager 兩個部分設定:

FreeIPA

# ipa-acme-manage enable
# tsig-keygen -a hmac-sha512 cert-manager-acme | tee -a /etc/named/ipa-ext.conf
# systemctl restart named-pkcs11.service || systemctl restart named.service
# ipa dnszone-mod ${IPA_DNS_ZONE} --dynamic-update=True \
    --update-policy='grant cert-manager-acme wildcard * TXT;'

順便記下印出來的 TSIG Key Secret。

cert-manager

---
apiVersion: v1
kind: Secret
type: Opaque
metadata:
  namespace: cert-manager
  name: ipa-tsig
data:
  cert-manager-acme: ${TSIG_SECRET_IN_BASE64}
---
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: ipa
spec:
  acme:
    caBundle: ${IPA_CA_CERT_IN_BASE64}
    privateKeySecretRef:
      name: ipa-acme-account-key
    server: https://${IPA_CA_SERVER}/acme/directory
    solvers:
    - dns01:
        rfc2136:
          nameserver: ${IPA_NS_IP}
          tsigAlgorithm: HMACSHA512
          tsigKeyName: cert-manager-acme
          tsigSecretSecretRef:
            key: cert-manager-acme
            name: ipa-tsig
      selector:
        dnsZones:
        - ${IPA_DNS_ZONE}

完成。如果要從 Ingress 自動發憑證的話要記得加上 cert-manager.io/cluster-issuer: ipa 的 annotation。

前言

我們在管理 Kubernetes[1] 的時候常常會需要提供一個 TLS Ingress[2],在沒有自動化工具的協助下,我們會需要手動將憑證及金鑰塞進 Cluster 裡。

此時 cert-manager[3] 就能幫我們處理自動簽發憑證的問題,cert-manager 支援透過 ACME[4] 來完成自動化簽發憑證。通常,我們可能會拿來簽發 Let's Encrypt[5] 的憑證,但如何讓 Let's Encrypt 通過驗證就會是個問題,cert-manager 同時支援了 HTTP-01[6] 及 DNS-01[7] 兩種方式。

今天想要來跟大家聊聊,如果想透過 cert-manager 自動簽發憑證的話,我們可以怎麼設定。本篇以想要讓 FreeIPA[8] 作為憑證簽發者,而且透過 DNS-01 通過驗證當作目標來進行(適用於用 FreeIPA 管理 DNS zone 的場景,所以你想用 Let's Encrypt 簽發憑證也可以):

FreeIPA DNS

由於我們打算採用 DNS-01 作為 ACME 的認證手段,我們得先來搞定如何讓 cert-manager 自動來修改 FreeIPA 的 DNS 記錄。

FreeIPA 使用 BIND9[9] 作為其 DNS 的解決方案,由於 BIND 與 cert-manager 都支援[10] RFC-2136[11],因此我們可以透過 UPDATE 指令來更新 RR[12]。而為了讓 FreeIPA 的 BIND 確認這個更新的指令是從被授權的 cert-manager 來的,我們還必須透過 TSIG[13] RR 來進行簽名認證。

TSIG Secret Key

說到簽名,就必須要有一個可以拿來簽名[14]的 Secret Key,於是讓我們從建立這把金鑰開始:

# export TSIG_KEY_NAME=cert-manager-acme
# tsig-keygen -a hmac-sha512 ${TSIG_KEY_NAME} | tee -a /etc/named/ipa-ext.conf
key "cert-manager-acme" {
        algorithm hmac-sha512;
        secret "<...base64 encoded secret here...>";
};
# systemctl restart named.service || systemctl restart named-pkcs11.service
#

請自行將 ${TSIG_KEY_NAME} 替換成想要的金鑰名稱,像筆者是使用容易識別的 cert-manager-acme,表示這把金鑰是給 cert-manager 作為 ACME 用的金鑰。

另外,輸出的 secret 內容請記下來,此為 TSIG Secret Key,後面會用 ${TSIG_SECRET} 表示,在設定 cert-manager 時還會用到。我們在這裡建立了一把使用 HMAC-SHA512[15] 作為簽名演算法的金鑰。

上面的指令除了建立 TSIG Secret Key 以外,還會將這個設定寫入 BIND9 的設定檔中,並重新啓動 BIND9[16],讓 BIND9 認識這把金鑰的存在。

設定更新策略

光是讓 BIND9 認得 TSIG 金鑰是不夠的,我們還必須設定更新策略以讓 BIND9 可以按照允許規則來放行該金鑰的更新指令:

透過 FreeIPA WebUI

我們可以透過 WebUI 來進行更新策略的設定,在登入 WebUI 後點選 "Network Service" 選擇要用來簽發憑證的 DNS Zone 後,來到 Settings 並按照下方截圖說明設定:(如果你的 WebUI 不是英文版本,可參考截圖內的相對位置進行設定)

使用 cert-manager 透過 ACME 從 FreeIPA 簽發憑證

  • 啓用 "Dynamic update"
  • 在 "BIND update policy"[17] 中加入規則:(截圖中反白內容)
    • grant cert-manager-acme wildcard *.k8s.davy.home TXT;
    • 請將 cert-manager-acme 替換成剛剛設定的 ${TSIG_KEY_NAME}
    • 請將 *.k8s.davy.home 替換成讀者想要簽發憑證的 Domain name,筆者在此想讓 cert-manager 可以簽發 k8s.davy.home. 下的所有 Subdomain[18],因而如此設定

儲存後即可完成更新策略的設定。

透過 ipa CLI

如果不想要再花時間登入 WebUI 的話,也有透過 ipa 指令設定的方式:

# export IPA_DNS_ZONE=davy.home
# ipa dnszone-mod ${IPA_DNS_ZONE} --dynamic-update=True \
    --update-policy='grant cert-manager-acme wildcard *.k8s.davy.home TXT;'
#

請讀者自行依照實際情形替換 ${IPA_DNS_ZONE} 為對應的 DNS Zone,以及將 cert-manager-acme*.k8s.davy.home 替換成對應的內容。

cert-manager ClusterIssuer/Issuer

在 cert-manager 這側,我們需要做的事情就相對簡單了,只需要建立兩個資源 —— SecretClusterIssuer/Issuer

首先我們必須先決定這個 Issuer 是 Cluster-wide 的還是 Namespace-wide[^namespace] 的,如果你打算讓整個 Cluster 內的資源都能使用這個 Issuer 的話就選擇建立 ClusterIssuer,反之,就選擇建立 Issuer

本文將以 ClusterIssuer 作為範例,最大差別在於同一個 Issuer 的相關資源(例如 Secret 等)必須放在同一個 namespace 下;而 ClusterIssuer 則是將相關資源放在 cert-manager 指定的 namespace(預設與 cert-manager 同一個 namespace[19]),自己本身並沒有 namespace 的屬性。

TSIG Secret Key

首先,我們將建立一個存放 TSIG Secret Key 的 Secret 資源:

$ kubectl -n cert-manager create secret generic ipa-tsig \
    --from-literal=secret="${TSIG_SECRET}"
secret/ipa-tsig created
$

此處的 ${TSIG_SECRET} 在前面〈FreeIPA DNS → TSIG Secret Key〉一節中有提到過,如果還沒有取得的讀者請先往前翻閱。

如果讀者想建立的是 Issuer 資源,請在這一步驟中將 Secret 資源建立在對應的 Namespace 中。

建立 ClusterIssuer

有了存放 TSIG Secret Key 的資源後,我們就可以來建立 ClusterIssuer 資源了:

---
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: ipa
spec:
  acme:
    caBundle: ${IPA_CA_CERT_IN_BASE64}
    privateKeySecretRef:
      name: ipa-acme-account-key
    server: https://${IPA_CA_SERVER}/acme/directory
    solvers:
    - dns01:
        rfc2136:
          nameserver: ${IPA_NS_IP}
          tsigAlgorithm: HMACSHA512
          tsigKeyName: ${TSIG_KEY_NAME}
          tsigSecretSecretRef:
            name: ipa-tsig
            key: secret
      selector:
        dnsZones:
        - ${IPA_DNS_ZONE}

其中有幾個值需要讀者根據實際情況替換:

  • ${IPA_CA_CERT_IN_BASE64}
    • FreeIPA 的 CA 憑證(以 base64 編碼的 PEM 格式表示)
    • 可以從 FreeIPA 主機的 /etc/ipa/ca.crt 取得
  • ${IPA_CA_SERVER}
    • 通常會是 ipa-ca.<IPA REALM DOMAIN>,以筆者的環境來說就是 ipa-ca.davy.home
  • ${IPA_NS_IP}
    • FreeIPA 的 DNS Primary IP,通常就是 FreeIPA 的 Primary Server IP
  • ${TSIG_KEY_NAME}
  • ${IPA_DNS_ZONE}
    • 你想要簽發的 DNS Zone 或 Subdomain,以筆者的案例來說就是 k8s.davy.home
  • ipa-acme-account-key
    • 這裡會自動建立用於存放 ACME 註冊資訊的 Secret,讀者可自由更換其名稱
  • server: https://${IPA_CA_SERVER}/acme/directory

如果讀者想建立的是 Issuer 資源,請在這一步驟中改建立 Issuer 資源,並將此建立在對應的 Namespace 中。

接下來我們可以透過 kubectl describe 來觀察 ClusterIssuer 與我們 FreeIPA ACME 服務的註冊情形:

$ kubectl describe clusterissuer ipa
...
Status:
  Acme:
    Last Private Key Hash:  BbkPF6ZPgulgisJ80ISEIq10JXHIB19M9I2eYOHIFAQ=
    Uri:                    https://ipa.davy.home/acme/rest/acct/Mt72_fSdmemIOK8cj89x6AZhwujqenQ5MyIxqCAnC1Y
  Conditions:
    Last Transition Time:  2024-07-18T15:18:40Z
    Message:               The ACME account was registered with the ACME server
    Observed Generation:   2
    Reason:                ACMEAccountRegistered
    Status:                True
    Type:                  Ready
$

如果可以看到 Reason: ACMEAccountRegistered,表示我們的 FreeIPA 已經受理我們的 ACME 註冊手續了。但這還並不表示我們設定的 TSIG Secret Key 已經正確被驗證了,這會等到我們真的進行 DNS-01 驗證時,要修改 TXT RR 的時候才會去驗證。

TLS Ingress

到目前為止,我們已經大致上完成了 FreeIPA 及 cert-manager 兩側的串接了,我們可以透過新增一個測試用的 TLS Ingress 來測試是否真的成功了:

---
kind: Namespace
metadata:
  name: cert-manager-acme-test
---
apiVersion: apps/v1
kind: Deployment
metadata:
  namespace: cert-manager-acme-test
  name: hello-deployment
spec:
  selector:
    matchLabels:
      app: hello
  template:
    metadata:
      labels:
        app: hello
    spec:
      containers:
      - image: nginx:1.14.2
        imagePullPolicy: IfNotPresent
        name: nginx
        ports:
        - containerPort: 80
          protocol: TCP
---
apiVersion: v1
kind: Service
metadata:
  namespace: cert-manager-acme-test
  name: hello-service
spec:
  type: ClusterIP
  ports:
  - name: http
    port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: hello
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    cert-manager.io/cluster-issuer: ipa
  namespace: cert-manager-acme-test
  name: hello-ingress
spec:
  rules:
  - host: hello.k8s.davy.home
    http:
      paths:
      - backend:
          service:
            name: hello-service
            port:
              name: http
        path: /
        pathType: Prefix
  tls:
  - hosts:
    - hello.k8s.davy.home
    secretName: hello-tls

上面的 yaml 會部署一組 DeploymentServiceIngress 到一個新的 Namespace cert-manager-acme-test 中。

注意我們在 Ingress 的地方除了設定 TLS 相關的內容以外,還多了一個 Annotation cert-manager.io/cluster-issuer,cert-manager 會自行過濾帶有此 Annotation 的 Ingress 並以其值對應的 ClusterIssuer 來簽發憑證[20]

如果想使用 Issuer 的話,此處換成 cert-manager.io/issuer 即可。

上方的 Ingress 在設定 TLS 時一併設定了一個 secretName,此為存放 TLS 憑證及金鑰用的 Secret 資源的名稱,如果不存在的話會自動建立。而我們亦可以透過觀察這個 Secret 及其對應的 cert-manager.io/v1/CertificateRequest 資源來看到憑證簽發的狀態如何:

$ kubectl -n cert-manager-acme-test get secret hello-tls -o yaml
apiVersion: v1
data:
  tls.crt: ...
  tls.key: ...
kind: Secret
metadata:
  annotations:
    cert-manager.io/alt-names: hello.k8s.davy.home
    cert-manager.io/certificate-name: hello-tls
    cert-manager.io/common-name: hello.k8s.davy.home
    cert-manager.io/ip-sans: ""
    cert-manager.io/issuer-group: cert-manager.io
    cert-manager.io/issuer-kind: ClusterIssuer
    cert-manager.io/issuer-name: ipa
    cert-manager.io/uri-sans: ""
  labels:
    controller.cert-manager.io/fao: "true"
  name: hello-tls
  namespace: cert-manager-acme-test
type: kubernetes.io/tls
$ kubectl -n cert-manager-acme-test get CertificateRequest \
  -o custom-columns="NAME:.metadata.name,Secret:.metadata.annotations.cert-manager\.io/certificate-name,Issuer:.spec.issuerRef.name,Issued:.status.conditions[?(@.type=='Ready')].status"
NAME          Secret      Issuer   Issued
hello-tls-1   hello-tls   ipa      True
$ kubectl -n cert-manager-acme-test get CertificateRequest hello-tls-1 -o yaml
apiVersion: cert-manager.io/v1
kind: CertificateRequest
metadata:
  annotations:
    cert-manager.io/certificate-name: hello-tls
    cert-manager.io/certificate-revision: "1"
    cert-manager.io/private-key-secret-name: hello-tls-7nrlt
  name: hello-tls-1
  namespace: cert-manager-acme-test
  ownerReferences:
  - apiVersion: cert-manager.io/v1
    blockOwnerDeletion: true
    controller: true
    kind: Certificate
    name: hello-tls
spec:
  issuerRef:
    group: cert-manager.io
    kind: ClusterIssuer
    name: ipa
  request: ...
status:
  certificate: ...
  conditions:
  - lastTransitionTime: "2024-07-18T14:58:21Z"
    message: Certificate request has been approved by cert-manager.io
    reason: cert-manager.io
    status: "True"
    type: Approved
  - lastTransitionTime: "2024-07-18T15:19:48Z"
    message: Certificate fetched from issuer successfully
    reason: Issued
    status: "True"
    type: Ready
$

Secret 及對應的 CertificateRequest 中可以看出來,cert-manager 已經幫我們完成了一條龍 —— 從設定 TLS Ingress 到設定 TXT RR 到通過 DNS-01 驗證再回到設定 Ingress 憑證。

我們也可以打開對應的 Ingress URL 來看到結果:

使用 cert-manager 透過 ACME 從 FreeIPA 簽發憑證

使用 cert-manager 透過 ACME 從 FreeIPA 簽發憑證

後記

原本以為可以在兩天內連續產出的這篇文章結果又拖了兩天才終於寫完,準備環境明明只花了一個晚上,結果大部分的時間都花在找對應的 Reference。 Orz

總之,這個技巧除了讓 FreeIPA 簽發憑證外,只要是透過 FreeIPA 或甚至純粹地用 BIND9 管理 DNS 的人都能使用這個方式自動化設定 TXT RR 來自動完成 DNS-01 驗證。

或是也可以延伸出其他的用法,其實並不限於 ACME 的場景而已,如果能夠理解背後的設定的意義的話就會有更多有趣的應用可以發掘。 :)

  1. Kubernetes 是用於自動部署、擴展和管理「容器化(containerized)應用程式」的開源系統,詳見其官方網站 ↩︎

  2. 此處指 Kubernetes 中的 networking.k8s.io/v1/Ingress 資源,用於從 Cluster 中暴露 HTTP/HTTPS 服務至外界,其詳細概念請見 Kubernetes 文件《Ingress》一章中的解釋 ↩︎

  3. cert-manager 是用於 Kubernetes 中的 X.509 憑證管理器,詳見其官方網站 https://cert-manager.io/ ↩︎

  4. "Automatic Certificate Management Environment",自動化憑證管理環境,定義於 RFC-8555,或可參考 Let's Encrypt 提供的解釋 ↩︎

  5. Let's Encrypt 是由 ISRG (Internet Security Research Group) 提供的非營利 CA 憑證機構,其透過 ACME 證明網域所有權後可免費提供其所有者短期 TLS 憑證,詳見其官網 https://letsencrypt.org/ ↩︎

  6. HTTP-01 為 ACME 定義的驗證方式之一,透過所有者在指定位置(https://<DOMAIN>/.well-known/acme-challenge/<TOKEN>)放置指定內容的方式驗證其網域所有權 ↩︎

  7. DNS-01 為 ACME 定義的驗證方式之一,透過所有者設定指定 TXT RR (_acme-challenge.<DOMAIN>)來驗證其網域所有權 ↩︎

  8. FreeIPA 是免費的開源身份管理系統,IPA 分別代表 Identity、Policy、Audit,同時也是 Red Hat Identity Manager 的上游開源專案,詳見其官方網站 ↩︎

  9. BIND9 是現今網際網路上常見的 DNS 伺服器軟體,目前由網際網路系統協會(ISC, Internet Systems Consortium)負責開發與維護。詳見維基百科《BIND》條目,或其官方網站 ↩︎

  10. 關於在 cert-mananger 中設定 RFC-2136 的詳細方式及說明請參閱使用手冊〈DNS-01 / RFC-2136〉一節 ↩︎

  11. "Dynamic Updates in the Domain Name System (DNS UPDATE)",旨在使得 DNS 可以在線上動態更新記錄,詳見 RFC-2136 內容 ↩︎

  12. Resource Record,RFC-1034 3.6 ↩︎

  13. Transaction Signature,由 RFC-2845 定義的 RR Type,詳見 RFC-2845 或維基百科上的《TSIG》條目 ↩︎

  14. 此處的「簽名」指的是 MAC (Message Authentication Code),用於認證及確認資料完整性,有關 MAC 的說明請參閱維基百科《Message Authentication Code》條目 ↩︎

  15. 在 RFC-2845 中僅定義 TSIG 可採用 HMAC-MD5 作為簽名演算法,但 MD5 在 2024 的現在已不夠安全,因此我們在此選擇使用 RFC-4635 擴充支援的 HMAC-SHA512 演算法。關於 HMAC-SHA 系列演算法的定義請參閱 RFC-4634;SHA 系列演算法的定義請參閱 FIPS180-4 ↩︎

  16. 依據實際情況的不同,FreeIPA 啓用的 BIND9 可能是 named.servernamed-pkcs11.server,這裡筆者偷懶將兩個都重啓試試看,讀者可以視情況自行調整 ↩︎

  17. BIND9 提供了許多更新策略的設定方式,其他規則寫法可參見筆者常參考的 ZyTrax 網站中關於 update-policy 的說明 ↩︎

  18. Subdomain —— 子域名,為指定域名再多一層的域名,詳見維基百科《Subdomain》條目 ↩︎

  19. 關於 ClusterIssuer/Issuer 相關的 Secret 需放置於何 Namespace 可參見原始碼中的說明,關於如何設定 Cluster resource namespace,如果是使用 Helm 部署 cert-mananger 的讀者可以參閱 clusterResourceNamespace 的設定說明 ↩︎

  20. cert-manager 會透過 webhook 來對 Ingress 做整合,詳見 cert-mananger 文件中〈Requesting Certificates → Ingress〉一節 ↩︎

]]><![CDATA[掛載 WSL2 的目錄到 Podman 中]]>https://blog.davy.tw/posts/mount-other-wsl2-distro-into-podman-container/6697c3315cd77700015115d1Wed, 17 Jul 2024 16:11:25 GMTTL;DR 
cat <<-EOF | sudo tee /etc/systemd/system/mnt-wsl-instances-${WSL_DISTRO_NAME}.mount
[Unit]
Description=WSL Instances

[Mount]
What=/
Where=/mnt/wsl/instances/${WSL_DISTRO_NAME}
Type=none
Options=defaults,bind,X-mount.mkdir

[Install]
WantedBy=multi-user.target
EOF
sudo systemctl daemon-reload
sudo systemctl enable --now mnt-wsl-instances-${WSL_DISTRO_NAME}.mount

podman-remote run \
  -v /mnt/wsl/instances/${WSL_DISTRO_NAME}/`pwd`:/app \
  docker.io/library/busybox ls /app

前情提要

掛載 WSL2 的目錄到 Podman 中

Podman[1] 是一個由 Redhat[2] 主推的 Container[3] 工具,如果有用過容器的讀者們應該對於與其類似的 Docker[4] 不陌生,Podman 就是一個這樣的容器管理工具。

與 Docker 不同的是,Podman 另外引入了 Pod[5] 的概念,以及具有預設支援 rootless 及去 daemon 化等特色。

Podman Desktop

Podman 團隊在各平臺上推出了桌面管理工具 —— Podman Desktop[6],類似於 Docker Desktop 提供視覺化的管理功能外,也能協助使用者安裝 Podman 至系統中並提供各種設定及擴充功能。

有興趣從 Docker 跳船的讀者可以參考 Podman Desktop 提供的跳船指南: https://podman-desktop.io/docs/migrating-from-docker

Windows 下的 Podman

在 Windows 上,Podman 會在 Windows 中安裝 podman.exe,協助你在 Host 的 Command line 中輕鬆存取 Podman,例如我們可以打開一個 PowerShell(或 CMD),執行 podman version,即可看到類似下方截圖的結果:

掛載 WSL2 的目錄到 Podman 中

大家可以注意到,雖然我們可以在 Windows 下面執行 Podman 指令,但實際上的 Podman Engine 卻是執行在 Linux 上的,這是因為 Podman 目前只能管理 Linux Container,因此 Podman 決定將 Podman Engine 跑在 WSL2 中,如果有安裝 Windows Terminal 的話,可以從自動產生的下拉選單中發現一個新的 WSL2 的 Distro。

掛載 WSL2 的目錄到 Podman 中

並且 Podman 會幫你做好與 Windows Host 的整合,例如可以直接掛載 Windows 的目錄或檔案進容器中,例如:

PS C:\Users\Davy\podman-test> echo "Hi Podman from Windows" > hello.txt
PS C:\Users\Davy\podman-test> podman run --rm -v .\hello.txt:/hello.txt docker.io/library/busybox cat /hello.txt
Trying to pull docker.io/library/busybox:latest...
Getting image source signatures
Copying blob sha256:ec562eabd705d25bfea8c8d79e4610775e375524af00552fe871d3338261563c
Copying config sha256:65ad0d468eb1c558bf7f4e64e790f586e9eda649ee9f130cd0e835b292bbc5ac
Writing manifest to image destination
��Hi Podman from Windows
PS C:\Users\Davy\podman-test>

(請忽略那兩個看不見的 BOM 符號……)

也就是說,我們可以隨意地編寫 PowerShell 腳本(或 CMD 批次檔)來操作 Podman!😏

WSL2 下的 Podman

那麼,通常會使用 Podman 的話,應該會對 WSL2[7] 也不陌生吧!

於是,我們可能會想,既然 Windows Host 都能如此順暢地與 WSL2 中的 Podman 整合了,那麼原本就在 WSL2 的其他 Distro 應該可以更好地整合吧……嗎?

很可惜,Podman Desktop 只丟了一個頁面[8]告訴你,你要自己整合。

整合方式大致就是在 WSL2 中安裝一個 Podman,並將 podman-machine-default 提供的 Podman socket 接上這個 Podman,方法如下:

安裝 Podman / Podman Remote

Podman Desktop 推薦安裝 podman-remote[9] 作為你在 WSL2 中使用的 Podman CLI,安裝方式也很簡單,到 containers/podman 的 Release 頁面中下載適合的 podman-remote 執行檔後放入 $PATH(例如 /usr/local/bin/usr/bin) 中,並將 podman alias 成 podman-remote 或直接 ln -s podman-remote podman

接下來就可以嘗試在 WSL2 中執行看看 podman(或 podman-remote)了!

$ podman-remote ps
Cannot connect to Podman. Please verify your connection to the Linux system using `podman system connection list`, or try `podman machine init` and `podman machine start` to manage a new Linux VM
Error: unable to connect to Podman socket: Get "http://d/v5.1.2/libpod/_ping": dial unix /mnt/wsl/podman/podman-machine-default.socket: connect: connection refused

咦?為什麼不會動呢? 啊,原來是忘記將 podman-remotepodman-machine-default 中的 Podman 連結在一起了,還需要下面的設定才行:

$ podman-remote system connection add --default \
  podman-machine-default-root \
  unix:///mnt/wsl/podman-sockets/podman-machine-default/podman-root.sock
# usermod --append --groups 10 $(whoami)

設定完成之後重新登入 Shell(或重新打開一個新的 Terminal),再執行一次 podman-remote 看看:

$ podman-remote ps
CONTAINER ID  IMAGE       COMMAND     CREATED     STATUS      PORTS       NAMES
$ podman-remote run --rm quay.io/podman/hello
Trying to pull quay.io/podman/hello:latest...
Getting image source signatures
Copying blob sha256:81df7ff16254ed9756e27c8de9ceb02a9568228fccadbf080f41cc5eb5118a44
Copying config sha256:5dd467fce50b56951185da365b5feee75409968cbab5767b9b59e325fb2ecbc0
Writing manifest to image destination
!... Hello Podman World ...!

         .--"--.
       / -     - \
      / (O)   (O) \
   ~~~| -=(,Y,)=- |
    .---. /`  \   |~~
 ~/  o  o \~~~~.----. ~~
  | =(X)= |~  / (O (O) \
   ~~~~~~~  ~| =(Y_)=-  |
  ~~~~    ~~~|   U      |~~

Project:   https://github.com/containers/podman
Website:   https://podman.io
Desktop:   https://podman-desktop.io
Documents: https://docs.podman.io
YouTube:   https://youtube.com/@Podman
X/Twitter: @Podman_io
Mastodon:  @Podman_io@fosstodon.org
$

如此一來就可以在 WSL2 中操作與 Windows 摸到的同一個 Podman 了!

掛載 WSL2 中的路徑至 Podman

就算按照步驟將 WSL2 與 Podman 整合起來之後,你還會發現一些小小小問題 —— 例如掛載不到 WSL2 中的目錄……

~/podman-example$ echo "Hello from WSL2" > hello.txt
~/podman-example$ cat `pwd`/hello.txt
Hello from WSL2
~/podman-example$ podman-remote run --rm \
  -v `pwd`/hello.txt:/hello.txt \
  docker.io/library/busybox \
  cat /hello.txt
Error: statfs /home/davy/podman-example/hello.txt: no such file or directory
~/podman-example$

咦? 奇怪? 為什麼他會跟我說這個測試用的檔案不存在,明明直接 cat 會動的呀……

而且在 Docker 裡面如果這樣子做的話是會動的,為什麼在 Podman 中不行呢?

原來是在 Docker Desktop 中,對於掛載 WSL2 Distro 中的路徑時,Docker 會轉而向一個輔助工具求助,這個工具會協助 Docker 存取其他 WSL2 中的資料[10]。因為 WSL2 中各個 Distro 的資料是各自獨立的,所以 Docker/Podman 的 WSL2 預設沒有辦法直接存取其他 Distro 的資料,此時會導致掛載路徑時會只能在自己的 WSL2 中搜尋,我們可以來做個實驗:

我們嘗試將 /home 掛載到 Podman container 中,在此之前我們先來確認在兩個 WSL2 中的檔案狀態:

user@podman-machine-default:~ $ ls /home/
user

davy@Ubuntu:~ $ ls /home/
davy

接下來我們開始嘗試掛載:

davy@Ubuntu:~ $ podman-remote run --rm -v /home/:/the-home docker.io/library/busybox ls /the-home
user
davy@Ubuntu:~ $

可以看到,podman-remotepodman-machine-default 中的 /home 掛載到了容器中,而非我們期望的 WSL2 Distro 中的 /home

也就是說,--volume/-v 參數,不論在那個 WSL2 Distro,對應到的都是 podman-machine-default 中的路徑。

那麼,我們該如何掛載 WSL2 中其他 Distro 的路徑呢?

WSL2 的神奇共用目錄

在 WSL2 中,有一個神祕的路徑是全 WSL2 Distro 共享的,那就是 /mnt/wsl,Podman 也是藉由將 Podman Engine 的 socket 放在這個地方來讓其他 Distro 可以存取[11]。WSL2 將這個神奇目錄用在存放與全 Distro 共享的設定等資料,大家可以嘗試下面的指令:

$ ls -l /etc/resolv.conf
lrwxrwxrwx 1 root root 20 Jul 17 22:11 /etc/resolv.conf -> /mnt/wsl/resolv.conf
$ ls -l /mnt/wsl/resolv.conf
-rw-r--r-- 1 root root 213 Jul 13 09:12 /mnt/wsl/resolv.conf
$ cat /mnt/wsl/resolv.conf
# This file was automatically generated by WSL. To stop automatic generation of this file, add the following entry to /etc/wsl.conf:
# [network]
# generateResolvConf = false
nameserver 10.255.255.254
search local
$

可以看到其實所有 Distro 的 /etc/resolv.conf[12],都是指向 /mnt/wsl/resolv.conf,而這個檔案會被 WSL2 自動地更新,WSL2 藉由這個方式來讓所有的 Distro 共用相同的設定。

於是,我們可以透過這個神奇的小地方來把我們要分享的東西放在這裡,再讓 podman-machine-default 來這裡存取即可!

解決方案

既然知道了方法,那麼我們就往下來執行,最簡單的方式就是利用 mount 指令將 WSL2 各個 Distro 的根目錄分享到 /mnt/wsl 下面,如此一來 podman-machine-default 就可以存取到裡面的內容了![13]

$ echo $WSL_DISTRO_NAME
Ubuntu
# mount -t bind -o defaults,bind,X-mount.mkdir / /mnt/wsl/instances/${WSL_DISTRO_NAME}
$ ls /mnt/wsl/instances/
Ubuntu
$ ls /mnt/wsl/instances/Ubuntu/home/
davy
$ podman-remote run --rm \
  -v /mnt/wsl/instances/${WSL_DISTRO_NAME}`pwd`/hello.txt:/hello.txt \
  docker.io/library/busybox \
  cat /hello.txt
Hello from WSL2
$

終於成功啦!🎉

systemd.mount

目前主流版本的 WSL2 引擎都已經支援 systemd[14][15] 了,於是我們可以再多做一點事情 —— 自動掛載。

由於前面我們是手動使用 mount 指令來進行掛載,在每次 WSL2 重新啓動的時候都會復原,因此我們希望在 WSL2 啓動的時候就幫我們把這個 mountpoint 掛載上去,我們可以透過 systemd.mount 來幫我們完成這個任務。

/etc/systemd/system/ 下建立一個新的檔案 mnt-wsl-instances-${WSL_DISTRO_NAME}.mount,內容如下(此例中以 Ubuntu 取代 ${WSL_DISTRO_NAME},請讀者自行依照自己的環境作更換):

[Unit]
Description=WSL Instances

[Mount]
What=/
Where=/mnt/wsl/instances/${WSL_DISTRO_NAME}
Type=none
Options=defaults,bind,X-mount.mkdir

[Install]
WantedBy=multi-user.target

接下來執行下列指令來啓用這個 mount:

# umount /mnt/wsl/instances/${WSL_DISTRO_NAME}
$ ls /mnt/wsl/instances/${WSL_DISTRO_NAME}

# systemctl daemon-reload
# systemctl enable --now mnt-wsl-instances-${WSL_DISTRO_NAME}.mount
Created symlink /etc/systemd/system/multi-user.target.wants/mnt-wsl-instances-Ubuntu.mount → /etc/systemd/system/mnt-wsl-instances-Ubuntu.mount.
$ ls /mnt/wsl/instances/Ubuntu/home/
davy
$

這次終於是大功告成了!🎊

結語

其實原本不是要寫 Podman 相關的內容的…… 但剛好遇到要使用 Podman 的情景就想說順便把這件事情寫下來好了,原本是打算之後再跟大家分享的,現在提前先分享給大家 :)

Podman 在環境整合這方面真的還沒有做的 Docker 好,但還算在能搞懂原理的情況下自行 Hack,使用上或許沒有這麼方便,不過我個人還是覺得 Podman 還算是好用且方便的。

  1. 詳見官方網站: https://podman.io/ ↩︎

  2. 亦稱紅帽,主力開發及維護開源生態的軟體公司,其發行的 Redhat Enterprise Linux 常用於各種生產環境,詳見其官方網站: https://www.redhat.com/ ↩︎

  3. 此處專指 Linux Container,可參見維基百科《Containerization》條目 ↩︎

  4. 容器管理工具,詳見其官方網站: https://www.docker.com/ ↩︎

  5. 先出現與 Kubernetes 中的概念,為一組運算資源的最小管理單位,包含網路、掛載點等,詳見 K8s 的概念說明 ↩︎

  6. Podman 的桌面管理工具,詳見官方網站: https://podman-desktop.io/ ↩︎

  7. Windows Subsystem Linux 2,一個深度整合 Linux 執行環境於 Windows 中的解決方案,設計說明請參閱: https://learn.microsoft.com/en-us/windows/wsl/compare-versions#whats-new-in-wsl-2 ↩︎

  8. 請見: https://podman-desktop.io/docs/podman/accessing-podman-from-another-wsl-instance ↩︎

  9. 僅有遠端操作 Podman Engine 功能的閹割版 Podman CLI,使用說明詳見: https://docs.podman.io/en/latest/markdown/podman-remote.1.html ↩︎

  10. 原文節錄 "To make bind-mounts a seamless experience, we introduced a docker api proxy similar to the one we use for enabling bind mounts of Windows files that translates paths relative to the user distro into a path to the same file accessible from the LinuxKit container.",全文請見 https://www.docker.com/blog/new-docker-desktop-wsl2-backend/ ↩︎

  11. Podman 將 socket 放在 /mnt/wsl/podm an-sockets/podman-machine-default/podman-root.sock 來與其他 Distro 共用 ↩︎

  12. Linux 中用來設定 DNS 資訊的設定檔,詳見 man 5 resolv.conf 或這裡的存檔: https://man7.org/linux/man-pages/man5/resolv.conf.5.html ↩︎

  13. $WSL_DISTRO_NAME —— 此一環境變數會記錄當下環境的 WSL2 Distro 名稱 ↩︎

  14. 在 WSL v0.67.6+ 中可以啓用 systemd,詳見官方部落格: https://devblogs.microsoft.com/commandline/systemd-support-is-now-available-in-wsl/ ↩︎

  15. "systemd is a suite of basic building blocks for a Linux system. It provides a system and service manager that runs as PID 1 and starts the rest of the system.",節錄自官方網站: https://systemd.io/ ↩︎

]]><![CDATA[讓 macOS 根據不同 Domain 選擇 DNS 伺服器]]>https://blog.davy.tw/posts/dns-resolver-per-domain-on-macos/66951cb25cd7770001511574Mon, 15 Jul 2024 13:31:32 GMTTL;DR

/etc/resolver/ 下建立與目標 Domain 同名的設定檔。

背景

由於在 macOS 設定 DNS resolver 的時候,OS 選擇查詢的 resolver 可能不是按照順序的,所以只要有任何一個 resolver 搶先回 NXDOMAIN 就會讓你的查詢找不到 Domain,這對一些有非公開網域或偷偷自定網域的人們來說十分的困擾。

一般來說,我們可能會想讓 Domain Server 分成內外兩組,把只有自己查得到的 domain 讓內部的 DNS 來解析,剩餘的其他網域則是讓外部的 DNS 來解析就好了,省去讓內部 DNS 做 recursive 的麻煩。

但由於 macOS DNS resolving 的設計(或我們說 BSD 的設計),使得直接將全域 DNS 設定為內部優先,外部次之的這件事情變得無法進行,此時可以利用手動設定的方式來達到將不同 domain 指定到不同 DNS 的目的。

resolver(5)

man 5 resolver[1] 裡面有提到一件事情,/etc/resolv.conf 記錄的是「主要的」DNS resolver 設定[2],但其實所有的設定除了會從 /etc/resolv.conf 讀取以外,還會從 /etc/resolver/ 目錄下面讀取[3]

對於這個目錄裡面的設定檔除了與 resolv.conf 格式一致以外,還有一個限制是檔名必須與要搜尋的 domain 同名,在關於 domain 的這個設定值的說明是這樣說的:

Domain

Domain name associated with this resolver configuration. This option is normally not required by the Mac OS X DNS search system when the resolver configuration is read from a file in the /etc/resolver directory.
In that case the file name is used as the domain name.

However, "domain" must be provided when there are multiple resolver clients for the same domain name, since multiple files may not exist having the same name.

也就是說,我們可以在 /etc/resolver/ 下建立於我們想要額外設定個別網域的 resolver 設定檔。方法也很簡單,我們接下來就來嘗試做點實驗:

/etc/resolver/

假定我們想要個別設定的網域為 davy.home(當然,這個網域實際上並不存在於這個世界上),那麼我們只需要建立 /etc/resolver/davy.home[4] 這個檔案即可,內容如下:

domain davy.home
search davy.home
nameserver 10.10.10.10
nameserver 10.10.10.100

在這個範例中,我設定了兩組 nameserver 分別是 10.10.10.1010.10.10.100,大家可以根據自己的實際情況設定。

雖然文件中寫說 domain 在 macOS 中不是必須的,但我還是按照填寫的規則寫上了 davy.home,各位讀者可以自行嘗試將此欄位移除是否仍然會生效。

接下來我們會清除 macOS 的 DNS cache 並檢查看看設定後的結果是否與我們想像的一樣:

# killall -HUP mDNSResponder
$ scutil --dns
DNS configuration
...
resolver #8
  domain   : davy.home
  search domain[0] : davy.home
  nameserver[0] : 10.10.10.10
  nameserver[1] : 10.10.10.100
  flags    : Request A records
  reach    : 0x00000002 (Reachable)
...
$

透過 scutil[5] 可以確認系統的 resolver 已經特化出給 davy.home 使用的設定了,此時大家就可以在不改變 Global resolver 的情況下來穩定查詢 davy.home 了。

結語

透過獨立 DNS resolver 的設定讓我們可以指定不同網域的查詢方式,也可以讓我們的 Domain Server 減去了不必要的 recursion 的負擔,對於我們這種可能會有一些實驗用的私人網域來說,比起其他系統會循序查詢 resolver 的方式真的是方便了不少。

  1. 此處指的是 macOS 的 resolver(5) 條目,可以直接透過 man 5 resolver 查閱內容,或參考 FreeBSD 收錄的檔案內容 ↩︎

  2. 原文為 "Note that the /etc/resolv.conf file, which contains configuration for the default (or "primary") DNS resolver client, is maintained automatically by Mac OS X and should not be edited manually. Changes to the DNS configuration should be made by using the Network Preferences panel." ↩︎

  3. 原文為 "These are at present located by the system in the /etc/resolv.conf file and in the files found in the /etc/resolver directory." ↩︎

  4. 預設情況下 /etc/resolver/ 這個目錄並不存在,大家自行新增即可 ↩︎

  5. 關於 scutil 的使用說明可以從 man 8 scutilFreeBSD 的收錄的說明查閱 ↩︎

]]><![CDATA[macOS 神奇的 terminal compat mode]]>https://blog.davy.tw/posts/unix-03-compat-mode-in-macos/614f3c8a56deeb000160a8dbSun, 10 Oct 2021 16:50:24 GMT

TL;DR macOS 內建了一個 compat mode 可以使得部分 CLI 工具以 SUSv3 相容模式執行,試試看 COMMAND_MODE=[legacy|unix2003]

某天強者我朋友在社群軟體上面問了為什麼 macOS 的 less 明明在 manpage 中寫有 s (save log) 可以用,但實際按下去卻是往下捲一行……

我第一個想法當然是先看程式碼再說,看看是不是有什麼隱藏設定,但我一開始看了原版的 less 發現沒什麼可疑的地方,於是我轉念一想,那這說不定是 Apple 做的什麼神奇功能? 好在 less 是 GPL 授權,Apple 按照規定應該要放出原始碼來給大家。

於是我就找到了一個版本比較舊的(less-34)原始碼(我不知道為什麼現在 macOS 內建的已經到 100 多版了,但放出來的只有 v34……),而且還真的被我找到了一個可疑的地方[1]

/* 
 * Command table for UNIX 2003 compatibility: added first before builtin
 * so that these commands override the normal LESS commands
 */

static unsigned char UNIX03cmdtable[] =
{
	's',0,				A_F_LINE
};

Apple 在這個地方新增了一個按鍵映射,並且寫了一段註解告訴我們,這個按鍵覆蓋預設的 less 指令。 為何 Apple 在這裡多了一個奇怪的行為呢? 原來是 Apple 從 Mac OS X 10.3 就開始在內建的 CLI tools 裡面新增了這個 Single UNIX Specification v3 (SUSv3)[2] 相容模式,而某些終端機軟體預設就會把這個模式開啓(例如 iTerm2)而導致 less 等工具的行為與我們想像中的不太一樣。

在翻閱了文件[3]以及網路資料[4]之後發現,只要透過環境變數就可以控制這個相容模式的開啓與否,於是我們可以透過設定 COMMAND_MODE 這個環境變數來開關相容模式:

$ # 使用 SUSv3 相容模式
$ COMMAND_MODE=unix2003 less file.txt
$ # 不使用相容模式
$ COMMAND_MODE=legacy less file.txt

於是關掉相容模式之後就可以愉快的在 less 中使用 s 來 save log file 了!

  1. decode.c ↩︎

  2. 詳見維基百科〈Single UNIX Specification〉條目 ↩︎

  3. man 5 compat ↩︎

  4. https://www.oradba.ch/2011/04/mac-os-x-terminal-compatibility-settings/ ↩︎

]]><![CDATA[使用 M1 Mac 的一些小技巧]]>https://blog.davy.tw/posts/tips-on-m1-mac/600c008b8b52a70001c227f9Sat, 23 Jan 2021 12:54:58 GMT

前幾天拿到了新的 M1 MacBook Air,想說來試試看一些平常使用的工具以及 iOS App,結果發現很多常用的 iOS App 都還沒有開放 macOS 下載使用…… 但很多常用的工具都已經有原生支援的版本了,在使用上也沒有什麼太多的問題,但有些小技巧想分享給大家,希望大家在這個轉換之路(?)上可以再更順暢一些~

Rosetta 2 相關

這裡會列出一些與 Intel 相容模式(Rosetta 2)有關的一些小技巧:

原生支援?

在活動監視器(Activity Monitor)可以看到一個叫做「建築」[1]的欄位,在這裡我們可以看到有分成 Apple 以及 Intel,分別對應到原生 Apple silicon 以及 Rosetta 2[2] 相容的 Intel 模式。

使用 M1 Mac 的一些小技巧

如果你發現正在執行的應用程式是 Intel 表示他正在 Rosetta 2 底下運作。

手動安裝 Rosetta 2

個人覺得這個技巧至關重要,因為我曾經在 11.0.1 升級到 11.1 之後,Rosetta 就消失了,導致我還在用 Intel 架構的輸入法(對!連輸入法都可以靠 Rosetta 相容)死亡,也不知道為什麼 macOS 沒有主動提醒我要再安裝一次 Rosetta,直到我要安裝別的 Intel 應用程式時才又提醒,當時我才恍然大悟,原來我的 Rosetta 在升級的時候消失了……

方法也很簡單,只要打開終端機然後用軟體升級的方式安裝就可以了:

$ /usr/sbin/softwareupdate --install-rosetta --agree-to-license

雖然加了 --agree-to-license 之後就不會提醒你再看一次 SLA,但第一次使用前還是看一下吧XD

強制使用 Rosetta 來執行 Universal 應用程式

使用 M1 Mac 的一些小技巧

蘋果在轉換到 Apple silicon 的時候提出了一個以前[3]也用過的解決方案,對於這樣的通用架構應用程式,我們可以透過「取得資訊」來將通用架構應用程式設定為使用 Rosetta 開啓。

透過 CLI 強制使用 Rosetta

前面講的是可以將 .app 應用程式以 Rosetta 方式開啓的技巧,但如果在 CLI 下的話該如何操作呢?

方法也很簡單,我們可以透過 arch 這個指令來幫我們跳入 x86_64 的世界:

$ which uname
/usr/bin/uname
$ file /usr/bin/uname
/usr/bin/uname: Mach-O universal binary with 2 architectures: [x86_64:Mach-O 64-bit executable x86_64] [arm64e:Mach-O 64-bit executable arm64e]
/usr/bin/uname (for architecture x86_64):	Mach-O 64-bit executable x86_64
/usr/bin/uname (for architecture arm64e):	Mach-O 64-bit executable arm64e
$ uname -u
arm64
$ arch -arch x86_64 uname -u
x86_64
$

同理,我們也可以靠 arch 指令來讓我們打開一個 x86_64 的 Shell,在裡面運作的程式就都會以 x86_64 優先了:

$ arch -arch x86_64 bash
[x86_64] $ uname -m
x86_64
$ arch -arch arm64e bash
[arm64e] $ uname -m
arm64
[arm64e] $

雖然這個範例中表示可以在 x86_64 模式下再跳回 arm64e 模式[4],但其實這件事情在 11.0.1 的時候還是不行的,會噴出不認識的 architecture 錯誤,但在 11.1 之後就可以了!

透過 sysctl 取得目前是不是在 Rosetta 中運作

這個也是一個實用的小技巧,我們可以透過 sysctl 瞭解目前的環境是不是在 Rosetta 中:

$ sysctl -n sysctl.proc_translated
0
$ arch -arch x86_64 sysctl -n sysctl.proc_translated
1
$

如果 sysctl.proc_translated 的值是 1 表示目前正在 Rosetta 中執行。

iOS App 相關

這裡會列出一些與 iOS App 相關的小技巧:

安裝 ipa 後無法執行

使用 M1 Mac 的一些小技巧

有時候會遇到安裝 .ipa 之後,macOS 卻阻止你執行的情況,這時候有可能是因為這個 App 被上了 com.apple.quarantine 這個屬性,我們只要用下面的方式就可以解開束縛:

$ sudo xattr -dr com.apple.quarantine <Installed.app>

通常這個屬性代表的是不安全的應用程式,例如從瀏覽器下載回來的應用程式就會自動打上這個屬性,只是不知道為何從 ipa 安裝的 App 並不會提醒你是否允許執行,而是直接拒絕你執行。

CLI 相關

這裡列出一些跟 CLI 有關的小技巧,如果是有關如何在 CLI 執行 Rosetta 的話可以往上面的節次看:

安裝 Homebrew

這好像不管是不是 M1 Mac 都會用到,但由於 Homebrew 散佈的執行檔都是單一架構的,所以這邊會另外展示如何安裝 Intel 架構的 Homebrew(以取得 Intel 架構的執行檔)。

Apple Silicon 版本的 Homebrew,按照原先的安裝方式就可以了:

$ /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

再來是 Intel 架構的 Homebrew,雖然 Homebrew 是用 Ruby 撰寫而成,其實可以直接用前面提到的 arch 來切換至 Intel 架構執行,但我是建議把 Intel 架構用的 Homebrew 跟 Apple 架構用的 Homebrew 分開,避免 Homebrew 搞不清楚跨架構 library 之間的相依性。

所以我們需要用替代安裝[5]的方式把 Homebrew 安裝到指定的位置(這裡舉例是 /opt/homebrew.x86_64):

$ mkdir -p /opt/homebrew.x86_64
$ curl -L https://github.com/Homebrew/brew/tarball/master | tar xz --strip 1 -C /opt/homebrew.x86_64

接下來我會在我的 Terminal 中設定兩個 Profile,一個是 Apple 架構的 Shell、另一個是 Intel 架構的(一樣用 arch 關進 Intel 模式)Shell,並且在 shellrc 中加入環境偵測來判斷使用哪個 Homebrew:

# ~/.zprofile

if [ "$(sysctl -n sysctl.proc_translated)" = "1" ]; then
	eval $(/opt/homebrew.x86_64/bin/brew shellenv)
else
	eval $(/opt/homebrew/bin/brew shellenv)
fi

# ~/.config/fish/config.fish

set is_rosetta (sysctl -n sysctl.proc_translated)
if [ $is_rosetta = '1' ]
    set homebrew /opt/homebrew.x86_64/bin
else
    set homebrew /opt/homebrew/bin
end

set default_path /usr/local/bin /usr/bin /usr/sbin /bin /sbin
set -gx PATH $homebrew $default_path

雜記

最後小小抱怨一下 macOS 11.0.1 根本就是還沒有完成的版本……
Bug 有夠多[6],而且還沒辦法做雙向轉換(人家 Windows <> WSL 就可以互相呼叫),好險 11.1 之後這些缺點都有補回來。
再用一陣子也許還會再增加一些技巧,不過基於我還在複習 macOS(畢竟有好多年沒用 Mac 了……),所以可能需要再一下下才會更新XD

  1. 個人猜測是 Architecture 的翻譯啦…… 近年來蘋果很多名詞都會刻意找一個中文翻譯…… 以前不會的啊 QQ ↩︎

  2. Rosetta 2 可讓配備 Apple 晶片的 Mac 使用專為配備 Intel 處理器的 Mac 所開發的 App。 詳見 Apple 支援頁面 ↩︎

  3. 以前從 PowerPC 架構轉換至 Intel 架構時蘋果就有提出相同的解決方案,使得不同架構的應用程式可以同時存在於一個執行檔中。詳見維基百科的〈Universal Binary〉條目↩︎

  4. man arch 中有列出幾個可以使用的模式,包含:i386, x86_64, x86_64h(Haswell), arm64, arm64e(Apple Silicon)。 ↩︎

  5. 參考 Homebrew 安裝說明 ↩︎

  6. 有興趣看我踩到什麼雷的可以看看我發的廢推(ry ↩︎

]]><![CDATA[在 Ubuntu 裡面啓用 cgroups v2]]>https://blog.davy.tw/posts/enable-cgroups-v2-in-ubuntu/5fe4a2c18b52a70001c22760Thu, 24 Dec 2020 16:03:16 GMT因為最近跳了 Podman[1] 的坑,所以就想說順便玩玩 rootless container 好了,結果發現如果要用 rootless container 的話,Podman 在 cgroups v2 裡面才可以做各種資源限制,但 Ubuntu 預設只使用了 cgroups v1,所以下面就來看看要怎麼把它切到 v2 囉。

TL;DR

#!/bin/bash

echo 'GRUB_CMDLINE_LINUX_DEFAULT="${GRUB_CMDLINE_LINUX_DEFAULT} systemd.unified_cgroup_hierarchy=1"' | sudo tee /etc/default/grub.d/70-cgroup-unified.cfg
sudo update-grub

Kernel parameters

想要在 Systemd enabled Linux 裡面啓用 cgroups v2 的話可以直接在 kernel parameters 裡面加上 systemd.unified_cgroup_hierarchy=1[2] 即可在開機後使用 cgroups v2。

Grub

雖然在開機的時候可以手動修改 parameters,但總不可能每次開機的時候都手動調整,所以我們要靠修改 grub 開機選單來幫我們解決這個問題。

我們可以在 /etc/default/grub 裡面直接添加 GRUB_CMDLINE_LINUX_DEFAULT="systemd.unified_cgroup_hierarchy=1" 或是在 /etc/default/grub.d/ 下面新增一個檔案來載入設定,我自己會選擇後者[3],避免被其他設定檔覆蓋(例如: 50-curtin-settings.cfg 會覆寫 GRUB_CMDLINE_LINUX_DEFAULT):

# /etc/default/grub.d/70-cgroup-unified.cfg
GRUB_CMDLINE_LINUX_DEFAULT="${GRUB_CMDLINE_LINUX_DEFAULT} systemd.unified_cgroup_hierarchy=1"

修改完畢後執行 sudo update-grub 即可套用我們剛剛新增的設定,亦可從 /boot/grub/grub.cfg 檢查設定是否有誤,都沒問題後就可以直接重開機了!

檢查結果

我們可以在重開機之後看看系統是不是真的有把 cgroups v2 啓用,可以從 mount list 檢查:

$ mount | grep cgroup2
cgroup2 on /sys/fs/cgroup type cgroup2 (rw,nosuid,nodev,noexec,relatime)

也可以手動 mount 看看 cgroups2:

$ sudo mkdir -p /test-cgroups2
$ sudo mount -t cgroup2 none /test-cgroups2
$ ls /test-cgroups2
cgroup.controllers  cgroup.max.descendants  cgroup.stat             cgroup.threads
cgroup.max.depth    cgroup.procs            cgroup.subtree_control  ...
$ sudo umount /test-cgroups2
$ sudo rmdir /test-cgroups2

如果可以成功存取 cgroups2 的資源,基本上就是成功了!

  1. Podman, a Pod Manager tool. ↩︎

  2. cgroups - ArchWiki ↩︎

  3. 關於 /etc/default/grub.d 是如何被載入的,可以參考 /usr/sbin/grub-mkconfig 裡面的實作 ↩︎

]]><![CDATA[如何升級 EoL 的 Ubuntu 版本]]>https://blog.davy.tw/posts/howto-upgrade-from-eol-ubuntu/5fd847578b52a70001c22687Tue, 15 Dec 2020 06:00:36 GMT

最近有從 Ubuntu 18.10 升級的需求,但因為 18.10 早就在 2019/07/18 EoL 了,因此沒辦法直接使用 do-release-upgrade 升級,這個時候該怎麼辦呢?

TL;DR

  • 如果還在 Lifespan 的版本:直接 do-release-upgrade [-d]
  • 如果已經 EoL 的版本:
    • 選擇下一個版本
      • LTS:最近的 LTS (16.04 xenial -> 18.04 bionic
      • 非 LTS:最近的版本 (18.10 cosmic -> 19.04 disco
    #!/bin/bash
set -euo pipefail

NEXT_CODE='disco' # 下一個版本的 codename

# 把 apt 源切到 `http://old-releases.ubuntu.com/ubuntu/`
sudo sed -i -re 's/([a-z]{2}\.)?archive.ubuntu.com|security.ubuntu.com/old-releases.ubuntu.com/g' /etc/apt/sources.list
sudo apt update
sudo apt upgrade

pushd `mktemp -d`
curl http://old-releases.ubuntu.com/ubuntu/dists/${NEXT_CODE}-updates/main/dist-upgrader-all/current/${NEXT_CODE}.tar.gz | tar -zxf -
sudo python3 ./dist-upgrade.py

可以使用 do-release-upgrade 的場景

Ubuntu 提供 do-release-upgrade[1] 方便使用者更新到最新的發行版本,但其更新路線是有限制的。
一般來說 LTS 可以從上一個 LTS 或普通版本更新,而普通版本只能從上一個版本更新,例如 20.04 可以從 18.0419.10 更新上去,但 19.04 只能從 18.10 更新,更多資訊可以參考 Ubuntu wiki 的版本升級說明[2]

do-release-upgrade 決定下一個版本的方式可以從 /etc/update-manager/release-upgrades 修改,可以指定到最新普通版本還是最新 LTS 版本。
如果目前使用的版本可以直接更新到最新的版本的話那就直接用 do-release-upgrade [-d] 升級就可以了。

無法使用 do-release-upgrade 的場景

如果目前的版本已經不適用 do-release-upgrade 升級到最新版本或不打算使用的話,可以考慮從下一個版本的軟體源中下載升級工具:(把 ${NEXT_CODE} 換成下一個版本的 codename)

# 還在 Lifespan 的版本
http://archive.ubuntu.com/ubuntu/dists/${NEXT_CODE}-updates/main/dist-upgrader-all/current/${NEXT_CODE}.tar.gz
# 已經 EoL 的版本
http://old-releases.ubuntu.com/ubuntu/dists/${NEXT_CODE}-updates/main/dist-upgrader-all/current/${NEXT_CODE}.tar.gz

下載回來之後可以用 tar -zxf 解壓縮,然後執行 sudo python3 ./dist-upgrade.py 就可以進行更新。

EoL 版本無法 apt update 的解法

對於已經 EoL 的版本,Ubuntu 會將其軟體源移動到 http://old-releases.ubuntu.com/ubuntu[3] 來保存,大家可以直接把源切到這邊繼續使用,但因為已經 EoL 了的關係,還是建議趕快升級發行版吧 XDDD

  1. 大部分情況下會預載,或是可以 apt install update-manager-core 取得 ↩︎

  2. 19.04 Disco 可以從 18.10 升級;而 20.04 focal 則可以從 19.10/18.04 LTS 升級 ↩︎

  3. Old Ubuntu Releases ↩︎

]]><![CDATA[在 Vue.js 3 中取得 Listeners]]>https://blog.davy.tw/posts/access-listeners-in-vue3-components/5fca87268b52a70001c225a1Fri, 04 Dec 2020 19:52:20 GMT

由於 $listeners 在 Vue.js 3 中已經被移除了[1],如果要在 Component 中取用 Listeners 的話,就需要一點技巧了,我們這邊就分成兩個部分來討論。

TL;DR

  • 想 inherit 到 root 的事件:從 $attrs
  • 想註冊的事件:以 onCamelCase 的名稱註冊到 props

未註冊 emits 的事件:從 $attrs 取用

依照 Vue.js 3 的說明來看,$listeners$attrs 合併了,以前需要透過 v-bind="$attrs" v-on="$listeners" 來手動把屬性及監聽器傳遞到指定的 DOM 上,而現在只需要一個 v-bind="$attrs" 就可以搞定了。

因此我們可以直接從 $attrs 中來取得想要的 listener:

<template>
  <label>
    <input type="text" v-bind="$attrs" />
  </label>
</template>

<script>
export default {
  inheritAttrs: false,
  setup(props, { attrs }) {
    console.log(attrs) // => { onClick: () => {} }
  },
}
</script>

已註冊 emits 的事件:改用 props 註冊

對於需要註冊在 emits 的事件(如果 $emit() 時所發生的事件沒有被註冊到 emits 的話,Vue.js 3 會在發生事件的時候發出警告),這時上面的方式就不管用了……

<template>
  <label>
    <input type="text" v-bind="$attrs" />
  </label>
</template>

<script>
export default {
  inheritAttrs: false,
  emits: ['click'],
  setup(props, { attrs }) {
    console.log(attrs) // => {}
  },
}
</script>

這個時候該怎麼辦呢? 當然是先看一下為什麼 Vue.js 會有如此的差別啦,首先我們經歷千辛萬苦 trace 到了這裡(componentProps.ts#setFullProps()):

function setFullProps(instance, rawProps, props, attrs) {
    const [options, needCastKeys] = instance.propsOptions;
    if (rawProps) {
        for (const key in rawProps) {
            const value = rawProps[key];
            // ...
            
            // prop option names are camelized during normalization, so to support
            // kebab -> camel conversion here we need to camelize the key.
            let camelKey;
            if (options && shared.hasOwn(options, (camelKey = shared.camelize(key)))) {
                props[camelKey] = value;
            }
            else if (!isEmitListener(instance.emitsOptions, key)) {
                // Any non-declared (either as a prop or an emitted event) props are put
                // into a separate `attrs` object for spreading. Make sure to preserve
                // original key casing
                attrs[key] = value;
            }
        }
    }
    // ...
}

我們可以看到這裡的邏輯是:

  1. 如果這個 prop key 的 camelCase 版本是合法的 props 的話,那就塞進 props[camelKey] 裡面
  2. 如果這個 prop key 不是一個註冊在 emits 的屬性的話,那就塞進 attrs[key] 裡面

這裡可以很簡單的看出,如果註冊到 emits 的事件,其 onXXXXX 是既不會放進 props 也不會放進 attrs 的,跟我們觀察到的現象吻合。

那我們要怎麼處理呢? 很簡單,把原本註冊在 emits 裡面的事件,改註冊到 props 就好啦,這麼一來我們不就可以在 props 裡面取用監聽器了嗎?

當然,有研究精神的我們還是要來看一下 Vue.js 是怎麼處理 emit 事件的,要是我們註冊到 props 結果導致事件不能被監聽就好笑了,所以我們來看一下 emit 是怎麼做的囉(componentEmits.ts#emit()):

function emit(instance, event, ...rawArgs) {
    const props = instance.vnode.props || shared.EMPTY_OBJ;
    if (__DEV__) {
        const { emitsOptions, propsOptions: [propsOptions] } = instance;
        if (emitsOptions) {
            if (!(event in emitsOptions)) {
                if (!propsOptions || !(shared.toHandlerKey(event) in propsOptions)) {
                    warn(`Component emitted event "${event}" but it is neither declared in ` +
                        `the emits option nor as an "${shared.toHandlerKey(event)}" prop.`);
                }
            }
            else {
                const validator = emitsOptions[event];
                if (shared.isFunction(validator)) {
                    const isValid = validator(...rawArgs);
                    if (!isValid) {
                        warn(`Invalid event arguments: event validation failed for event "${event}".`);
                    }
                }
            }
        }
    }
    // ...
    
    // convert handler name to camelCase. See issue #2249
    let handlerName = shared.toHandlerKey(shared.camelize(event));
    let handler = props[handlerName];
    // for v-model update:xxx events, also trigger kebab-case equivalent
    // for props passed via kebab-case
    if (!handler && isModelListener) {
        handlerName = shared.toHandlerKey(shared.hyphenate(event));
        handler = props[handlerName];
    }
    if (handler) {
        callWithAsyncErrorHandling(handler, instance, ErrorCodes.COMPONENT_EVENT_HANDLER, args);
    }
    // ...
}

這邊我刻意地把 if (__DEV__) 段保留,其實看到裡面的敘述大概就可以理解了,Vue.js 在處理 emit()/$emit() 的時候,會先判斷這個事件是不是有被註冊在 emits 或以 onXXXXX[2] 的形式註冊在 props 裡,因此我們以 onXXXXX 的形式註冊在 props 中還是符合設計的。 並且,Vue.js 在處理 listener 的時候,也還是回頭去 VNode 的 props 中找 onXXXXX 的屬性來呼叫。

於是,我們就可以大膽的把有取得 listener 需求的事件註冊成 props 了:

<template>
  <label>
    <!-- 這裡的 $attrs 裡面已經不會有 onClick 了 -->
    <input type="text" v-bind="$attrs" />
  </label>
</template>

<script>
export default {
  inheritAttrs: false,
  props: ['onClick'], // 注意,這裡要使用 onCamelCase 的形式
  setup(props) {
    console.log(props.onClick) // => () => {}
  },
}
</script>

:tada: 大功告成!

結語

雖然不知道拿到 listeners 可以拿來做什麼(需要呼叫的話用 $emit() 就好了……),但至少在 trace code 的時候順便看一下 Vue.js 3 是怎麼設計的也不錯XD

(BTW,我是拿來判斷 cursor 要不要是 pointer 啦(逃)

備註: 原本的程式碼都是 TypeScript,筆者將型別部分及無關部分都簡化掉,方便讀者閱讀

  1. $listeners removed | Vue.js ↩︎

  2. shared.toHandlerKey 的實作便是 (str) => (str ? `on${capitalize(str)}` : ``) ↩︎

]]><![CDATA[在 WSL2 中使用 Ubuntu 桌面環境]]>https://blog.davy.tw/posts/running-ubuntu-desktop-in-wsl2/5efc38508b52a70001c22254Wed, 08 Jul 2020 07:10:56 GMT在 WSL2 中使用 Ubuntu 桌面環境

雖然微軟在 BUILD 2020 上已經宣佈,未來會讓 WSL2 可以執行 GUI 應用程式[1],但不知道什麼時候才會正式支援這個功能,對於想體驗看看效果到底如何的我呢,就打算先在 Windows 端啓動一個 X Window Server 來嚐鮮看看。

事前準備

首先,對於一個習慣 Ubuntu 的我來說,如果可以體驗到完整的 Ubuntu 桌面是再好不過了,換句話說,我們需要在上面可以跑一個完整的 Gnome Shell 環境,並加上 Ubuntu 的 Extension 們。

取得完整 systemd 環境

Gnome Shell 從 3.34 版開始,就已經跟 systemd 整合[2]了,也就是說,我們必須要先有一個完整的 systemd 環境才能順利的執行 Gnome Shell。由於 WSL2 的實作機制其實是啓動一個 Tiny Linux VM,然後利用 Linux Namespace 機制來執行並隔離各個發行版,並且由微軟實作了一個 init (PID 1) 來辦到快速啓動以及作為與 windows 溝通的橋樑[3]

也因此,在 WSL2 的系統裡面,其實是沒有啓用 systemd 的,我們可以簡單的透過下面的方式來檢查看看:

$ systemctl
System has not been booted with systemd as init system (PID 1). Can't operate.
Failed to connect to bus: Host is down
$ ps u -q 1
USER         PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root           1  0.0  0.0    908   592 ?        Sl   10:31   0:00 /init

可以很明顯的看到,當我們執行 systemctl 的時候,會顯示出我們的 init system (PID 1) 並非 systemd,而是微軟提供的 /init

那我們如果想要擁有一個 systemd 環境的話,該怎麼辦呢?

由於 systemd 必須以 PID 1 的方式執行,所以直接執行 systemd 是沒有用的,但多虧了 Linux Namespace 我們可以在 WSL2 中建立新的 Namespace 並把 systemd 作為 PID 1 來執行,也就是在 WSL2 中再多加一層 PID Namespace,使得我們可以建築一個 systemd 的環境並跳進這個新的 Namespace 中。

所幸,我們不需要自己來研究這部分該如何操作,GitHub 上已經有幾個專案可以直接拿來參考並使用:

我們下面會使用 DamionGans/ubuntu-wsl2-systemd-script 來當作範例,只要按照說明操作就可以了:

$ git clone https://github.com/DamionGans/ubuntu-wsl2-systemd-script.git
Cloning into 'ubuntu-wsl2-systemd-script'...
remote: Enumerating objects: 76, done.
remote: Counting objects: 100% (76/76), done.
remote: Compressing objects: 100% (55/55), done.
remote: Total 76 (delta 40), reused 41 (delta 21), pack-reused 0
Unpacking objects: 100% (76/76), 19.46 KiB | 996.00 KiB/s, done.
$ cd ubuntu-wsl2-systemd-script/
ubuntu-wsl2-systemd-script $ bash ubuntu-wsl2-systemd-script.sh
[sudo] password for davy:
Hit:1 http://security.ubuntu.com/ubuntu focal-security InRelease
Hit:2 http://archive.ubuntu.com/ubuntu focal InRelease
Hit:3 http://archive.ubuntu.com/ubuntu focal-updates InRelease
Hit:4 http://archive.ubuntu.com/ubuntu focal-backports InRelease
Reading package lists... Done
(Reading database ... 31836 files and directories currently installed.)
Preparing to unpack .../0-dbus-user-session_1.12.16-2ubuntu2.1_amd64.deb ...
Unpacking dbus-user-session (1.12.16-2ubuntu2.1) over (1.12.16-2ubuntu2) ...
Preparing to unpack .../1-dbus-x11_1.12.16-2ubuntu2.1_amd64.deb ...
Unpacking dbus-x11 (1.12.16-2ubuntu2.1) over (1.12.16-2ubuntu2) ...
Preparing to unpack .../2-dbus_1.12.16-2ubuntu2.1_amd64.deb ...
Unpacking dbus (1.12.16-2ubuntu2.1) over (1.12.16-2ubuntu2) ...
Preparing to unpack .../3-libdbus-1-3_1.12.16-2ubuntu2.1_amd64.deb ...
Unpacking libdbus-1-3:amd64 (1.12.16-2ubuntu2.1) over (1.12.16-2ubuntu2) ...
Selecting previously unselected package daemonize.
Preparing to unpack .../4-daemonize_1.7.8-1_amd64.deb ...
Unpacking daemonize (1.7.8-1) ...
Selecting previously unselected package fontconfig.
Preparing to unpack .../5-fontconfig_2.13.1-2ubuntu3_amd64.deb ...
Unpacking fontconfig (2.13.1-2ubuntu3) ...
Setting up fontconfig (2.13.1-2ubuntu3) ...
Regenerating fonts cache... done.
Setting up libdbus-1-3:amd64 (1.12.16-2ubuntu2.1) ...
Setting up dbus (1.12.16-2ubuntu2.1) ...
Setting up daemonize (1.7.8-1) ...
Setting up dbus-x11 (1.12.16-2ubuntu2.1) ...
Setting up dbus-user-session (1.12.16-2ubuntu2.1) ...
Processing triggers for systemd (245.4-4ubuntu3) ...
Processing triggers for man-db (2.9.1-1) ...
Processing triggers for libc-bin (2.31-0ubuntu9) ...
rm: cannot remove '/lib/systemd/system/sysinit.target.wants/proc-sys-fs-binfmt_misc.mount': No such file or directory
'\\wsl$\Ubuntu-20.04\home\davy\ubuntu-wsl2-systemd-script'
是目前用來啟動 CMD.EXE 的目錄路徑。不支援 UNC 路徑。
預設目錄是 Windows 目錄。

成功: 已經儲存指定的值。
'\\wsl$\Ubuntu-20.04\home\davy\ubuntu-wsl2-systemd-script'
是目前用來啟動 CMD.EXE 的目錄路徑。不支援 UNC 路徑。
預設目錄是 Windows 目錄。

成功: 已經儲存指定的值。
ubuntu-wsl2-systemd-script $

安裝完畢後我們需要重啓整個 WSL2,假定我們的 WSL 名稱是 ubuntu-20.04,在命令提示字元(CMD)中執行下列指令以關閉 WSL2:

> wsl.exe -t ubuntu-20.04

接者使用一般使用者啓動 WSL2,就可以發現有不一樣的地方了(多了一個啓動 systemd 的提示),透過檢查 PID 1 也可以發現整個環境已經是由 systemd 掌握了:

Sleeping for 1 second to let systemd settle
Welcome to Ubuntu 20.04 LTS (GNU/Linux 4.19.104-microsoft-standard x86_64)

$ ps u -q 1
USER         PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root           1  2.8  0.0 175224 12920 ?        Ss   21:48   0:06 /lib/systemd/systemd --system-unit=basic.target
$

移除用不到的 snap(可選)

由於 Ubuntu 安裝 systemd 時,會連 snap 也一併啓用,如果大家用不到的話可以把 snap 從系統中移除,這麼一來也可以提升啓動速度,我們可以看到系統啓動時也連著一些 snap 的元件一起啓動了(而且還不少 Processes):

$ ps aux
USER         PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root           1  1.3  0.0 108788 11360 ?        Ss   22:03   0:00 /lib/systemd/systemd --system-unit=basic.targ
root          43  2.1  0.1  45248 14600 ?        S<s  22:03   0:00 /lib/systemd/systemd-journald
root          61  0.4  0.0  21592  8496 ?        Ss   22:03   0:00 /lib/systemd/systemd-udevd
systemd+      63  1.2  0.0  18548  7896 ?        Ss   22:03   0:00 /lib/systemd/systemd-networkd
root         152  0.0  0.0  10572  4588 pts/0    S    22:03   0:00 /bin/login -p -f      'HOSTTYPE=x86_64' 'PWD=
root         219  1.2  0.0   3608  1792 ?        Ss   22:03   0:00 snapfuse /var/lib/snapd/snaps/core18_1705.sna
root         220  0.3  0.0   3660  1476 ?        Ss   22:03   0:00 snapfuse /var/lib/snapd/snaps/lxd_14804.snap
root         221  0.1  0.0   3488  1536 ?        Ss   22:03   0:00 snapfuse /var/lib/snapd/snaps/snapd_7264.snap
systemd+     228  1.1  0.0  24116 12592 ?        Ss   22:03   0:00 /lib/systemd/systemd-resolved
root         231  0.1  0.0 241020  9280 ?        Ssl  22:03   0:00 /usr/lib/accountsservice/accounts-daemon
message+     232  0.2  0.0   7428  4640 ?        Ss   22:03   0:00 /usr/bin/dbus-daemon --system --address=syste
root         235  0.3  0.1  29216 17788 ?        Ss   22:03   0:00 /usr/bin/python3 /usr/bin/networkd-dispatcher
syslog       236  0.1  0.0 224328  4296 ?        Ssl  22:03   0:00 /usr/sbin/rsyslogd -n -iNONE
root         238  2.1  0.2 1457156 35432 ?       Ssl  22:03   0:00 /usr/lib/snapd/snapd
root         240  1.1  0.0  16852  7728 ?        Ss   22:03   0:00 /lib/systemd/systemd-logind
root         261  0.0  0.0 236408  9084 ?        Ssl  22:03   0:00 /usr/lib/policykit-1/polkitd --no-debug
root         302  0.0  0.0   8540  2764 ?        Ss   22:03   0:00 /usr/sbin/cron -f
root         307  0.4  0.1 108036 20512 ?        Ssl  22:03   0:00 /usr/bin/python3 /usr/share/unattended-upgrad
daemon       308  0.0  0.0   3796  2200 ?        Ss   22:03   0:00 /usr/sbin/atd -f
root         318  0.0  0.0   7356  2172 tty1     Ss+  22:03   0:00 /sbin/agetty -o -p -- \u --noclear --keep-bau
root         326  0.0  0.0   5832  1744 ?        Ss   22:03   0:00 /sbin/agetty -o -p -- \u --noclear tty1 linux
davy         376  0.2  0.0  18444  9612 ?        Ss   22:03   0:00 /lib/systemd/systemd --user
davy         377  0.0  0.0 110132  3188 ?        S    22:03   0:00 (sd-pam)
davy         387  0.2  0.0  10048  4992 pts/0    S    22:03   0:00 -bash
davy         431  0.0  0.0  10604  3224 pts/0    R+   22:04   0:00 ps aux
$

首先我們先將所有 snap 都列出後,一個一個移除:

$ snap list
Name    Version   Rev    Tracking         Publisher   Notes
core18  20200311  1705   latest/stable    canonical✓  base
lxd     4.0.1     14804  latest/stable/…  canonical✓  -
snapd   2.44.3    7264   latest/stable    canonical✓  snapd
# snap remove lxd
# snap remove core18
# snap remove snapd
$ snap list
No snaps are installed yet. Try 'snap install hello-world'.
# apt purge snapd
$ ps aux
USER         PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root           1  0.6  0.0 109692 12692 ?        Ss   22:03   0:03 /lib/systemd/systemd --system-unit=basic.targ
root          43  0.1  0.1  53444 15456 ?        S<s  22:03   0:00 /lib/systemd/systemd-journald
root          61  0.0  0.0  21592  8496 ?        Ss   22:03   0:00 /lib/systemd/systemd-udevd
systemd+      63  0.1  0.0  18548  7896 ?        Ss   22:03   0:00 /lib/systemd/systemd-networkd
root         152  0.0  0.0  10572  4588 pts/0    S    22:03   0:00 /bin/login -p -f      'HOSTTYPE=x86_64' 'PWD=
systemd+     228  0.0  0.0  24116 12592 ?        Ss   22:03   0:00 /lib/systemd/systemd-resolved
root         231  0.0  0.0 241020  9280 ?        Ssl  22:03   0:00 /usr/lib/accountsservice/accounts-daemon
message+     232  0.0  0.0   7428  4640 ?        Ss   22:03   0:00 /usr/bin/dbus-daemon --system --address=syste
root         235  0.0  0.1  29216 17788 ?        Ss   22:03   0:00 /usr/bin/python3 /usr/bin/networkd-dispatcher
syslog       236  0.0  0.0 224328  4296 ?        Ssl  22:03   0:00 /usr/sbin/rsyslogd -n -iNONE
root         240  0.1  0.0  16852  7728 ?        Ss   22:03   0:00 /lib/systemd/systemd-logind
root         261  0.0  0.0 236408  9084 ?        Ssl  22:03   0:00 /usr/lib/policykit-1/polkitd --no-debug
root         302  0.0  0.0   8540  2764 ?        Ss   22:03   0:00 /usr/sbin/cron -f
root         307  0.0  0.1 108036 20512 ?        Ssl  22:03   0:00 /usr/bin/python3 /usr/share/unattended-upgrad
daemon       308  0.0  0.0   3796  2200 ?        Ss   22:03   0:00 /usr/sbin/atd -f
root         318  0.0  0.0   7356  2172 tty1     Ss+  22:03   0:00 /sbin/agetty -o -p -- \u --noclear --keep-bau
root         326  0.0  0.0   5832  1744 ?        Ss   22:03   0:00 /sbin/agetty -o -p -- \u --noclear tty1 linux
davy         376  0.0  0.0  18444  9708 ?        Ss   22:03   0:00 /lib/systemd/systemd --user
davy         377  0.0  0.0 110132  3188 ?        S    22:03   0:00 (sd-pam)
davy         387  0.0  0.0  10180  5252 pts/0    S    22:03   0:00 -bash
root        1168  0.0  0.1 283780 15888 ?        Ssl  22:07   0:00 /usr/lib/packagekit/packagekitd
davy        1273  0.0  0.0  10604  3316 pts/0    R+   22:11   0:00 ps aux

結束後我們就可以發現 Processes 數量減少了許多,讓我們的環境又稍微輕量了些。

在 Windows 準備 X Window Server

這邊有很多選擇,我選擇了 X410[4](付費),大家也可以選擇 VcXsrv[5] 之類的解決方案,這邊就不多贅述了,在這裡的範例中會需要將 X Window Server 開在 Windows 的 6000 port 上。

安裝 Ubuntu 桌面

接著我們就可以來安裝 Ubuntu 的預設桌面了,這裡會需要比較多的硬碟空間:

# apt install ubuntu-desktop
...
10 upgraded, 1077 newly installed, 0 to remove and 64 not upgraded.
Need to get 605 MB of archives.
After this operation, 2260 MB of additional disk space will be used.
Do you want to continue? [Y/n] y
...

安裝結束後,我們需要先取得 Windows 的 IP 位置[6],並嘗試對 X Window Server 連線看看:

$ cat /etc/resolv.conf
# This file was automatically generated by WSL. To stop automatic generation of this file, add the following entry to /etc/wsl.conf:
# [network]
# generateResolvConf = false
nameserver 172.17.160.1
$ nc -v 172.17.160.1 6000
Connection to 172.17.160.1 6000 port [tcp/x11] succeeded!
^C
$

成功連線後,我們可以撰寫一個啓動腳本,將 DISPLAY 指向 Windows 上的 X Window Server 中並且加上一些 Ubuntu 桌面的設定後執行 Gnome Shell:

$ cat - > gnome.sh <<'EOF'
#!/bin/bash
export DISPLAY=$(cat /etc/resolv.conf | grep nameserver | awk '{print $2}'):0.0;
export XDG_SESSION_TYPE="x11"
export XDG_RUNTIME_DIR=~/.cache/xdg
export XDG_SESSION_CLASS="user"
export XDG_SESSION_DESKTOP=ubuntu
export XDG_CURRENT_DESKTOP=ubuntu:GNOME
export DESKTOP_SESSION=ubuntu
export GDMSESSION=ubuntu
export GNOME_SHELL_SESSION_MODE=ubuntu

gnome-session "$@"
EOF
$ chmod +x gnome.sh
$ ./gnome.sh

在 WSL2 中使用 Ubuntu 桌面環境

當然,如果想要在這個桌面中執行 Windows CMD 也是沒有問題的,而系統也可以正確的偵測到 Virtualization 是 WSL 呢。

在 WSL2 中使用 Ubuntu 桌面環境

關閉 systemd-resolved

這裡是一個可選的項目,由於筆者在透過 /etc/resolv.conf 取得 Windows IP 時有遇到 resolv.conf 被 systemd-resolved 替換成 127.0.0.53 的問題,這邊提供一個方式將這個東西停用,操作完重啓 WSL2 即可:

# systemctl stop systemd-resolved
# systemctl disable systemd-resolved
Removed /etc/systemd/system/multi-user.target.wants/systemd-resolved.service.
Removed /etc/systemd/system/dbus-org.freedesktop.resolve1.service.

後記

由於目前的 WSL2 還沒有 GPGPU 加速,所以拿來執行 GUI 程式的話可能還是會有點 lag,微軟提出的最終方案是透過 RDP 來執行 GUI 應用程式也許會透過 RemoteApp 來將顯卡加速做在 Windows 端,但作為嚐鮮一下,目前的結果已經算是還可以的了XD

  1. 微軟在 BUILD 2020 上宣佈,將會讓 WSL2 可以執行 GUI 應用程式,並使用 Wayland 配合 RDP Protocol 來實作這個功能,詳見微軟部落格〈The Windows Subsystem for Linux BUILD 2020 Summary〉一文 ↩︎

  2. 關於 Gnome Shell 的這個變化,可以參考 Gnome Blog 的〈GNOME 3.34 is now managed using systemd〉一文。 ↩︎

  3. 對於 WSL2 的詳細架構,可以參考 BUILD 2019 的〈The new Windows subsystem for Linux architecture: a deep dive - BRK3068〉議程。 ↩︎

  4. https://x410.dev/ ↩︎

  5. https://sourceforge.net/projects/vcxsrv/ ↩︎

  6. https://docs.microsoft.com/zh-tw/windows/wsl/compare-versions#accessing-network-applications ↩︎

]]><![CDATA[在 Vue 中讓 localStorage 支援回應式設計]]>https://blog.davy.tw/posts/how-to-make-localstorage-reactive-vue/5ef9fb488b52a70001c21febMon, 29 Jun 2020 19:24:38 GMT

在許多當紅的網頁前端框架中,都採用了回應式設計(Reactive Design),讓狀態變化時自動通知框架來對視圖(View)進行重繪,但通常這麼方便的功能只會支援框架自己提出的 state 模型上,而這次我們來談談如何在 Vue.js[1] 中使用 localStorage[2] 並支援回應式設計吧。

Reactivity[3]

在 Vue.js 中,各個元件(Component)中都有一個 $data 欄位,用以存放回應式的狀態,Vue.js 會在狀態內部改變時,通知並重繪視圖。但在一般的情況下,如果不是存放在 $data 下的狀態是不會被追蹤的,除非我們手動跟 Vue.js 註冊這個物件,如下範例所示:

new Vue({
  el: '#app',
  data: {
    foo: 1,
  },
  created() {
    this.bar = 2
  },
  methods: {
    addFoo() {
      this.foo += 1
    },
    addBar() {
      this.bar += 1
    },
  },
})

See the Pen jOWGYYE by David Kuo (@david50407) on CodePen.

除非因為我們改變了 this.foo 而觸發更新,否則改變 this.bar 值的時候並不會觸發更新。

那是因為在初始化元件時,Vue 會對定義好的 $data 進行 Hook,讓裡面每個欄位的變化都可以被 Vue 所偵測,而 Vue 其實也有提供 API 讓我們可以自己來實作被 Vue 聽的物件,下面有兩個範例:

// Hook whole object
const foobar = Vue.observable({ fb: 3 })

new Vue({
  el: '#app',
  data: {
    foo: 1,
  },
  created() {
    this.foobar = foobar
    // Hook only on bar field
    Vue.util.defineReactive(this, 'bar', 2)
  },
  methods: {
    addFoo() {
      this.foo += 1
    },
    addBar() {
      this.bar += 1
    },
    addFooBar() {
      this.foobar.fb += 1
    }
  },
})

See the Pen JjGrMzL by David Kuo (@david50407) on CodePen.

Vue 的行為其實是利用了 Object.defineProperty[4] 來建立與欄位同名的 Getter/Setter[5],並在我們呼叫使用時記錄下這之間的相依關係,在塞入新值的時候通知這些被相依的部分來進行更新[6]

// vue@2.6.11:src/core/observer/index.js
export function defineReactive (obj, key, ...) {
  const dep = new Dep()
  // ...
  Object.defineProperty(obj, key, {
    // ...
    get() {
      // ...
      dep.depend()
      // ...
    },
    set(newVal) {
      // ...
      dep.notify()
    }
  })
}

而在該物件本來就有 Getter/Setter 的情況下,Vue 也會在 Hook 中進行呼叫以達到與大部分物件相容的可能性。

設計簡易 localStorage Vue.js Plugin

瞭解了 Vue 中 Reactivity 的機制之後,我們就可以來設計一下我們理想中的功能以及該如何進行實作,localStorage 有永續性儲存及跨瀏覽頁狀態的特性,適合做一些較為進階的功能。總之,我們先來設計一個簡單的 PoC 讓 Vue 會依據 localStorage 的內容作出更新:

class LocalStorage {
  static install (Vue, options) {
    const instance = new LocalStorage(Vue, options)
    
    Object.defineProperty(Vue.prototype, '$localStorage', {
      get: () => instance.storage,
    })

    Vue.localStorage = instance.storage
    
    return instance
  }
  
  static pack (value) {
    if (value === undefined)
      return undefined
    
    return JSON.stringify(value)
  }
  static unpack (value) {
    if (value === undefined)
      return undefined

    try {
      return JSON.parse(value)
    } catch (e) {
      return value
    }
  }

  constructor (Vue, { fields = [] }) {
    const storage = {}
    fields.forEach((property) => {
      Object.defineProperty(storage, property, {
        get: () => LocalStorage.unpack(window.localStorage.getItem(property)),
        set: (val) => window.localStorage.setItem(property, LocalStorage.pack(val)),
        configurable: true,
      })
      
      Vue.util.defineReactive(storage, property, storage[property])
    })
    
    this.storage = storage
  }
}

Vue.use(LocalStorage, {
  fields: ['num'],
})

new Vue({
  el: '#app',
  created() {
    if (this.$localStorage.num === undefined)
      this.$localStorage.num = 0
  },
  methods: {
    add() {
      this.$localStorage.num += 1
    },
  },
})

See the Pen ZEQXrar by David Kuo (@david50407) on CodePen.

從上面的 PoC 中已經可以發現,我們在跨元件甚至是跨 Vue 實例的情況下已經可以成功的同步 Vue.localStorage 中的東西了。我們就先以這個 PoC 來解釋整體的思路吧:

Vue.js Plugin Interface[7]

Vue 中提供了一個註冊 Plugin 的方法:

Vue.use(Plugin)

而 Vue 會去呼叫 Plugin.install 方法,並將 Vue 以及傳入 Vue.use 的參數都傳入這個方法中,如此以來我們就可以取得我們要擴充的這個 Vue(如果你同時有很多 Vue 實作的話……),我們在這裡只要做好 Vue 的擴充就好了,有關存取 localStorage 的實作我們放到 LocalStorage 這個 class 中進行:

class LocalStorage {
  // 定義 LocalStorage.install
  static install (Vue, options) {
    const instance = new LocalStorage(Vue, options)
    
    // 定義 vm.$localStorage
    Object.defineProperty(Vue.prototype, '$localStorage', {
      get: () => instance.storage,
    })

    // 定義 Vue.localStorage
    Vue.localStorage = instance.storage
    
    return instance
  }
}

實際操作 localStorage

在實際實作 localStorage 的時候,我們打算讓物件的型別儘可能的保留下來,這邊使用最簡單的方式實作 —— 透過 JSON.stringify[8]/JSON.parse[9],儘管這裡會把一些自定物件給統統轉換為 JSON 儲存而丟失型別,但先求有再求好,之後可以再來決定序列化/反序列化的方法:

class LocalStorage {
  // 序列化
  static pack (value) {
    if (value === undefined)
      return undefined
    
    return JSON.stringify(value)
  }
  // 反序列化
  static unpack (value) {
    if (value === undefined)
      return undefined

    try {
      return JSON.parse(value)
    } catch (e) {
      return value
    }
  }

  constructor (Vue, { fields = [] }) {
    const storage = {}
    // 對每個指定的 fields 進行定義
    fields.forEach((property) => {
      // 定義對應的 Getter/Setter 以直接存取 localStorage
      Object.defineProperty(storage, property, {
        get: () => LocalStorage.unpack(window.localStorage.getItem(property)),
        set: (val) => window.localStorage.setItem(property, LocalStorage.pack(val)),
        // 設為 configurable 以讓 Vue 進行 Hook
        configurable: true,
      })
      // 讓 Vue hook 對應欄位
      Vue.util.defineReactive(storage, property, storage[property])
    })
    
    this.storage = storage
  }
}

我們這邊使用一個空的 storage 物件來進行 Object.defineProperty 讓我們指定的欄位們在這個物件上都有受 Vue 監聽的 Getter/Setter,如此以來就可以簡單的在同一個頁面上分享 localStorage 了。

改良 LocalStorage Plugin

跨頁面同步更新

咦?我剛剛是說了「可以簡單的在同一個頁面上分享 localStorage」嗎?

如果各位把上面的範例開到不同的分頁中簡單的嘗試一下就可以發現,雖然在同一個頁面上的 localStorage 都可以跟著更新沒錯,但一遇到了跨頁面就無法自動更新了…… 這怎麼行?localStorage 的其中一個好處就是可以跨頁面儲存啊,如果不能做到跨頁面更新的話不就沒有什麼意義了。

所以我們接下來要進行改良,先從如何監聽更新開始,Javascript 提供了一個方便我們監聽 localStorage 從其他頁面更新了的事件 —— storage 事件[10]

window.addEventListener('storage', ({key, newValue}) => {
  if (key == 'num') {
    document.body.innerText = `num updates: ${newValue}`
  }
})

See the Pen QWyqmGr by David Kuo (@david50407) on CodePen.

所以我們只要在監聽到事件之後塞進去 Vue.localStorage 中就好了對吧?像這樣:

window.addEventListener('storage', ({key, newValue}) => {
  Vue.localStorage[key] = LocalStorage.unpack(newValue)
})

See the Pen XWXeEKQ by David Kuo (@david50407) on CodePen.

奇怪,為什麼還是沒有進行更新啊?

原來是 Vue 在 Hook 的 Setter 中有判斷,如果要塞進去的值跟目前的值(從 Getter 取出)相同的話,那麼為了效能考量而不會進行重繪[11],而從 Getter 直接取出的話實際上是會取出目前 localStorage 中最新的值(與 storage 事件中的 newValue 相同)導致 Vue 不會進行更新:

// vue@2.6.11:src/core/observer/index.js
export function defineReactive (obj, key, ...) {
  // ...
  Object.defineProperty(obj, key, {
    // ...,
    set(newVal) {
      const value = getter ? getter.call(obj) : val
      if (newVal === value || (newVal !== newVal && value !== value)) {
        return
      }
      // ...
    }
  })
}

所以我們必須得在前面再增加一層 Proxy 來讓 Getter 不會取得 localStorage 中最新的值,而是最後更新過的值才行,於是我在這裡設計了一個 Cache 機制,讓所有最後在這個頁面上更新過的內容都寫入 Cache 中,讀取時也會直接從 Cache 中讀取:

class LocalStorage {
  static createCache() {
    return new Proxy({}, {
      get(target, property, receiver) {
        if (!(property in target)) {
          target[property] = LocalStorage.unpack(window.localStorage.getItem(property))
        }
        
        return target[property]
      },
      set(target, property, value, receiver) {
        target[property] = value
        window.localStorage.setItem(property, LocalStorage.pack(value))
        
        return true
      },
    })
  }
}

See the Pen ZEQXoRp by David Kuo (@david50407) on CodePen.

這裡使用了 Proxy API[12] 來捕捉所有的 Get/Set Properties 行為,這樣就可以不管在 Cache 中寫入或讀取任何值都完美的被我們 Hook 起來了,其實在 Vue 3 中也是放棄了 Object.defineProperty 而改用 Proxy 來 Hook。

動態欄位

既然我們都使用了 Proxy 來幫我們捕捉在 Cache 中任意欄位的變化了,是不是也表示我們可以用一樣的方法來讓我們不需要再傳遞一個欄位清單到我們的 LocalStorage Plugin 了呢?

沒錯,馬上就來試驗一下:

class LocalStorage {
  constructor(Vue) {
    // ...
    this.storage = new Proxy({}, {
      get(target, property, receiver) {
        if (!target.hasOwnProperty(property)) {
          observeItem(target, property)
        }
        return target[property]
      },
      set(target, property, value) {
        if (!target.hasOwnProperty(property)) {
          observeItem(target, property)
        }
        
        target[property] = value
        return true
      },
    })
  }
}

See the Pen WNrZJmv by David Kuo (@david50407) on CodePen.

更好的動態欄位

很好,看起來只有被用到的 num 欄位被記錄在我們的 LocalStorage Plugin 裡面了。

咦?奇怪,如果 localStorage 中有其他欄位而我們卻還沒有 Get 過的話,在 Vue.localStorage 裡面就沒有辦法透過 Object.keys/in/for-in 等方法進行遍歷了…… 這樣不就跟沒有動態欄位一樣嗎?

好在 Proxy API 提供了更多的功能,可以讓我們對上面這些操作進行 Hook,於是我們就可以著手修改成下面的形式:

class LocalStorage {
  constructor(Vue) {
    // ...
    this.storage = new Proxy({}, {
      get(target, property, receiver) {
        // 我們只 Hook string property key
        if (!target.hasOwnProperty(property) && typeof property === 'string') {
          observeItem(target, property)
        }
        return target[property]
      },
      set(target, property, value) {
        // 我們只 Hook string property key
        if (!target.hasOwnProperty(property) && typeof property === 'string') {
          observeItem(target, property)
        }
        
        target[property] = value
        return true
      },
      deleteProperty(target, property) {
        delete _cache[property]
        // Keep Vue tracking this property
        target[property] = undefined
        
        return true
      },
      ownKeys(target) {
        // 從 window.localStorage 讀取 keys
        return Reflect.ownKeys(window.localStorage)
      },
      getOwnPropertyDescriptor(target, property) {
        // 從 windows.localStorage 讀取 property descriptor
        return Reflect.getOwnPropertyDescriptor(window.localStorage, property)
      },
      has(target, property) {
        // 判斷 windows.localStorage 中是否有該 property
        return property in window.localStorage
      },
    })
  }
}

See the Pen XWXeYWe by David Kuo (@david50407) on CodePen.

在 v-for 遍歷的時候,Vue 會嘗試取得 vm.$localStorage[[Symbol.iterator]] 導致我們原先寫的 get 會嘗試去監聽這個東西,而導致有錯誤被拋出,於是順便修改一下 Hook 的規則,改成只對 string key property 去監聽。

同時,這個範例其實也是我們這次的完整版,還偷偷加上了支援 delete 操作的方法,有興趣的同學就自己去看看吧 XD

後記

在研究如何實作一個 Reactive 的狀態並與 localStorage 同步的過程中也是第一次嘗試了 Proxy API 的寫法,其實寫起來還滿舒服的,有點期待 Vue 3 的更新了。

到時候應該會把本文寫的 Plugin 包成一個 package 丟到 npm 上面,大家也可以直接拿上面的程式碼去玩玩看,或是修改成符合自己用途的 Plugin 順便練習看看!

  1. 常見的 MVC 前端框架,見 Vue.js 官方網站以瞭解更多。 ↩︎

  2. 瀏覽器中獨有的 localStorage 功能,提供網頁前端儲存少許資料的空間,詳見 MDN 上面的說明↩︎

  3. 有關 Vue 中 Reactivity 的運作機制,可以參見 Vue 網站上的介紹↩︎

  4. 有關 Object.defineProperty 的說明,請參見 MDN 上的文件↩︎

  5. 有關 Getter/Setter 的說明,請參見 MDN 上的文件↩︎

  6. 原始碼請見 https://github.com/vuejs/vue/blob/v2.6.11/src/core/observer/index.js#L135↩︎

  7. 有關如何撰寫 Vue Plugin,在 Vue 官網上有一些基礎的範例↩︎

  8. 有關 JSON.stringify 的用法,請見 MDN 上的文件說明↩︎

  9. 有關 JSON.parse 的用法,請見 MDN 上的文件說明↩︎

  10. 有關 storage 事件的詳細資訊,可以參考 MDN 上的說明↩︎

  11. 原始碼請見 https://github.com/vuejs/vue/blob/v2.6.11/src/core/observer/index.js#L176↩︎

  12. 有關 Proxy 的用法,可以參考 MDN 上的說明↩︎

]]><![CDATA[在 WSL2 裡面使用 GPU 加速機器學習]]>https://blog.davy.tw/posts/microsoft-annouced-gpu-accelerated-machine-learning-on-wsl2/5eec18bf8b52a70001c21fa6Fri, 19 Jun 2020 01:56:31 GMT

微軟在 Microsoft Build 2020 時曾表示,將在 WSL2 中新增支援 NVIDIA CUDA 以及 DirectML 來讓 Linux 中的機器學習應用可以無痛直接放到 WSL2 中使用。

沒想到才過一個月,微軟就在 Windows 10 Insider (20150+, WSL2 Kernel 4.19.121+) 釋出了支援 NVIDIA CUDA 以及 DirectML 的功能,目前 NVIDIA CUDA 看起來是直接跟 NVIDIA 合作並釋出驅動程式來支援在 WSL2 中的 GPU 虛擬化;而 DirectML 則是跟 NVIDIA/AMD/Intel 合作釋出驅動程式[1],並在 TensorFlow 上面實作以 DirectML 為後端的版本,並向上游提交了 Pull Request[2]

沒想到微軟動作這麼快,看來是真的有在 WSL2 上面投注很多資源想要鞏固整個生態系,對我們這些開發者來說其實也是挺好的,選擇也變多了。XD

ref: https://blogs.windows.com/windowsdeveloper/2020/06/17/gpu-accelerated-ml-training-inside-the-windows-subsystem-for-linux/
ref: https://docs.microsoft.com/zh-tw/windows/win32/direct3d12/gpu-accelerated-training

  1. 截至本文發文時間為止,NVIDIA 僅釋出了可使用 CUDA 的驅動,而 DirectML 的版本則尚未釋出。 ↩︎

  2. https://github.com/tensorflow/community/pull/243 ↩︎

]]><![CDATA[如何從 NSSDB (certutil) 中取出 pem 格式的 key]]>https://blog.davy.tw/posts/how-to-extract-pem-format-key-from-nssdb-certutil/5e70e55a8b52a70001c21e0fTue, 17 Mar 2020 16:51:48 GMT

本篇提到的 certutil 系指 UNIX 系統下的 Certificate Database 管理工具,與 Windows Server 的 certutil 無關,若想了解 Windows Server 下的 certutil,請造訪: https://docs.microsoft.com/zh-tw/windows-server/administration/windows-commands/certutil

因為最近在玩 FreeIPA 的關係,會需要幫 https 服務簽署憑證,在理解如何使用 FreeIPA 簽署的同時,順便發現到了一個管理憑證與其金鑰的工具 —— certutil[1]

certutil 可以管理 NSS Database 裡面的憑證與金鑰,FreeIPA 中的 PKI 服務 Dogtag 亦使用此一工具來管理憑證,就連 Firefox 自有的憑證庫也是使用這個方式儲存。不過,雖然這個 toolset 很棒,但我的 https 服務只吃 pem 格式的憑證,但從 NSSDB 取出的金鑰則會是 p12[2] 格式,這裡需要再做一些人工的轉換,所以這裡筆記一下該如何使用這些工具順便簡單介紹一下從 FreeIPA 上簽發憑證的流程吧。

建立 NSSDB 並放入 CA

在跟 FreeIPA 請求憑證簽署之前,我們要先有自己的金鑰庫,所以我們要先透過 certutil 來建立金鑰庫並先匯入我們的 CA 憑證,先假設我們要把 NSSDB 存放在 ~/certs

$ mkdir -p ~/certs
$ certutil -N -d ~/certs # 建立新的 NSSDB
$ certutil -A -d ~/certs -n 'IPA CA' -t CT,, -a < ca.crt # 匯入 CA 憑證

certutil 的指令說明可以去參考使用手冊,這裡只會解釋有用到的部分:

  • -d 指定 NSSDB 位置
  • -N 建立新的 NSSDB
  • -A 匯入已存在的憑證
    • -n 給予該憑證一個暱稱(此例為 IPA CA
    • -t 設定該憑證的信任模式,這裡我們採取信任該 CA 簽署的任何 Server/Client SSL
    • -a 採 ASCII 編碼輸入/出

建立金鑰及憑證簽署請求

有了自己的金鑰庫之後,就是要產生金鑰及憑證簽署請求(Certificate Request)了,透過 certutil 我們可以一步同時產生兩者:

$ certutil -R -d ~/certs -a -g 4096 -s CN=web.example.com,O=EXAMPLE.COM > web.csr
  • -R 產生一個憑證簽署請求檔(.csr
    • -g 金鑰長度,預設為 1024(此例為 4096
    • -s 主體名稱(Subject),此處需填寫此憑證的 Common Name(通常是 FQDN),以及 FreeIPA 要求需填寫 Organization

若需要加入 SAN[3],可以再加上 --extSAN 參數,例如 --extSAN dns:web.example.com,dns:web.example.org

從 FreeIPA 簽發憑證

從 FreeIPA 簽發的部分可以從 Web UI 或 CLI 建立,這邊兩者都會介紹,請讀者自己選擇自己喜歡的方式:

via CLI

$ kinit admin # 先登入有權限簽發憑證的 IPA 帳號
Password for admin@EXAMPLE.COM:
$ ipa cert-request --principal=HTTP/web.example.com web.csr
Issuing CA: ipa
Certificate: ...
Subject: CN=web.example.com,O=EXAMPLE.COM
Issuer: CN=Certificate Authority,O=EXAMPLE.COM
Not Before: Wed Mar 18 00:00:00 2020 UTC
Not After: Thu Mar 17 00:00:00 2022 UTC
Serial number: 11 # <= 記下序號
Serial number (hex): 0xB
$ ipa cert-show 11 --out=web.crt # 填入序號(11)
Issuing CA: ipa
Certificate: ...
Subject: CN=web.example.com,O=EXAMPLE.COM
Issuer: CN=Certificate Authority,O=EXAMPLE.COM
Not Before: Wed Mar 18 00:00:00 2020 UTC
Not After: Sat Mar 19 00:00:00 2022 UTC
Serial number: 11
Serial number (hex): 0xB
Revoked: False
  • ipa cert-request 簽署憑證
    • --principal IPA 中的 Kerberos 主體
  • ipa cert-show 取得對應序號之憑證

取得憑證後,我們接下來就是要準備取得 pem 格式的金鑰了。

via Web UI

首先找到我們要簽署的服務(HTTP/web.example.com),然後按下 Service Certificate 中的 Add,並填入剛剛產生的 csr 內容:


接下來對剛剛產生的 Certificate 按下 Actions -> Get,就可以取得剛剛產生的憑證,我們先複製下來並儲存到 web.crt,然後就可以準備取得 pem 格式的金鑰了。


取得 pem 格式金鑰

終於要進入本篇主題了 —— 取得 NSSDB 中的金鑰,這裡我們還會需要 NSS Security Tools 裡的另一個工具 pk12util[4],他負責將 NSSDB 中的憑證及金鑰以 p12 的格式匯入/匯出,我們稍後要利用他匯出 p12 格式的金鑰並轉成 pem 格式。

匯入簽發憑證

在取得金鑰之前,我們必須先匯入剛剛取得的憑證,讓 NSSDB 知道我們有一個憑證對應到剛剛產生的金鑰,之後我們才可以將金鑰取出:

$ certutil -A -d ~/certs -n web -t u,u,u -i web.crt
  • -A 匯入已存在的憑證
    • -n 給予該憑證一個暱稱(此例為 web
    • -t 設定該憑證的信任模式,這裡我們信任該憑證作為驗證及簽章用
    • -i 憑證檔名

取出 p12 金鑰

成功匯入憑證之後我們就可以使用 pk12util 將金鑰匯出了:

$ pk12util -d ~/certs -n web -o web.p12

pk12util 的參數大致上都跟 certutil 差不多,執行完畢後會得到一個 p12 格式的金鑰 web.p12

轉換成 pem 金鑰

轉換的步驟也很簡單,透過萬能的 OpenSSL 就可以轉換了:

$ openssl pkcs12 -in web.p12 -out web.key -nocerts -nodes

經過轉換後的 pem 格式金鑰會被存放在 web.key 中,如果打開來看的話會發現除了金鑰本體,還會附上一些額外資訊如下,如果是要拿去給服務吃的話可以直接刪掉留下金鑰本體即可:

Tag Attributes
    friendlyName: web
    localKeyID: ...
Key Attributes: <No Attributes>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----

後記

之前有發過一篇關於使用 OpenSSL 來簽發中介 CA 的方法,這次改嘗試使用不同的工具來操作憑證,畢竟達到相同目的的工具百百種,多用一些抓到自己最順手的方式及工具可以大大的提升工作效率,如果有興趣使用 NSSDB 管理憑證及金鑰的朋友們可以多試試看,真的滿方便的,金鑰再也不會亂丟了 XDDDD

  1. 一個在 UNIX 系統下管理 Certificate Database 的工具,屬於 NSS Security Tools 的一部分,在 Debian/Ubuntu 下套件名為 libnss3-tools;RHEL/Fedora/CentOS 下則為 nss-tools。使用說明可以參考 MDNman 1 certutil↩︎

  2. PKCS #12,存放金鑰及憑證的一種格式,常見副檔名有 .p12.pfx,詳見維基百科上的《PKCS 12》條目 ↩︎

  3. Subject Alternative Name,為 X.509 extension 的一部分,支援單一憑證擴充描述替代用的主體名稱,可用來讓憑證支援多個 domain。 ↩︎

  4. 使用說明可以參考 MDNman 1 pk12util↩︎

]]><![CDATA[npm 被 GitHub 併購了]]>https://blog.davy.tw/posts/npm-is-accquired-by-github/5e6fc2c18b52a70001c21df2Mon, 16 Mar 2020 18:21:27 GMT

npm, Inc.(就是維護 npm registry 的那間公司)宣布被 GitHub 買下來了[1][2],registry 還是會一樣免費且開放的提供給大家。

要維持一間 startup 需要有很大的毅力,因為不只公司的運作、方向還有資金來源等,都是很大的課題,必須時時刻刻把心力放在上面,剛好 GitHub 也有意維運自己的 package registry,這對 npm 來說是一個大好的機會 —— 一個把自己出掉,託付給一個有目標且對 Open Source 文化有實質貢獻跟理想的機會。

npm, Inc. 雖然被買下來了,但他帶給大家的環境跟風氣卻會被留下來,希望 GitHub 接手之後可以把 npm registry 運作的更好、更完美。

  1. 原文在此: The npm Blog - Next Phase Montage ↩︎

  2. GitHub 亦在其部落格發表聲明 npm is joining GitHub - The GitHub blog ↩︎

]]><![CDATA[如何將 Rancher 串上 FreeIPA 驗證]]>https://blog.davy.tw/posts/how-to-configure-rancher-auth-with-freeipa/5e6cadeae95ecd00019bd986Sat, 14 Mar 2020 11:12:21 GMT因工作需求,最近在研究如何使用 Rancher[1] 來管理 Kubernetes[2] 叢集,於是打算在 Homelab 上也建一組,想說前幾個禮拜還在研究 FreeIPA[3] 乾脆把他們湊一堆好了 XD

準備 Service Account

在開始將 FreeIPA 驗證接進 Rancher 之前,Rancher 要求先在 IPA 裡面建立一個 Service Account 來提供 Rancher 查詢 Domain 下的使用者與群組,但這個建立 Service Account 的步驟無法從 FreeIPA Web 界面執行,必須手動將這個 Account 加入 LDAP 中[4],首先到 IPA master 上執行下列步驟:(假設 IPA domain 為 example.com

$ cat - <<-EOF > add-srvacct-rancher.ldif
dn: uid=rancher,cn=sysaccounts,cn=etc,dc=example,dc=com
changetype: add
objectclass: account
objectclass: simplesecurityobject
uid: rancher
userPassword: 2Brq/Ux4rs:2Dnt3#%Rx
nsIdleTimeout: 0
EOF
$ ldapmodify -x -D 'cn=Directory Manager' -W < add-srvacct-rancher.ldif
Enter LDAP Password: # Enter Dircetory Manager password
adding new entry "uid=rancher,cn=sysaccounts,cn=etc,dc=example,dc=com"
$

其中 dc=example,dc=com 記得換成自己的 IPA domain,以及自己產生 userPassword(筆者是使用密碼產生器產生)後記下,待會會在 Rancher 設定用到。

設定 Rancher

首先登入有 administrator 權限的帳號,並依照以下步驟設定 FreeIPA Authenticate:

  1. 在 Global 域中選擇 Security -> Authentication
  2. 選擇 FreeIPA
  3. 填入 FreeIPA 伺服器資訊
  4. 在 Service Account 相關資訊中填入剛剛建立的 Service Account
    • Service Account Distinguished Name(記得換成 IPA domain)
      • uid=rancher,cn=sysaccounts,cn=etc,dc=example,dc=com
    • Service Account Password
      • 剛剛建立的 userPassword
  5. 填入使用者資料庫相關資訊
    • User Search Base(記得換成 IPA domain)
      • cn=users,cn=accounts,dc=example,dc=com
    • Group Search Base(記得換成 IPA domain)
      • cn=groups,cn=accounts,dc=example,dc=com
  6. Customize Schema 的部分我會選擇調整使用者的帳號資訊對應
    • Username Attribute(使用者顯示名稱)
      • displayName
    • Login Attribute(使用者帳號)
      • uid
    • Search Attribute(搜尋欄位,在搜尋使用者時會去尋找的欄位,預設是姓名跟帳號)
      • uid
  7. 在 Test and enable authentication 中填入要與目前帳號綁定的 FreeIPA 帳號資訊
    • 根據 Rancher 的說明[5],在這裡填入的 FreeIPA 帳號(external principal)會自動對應到目前用來設定的管理員帳號(local principal),並會在設定成功之後自動改用 external principal 登入 Rancher
  8. 在設定完成後點擊 Authenticate with FreeIPA 即可完成設定

設定完成後發現會被 Rancher 自動以剛剛 test authentication 的帳號登入,並且同時又是剛剛設定時使用的管理員帳號,從 Preference 頁面可以看到這個現象,但不要緊張,只是因為 Rancher 把這兩個帳號綁定了,共用 local ID。

後記

這次的篇幅稍短,介紹的內容也是偏簡單,僅對於 FreeIPA 如何建立 Service Account 的部分有特別需要撰寫 ldif 來手動加入 LDAP。 不知道大家對於這種篇幅及類型的文章接受度如何,就先當作是嘗試看看,同時也是在回應筆者朋友兼大神 小飛機 提出的看法[6]「資訊太多,透過文字消化資訊和整理思緒」並為自己而寫,因此打算開始嘗試這種廢文體短篇筆記型的內容,同時用比較輕鬆的態度來發文看看 XD

  1. 管理 Kubernetes 叢集的工具,提供多叢集、ACL、自動部署、Web 界面等特點,該公司還有出很多 K8s 相關的其他工具,詳見官方網站 ↩︎

  2. Kubernetes 是用於自動部署、擴展和管理「容器化(containerized)應用程式」的開源系統,詳見其官方網站 ↩︎

  3. FreeIPA 是免費的開源身份管理系統,IPA 分別代表 Identity、Policy、Audit,同時也是 Red Hat Identity Manager 的上游開源專案,詳見其官方網站 ↩︎

  4. FreeIPA 的 HowTo/LDAP 頁面亦有提及如何新增 Service Account/System Account ↩︎

  5. https://rancher.com/docs/rancher/v2.x/en/admin-settings/authentication/#external-authentication-configuration-and-principal-users ↩︎

  6. 請見小飛機大大的文章《成為一名技術留跡者↩︎

]]><![CDATA[FreeNAS 要跟 TrueNAS 合併了]]>https://blog.davy.tw/posts/freenas-and-truenas-are-unifying/5e65eb7ee95ecd00019bd932Mon, 09 Mar 2020 07:24:10 GMT

同是 iXsystems 的 FreeNAS 要跟 TrueNAS 在名稱上統一了,改用 TrueNAS CORE/TrueNAS Enterprise 來取代原本 FreeNAS/TrueNAS 的名稱。

這個變動最快可以在 12.0 版本上看到,iX 還提到許多合併的好處:包含加速開發時程(從年更到半年更)、減少 QA 成本、跟 Upstream OS 跟更緊、簡化重複的文件、方便在兩個版本直接轉換等。兩者除了品牌合併之外,預計也會做到除了版本名稱不同,其 codebase 也會完全共享(iX 提到在 11.3 時兩者 codebase 已經有 95% 重複)。

另外 12.0 還預期可以看到 Open ZFS 2.0 的蹤影,自從 FreeBSD 宣佈要合併 ZFS 到 Open ZFS 就一直很令人期待,iX 也投入不少資源到 Open ZFS 上。

ref: https://www.ixsystems.com/blog/freenas-truenas-unification/

]]>