Seminārs RHEL 8 Beta: strādājošu tīmekļa lietojumprogrammu izveide

RHEL 8 Beta piedāvā izstrādātājiem daudzas jaunas iespējas, kuru uzskaitīšana varētu aizņemt lapas, tomēr praksē apgūt jaunas lietas vienmēr ir labāk, tāpēc zemāk piedāvājam semināru par aplikāciju infrastruktūras reālu izveidi uz Red Hat Enterprise Linux 8 Beta bāzes.

Ņemsim par pamatu Python, izstrādātāju vidū populāro programmēšanas valodu, Django un PostgreSQL kombināciju, kas ir diezgan izplatīta kombinācija lietojumprogrammu izveidei, un konfigurēsim RHEL 8 Beta darbam ar tām. Tad pievienosim vēl pāris (neklasificētas) sastāvdaļas.

Testa vide mainīsies, jo ir interesanti izpētīt automatizācijas iespējas, strādāt ar konteineriem un izmēģināt vides ar vairākiem serveriem. Lai sāktu darbu ar jaunu projektu, varat ar roku izveidot nelielu, vienkāršu prototipu, lai varētu precīzi redzēt, kam jānotiek un kā tas mijiedarbojas, un pēc tam pāriet uz automatizāciju un sarežģītāku konfigurāciju izveidi. Šodien mēs runājam par šāda prototipa izveidi.

Sāksim ar RHEL 8 Beta VM attēla izvietošanu. Varat instalēt virtuālo mašīnu no jauna vai izmantot KVM viesa attēlu, kas pieejams jūsu Beta abonementā. Izmantojot viesa attēlu, jums būs jākonfigurē virtuālais kompaktdisks, kurā būs metadati un lietotāja dati mākoņa inicializēšanai (Cloud-init). Ar diska struktūru vai pieejamajām pakotnēm nekas īpašs nav jādara; derēs jebkura konfigurācija.

Apskatīsim visu procesu tuvāk.

Django instalēšana

Izmantojot jaunāko Django versiju, jums būs nepieciešama virtuālā vide (virtualenv) ar Python 3.5 vai jaunāku versiju. Beta piezīmēs varat redzēt, ka Python 3.6 ir pieejams, pārbaudīsim, vai tas tā ir:

[cloud-user@8beta1 ~]$ python
-bash: python: command not found
[cloud-user@8beta1 ~]$ python3
-bash: python3: command not found

Red Hat aktīvi izmanto Python kā sistēmas rīkkopu RHEL, kāpēc tas rodas?

Fakts ir tāds, ka daudzi Python izstrādātāji joprojām apsver pāreju no Python 2 uz Python 2, savukārt pats Python 3 tiek aktīvi izstrādāts, un pastāvīgi parādās arvien jaunas versijas. Tāpēc, lai apmierinātu vajadzību pēc stabiliem sistēmas rīkiem, vienlaikus piedāvājot lietotājiem piekļuvi dažādām jaunām Python versijām, sistēma Python tika pārvietota uz jaunu pakotni un nodrošināja iespēju instalēt gan Python 2.7, gan 3.6. Plašāku informāciju par izmaiņām un to izdarīšanas iemeslu var atrast publikācijā Lengdona Vaita emuārs (Lendona Vaita).

Tātad, lai strādātu ar Python, jums ir jāinstalē tikai divas pakotnes, un python3-pip ir iekļauta kā atkarība.

sudo yum install python36 python3-virtualenv

Kāpēc neizmantot tiešos moduļu izsaukumus, kā to iesaka Lengdons, un instalēt pip3? Paturot prātā gaidāmo automatizāciju, ir zināms, ka Ansible darbībai būs nepieciešams instalēt pip, jo pip modulis neatbalsta virtualenvs ar pielāgotu pip izpildāmo failu.

Ja jūsu rīcībā ir strādājošs python3 tulks, varat turpināt Django instalēšanas procesu un izveidot funkcionējošu sistēmu kopā ar citiem mūsu komponentiem. Internetā ir pieejamas daudzas ieviešanas iespējas. Šeit ir viena versija, taču lietotāji var izmantot savus procesus.

Mēs instalēsim PostgreSQL un Nginx versijas, kas pēc noklusējuma ir pieejamas RHEL 8, izmantojot Yum.

sudo yum install nginx postgresql-server

PostgreSQL būs nepieciešams psycopg2, taču tam ir jābūt pieejamam tikai virtualenv vidē, tāpēc mēs to instalēsim, izmantojot pip3 kopā ar Django un Gunicorn. Bet vispirms mums ir jāiestata virtualenv.

Vienmēr ir daudz diskusiju par tēmu, kā izvēlēties pareizo vietu Django projektu instalēšanai, taču, ja rodas šaubas, vienmēr varat vērsties pie Linux failu sistēmas hierarhijas standarta. Konkrēti, FHS saka, ka /srv tiek izmantots, lai: “saglabātu resursdatoram raksturīgus datus — datus, ko sistēma ražo, piemēram, tīmekļa servera datus un skriptus, datus, kas tiek glabāti FTP serveros un kontroles sistēmas krātuvēs.” versijas (parādās FHS -2.3 2004. gadā).

Tas ir tieši mūsu gadījums, tāpēc visu nepieciešamo ievietojam /srv, kas pieder mūsu lietojumprogrammas lietotājam (cloud-user).

sudo mkdir /srv/djangoapp
sudo chown cloud-user:cloud-user /srv/djangoapp
cd /srv/djangoapp
virtualenv django
source django/bin/activate
pip3 install django gunicorn psycopg2
./django-admin startproject djangoapp /srv/djangoapp

PostgreSQL un Django iestatīšana ir vienkārša: izveidojiet datu bāzi, izveidojiet lietotāju, konfigurējiet atļaujas. Viena lieta, kas jāpatur prātā, sākotnēji instalējot PostgreSQL, ir postgresql-setup skripts, kas tiek instalēts kopā ar postgresql-servera pakotni. Šis skripts palīdz veikt pamata uzdevumus, kas saistīti ar datu bāzes klasteru administrēšanu, piemēram, klastera inicializēšanu vai jaunināšanas procesu. Lai konfigurētu jaunu PostgreSQL gadījumu RHEL sistēmā, mums ir jāpalaiž komanda:

sudo /usr/bin/postgresql-setup -initdb

Pēc tam varat startēt PostgreSQL, izmantojot systemd, izveidot datu bāzi un iestatīt projektu Django. Neaizmirstiet restartēt PostgreSQL pēc izmaiņu veikšanas klienta autentifikācijas konfigurācijas failā (parasti pg_hba.conf), lai konfigurētu paroles krātuvi lietojumprogrammas lietotājam. Ja rodas citas grūtības, noteikti mainiet IPv4 un IPv6 iestatījumus failā pg_hba.conf.

systemctl enable -now postgresql

sudo -u postgres psql
postgres=# create database djangoapp;
postgres=# create user djangouser with password 'qwer4321';
postgres=# alter role djangouser set client_encoding to 'utf8';
postgres=# alter role djangouser set default_transaction_isolation to 'read committed';
postgres=# alter role djangouser set timezone to 'utc';
postgres=# grant all on DATABASE djangoapp to djangouser;
postgres=# q

Failā /var/lib/pgsql/data/pg_hba.conf:

# IPv4 local connections:
host    all        all 0.0.0.0/0                md5
# IPv6 local connections:
host    all        all ::1/128                 md5

Failā /srv/djangoapp/settings.py:

# Database
DATABASES = {
   'default': {
       'ENGINE': 'django.db.backends.postgresql_psycopg2',
       'NAME': '{{ db_name }}',
       'USER': '{{ db_user }}',
       'PASSWORD': '{{ db_password }}',
       'HOST': '{{ db_host }}',
   }
}

Pēc faila settings.py konfigurēšanas projektā un datu bāzes konfigurācijas iestatīšanas varat startēt izstrādes serveri, lai pārliecinātos, ka viss darbojas. Pēc izstrādes servera palaišanas ieteicams izveidot administratora lietotāju, lai pārbaudītu savienojumu ar datu bāzi.

./manage.py runserver 0.0.0.0:8000
./manage.py createsuperuser

WSGI? Vai?

Izstrādes serveris ir noderīgs testēšanai, taču, lai palaistu lietojumprogrammu, ir jākonfigurē atbilstošais serveris un starpniekserveris tīmekļa servera vārtejas saskarnei (WSGI). Ir vairākas izplatītas kombinācijas, piemēram, Apache HTTPD ar uWSGI vai Nginx ar Gunicorn.

Tīmekļa servera vārtejas saskarnes uzdevums ir pārsūtīt pieprasījumus no tīmekļa servera uz Python tīmekļa ietvaru. WSGI ir šausmīgās pagātnes relikts, kad pastāvēja CGI dzinēji, un mūsdienās WSGI ir de facto standarts neatkarīgi no izmantotā tīmekļa servera vai Python ietvara. Bet, neskatoties uz tā plašo izmantošanu, strādājot ar šiem ietvariem, joprojām ir daudz nianses un daudzas izvēles iespējas. Šajā gadījumā mēs mēģināsim izveidot mijiedarbību starp Gunicorn un Nginx, izmantojot ligzdu.

Tā kā abi šie komponenti ir instalēti vienā serverī, mēģināsim tīkla ligzdas vietā izmantot UNIX ligzdu. Tā kā saziņai jebkurā gadījumā ir nepieciešama ligzda, mēģināsim spert vēl vienu soli un konfigurēt Gunicorn ligzdas aktivizēšanu, izmantojot systemd.

Socket aktivizēto pakalpojumu izveides process ir diezgan vienkāršs. Vispirms tiek izveidots vienības fails, kurā ir ListenStream direktīva, kas norāda uz vietu, kurā tiks izveidota UNIX ligzda, pēc tam pakalpojuma vienības fails, kurā direktīva Requires norāda uz ligzdas vienības failu. Pēc tam servisa vienības failā atliek tikai izsaukt Gunicorn no virtuālās vides un izveidot WSGI saiti UNIX ligzdai un Django lietojumprogrammai.

Šeit ir daži vienības failu piemēri, kurus varat izmantot par pamatu. Vispirms mēs uzstādām kontaktligzdu.

[Unit]
Description=Gunicorn WSGI socket

[Socket]
ListenStream=/run/gunicorn.sock

[Install]
WantedBy=sockets.target

Tagad jums ir jākonfigurē Gunicorn dēmons.

[Unit]
Description=Gunicorn daemon
Requires=gunicorn.socket
After=network.target

[Service]
User=cloud-user
Group=cloud-user
WorkingDirectory=/srv/djangoapp

ExecStart=/srv/djangoapp/django/bin/gunicorn 
         —access-logfile - 
         —workers 3 
         —bind unix:gunicorn.sock djangoapp.wsgi

[Install]
WantedBy=multi-user.target

Nginx ir vienkārši izveidot starpniekservera konfigurācijas failus un iestatīt direktoriju statiskā satura glabāšanai, ja tādu izmantojat. RHEL Nginx konfigurācijas faili atrodas mapē /etc/nginx/conf.d. Varat kopēt šo piemēru failā /etc/nginx/conf.d/default.conf un sākt pakalpojumu. Noteikti iestatiet servera_nosaukumu, lai tas atbilstu jūsu resursdatora nosaukumam.

server {
   listen 80;
   server_name 8beta1.example.com;

   location = /favicon.ico { access_log off; log_not_found off; }
   location /static/ {
       root /srv/djangoapp;
   }

   location / {
       proxy_set_header Host $http_host;
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header X-Forwarded-Proto $scheme;
       proxy_pass http://unix:/run/gunicorn.sock;
   }
}

Palaidiet Gunicorn ligzdu un Nginx, izmantojot systemd, un esat gatavs sākt testēšanu.

Slikta vārtejas kļūda?

Ja ievadāt adresi pārlūkprogrammā, visticamāk, tiks parādīta kļūda 502 Bad Gateway. To var izraisīt nepareizi konfigurētas UNIX ligzdas atļaujas vai arī sarežģītākas problēmas, kas saistītas ar piekļuves kontroli SELinux.

Nginx kļūdu žurnālā var redzēt šādu rindiņu:

2018/12/18 15:38:03 [crit] 12734#0: *3 connect() to unix:/run/gunicorn.sock failed (13: Permission denied) while connecting to upstream, client: 192.168.122.1, server: 8beta1.example.com, request: "GET / HTTP/1.1", upstream: "http://unix:/run/gunicorn.sock:/", host: "8beta1.example.com"

Ja pārbaudīsim Gunicorn tieši, mēs saņemsim tukšu atbildi.

curl —unix-socket /run/gunicorn.sock 8beta1.example.com

Noskaidrosim, kāpēc tas notiek. Atverot žurnālu, visticamāk, redzēsit, ka problēma ir saistīta ar SELinux. Tā kā mēs darbinām dēmonu, kuram nav izveidota politika, tas ir atzīmēts kā init_t. Pārbaudīsim šo teoriju praksē.

sudo setenforce 0

Tas viss var izraisīt kritiku un asiņu asaras, taču tas ir tikai prototipa atkļūdošana. Atspējosim pārbaudi, lai pārliecinātos, ka tā ir problēma, un pēc tam visu atgriezīsim savās vietās.

Atsvaidzinot lapu pārlūkprogrammā vai atkārtoti palaižot mūsu curl komandu, varat redzēt Django testa lapu.

Tātad, pārliecinājušies, ka viss darbojas un vairs nav atļauju problēmu, mēs atkal iespējojam SELinux.

sudo setenforce 1

Šeit es nerunāšu par audit2allow vai uz brīdinājumiem balstītu politiku izveidi, izmantojot sepolgen, jo pašlaik nav īstas Django lietojumprogrammas, tāpēc nav pilnīgas kartes par to, kam Gunicorn varētu vēlēties piekļūt un kam tai vajadzētu liegt piekļuvi. Tāpēc ir nepieciešams, lai SELinux darbotos, lai aizsargātu sistēmu, vienlaikus ļaujot lietojumprogrammai darboties un atstāt ziņojumus audita žurnālā, lai pēc tam no tiem varētu izveidot faktisko politiku.

Atļaujošo domēnu norādīšana

Ne visi ir dzirdējuši par atļautajiem domēniem SELinux, taču tie nav nekas jauns. Daudzi pat strādāja ar viņiem, pat neapzinoties. Kad politika tiek izveidota, pamatojoties uz audita ziņojumiem, izveidotā politika atspoguļo atrisināto domēnu. Mēģināsim izveidot vienkāršu atļauju izsniegšanas politiku.

Lai izveidotu konkrētu atļauto domēnu Gunicorn, jums ir nepieciešama sava veida politika, kā arī jāatzīmē atbilstoši faili. Turklāt ir nepieciešami instrumenti, lai izveidotu jaunas politikas.

sudo yum install selinux-policy-devel

Atļauto domēnu mehānisms ir lielisks rīks problēmu identificēšanai, īpaši, ja runa ir par pielāgotu lietojumprogrammu vai lietojumprogrammām, kas tiek piegādātas bez jau izveidotām politikām. Šajā gadījumā Gunicorn atļautā domēna politika būs pēc iespējas vienkāršāka — deklarējiet galveno tipu (gunicorn_t), deklarējiet veidu, ko izmantosim, lai atzīmētu vairākus izpildāmos failus (gunicorn_exec_t), un pēc tam iestatiet pāreju, lai sistēma pareizi atzīmētu. darbojas procesi. Pēdējā rindā politika tiek iestatīta kā iespējota pēc noklusējuma tās ielādes laikā.

gunicorn.te:

policy_module(gunicorn, 1.0)

type gunicorn_t;
type gunicorn_exec_t;
init_daemon_domain(gunicorn_t, gunicorn_exec_t)
permissive gunicorn_t;

Varat apkopot šo politikas failu un pievienot to savai sistēmai.

make -f /usr/share/selinux/devel/Makefile
sudo semodule -i gunicorn.pp

sudo semanage permissive -a gunicorn_t
sudo semodule -l | grep permissive

Pārbaudīsim, vai SELinux nebloķē kaut ko citu, nevis to, kam piekļūst mūsu nezināmais dēmons.

sudo ausearch -m AVC

type=AVC msg=audit(1545315977.237:1273): avc:  denied { write } for pid=19400 comm="nginx" name="gunicorn.sock" dev="tmpfs" ino=52977 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:var_run_t:s0 tclass=sock_file permissive=0

SELinux neļauj Nginx ierakstīt datus UNIX ligzdā, ko izmanto Gunicorn. Parasti šādos gadījumos politika sāk mainīties, taču priekšā ir citi izaicinājumi. Varat arī mainīt domēna iestatījumus no ierobežojuma domēna uz atļauju domēnu. Tagad pārvietosim httpd_t uz atļauju domēnu. Tādējādi Nginx tiks nodrošināta nepieciešamā piekļuve, un mēs varēsim turpināt turpmāko atkļūdošanas darbu.

sudo semanage permissive -a httpd_t

Tātad, kad jums ir izdevies saglabāt SELinux aizsardzību (jums tiešām nevajadzētu atstāt SELinux projektu ierobežotā režīmā) un atļauju domēni ir ielādēti, jums ir jāizdomā, kas tieši ir jāatzīmē kā gunicorn_exec_t, lai viss darbotos pareizi. atkal. Mēģināsim apmeklēt vietni, lai redzētu jaunus ziņojumus par piekļuves ierobežojumiem.

sudo ausearch -m AVC -c gunicorn

Jūs redzēsit daudz ziņojumu, kas satur “comm="gunicorn", kas veic dažādas darbības failos, kas atrodas /srv/djangoapp, tāpēc šī acīmredzami ir viena no komandām, ko ir vērts atzīmēt.

Bet papildus tiek parādīts šāds ziņojums:

type=AVC msg=audit(1545320700.070:1542): avc:  denied { execute } for pid=20704 comm="(gunicorn)" name="python3.6" dev="vda3" ino=8515706 scontext=system_u:system_r:init_t:s0 tcontext=unconfined_u:object_r:var_t:s0 tclass=file permissive=0

Ja skatāties uz gunicorn pakalpojuma statusu vai palaižat komandu ps, jūs neredzēsit nevienu darbīgu procesu. Šķiet, ka gunicorn mēģina piekļūt Python tulkam mūsu virtualenv vidē, iespējams, lai palaistu darbinieku skriptus. Tagad atzīmēsim šos divus izpildāmos failus un pārbaudīsim, vai varam atvērt mūsu Django testa lapu.

chcon -t gunicorn_exec_t /srv/djangoapp/django/bin/gunicorn /srv/djangoapp/django/bin/python3.6

Lai varētu atlasīt jauno atzīmi, ir jārestartē lielradža pakalpojums. Varat to nekavējoties restartēt vai apturēt pakalpojumu un ļaut ligzdai to palaist, atverot vietni pārlūkprogrammā. Pārbaudiet, vai procesi ir saņēmuši pareizās etiķetes, izmantojot ps.

ps -efZ | grep gunicorn

Neaizmirstiet vēlāk izveidot normālu SELinux politiku!

Ja tagad aplūkojat AVC ziņojumus, pēdējā ziņojumā ir permissive=1 visam, kas saistīts ar lietojumprogrammu, un permissive=0 pārējai sistēmai. Ja saprotat, kāda veida piekļuve nepieciešama reālai lietojumprogrammai, varat ātri atrast labāko veidu, kā atrisināt šādas problēmas. Bet līdz tam vislabāk ir nodrošināt sistēmas drošību un iegūt skaidru, izmantojamu Django projekta auditu.

sudo ausearch -m AVC

Notika!

Ir parādījies strādājošs Django projekts ar priekšgalu, kura pamatā ir Nginx un Gunicorn WSGI. Mēs konfigurējām Python 3 un PostgreSQL 10 no RHEL 8 Beta krātuvēm. Tagad varat virzīties uz priekšu un izveidot (vai vienkārši izvietot) Django lietojumprogrammas vai izpētīt citus pieejamos rīkus RHEL 8 Beta, lai automatizētu konfigurācijas procesu, uzlabotu veiktspēju vai pat konteinerizētu šo konfigurāciju.

Avots: www.habr.com