精通 Systemd 服务文件：综合指南

Systemd 已成为大多数现代 Linux 发行版管理服务和系统进程的实际标准。对于任何希望可靠部署和维护应用程序的系统管理员或开发人员来说，了解如何创建和管理 systemd 服务单元文件至关重要。本指南将带您了解 systemd 服务文件的基础知识，从基本语法到高级配置，使您能够有效地管理 Linux 服务。

本文着重于从头开始创建和配置 systemd 服务单元文件。我们将涵盖基本语法，探讨常见且重要的指令，并讨论健壮的服务管理的最佳实践。在本指南结束时，您将能够编写自己的 systemd 服务文件，并确保您的应用程序平稳可靠地运行。

理解 Systemd 单元文件

Systemd 使用单元文件来描述各种系统资源，如服务、套接字、设备、挂载点等。服务单元文件通常以 .service 扩展名结尾，它定义了 systemd 应如何管理特定的守护进程或应用程序。

这些文件按部分组织，每个部分包含键值对，表示配置指令。我们将重点关注的主要部分是 [Unit]、[Service] 和 [Install]。

Systemd 服务文件结构

典型的 systemd 服务文件具有以下结构：

[Unit]
Description=对服务的简要描述。
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/bin/my_application --config /etc/my_app.conf
Restart=on-failure
User=myuser
Group=mygroup

[Install]
WantedBy=multi-user.target

让我们分解每个部分及其常用指令：

`[Unit]` 部分

此部分提供关于单元的元数据，并定义其与其他单元的关系。它用于依赖关系和排序。

Description=：服务的可读名称。这是您在 systemctl status 输出中看到的内容。
Documentation=：服务的文档 URL 或路径。
Requires=：定义强依赖关系。如果此处列出的单元启动失败，此单元也将启动失败。
Wants=：定义弱依赖关系。如果此处列出的单元启动失败，此单元仍会尝试启动。
Before=：确保此单元在列出的单元之前启动。
After=：确保此单元在列出的单元之后启动。这非常常见，例如 After=network.target 确保在您的服务启动之前网络已启动。
Conflicts=：如果此处列出的单元启动，此单元将被停止，反之亦然。

`[Service]` 部分

此部分配置服务本身的行为。在这里，您可以定义如何启动、停止和管理进程。

Type=：指定进程启动类型。常见值包括：
- simple（默认）：主进程是 ExecStart= 中指定的进程。Systemd 假定服务在 ExecStart= 进程派生后立即启动。
- forking：ExecStart= 进程派生一个子进程，父进程退出。Systemd 在父进程退出时认为服务已启动。您通常需要为此类型指定 PIDFile=。
- oneshot：类似于 simple，但进程在完成工作后应退出。对于设置脚本很有用。
- notify：守护进程在成功启动后向 systemd 发送通知消息。对于支持它的现代守护进程来说，这是首选类型。
- dbus：服务获取一个 D-Bus 名称。
ExecStart=：执行以启动服务的命令。这是最重要的指令。您可以有多个 ExecStart= 行，它们将按顺序执行。
ExecStop=：执行以停止服务的命令。
ExecReload=：执行以重新加载服务配置而不重新启动的命令。
Restart=：定义何时应自动重启服务。常见值：
- no（默认）：从不重启。
- on-success：仅当服务干净退出（退出代码 0）时才重启。
- on-failure：如果服务以非零退出代码退出、被信号终止或超时，则重启。
- on-abnormal：如果被信号终止或超时，则重启。
- on-abort：仅当被信号不正常终止时才重启。
- always：无论退出状态如何，始终重启。
RestartSec=：重启服务前睡眠的时间（默认为 100ms）。
User=：运行服务的用户。
Group=：运行服务的组。
WorkingDirectory=：在执行命令之前更改到的目录。
Environment=：为服务设置环境变量。
EnvironmentFile=：从文件中读取环境变量。
PIDFile=：PID 文件的路径（通常与 Type=forking 一起使用）。
StandardOutput= / StandardError=：控制 stdout/stderr 的去向（例如 journal、syslog、null、inherit）。journal 是默认值，强烈推荐用于日志记录。

`[Install]` 部分

此部分定义了单元应如何启用或禁用，通常通过创建符号链接来完成。

WantedBy=：指定当单元启用时应“想要”此服务的目标。常见值：
- multi-user.target：对于应在系统达到多用户命令行状态时启动的服务。
- graphical.target：对于应在系统达到图形登录状态时启动的服务。

创建您的第一个 Systemd 服务文件

让我们为位于 /opt/my_app/my_app.py 的名为 my_app.py 的假设 Python 脚本创建一个简单的服务文件。

1. 创建服务文件：

自定义应用程序的服务文件通常放在 /etc/systemd/system/ 中。我们将文件命名为 my_app.service。

# 如果目录不存在，请创建它
sudo mkdir -p /etc/systemd/system/

# 使用文本编辑器创建服务文件
sudo nano /etc/systemd/system/my_app.service

2. 将以下内容添加到 my_app.service：

[Unit]
Description=我的自定义 Python 应用程序
After=network.target

[Service]
Type=simple
User=appuser
Group=appgroup
WorkingDirectory=/opt/my_app/
ExecStart=/usr/bin/python3 /opt/my_app/my_app.py
Restart=on-failure

[Install]
WantedBy=multi-user.target

示例说明：

Description：清晰地标识了我们的应用程序。
After=network.target：确保在启动前网络可用。
Type=simple：假定 my_app.py 是主进程且不派生。
User=appuser，Group=appgroup：指定应用程序应以哪个用户和组运行。请确保这些用户和组存在于您的系统中并具有适当的权限。 您可能需要创建它们：
bash sudo groupadd appgroup sudo useradd -r -g appgroup appuser sudo chown -R appuser:appgroup /opt/my_app/
WorkingDirectory：设置脚本的上下文。
ExecStart：运行 Python 脚本的命令。请确保 /usr/bin/python3 是指向您的 Python 解释器的正确路径，并且脚本是可执行的。
Restart=on-failure：如果脚本崩溃，systemd 将尝试重启它。
WantedBy=multi-user.target：当系统启动到多用户环境时，此服务将自动启动。

3. 重新加载 systemd 管理器配置：

创建或修改服务文件后，必须告知 systemd 重新加载其配置。

sudo systemctl daemon-reload

4. 启用和启动服务：

启用：这使得服务在启动时自动启动。
bash sudo systemctl enable my_app.service
启动：这会立即启动服务。
bash sudo systemctl start my_app.service

5. 检查服务状态：

要验证您的服务是否正在运行以及查看任何潜在的错误：

sudo systemctl status my_app.service

如果出现问题，status 命令通常会显示错误消息或来自 journald 的日志。

6. 查看日志：

Systemd 集成了 journald 进行日志记录。您可以使用以下命令查看服务的日志：

sudo journalctl -u my_app.service

您还可以实时关注日志：

sudo journalctl -f -u my_app.service

其他有用命令：

停止服务：sudo systemctl stop my_app.service
重启服务：sudo systemctl restart my_app.service
重新加载配置（如果应用程序支持）：sudo systemctl reload my_app.service
禁用开机自启：sudo systemctl disable my_app.service

高级配置和最佳实践

安全注意事项：

以非 root 用户运行服务：除非绝对必要，否则始终指定 User= 和 Group=。这遵循最小权限原则。
隔离服务：考虑使用沙箱功能，如 PrivateTmp=true、ProtectSystem=true、NoNewPrivileges=true 以增强安全性。
- PrivateTmp=true：为服务提供其自己的私有 /tmp 和 /var/tmp 目录。
- ProtectSystem=true：使 /usr、/boot、/etc 只读。
- NoNewPrivileges=true：防止服务获得新权限。

处理复杂的启动：

Type=forking 与 PIDFile=：对于会派生进程的旧应用程序，请确保 PIDFile= 指向正确的文件。
Type=notify：如果您的应用程序支持，这是 systemd 了解其何时真正准备就绪的最健壮方式。
ExecStartPre= 和 ExecStartPost=：在 ExecStart= 之前和之后运行的命令。对于设置或清理任务很有用。

资源控制：

Systemd 允许您限制资源使用：

CPUShares=：相对 CPU 时间分配。
MemoryLimit=：服务可以使用的最大内存。
IOWeight=：相对 I/O 带宽。

示例：

[Service]
# ... 其他指令 ...
MemoryLimit=512M
CPUShares=512 # 与默认的 1024 相比，大约是 50% 的 CPU 时间

定时器 vs. Cron

Systemd 定时器提供了传统 cron 作业的现代替代方案。它们更灵活，并且与 systemd 的日志记录和依赖关系管理集成得更好。

Cron：在 crontab 文件中定义的计划任务。
Systemd 定时器（.timer 单元）：这些单元安排 .service 单元。您定义一个 .timer 文件，该文件指定何时运行相应的 .service 文件。

示例：

要每天凌晨 3 点运行一个脚本：

my_script.service：要运行的服务。
```ini
[Unit]
Description=我的每日脚本

[Service]
Type=oneshot
ExecStart=/opt/my_scripts/run_daily.sh
User=scriptuser
```
my_script.timer：调度该服务的定时器。
```ini
[Unit]
Description=每天运行我的每日脚本一次

[Timer]

每天 03:00 运行

OnCalendar=--* 03:00:00
Persistent=true # 如果因停机而错过，立即运行

[Install]
WantedBy=timers.target
```

要使用此功能：

将两个文件放在 /etc/systemd/system/ 中。
运行 sudo systemctl daemon-reload。
启用并启动定时器：sudo systemctl enable my_script.timer 和 sudo systemctl start my_script.timer。

定时器具有 Persistent=true（启动时运行错过的作业）、日历事件（如 hourly、daily、weekly）以及与 journalctl 更好的集成等优势。

故障排除常见问题

服务未启动：检查 systemctl status <service_name> 和 journalctl -u <service_name>。查找拼写错误、路径不正确、缺少依赖项或权限错误。
Type= 不正确：如果服务立即失败或挂起，Type= 可能不正确。尝试 simple 或 forking，并确保在使用 forking 时 PIDFile 正确。
权限被拒绝：确保指定的 User= 和 Group= 对必要的文件和目录具有读/写访问权限。
环境变量：如果您的应用程序依赖于特定的环境变量，请确保使用 Environment= 或 EnvironmentFile= 正确设置它们。
依赖关系：验证 After= 和 Requires= 指令是否设置正确，以确保在服务启动之前满足先决条件。

结论

Systemd 服务文件是管理 Linux 上应用程序的强大工具。通过理解单元文件的结构、关键指令的用途以及配置的最佳实践，您可以显著提高服务的可靠性、安全性和可管理性。无论您是部署一个简单的脚本还是一个复杂的应用程序，掌握 systemd 服务文件都是现代 Linux 系统管理的一项基本技能。

请记住，始终要彻底测试您的服务文件，使用 systemctl status 和 journalctl 进行调试，并利用 systemd 提供的安全功能。