วิธีการปิดการใช้งาน 'apt-daily.service' บน Ubuntu cloud VM image?

อิมเมจ VM เซิร์ฟเวอร์ Ubuntu 16.04 เห็นได้ชัดว่าเริ่ม "apt-daily.service" ทุก ๆ 12 ชั่วโมงหรือมากกว่านั้น บริการนี้ทำหน้าที่ที่เกี่ยวข้องกับ APT หลายประการเช่นการรีเฟรชรายการแพ็คเกจที่มีอยู่ดำเนินการอัปเกรดแบบไม่ต้องใส่ข้อมูลหากจำเป็น ฯลฯ

เมื่อเริ่มต้นจาก VM "snapshot" บริการจะถูกเรียกใช้ทันทีเนื่องจาก (ฉันเข้าใจ) systemd ตระหนักถึงอย่างรวดเร็วว่าตัวจับเวลาควรจะหายไปนานแล้ว

อย่างไรก็ตามการป้องกันไม่ให้ APT ทำงานอื่น ๆกระบวนการจากการทำงานในขณะที่มันถือล็อคบนapt /var/lib/dpkgข้อความแสดงข้อผิดพลาดที่ระบุว่ามีลักษณะดังนี้:

E: Could not get lock /var/lib/dpkg/lock-frontend - open (11: Resource temporarily unavailable)
E: Unable to acquire the dpkg frontend lock (/var/lib/dpkg/lock-frontend), is another process using it?

ฉันต้องปิดการใช้งานงาน APT อัตโนมัตินี้จนกว่า Ansible จะเสร็จสิ้นการตั้งค่าเครื่อง (ซึ่งโดยทั่วไปเกี่ยวข้องกับการติดตั้งแพ็คเกจ) ดูhttps://github.com/gc3-uzh-ch/elasticluster/issues/304สำหรับข้อมูลเพิ่มเติมและบริบท

ฉันได้ลองตัวเลือกต่าง ๆ เพื่อปิดใช้งานคุณลักษณะ "การอัปเกรดแบบไม่ต้องใส่ข้อมูล" ผ่านสคริปต์ "ข้อมูลผู้ใช้" สำหรับcloud-initแต่พวกเขาทั้งหมดล้มเหลวไปแล้ว

1. ปิดใช้งานภารกิจ systemd

งาน systemd ถูกเรียกโดยapt-daily.service apt-daily.timerฉันได้ลองปิดการใช้งานอย่างใดอย่างหนึ่งหรืออื่น ๆ หรือทั้งสองอย่างด้วย cobinations ต่าง ๆ ของคำสั่งต่อไปนี้ ยังคงapt-daily.serviceมีการเริ่มต้นช่วงเวลาหลังจาก VM ก็พร้อมที่จะยอมรับการเชื่อมต่อ SSH ::

    #!/bin/bash

    systemctl stop apt-daily.timer
    systemctl disable apt-daily.timer
    systemctl mask apt-daily.service
    systemctl daemon-reload

2. ปิดการใช้งานตัวเลือกการกำหนดค่า APT::Periodic::Enable

สคริปต์/usr/lib/apt/apt.systemd.dailyอ่านตัวแปรการกำหนดค่า APT สองสามตัว การตั้งค่าAPT::Periodic::Enableปิดการใช้งานการทำงานทั้งหมด (บรรทัด 331--337) ฉันได้ลองปิดการใช้งานด้วยสคริปต์ต่อไปนี้ ::

    #!/bin/bash

    # cannot use /etc/apt/apt.conf.d/10periodic as suggested in
    # /usr/lib/apt/apt.systemd.daily, as Ubuntu distributes the
    # unattended upgrades stuff with priority 20 and 50 ...
    # so override everything with a 99xxx file
    cat > /etc/apt/apt.conf.d/99elasticluster <<__EOF
    APT::Periodic::Enable "0";
    // undo what's in 20auto-upgrade
    APT::Periodic::Update-Package-Lists "0";
    APT::Periodic::Unattended-Upgrade "0";
    __EOF

อย่างไรก็ตามแม้จะAPT::Periodic::Enableมีค่า0จากบรรทัดคำสั่ง (ดูด้านล่าง) unattended-upgradesโปรแกรมยังคงทำงาน ...

    ubuntu@test:~$ apt-config shell AutoAptEnable APT::Periodic::Enable
    AutoAptEnable='0'

3. ลบ/usr/lib/apt/apt.systemd.dailyทั้งหมด

cloud-initสคริปต์ต่อไปนี้ลบสคริปต์การอัพเกรดแบบอัตโนมัติทั้งหมด ::

    #!/bin/bash

    mv /usr/lib/apt/apt.systemd.daily /usr/lib/apt/apt.systemd.daily.DISABLED

ยังทำงานและฉันสามารถดูได้ในตารางกระบวนการ! แม้ว่าไฟล์จะไม่มีอยู่หากตรวจสอบจากบรรทัดคำสั่ง ::

ubuntu@test:~$ ls /usr/lib/apt/apt.systemd.daily
ls: cannot access '/usr/lib/apt/apt.systemd.daily': No such file or directory

ดูเหมือนว่าcloud-initสคริปต์ (พร้อมกับบรรทัดคำสั่ง SSH) และกระบวนการรูท systemd ดำเนินการในระบบไฟล์แยกต่างหากและพื้นที่กระบวนการ ...

คำถาม

มีบางสิ่งที่ชัดเจนว่าฉันหายไปหรือไม่? หรือมีเนมสเปซเวทมนตร์ที่เกิดขึ้นซึ่งฉันไม่รู้

ที่สำคัญที่สุด: ฉันจะปิดการใช้งานapt-daily.serviceผ่าน cloud-initสคริปต์ได้อย่างไร

ใช่มีบางสิ่งที่ชัดเจนว่าฉันหายไป

Systemd คือทั้งหมดที่เกี่ยวกับการเริ่มต้นบริการพร้อมกันดังนั้นcloud-initสคริปต์จะถูกเรียกใช้ในเวลาเดียวกันที่apt-daily.serviceถูกทริกเกอร์ ตามเวลาที่ cloud-initได้รับการดำเนินการ payload ระบุผู้ใช้apt-get updateกำลังทำงานอยู่ ดังนั้นความพยายามที่ 2. และ 3. ล้มเหลวไม่ใช่เพราะเวทมนตร์เนมสเปซบางอย่าง แต่เนื่องจากพวกเขาเปลี่ยนระบบสายเกินไปที่apt.systemd.dailyจะรับการเปลี่ยนแปลง

นี่ก็หมายความว่าไม่มีทางที่จะป้องกันการ apt.systemd.dailyวิ่ง - โดยทั่วไปสามารถฆ่ามันได้หลังจากเริ่ม

สคริปต์ "ข้อมูลผู้ใช้" นี้ใช้เส้นทางนี้ ::

#!/bin/bash

systemctl stop apt-daily.service
systemctl kill --kill-who=all apt-daily.service

# wait until `apt-get updated` has been killed
while ! (systemctl list-units --all apt-daily.service | egrep -q '(dead|failed)')
do
  sleep 1;
done

# now proceed with own APT tasks
apt install -y python

ยังคงมีหน้าต่างเวลาระหว่างการล็อกอิน SSH ที่เป็นไปได้ แต่apt-get จะไม่ทำงาน แต่ฉันไม่สามารถจินตนาการโซลูชันอื่นที่สามารถใช้งานได้ในสต็อกภาพเมฆ Ubuntu Ubuntu 16.04

หมายเหตุ: น่าเสียดายที่บางส่วนของวิธีการแก้ปัญหาด้านล่างใช้ไม่ได้กับระบบ Ubuntu 16.04 (เช่นของผู้ถาม) เนื่องจากการsystemd-runร้องขอที่แนะนำใช้งานได้กับUbuntu 18.04 ขึ้นไปเท่านั้น (ดูความคิดเห็นเพื่อดูรายละเอียด ) ฉันจะทิ้งคำตอบไว้ที่นี่เพราะคำถามนี้ยังได้รับความนิยมไม่ว่าคุณใช้ Ubuntu เวอร์ชันใด ...

ใน Ubuntu 18.04 (และสูงกว่า) อาจมีบริการไม่เกินสองรายการที่เกี่ยวข้องกับเวลาบูตที่สามารถอัปเดต / อัปเกรดได้ การapt-daily.serviceรีเฟรชรายการแพ็คเกจเป็นครั้งแรก อย่างไรก็ตามอาจมีวินาทีapt-daily-upgrade.serviceที่ติดตั้งแพ็คเกจความปลอดภัยที่สำคัญจริง ๆ คำตอบของ "ยุติและปิดการใช้งาน / ลบอัพเกรดแบบอัตโนมัติก่อนที่คำสั่งส่งกลับ"คำถามที่จะช่วยให้เป็นตัวอย่างที่ดีของวิธีการที่จะรอให้ทั้งสองคนนี้จะเสร็จสิ้น (คัดลอกมาที่นี่เพื่อความสะดวก)

systemd-run --property="After=apt-daily.service apt-daily-upgrade.service" --wait /bin/true

(โปรดทราบว่าสิ่งนี้จะต้องถูกเรียกใช้ในฐานะรูท) หากคุณพยายามปิดการใช้งานบริการเหล่านี้ในบูทในอนาคตคุณจะต้องปิดบังบริการ BOTH:

systemctl mask apt-daily.service apt-daily-upgrade.service

อีกทางเลือกหนึ่งคุณสามารถsystemctl disableทั้งบริการและตัวจับเวลาที่เกี่ยวข้อง (เช่นapt-daily.timerและapt-daily-upgrade.timer)

หมายเหตุเทคนิคการปิด / ปิดการใช้งานในคำตอบนี้จะป้องกันการอัปเดต / อัปเกรดในบู๊ตในอนาคตเท่านั้น - พวกเขาจะไม่หยุดพวกเขาหากพวกเขากำลังทำงานอยู่ในการบู๊ตปัจจุบัน

คุณสามารถปิดการใช้งานผ่านโมดูล "bootcmd" cloud-init สิ่งนี้จะทำงานก่อนที่จะมีเครือข่ายเกิดขึ้นซึ่งเป็นสิ่งจำเป็นก่อนที่ apt update จะได้รับโอกาสให้รัน

#cloud-config
bootcmd:
    - echo 'APT::Periodic::Enable "0";' > /etc/apt/apt.conf.d/10cloudinit-disable
    - apt-get -y purge update-notifier-common ubuntu-release-upgrader-core landscape-common unattended-upgrades
    - echo "Removed APT and Ubuntu 18.04 garbage early" | systemd-cat

เมื่อคุณเข้าสู่อินสแตนซ์แล้วคุณควรรอขั้นตอนสุดท้ายของ cloud-init ให้เสร็จเนื่องจากมันจะย้ายแหล่ง / รายการที่เหมาะสม

# Wait for cloud-init to finish moving apt sources.list around... 
# a good source of random failures
# Note this is NOT a replacement for also disabling apt updates via bootcmd
while [ ! -f /var/lib/cloud/instance/boot-finished ]; do
    echo 'Waiting for cloud-init to finish...'
    sleep 3
done

สิ่งนี้มีประโยชน์เช่นกันเพื่อดูว่า bootcmd ทำงานเร็วแค่ไหน:

# Show microseconds in systemd journal
journalctl -r -o short-precise

คุณสามารถตรวจสอบการทำงานดังต่อไปนี้:

apt-config dump | grep Periodic

# Verify nothing was updated until we run apt update ourselves.
cd /var/lib/apt/lists
sudo du -sh .   # small size
ls -ltr         # old timestamps

คงไม่ง่ายกว่าที่จะปกปิดเครื่อง

systemctl mask apt-daily.service

?

สิ่งนี้จะรอ 1 วินาทีในการวนลูปและตรวจสอบว่ามีการปลดล็อคหรือไม่

while : ; do
                sleep 1
                echo $( ps aux | grep -c lock_is_held ) processes are using apt.
                ps aux | grep -i apt
                [[ $( ps aux | grep -c lock_is_held ) > 2 ]] || break
        done
        echo Apt released