[devel] incoming: how to enable share_network?

[devel] incoming: how to enable share_network?

[Igor Vlasenko]

Включен ли сейчас по умолчанию 
'share_network=1' в incoming hasher?
Если нет, то как его включать?

У меня по мистической причине в incoming завис на тестах
jakarta-commons-beanutils, подозреваю, что проблема 
в отстутствии сети.

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine

Re: [devel] incoming: how to enable share_network?

[Kirill A. Shutemov]

On Fri, Dec 10, 2010 at 09:35:10PM +0200, Igor Vlasenko wrote:
> У меня по мистической причине в incoming завис на тестах
> jakarta-commons-beanutils, подозреваю, что проблема 
> в отстутствии сети.

А что ваш пакет хочет от сети?

-- 
 Kirill A. Shutemov

Re: [devel] incoming: how to enable share_network?

[Igor Vlasenko]

On Fri, Dec 10, 2010 at 09:44:32PM +0200, Kirill A. Shutemov wrote:
> On Fri, Dec 10, 2010 at 09:35:10PM +0200, Igor Vlasenko wrote:
> > У меня по мистической причине в incoming завис на тестах
> > jakarta-commons-beanutils, подозреваю, что проблема 
> > в отстутствии сети.
> 
> А что ваш пакет хочет от сети?
кривые апстримовские тесты гоняет.

конечно, тесты можно отключить,
но IMHO, это неправильно.
сеть того не стоит, чтобы тесты отключать.


-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine

Re: [devel] incoming: how to enable share_network?

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 433 bytes --]

On Fri, Dec 10, 2010 at 09:35:10PM +0200, Igor Vlasenko wrote:
> Включен ли сейчас по умолчанию 
> 'share_network=1' в incoming hasher?

К сожалению, да, включен.  Сейчас нет технической возможности выключить
share_network, но я надеюсь, что эта возможность уже не за горами.

Так что просьба морально готовиться фиксить пакеты на тему
воспроизводимости сборки в ещё более изолированном окружении, чем сейчас.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] incoming: how to enable share_network?

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 445 bytes --]

On Fri, Dec 10, 2010 at 09:47:16PM +0200, Igor Vlasenko wrote:
> On Fri, Dec 10, 2010 at 09:44:32PM +0200, Kirill A. Shutemov wrote:
[...]
> > А что ваш пакет хочет от сети?
> кривые апстримовские тесты гоняет.
> 
> конечно, тесты можно отключить,
> но IMHO, это неправильно.
> сеть того не стоит, чтобы тесты отключать.

Вопрос интересный.  Как вы считаете,
воспроизводимость сборки стоит того, чтобы исправить тесты?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] incoming: how to enable share_network?

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 676 bytes --]

On Sat, Dec 11, 2010 at 02:46:46AM +0600, REAL wrote:
> 11.12.2010 02:07, Dmitry V. Levin пишет:
> >Так что просьба морально готовиться 
> >фиксить пакеты на тему
> >воспроизводимости сборки в ещё более 
> >изолированном окружении, чем сейчас.
> 
> т.е. из хэшера не будет доступа в сеть? 
> если да, то это радует.

Если установлен hasher-priv-1.3.5-alt1 и share_network не включено,
то изоляция сети уже действует.

> но, надеюсь, команда hsh-install останется 
> рабочей? для неё-то сеть нужна в любом 
> случае :)

Для hsh-install сеть нужна не больше чем для hsh-rebuild.

А вот для hsh-run/hsh-shell да, конечно, сеть может быть нужна.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] incoming: how to enable share_network?

[Michael Shigorin]

On Fri, Dec 10, 2010 at 11:07:44PM +0300, Dmitry V. Levin wrote:
> Так что просьба морально готовиться фиксить пакеты на тему
> воспроизводимости сборки в ещё более изолированном окружении,
> чем сейчас.

Дим, у меня в ближайшие полгода на это время будет разве что
по остаточному принципу.  Понимаю, что от подкидышей должно
подстраховать, но сразу говорю как есть -- сейчас и так сложно
с выделением времени на пакеты.

По-моему, сейчас время не искать незакрученные гайки, а думать,
где все люди, делать выводы и предпринимать меры по их приходу
или возвращению.

PS: потихоньку догоняю devel@, а на выходные неосторожным dd
работу себе уже обеспечил.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] incoming: how to enable share_network?

[Igor Vlasenko]

On Fri, Dec 10, 2010 at 11:09:02PM +0300, Dmitry V. Levin wrote:
> On Fri, Dec 10, 2010 at 09:47:16PM +0200, Igor Vlasenko wrote:
> > On Fri, Dec 10, 2010 at 09:44:32PM +0200, Kirill A. Shutemov wrote:
> [...]
> > > А что ваш пакет хочет от сети?
> > кривые апстримовские тесты гоняет.
> > 
> > конечно, тесты можно отключить,
> > но IMHO, это неправильно.
> > сеть того не стоит, чтобы тесты отключать.
> 
> Вопрос интересный.  Как вы считаете,
> воспроизводимость сборки стоит того, чтобы исправить тесты?

IMHO, не стОит. 
С одной стороны, не понятно, зачем абсолютизировать 
воспроизводимость сборки в _Сизифе_,
который, по определению, ни минуты в покое?
Иногда, если запущу сборку в Сизифе на пять минут
позже, то это будет сборка в совершенно разных окружениях.

С другой стороны,
без тестов не удатся отличить сломанную сборку от работающей,

А это уже реальный ущерб, в отличие от идеала
воспроизводимости сборки, который идеал на хлеб не намажешь
и в карман не положишь.


-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine

Re: [devel] incoming: how to enable share_network?

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1104 bytes --]

On Fri, Dec 10, 2010 at 10:42:52PM +0200, Michael Shigorin wrote:
> On Fri, Dec 10, 2010 at 11:07:44PM +0300, Dmitry V. Levin wrote:
> > Так что просьба морально готовиться фиксить пакеты на тему
> > воспроизводимости сборки в ещё более изолированном окружении,
> > чем сейчас.
> 
> Дим, у меня в ближайшие полгода на это время будет разве что
> по остаточному принципу.  Понимаю, что от подкидышей должно
> подстраховать, но сразу говорю как есть -- сейчас и так сложно
> с выделением времени на пакеты.

Вот именно, когда некогда собирать пакеты, самое время
морально готовиться.

> По-моему, сейчас время не искать незакрученные гайки, а думать,
> где все люди, делать выводы и предпринимать меры по их приходу
> или возвращению.

Все, кто хотел уйти туда, где все можно, нет гаек, и не надо катить
камень в гору, уже ушли.

> PS: потихоньку догоняю devel@, а на выходные неосторожным dd
> работу себе уже обеспечил.

В coreutils есть ещё некоторое количество утилит, способных обеспечить
тебя работой, так что, пожалуйста, проявляй больше осмотрительности. ;)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] incoming: how to enable share_network?

[REAL]

11.12.2010 02:07, Dmitry V. Levin пишет:
> Так что просьба морально готовиться фиксить пакеты на тему
> воспроизводимости сборки в ещё более изолированном окружении, чем сейчас.

т.е. из хэшера не будет доступа в сеть? если да, то это радует.

но, надеюсь, команда hsh-install останется рабочей? для неё-то сеть 
нужна в любом случае :)

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

Re: [devel] incoming: how to enable share_network?

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 350 bytes --]

On Sat, Dec 11, 2010 at 03:12:04AM +0600, REAL wrote:
> 11.12.2010 02:42, Dmitry V. Levin пишет:
> >Для hsh-install сеть нужна не больше чем для 
> >hsh-rebuild.
> 
> а откуда тогда пакеты для BuildRequires брать? 
> не все у себя на локальной машине клон 
> сизифа имеют.

apt работает нативно, в чрут он не устанавливается.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] incoming: how to enable share_network?

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 854 bytes --]

On Sat, Dec 11, 2010 at 03:20:05AM +0600, REAL wrote:
> 11.12.2010 03:01, Dmitry V. Levin пишет:
> >>>Для hsh-install сеть нужна не больше чем для
> >>>hsh-rebuild.
> >>
> >>а откуда тогда пакеты для BuildRequires брать?
> >>не все у себя на локальной машине клон
> >>сизифа имеют.
> >
> >apt работает нативно, в чрут он не 
> >устанавливается.
> 
> наверно, мы не понимаем друг друга. если 
> для hsh-install сеть будет недоступна, 
> собирать из gear станет возможно только 
> имея под рукой все необходимые файлы с 
> пакетами. локально, на диске. а это 
> катастрофа.

hsh-install одну часть работы выполняет внутри чрута, а другую --
вне чрута; изоляция сети происходит только внутри чрута.

> причём тут установка apt в чрут (ведь 
> hsh-install выполняется не из чрута), я не 
> понимаю :(

См. hasher(7).


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] incoming: how to enable share_network?

[REAL]

11.12.2010 02:42, Michael Shigorin пишет:
> Дим, у меня в ближайшие полгода на это время будет разве что
> по остаточному принципу.  Понимаю, что от подкидышей должно
> подстраховать, но сразу говорю как есть -- сейчас и так сложно
> с выделением времени на пакеты.

да, тут ACL - одно из жёстких препятствий.

> По-моему, сейчас время не искать незакрученные гайки, а думать,
> где все люди, делать выводы и предпринимать меры по их приходу
> или возвращению.

для таких думок гуманитарии предназначены, подозреваю. вот лично из 
меня довольно-таки хреновый рекламный агент :-D

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

Re: [devel] incoming: how to enable share_network?

[REAL]

11.12.2010 02:42, Dmitry V. Levin пишет:
> Для hsh-install сеть нужна не больше чем для hsh-rebuild.

а откуда тогда пакеты для BuildRequires брать? не все у себя на 
локальной машине клон сизифа имеют.

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

Re: [devel] incoming: how to enable share_network?

[Anton Farygin]

11.12.2010 00:20, REAL пишет:
> 11.12.2010 03:01, Dmitry V. Levin пишет:
>>>> Для hsh-install сеть нужна не больше чем для
>>>> hsh-rebuild.
>>>
>>> а откуда тогда пакеты для BuildRequires брать?
>>> не все у себя на локальной машине клон
>>> сизифа имеют.
>>
>> apt работает нативно, в чрут он не устанавливается.
>
> наверно, мы не понимаем друг друга. если для hsh-install сеть будет
> недоступна, собирать из gear станет возможно только имея под рукой все
> необходимые файлы с пакетами. локально, на диске. а это катастрофа.
>
> причём тут установка apt в чрут (ведь hsh-install выполняется не из
> чрута), я не понимаю :(

При том, что сеть закрыта только в чруте, а т.к. hsh-install работает 
извне чрута, то никаких проблем не будет.

Re: [devel] incoming: how to enable share_network?

[REAL]

11.12.2010 03:01, Dmitry V. Levin пишет:
>>> Для hsh-install сеть нужна не больше чем для
>>> hsh-rebuild.
>>
>> а откуда тогда пакеты для BuildRequires брать?
>> не все у себя на локальной машине клон
>> сизифа имеют.
>
> apt работает нативно, в чрут он не устанавливается.

наверно, мы не понимаем друг друга. если для hsh-install сеть будет 
недоступна, собирать из gear станет возможно только имея под рукой все 
необходимые файлы с пакетами. локально, на диске. а это катастрофа.

причём тут установка apt в чрут (ведь hsh-install выполняется не из 
чрута), я не понимаю :(

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

Re: [devel] incoming: how to enable share_network?

[REAL]

11.12.2010 03:12, Anton Farygin пишет:
>> наверно, мы не понимаем друг друга. если для hsh-install сеть будет
>> недоступна, собирать из gear станет возможно только имея под рукой все
>> необходимые файлы с пакетами. локально, на диске. а это катастрофа.
>>
>> причём тут установка apt в чрут (ведь hsh-install выполняется не из
>> чрута), я не понимаю :(
>
> При том, что сеть закрыта только в чруте, а т.к. hsh-install работает
> извне чрута, то никаких проблем не будет.

напомню, что началось всё с невозможности сборки из gear из-за 
отключенного share_network, т.е. сборка спотыкалась на попытке что-то 
установить в чрут хэшера. на не самых свежих ядрах.

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

[devel] I: share_network=no

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1136 bytes --]

On Fri, Dec 10, 2010 at 11:07:44PM +0300, Dmitry V. Levin wrote:
> On Fri, Dec 10, 2010 at 09:35:10PM +0200, Igor Vlasenko wrote:
> > Включен ли сейчас по умолчанию 
> > 'share_network=1' в incoming hasher?
> 
> К сожалению, да, включен.  Сейчас нет технической возможности выключить
> share_network, но я надеюсь, что эта возможность уже не за горами.
> 
> Так что просьба морально готовиться фиксить пакеты на тему
> воспроизводимости сборки в ещё более изолированном окружении, чем сейчас.

Прошло полгода, пришло время включить изоляцию сети при сборке пакетов в
Сизиф.  Тестовая пересборка показала, что это влияет на собираемость
около 35 пакетов, большая часть из которых тупо скачивает исходники во
время сборки, и которые надо будет зафиксить.  Другая часть -- это пакеты,
которые перестали собираться из-за непрохождения тестов в условиях сетевой
изоляции.  Думаю что такие тесты должны быть SKIPPED а не FAILED.

Как обычно, результаты тестовой пересборки на i586 и x86_64 были разосланы
мейнтейнерам непересобравшихся пакетов автоматически, отчет можно найти в
архиве sisyphus-cybertalk@.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: share_network=no

[Igor Vlasenko]

On Tue, Jul 05, 2011 at 01:24:05PM +0400, Dmitry V. Levin wrote:
> Прошло полгода, пришло время включить изоляцию сети при сборке пакетов в
> Сизиф.  

Дмитрий, вы год за годом подкладываете другим людям 
одни и те же грабли.
Почему бы тогда не запретить при сборке в Сизиф 
mountpoints=/proc,/dev/pts, например?
Ведь для них прошло намного больше, чем пол года?
Ведь сборки с отмонтированными /proc,/dev/pts
гораздо безопаснее?

Я бы на вашем месте включить изоляцию сети
__по умолчанию__, но оставил бы явную возможность
отключать изоляцию сети при необходимости.

Что вам мешает оставить явную возможность
отключать изоляцию сети при необходимости?

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.

Re: [devel] I: share_network=no

[Igor Vlasenko]

On Tue, Jul 05, 2011 at 01:24:05PM +0400, Dmitry V. Levin wrote:
> Тестовая пересборка показала, что это влияет на собираемость
> около 35 пакетов, [...]

> Другая часть -- это пакеты,
> которые перестали собираться из-за непрохождения тестов в условиях сетевой
> изоляции.  Думаю что такие тесты должны быть SKIPPED а не FAILED.

Я бы для таких пакетов явно оставил бы доступ к сети.
Подтверждение корректности сборки тестом важнее, чем 
те тысячные доли копейки за трафик, которые уйдут на тест.

Или взять системы сборки. maven, например, чисто 
сетевая система сборки, по умолчанию завязанная
на внешний сетевой репозитарий. То, что она у нас работает -
это героика меча и магии, точнее бубна и кувалды.

а вот система сборки bee с share_network=no у нас не 
работает. Ставя шире вопрос, что делать с java приложениями, 
которые используют XML для IPC и данных?
У них часто обращение к внешнему DTD вшито в DNA.

Они с самого начала проектировались апстримом как сетевые, 
и с тем, что в процессе сборки они проявляют
рудиментарную сетевую активность, бороться и слишком затратно,
и не за чем.


-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.

Re: [devel] I: share_network=no

[Aleksey Novodvorsky]

5 июля 2011 г. 16:20 пользователь Igor Vlasenko
<vlasenko@imath.kiev.ua> написал:
> On Tue, Jul 05, 2011 at 01:24:05PM +0400, Dmitry V. Levin wrote:
>> Тестовая пересборка показала, что это влияет на собираемость
>> около 35 пакетов, [...]
>
>> Другая часть -- это пакеты,
>> которые перестали собираться из-за непрохождения тестов в условиях сетевой
>> изоляции.  Думаю что такие тесты должны быть SKIPPED а не FAILED.
>
> Я бы для таких пакетов явно оставил бы доступ к сети.
> Подтверждение корректности сборки тестом важнее, чем
> те тысячные доли копейки за трафик, которые уйдут на тест.

Трафик тут точно ни при чем.

Rgrds, Алексей

Re: [devel] I: share_network=no

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1143 bytes --]

On Tue, Jul 05, 2011 at 02:48:40PM +0300, Igor Vlasenko wrote:
> On Tue, Jul 05, 2011 at 01:24:05PM +0400, Dmitry V. Levin wrote:
> > Прошло полгода, пришло время включить изоляцию сети при сборке пакетов в
> > Сизиф.  
> 
> Дмитрий, вы год за годом подкладываете другим людям 
> одни и те же грабли.

Нет, обижаете.  Каждый раз грабли новые.

> Почему бы тогда не запретить при сборке в Сизиф 
> mountpoints=/proc,/dev/pts, например?

Зачем?

> Ведь для них прошло намного больше, чем пол года?
> Ведь сборки с отмонтированными /proc,/dev/pts
> гораздо безопаснее?

Отчего же?  Изоляция сети повышает воспроизводимость сборки,
в отличие от /proc и /dev/pts.  Я не вижу никакого смысла в том, чтобы
отключать возможность монтировать /proc и /dev/pts.

> Я бы на вашем месте включить изоляцию сети
> __по умолчанию__, но оставил бы явную возможность
> отключать изоляцию сети при необходимости.
> Что вам мешает оставить явную возможность
> отключать изоляцию сети при необходимости?

Я проанализировал все логи несобравшихся пакетов и пришел к выводу,
что такой необходимости нет и не должно быть.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: share_network=no

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1502 bytes --]

On Tue, Jul 05, 2011 at 03:20:05PM +0300, Igor Vlasenko wrote:
> On Tue, Jul 05, 2011 at 01:24:05PM +0400, Dmitry V. Levin wrote:
> > Тестовая пересборка показала, что это влияет на собираемость
> > около 35 пакетов, [...]
> 
> > Другая часть -- это пакеты,
> > которые перестали собираться из-за непрохождения тестов в условиях сетевой
> > изоляции.  Думаю что такие тесты должны быть SKIPPED а не FAILED.
> 
> Я бы для таких пакетов явно оставил бы доступ к сети.
> Подтверждение корректности сборки тестом важнее, чем 
> те тысячные доли копейки за трафик, которые уйдут на тест.

Такие тесты ненадежны по определению, поскольку рассчитаны на связность
сети.  Такие тесты надо заменять на нормальные, или, если нет такой
возможности, делать их необязательными.

> Или взять системы сборки. maven, например, чисто 
> сетевая система сборки, по умолчанию завязанная
> на внешний сетевой репозитарий. То, что она у нас работает -
> это героика меча и магии, точнее бубна и кувалды.
> 
> а вот система сборки bee с share_network=no у нас не 
> работает. Ставя шире вопрос, что делать с java приложениями, 
> которые используют XML для IPC и данных?
> У них часто обращение к внешнему DTD вшито в DNA.
> 
> Они с самого начала проектировались апстримом как сетевые, 
> и с тем, что в процессе сборки они проявляют
> рудиментарную сетевую активность, бороться и слишком затратно,
> и не за чем.

Организовать на 127.0.0.1 локальное зеркало разве не вариант?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: share_network=no

[Igor Vlasenko]

On Tue, Jul 05, 2011 at 04:56:44PM +0400, Dmitry V. Levin wrote:
> Отчего же?  Изоляция сети повышает воспроизводимость сборки,
> в отличие от /proc и /dev/pts.  Я не вижу никакого смысла в том, чтобы
> отключать возможность монтировать /proc и /dev/pts.

Это идеология. Тогда почему /proc и /dev/pts не включены 
по умолчанию?

> > Я бы на вашем месте включить изоляцию сети
> > __по умолчанию__, но оставил бы явную возможность
> > отключать изоляцию сети при необходимости.
> > Что вам мешает оставить явную возможность
> > отключать изоляцию сети при необходимости?
> 
> Я проанализировал все логи несобравшихся пакетов и пришел к выводу,
> что такой необходимости нет и не должно быть.

Я наверное не в те логи смотрел. 

Я начал с 
tjws-0:1.3.3-alt1_2jpp6 
bee-0:1.1.0-alt1_4jpp6 
xdoclet-jboss4-0:1.2.2-alt1_3jpp5,
пришел к выводу о том, что такая необходимость есть,
вспомнил, что ваш вывод,
> что такой необходимости нет и не должно быть.
подкреплен правами администратора,
после чего утонул в депрессии.

Дмитрий, вы хотите создать иделаьный мир. А в реальной жизни 
иногда надо идти на комромисы.

Уже сколько раз предлагалось -- давайте выделим бескомпромиссный 
main и компромиссный contrib.

Вон в sisyphus@ сейчас обсуждается типичное java приложение.
Оно тащит в брюхе копию jvm и обновляет свои плагины по сети.
Вот это пример из реальной жизни.
И как его паковать? Надо по хорошему становиться частью апстрима
и бить, бить, бить кувалдой. А здоровья не хватит.


Вот что плохого было в проверке на xorg-x11-* в sisyphus_check,
кроме того, что она обязательна?

Я только за изоляцию сети по умолчанию.
но есть 10 пакетов, для которых я прошу сделать исключение.

как с /dev/pts.
Большинство пакетов в Сизифе /dev/pts не пользуются.
Но есть 9 пакетов, которые пользуются.

Что бы вы сказали, если бы из-за идеологической
установки вам бы предложили оторвать от своих пакетов /dev/pts?

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.

Re: [devel] I: share_network=no

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 540 bytes --]

On Tue, Jul 05, 2011 at 04:31:26PM +0300, Igor Vlasenko wrote:
> On Tue, Jul 05, 2011 at 04:56:44PM +0400, Dmitry V. Levin wrote:
> > Отчего же?  Изоляция сети повышает воспроизводимость сборки,
> > в отличие от /proc и /dev/pts.  Я не вижу никакого смысла в том, чтобы
> > отключать возможность монтировать /proc и /dev/pts.
> 
> Это идеология. Тогда почему /proc и /dev/pts не включены 
> по умолчанию?

Потому что они нужны редко.  Мы же не ставим в сборочную среду все пакеты,
которые у нас есть в репозитории.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: share_network=no

[Igor Vlasenko]

On Tue, Jul 05, 2011 at 05:43:50PM +0400, Dmitry V. Levin wrote:
> > > Отчего же?  Изоляция сети повышает воспроизводимость сборки,
> > > в отличие от /proc и /dev/pts.  Я не вижу никакого смысла в том, чтобы
> > > отключать возможность монтировать /proc и /dev/pts.
> > 
> > Это идеология. Тогда почему /proc и /dev/pts не включены 
> > по умолчанию?
> 
> Потому что они нужны редко.  Мы же не ставим в сборочную среду все пакеты,
> которые у нас есть в репозитории.

В точности мои слова.
Сеть не нужно включать по умолчанию, но есть десяток пакетов,
для которых она нужна. Давайте оставим сеть выключенной
по умолчанию, но сохораним для этих 10 пакетов возможность сборки 
с включенной сетью.

Что-то вроде BR: hasher(network)

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.

Re: [devel] I: share_network=no

[Alexey Gladkov]

05.07.2011 17:03, Dmitry V. Levin wrote:
> Такие тесты ненадежны по определению, поскольку рассчитаны на связность
> сети.  Такие тесты надо заменять на нормальные, или, если нет такой
> возможности, делать их необязательными.

Я согласен с Димой.

Если не править такие пакеты, то их пересборка в оффлайне будет
невозможна. Не во всех местах, где собираются пакеты может быть сеть
или открыты нужные порты наружу.

-- 
Rgrds, legion

Re: [devel] I: share_network=no

[Igor Vlasenko]

On Tue, Jul 05, 2011 at 06:03:32PM +0400, Alexey Gladkov wrote:
> Я согласен с Димой.
> Если не править такие пакеты, то их пересборка в оффлайне будет
> невозможна. Не во всех местах, где собираются пакеты может быть сеть
> или открыты нужные порты наружу.

Речь идет о исключениях.
10 пакетов можно и исключить из offline пересборки.
Если речь идет об идеологических ограничениях
"Все пакеты должны пересобираться offline"
давайте выделим main и contrib.


-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.

Re: [devel] I: share_network=no

[Sergey V Turchin]

[-- Attachment #1: Type: Text/Plain, Size: 223 bytes --]

On Tuesday 05 July 2011 17:49, Igor Vlasenko wrote:

[...]
> Что-то вроде BR: hasher(network)
Кстати, всякие /proc тоже красивее переименовать подобным образом

-- 
Regards, Sergey.       ALT Linux, http://www.altlinux.ru/

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: share_network=no

[Alexey Gladkov]

05.07.2011 18:12, Igor Vlasenko wrote:
> Речь идет о исключениях.
> 10 пакетов можно и исключить из offline пересборки.
> Если речь идет об идеологических ограничениях
> "Все пакеты должны пересобираться offline"
> давайте выделим main и contrib.

Я убеждён, что виртуализация сети это не то ради чего нужно делать
исключения в правилах. Пакеты требующие сеть во время сборки нужно
исправить.

-- 
Rgrds, legion

Re: [devel] I: share_network=no

[Igor Vlasenko]

On Wed, Jul 06, 2011 at 01:31:37AM +0400, Alexey Gladkov wrote:
> Я убеждён, что виртуализация сети это не то ради чего нужно делать
> исключения в правилах. Пакеты требующие сеть во время сборки нужно
> исправить.

Если бы это было так легко, я бы не ругался бы в рассылке,
a давно бы уже исправил.

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.

Re: [devel] I: share_network=no

[Igor Vlasenko]

On Wed, Jul 06, 2011 at 01:31:37AM +0400, Alexey Gladkov wrote:
> Пакеты требующие сеть во время сборки нужно исправить.

Кому нужно - тот и исправит.
А если бремя исправлений перекладывается принудительно с тех,
кому это нужно, на тех, кому это не нужно,
то вновь и вновь будут конфликты.

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.

[devel] share_uts, 32-ovz и EPERM (was: I: share_network=no)

[Michael Shigorin]

On Tue, Jul 05, 2011 at 04:49:26PM +0300, Igor Vlasenko wrote:
> Что-то вроде BR: hasher(network)

+1

PS: вообще тестирование системного инструментария уже не то (tm):
VE$ hasher-priv: chrootuid: unshare CLONE_NEWIPC: Operation not permitted
-- может, сделать проверку EPERM? (на HN -- 2.6.32-ovz-el)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[devel] [JT] Re: I: share_network=no

[Michael Shigorin]

On Wed, Jul 06, 2011 at 01:31:37AM +0400, Alexey Gladkov wrote:
> > Речь идет о исключениях.
> > 10 пакетов можно и исключить из offline пересборки.
> > Если речь идет об идеологических ограничениях
> > "Все пакеты должны пересобираться offline"
> > давайте выделим main и contrib.
> Я убеждён, что виртуализация сети это не то ради чего нужно
> делать исключения в правилах. Пакеты требующие сеть во время
> сборки нужно исправить.

Угу, немного пропатчив Sun^WOracle.

Лёш, в мире много практически неисправимого разумными усилиями.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] I: share_network=no

[Alexey Gladkov]

06.07.2011 09:45, Igor Vlasenko wrote:
> Если бы это было так легко, я бы не ругался бы в рассылке,
> a давно бы уже исправил. 

Вы всё время говорите "10 пакетов", "не легко исправить"... из этого я
заключаю, что у конкретно вас возникли проблемы с исправлением.

Если вы столкнулись с проблемами, но пишите сюда названия пакетов и
возникшие проблемы потому что сейчас разговор ни о чём ... какие-то
пакеты каким-то неисправимым образом хотят использовать сеть.

-- 
Rgrds, legion

Re: [devel] [JT] Re: I: share_network=no

[Alexey Gladkov]

06.07.2011 15:15, Michael Shigorin wrote:
> Угу, немного пропатчив Sun^WOracle.

Ты пересобираешь продукты этой компании в сизиф ?! :)

> Лёш, в мире много практически неисправимого разумными усилиями.

Миш, ты обратил внимание на то, что речь идёт о сборке пакета в
сборочнице ?

-- 
Rgrds, legion

Re: [devel] [JT] Re: I: share_network=no

[Alexey Gladkov]

06.07.2011 15:15, Michael Shigorin wrote:
> Угу, немного пропатчив Sun^WOracle.

Ты собираешь продукты этой компании в сизиф (кроме mysql и bdb) ?!

> Лёш, в мире много практически неисправимого разумными усилиями.

Ты обратил внимание на то, что речь идёт о доступности сети во время
сборки в сборочнице ?

-- 
Rgrds, legion

Re: [devel] ldns tests [was: I: share_network=no]

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1047 bytes --]

06.07.2011 07:29, Alexey Gladkov пишет:
> 06.07.2011 09:45, Igor Vlasenko wrote:
>> Если бы это было так легко, я бы не ругался бы в рассылке,
>> a давно бы уже исправил. 
> Вы всё время говорите "10 пакетов", "не легко исправить"... из этого я
> заключаю, что у конкретно вас возникли проблемы с исправлением.
>
> Если вы столкнулись с проблемами, но пишите сюда названия пакетов и
> возникшие проблемы потому что сейчас разговор ни о чём ... какие-то
> пакеты каким-то неисправимым образом хотят использовать сеть.
Вот хотел включить тесты для ldns и не заработали. Пришлось оставить без
тестов.
Подскажите ?

-- 
WBR,
Dubrovskiy Viacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/pkcs7-signature, Size: 6229 bytes --]

Re: [devel] [JT] Re: I: share_network=no

[Michael Shigorin]

On Wed, Jul 06, 2011 at 04:01:49PM +0400, Alexey Gladkov wrote:
> > Угу, немного пропатчив Sun^WOracle.
> Ты собираешь продукты этой компании в сизиф (кроме mysql и bdb) ?!

Нет; но речь о java-пакетах.  Ты наверняка заметил это письмо:
http://lists.altlinux.org/pipermail/devel/2011-July/191353.html

---
Они с самого начала проектировались апстримом как сетевые,
и с тем, что в процессе сборки они проявляют рудиментарную
сетевую активность, бороться и слишком затратно, и незачем.
---

Напоминаю фразу гражданина МакНили из Sun Microsystems:

---
the network is the computer
---

Попробуй сопоставить эти высказывания и если не веришь Игорю,
посмотри сам -- частичный список пакетов был в начале треда:
http://lists.altlinux.org/pipermail/devel/2011-July/191357.html
(я не подначиваю "на слабо", лучше поверь и не трать время зря)

> > Лёш, в мире много практически неисправимого разумными усилиями.
> Ты обратил внимание на то, что речь идёт о доступности сети
> во время сборки в сборочнице ?

Да, конечно.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] I: share_network=no

[Igor Vlasenko]

On Wed, Jul 06, 2011 at 03:29:51PM +0400, Alexey Gladkov wrote:
> 06.07.2011 09:45, Igor Vlasenko wrote:
> > Если бы это было так легко, я бы не ругался бы в рассылке,
> > a давно бы уже исправил. 
> Если вы столкнулись с проблемами, но пишите сюда названия пакетов и
> возникшие проблемы потому что сейчас разговор ни о чём ... какие-то
> пакеты каким-то неисправимым образом хотят использовать сеть.

Если это предложение о помощи, то приму с благодарностью.
Сделайте, пожалуйста, так, чтобы проходила сборка tjws (0:1.3.3-alt1_2jpp6)
И я 
+) буду очень благодарен
+) выставлю вам бутылку хорошего вина Массандры
+) принесу всем свои изменения
+) соглашусь отключить любые тесты
+) Сгорю и умолкну со стыда.

А вообще, я практически от всех java пакетов 
жду регулярных подлянок с сетью. Такое уж там мышление,
что обращение к сети нормально.


-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.

Re: [devel] [JT] Re: I: share_network=no

[Alexey Gladkov]

06.07.2011 16:19, Michael Shigorin wrote:
> Нет; но речь о java-пакетах.  Ты наверняка заметил это письмо:
> http://lists.altlinux.org/pipermail/devel/2011-July/191353.html

Я его читал. В этом письме нет конкретики.

> Попробуй сопоставить эти высказывания и если не веришь Игорю,
> посмотри сам -- частичный список пакетов был в начале треда:
> http://lists.altlinux.org/pipermail/devel/2011-July/191357.html
> (я не подначиваю "на слабо", лучше поверь и не трать время зря)

Я говорю не голословно. Из моей практики разработки под javа у меня
есть основания утверждать, что вытягивания зависимых jar-пакетов из
сети можно избежать. Я не буду говорить, что это легко исправляется в
100% случаев.

Миш, любишь ли ты java как люблю её я ?
Мне кажется, что ты споришь чтобы поспорить.

-- 
Rgrds, legion

Re: [devel] I: share_network=no

[Alexey Gladkov]

06.07.2011 16:41, Igor Vlasenko wrote:
> Если это предложение о помощи, то приму с благодарностью.
> Сделайте, пожалуйста, так, чтобы проходила сборка tjws (0:1.3.3-alt1_2jpp6)

Суда по версии в скобках, у вас уже есть репозиторий с этим
веб-сервером. Можно ссылку ? или его нужно опакечивать с нуля ?

-- 
Rgrds, legion

Re: [devel] I: share_network=no

[Igor Vlasenko]

On Wed, Jul 06, 2011 at 04:52:31PM +0400, Alexey Gladkov wrote:
> 06.07.2011 16:41, Igor Vlasenko wrote:
> > Если это предложение о помощи, то приму с благодарностью.
> > Сделайте, пожалуйста, так, чтобы проходила сборка tjws (0:1.3.3-alt1_2jpp6)
> 
> Суда по версии в скобках, у вас уже есть репозиторий с этим
> веб-сервером. Можно ссылку ? или его нужно опакечивать с нуля ?

в сизифе есть пакет tjws-1.3.3-alt1_2jpp6.src.rpm.
он не пересобирается с выключенной сетью.
Спасибо, что взялись!

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.

[devel] [PATCH] Fix build in isolated environment

[Alexey I. Froloff]

Signed-off-by: Alexey I. Froloff <raorn@altlinux.org>
---
 tjws.spec |    3 +++
 1 files changed, 3 insertions(+), 0 deletions(-)

diff --git a/tjws.spec b/tjws.spec
index 60b538a..ab48381 100644
--- a/tjws.spec
+++ b/tjws.spec
@@ -109,6 +109,9 @@ can be extracted through rpm2cpio.
 %{_bindir}/find -name "*.?ar" | %{_bindir}/xargs -t %{__rm}
 %patch0 -p0 -b .build
 
+find . -name '*.xml' -print0 |
+	xargs -r0 sed -i 's,http://7bee.j2ee.us/xml/DTD/,%_datadir/sgml/bee/,g' --
+
 %build
 %{_bindir}/bee
 
-- 
1.7.3.2

Re: [devel] I: share_network=no

[Alexey Gladkov]

06.07.2011 17:04, Igor Vlasenko wrote:
> в сизифе есть пакет tjws-1.3.3-alt1_2jpp6.src.rpm.
> он не пересобирается с выключенной сетью.
> Спасибо, что взялись!

Патч готов и на пути в рассылку :)

-- 
Rgrds, legion

Re: [devel] share_uts, 32-ovz и EPERM (was: I: share_network=no)

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 579 bytes --]

On Wed, Jul 06, 2011 at 02:12:53PM +0300, Michael Shigorin wrote:
> On Tue, Jul 05, 2011 at 04:49:26PM +0300, Igor Vlasenko wrote:
> > Что-то вроде BR: hasher(network)
> 
> +1
> 
> PS: вообще тестирование системного инструментария уже не то (tm):
> VE$ hasher-priv: chrootuid: unshare CLONE_NEWIPC: Operation not permitted
> -- может, сделать проверку EPERM? (на HN -- 2.6.32-ovz-el)

Хорошо, я добавлю проверку EPERM.

Не могу себе позволить использовать 2.6.32-ovz-el в production.
Придется вам тестировать это ядро и сообщать, что там не работает.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] [PATCH] Fix build in isolated environment

[Igor Vlasenko]

On Wed, Jul 06, 2011 at 05:29:19PM +0400, Alexey I. Froloff wrote:

О! Спасибо!

> Signed-off-by: Alexey I. Froloff <raorn@altlinux.org>
> ---
>  tjws.spec |    3 +++
>  1 files changed, 3 insertions(+), 0 deletions(-)
> 
> diff --git a/tjws.spec b/tjws.spec
> index 60b538a..ab48381 100644
> --- a/tjws.spec
> +++ b/tjws.spec
> @@ -109,6 +109,9 @@ can be extracted through rpm2cpio.
>  %{_bindir}/find -name "*.?ar" | %{_bindir}/xargs -t %{__rm}
>  %patch0 -p0 -b .build
>  
> +find . -name '*.xml' -print0 |
> +	xargs -r0 sed -i 's,http://7bee.j2ee.us/xml/DTD/,%_datadir/sgml/bee/,g' --
> +
>  %build
>  %{_bindir}/bee
>  
> -- 
> 1.7.3.2
> 
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.

Re: [devel] I: share_network=no

[Igor Vlasenko]

On Wed, Jul 06, 2011 at 05:30:20PM +0400, Alexey Gladkov wrote:
> 06.07.2011 17:04, Igor Vlasenko wrote:
> > в сизифе есть пакет tjws-1.3.3-alt1_2jpp6.src.rpm.
> > он не пересобирается с выключенной сетью.
> > Спасибо, что взялись!
> 
> Патч готов и на пути в рассылку :)

Жду! надо определить, кому выставлять!

-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.

Re: [devel] [PATCH] Fix build in isolated environment

[Igor Vlasenko]

On Wed, Jul 06, 2011 at 09:45:18PM +0400, Alexey I. Froloff wrote:
> On Wed, Jul 06, 2011 at 05:00:40PM +0300, Igor Vlasenko wrote:
> > О! Спасибо!
> Это только первый пункт обязательств, а остальные?  Вино можно
> высылать по адресу 111033, Москва, ул. Волочаевская, д. 5, корп.
> 1, КРОК, Департамент Вычислительных Систем, Фролову Алексею (или
> Гладкову Алексею, я просто раньше пакет нашёл).
гм. почтой тоже вариант.

> И там ещё три пункта осталось.

Да, конечно!
Уважаемые коллеги, приношу свои извинения за бучу,

по поводу сети все свои возражения отзываю
(т.е. хоть и не считаю категорические шаги правильными,
но раз мои коллеги доказали свою решимость тем, что 
не пожалели своего времени и сил и пошли разгребать,
то и я не могу остаться в стороне) и тоже потрачу силы
на починку.

весь краснею, смущаюсь и больше про опцию открытия сети не пишу.


-- 

Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.