为什么必须用 systemd 守护向日葵

Linux 服务器往往放在 IDC 或边缘机柜，重启后若无人现场登录，向日葵未自启就等于“失联”。systemd 是主流发行版统一的服务治理框架，可让客户端在开机、断网、崩溃后自动拉起，并把日志统一送进 journal，方便集中审计。

相比 crontab、rc.local 等旧方案，systemd 支持依赖序、重启策略、资源限制，能把向日葵的 CPU、内存、文件句柄框在可控范围，避免“吃爆”嵌入式盒子或工控机。

前置条件与版本边界

截至当前的最新版本（v15.3.1 系列）官方仍提供 tar.gz 与 rpm 两种形态：tar.gz 解压即用，rpm 会顺便写旧式 init 脚本，但不会自动生成 systemd unit。以下步骤以 tar.gz 为例，适用 CentOS 7+/Rocky/Alma、Debian 9+、Ubuntu 16.04+ 等带 systemd 的系统。

安装向日葵客户端（tar.gz 方式）

1. 下载与解压

wget https://down.oray.com/sunlogin/linux/sunlogin_remoteclient_linux.tar.gz
tar -xf sunlogin_remoteclient_linux.tar.gz -C /opt/
ln -s /opt/sunlogin_remoteclient /opt/sunlogin

2. 最小化权限

官方二进制已做 strip，体积约 38 MB；建议单独建用户，降低被提权风险：

groupadd -r sunlogin
useradd -r -g sunlogin -d /var/lib/sunlogin -s /sbin/nologin sunlogin
chown -R sunlogin:sunlogin /opt/sunlogin

手写 systemd unit 模板

在 /etc/systemd/system/sunlogin.service 新建文件，内容如下：

[Unit]
Description=Sunflower Remote Client
After=network-online.target
Wants=network-online.target
[Service]
Type=simple
User=sunlogin
Group=sunlogin
WorkingDirectory=/opt/sunlogin
ExecStart=/opt/sunlogin/sunlogin_service --no-daemon --config=/var/lib/sunlogin/conf
Restart=on-failure
RestartSec=10s
StartLimitInterval=60s
StartLimitBurst=3
安全加固
NoNewPrivileges=true
PrivateTmp=true
ProtectSystem=strict
ProtectHome=true
ReadWritePaths=/var/lib/sunlogin /tmp
[Install]
WantedBy=multi-user.target

加载与首次启动

systemctl daemon-reload
systemctl enable --now sunlogin.service
systemctl status sunlogin.service

若看到 Active: active (running) 且日志无“license expired”“login failed”等关键字，即表示守护成功。可重启整机验证：

reboot
# 重新登录后
systemctl is-active sunlogin.service  # 应输出 active

断网重连与失败恢复策略

经验性观察：IDC 夜间割接会导致网卡 up/down，向日葵原生有重连线程，但偶发进程僵死。systemd 的 Restart=on-failure 可覆盖退出码非 0 的场景；若需更激进，可改用 Restart=always，但要把 StartLimitBurst 降到 2，避免 CPU 空转。

验证方法：人工制造断网

ip link set eth0 down
sleep 30
ip link set eth0 up

观察 journalctl -u sunlogin -f，若在 30s 内出现“reconnecting... OK”，则无需调整；若出现“process exit 1”并被 systemd 重新拉起，也算符合预期。

日志轮转与审计

向日葵默认把日志写在 /var/lib/sunlogin/log/，但文件名带日期，不会自动压缩。可借用 systemd 的统一收集，再外送 rsyslog：

echo 'ForwardToSyslog=yes' >> /etc/systemd/journald.conf
systemctl restart systemd-journald

然后在 /etc/logrotate.d/sunlogin 追加：

/var/lib/sunlogin/log/*.log {
    daily
    rotate 7
    compress
    delaycompress
    missingok
    copytruncate
}

与防火墙的协同

向日葵走 TCP 443 + UDP 30000 以上随机端口。若服务器启用 firewalld，可在 service 段追加：

ExecStartPre=/usr/bin/firewall-cmd --permanent --add-port=443/tcp
ExecStartPre=/usr/bin/firewall-cmd --permanent --add-port=30000-40000/udp
ExecStartPre=/usr/bin/firewall-cmd --reload

不适用场景与取舍

• 容器内运行：systemd 需要宿主机 PID 1，若把向日葵塞 Docker，请改用 --restart unless-stopped，而不是本教程。
• 只读根文件系统：IoT 网关常把 / 挂载为 ro，ProtectSystem=strict 会导致写配置失败，需额外挂载可写数据卷。
• 多实例场景：一台主机要跑多开客户端，必须复制 unit 文件为 [email protected]，用模板实例化，否则端口与 PID 冲突。

常见故障速查表

现象	journalctl 关键词	处置
服务无限重启	StartLimitBurst	调大 RestartSec，检查网络
报 permission denied	ProtectSystem	追加 ReadWritePaths
无法获取本机码	license expired	登录向日葵控制台续期

FAQ（结构化数据）

最佳实践 8 条清单

1. 永远用专用用户运行，禁用 shell。
2. unit 文件纳入 Git，变更走 MR，回滚只需 systemctl revert。
3. RestartSec≥10s，StartLimitBurst≤3，防止雪崩。
4. 日志同时进 journal 与 rsyslog，保留 7 天压缩。
5. 防火墙端口最小化，只开 443 + 30000-40000/udp。
6. 每台机器写 Ansible 角色，批量推送 unit，避免手敲。
7. 监控用 node_exporter + systemd_exporter，采集 sunlogin.service.active 指标。
8. 每月重启一次，验证星链节点密钥是否过期。

收尾：下一步行动

按本文模板，10 分钟内即可把向日葵纳入 systemd 看护，实现“断电—来电—自动上线”无人值守。建议立即在测试机重演断网、重启两场景，确认 journal 无报错后，再推广到生产。若日后官方推出 rpm 自带 unit，请对比本文参数，决定是否迁移，以保留最小权限与日志集中化优势。