1.1 Cours accéléré du langage Scheme

Guix utilise l’implémentation Guile du langage Scheme. Pour commencer à jouer avec le langage, installez-le avec guix install guile et démarrer une BLÉA (REPL en anglais), une boucle de lecture, évaluation, affichage, en lançant guile sur la ligne de commande.

Vous pouvez également lancer la commande guix shell guile -- guile si vous préférez ne pas installer Guile dans votre profil utilisateur.

Dans les exemples suivants, les lignes montrent ce que vous devez taper sur la REPL ; les lignes commençant par « ⇒ » montrent le résultat de l’évaluation, tandis que les lignes commençant par « -| » montrent ce qui est affiché. Voir Using Guile Interactively dans GNU Guile Reference Manual, pour plus d’information sur la REPL.

• La syntaxe de Scheme se résume à un arbre d’expressions (ou une s-expression dans le jargon Lisp). Une expression peut être un litéral comme un nombre ou une chaîne de caractères, ou composée d’une liste d’autres éléments composés et litéraux, entourée de parenthèses. #true et #false (abrégés #t et #f) correspondent aux booléens « vrai » et « faux ».

  Voici des exemples d’expressions valides :

  "Bonjour le monde !"
  ⇒ "Bonjour le monde !"
  
  17
  ⇒ 17
  
  (display (string-append "Bonjour " "Guix" "\n"))
  -| Bonjour Guix
  ⇒ #<unspecified>
  

• Ce dernier exemple est un appel de fonction imbriqué dans un autre appel de fonction. Lorsqu’une expression parenthésée est évaluée, le premier élément est la fonction et le reste sont les arguments passés à la fonction. Chaque fonction renvoie la dernière expression évaluée.
• On peut déclarer des fonctions anonymes — des procédures en Scheme — avec le terme lambda :

  (lambda (x) (* x x))
  ⇒ #<procedure 120e348 at <unknown port>:24:0 (x)>
  

  La procédure ci-dessus renvoie le carré de son argument. Comme tout est une expression, l’expression lambda renvoie une procédure anonyme, qui peut ensuite être appliquée à un argument :

  ((lambda (x) (* x x)) 3)
  ⇒ 9
  

  Les procédures sont des valeurs normales comme les nombres, les chaines de caractère, les booléens, etc.

• On peut assigner un nom global à tout ce qu’on veut avec define :

  (define a 3)
  (define square (lambda (x) (* x x)))
  (square a)
  ⇒ 9
  

• On peut définir des procédure de manière plus concise avec la syntaxe suivante :

  (define (square x) (* x x))
  

• On peut créer une structure de liste avec la procédure list :

  (list 2 a 5 7)
  ⇒ (2 3 5 7)
  

• Des procédures standards sont fournies par le module (srfi srfi-1) pour créer et traiter des listes (voir list processing dans le manuel de référence de GNU Guile). Voici certaines des plus utiles en action :

  (use-modules (srfi srfi-1))  ; importe les procédures de traitement des listes
  
  (append (list 1 2) (list 3 4))
  ⇒ (1 2 3 4)
  
  (map (lambda (x) (* x x)) (list 1 2 3 4))
  ⇒ (1 4 9 16)
  
  (delete 3 (list 1 2 3 4))        ⇒ (1 2 4)
  (filter odd? (list 1 2 3 4))     ⇒ (1 3)
  (remove even? (list 1 2 3 4))    ⇒ (1 3)
  (find number? (list "a" 42 "b")) ⇒ 42
  

  Remarquez que le premier argument de map, filter, remove et find est une procédure !

• La quote (l’apostrophe) désactive l’évaluation d’une expression parenthésée, aussi appelée S-expression ou « s-exp » : le premier élément n’est pas appelé avec les autres éléments en argument (voir quote dans GNU Guile Reference Manual). Donc, il renvoie une liste de termes.

  '(display (string-append "Bonjour " "Guix" "\n"))
  ⇒ (display (string-append "Bonjour " "Guix" "\n"))
  
  '(2 a 5 7)
  ⇒ (2 a 5 7)
  

• La quasiquote (`, l’apostrophe à l’envers) désactive l’évaluation d’une expression parenthésée jusqu’à ce qu’un unquote (,, une virgule) la réactive. De cette manière, on garde un contrôle fin sur ce qui est évalué et sur ce qui ne l’est pas.

  `(2 a 5 7 (2 ,a 5 ,(+ a 4)))
  ⇒ (2 a 5 7 (2 3 5 7))
  

  Remarquez que le résultat ci-dessus est une liste d’éléments mixtes : des nombres, des symboles (ici a) et le dernier élément est aussi une liste.

• Guix définit une variante des S-expressions gonflées aux stéroïdes appelées G-expressions ou « gexps », qui fournit une variante de quasiquote et unquote : #~ (ou gexp) et #$ (ou ungexp). Elles vous permettent d’échelonner du code pour une future exécution.

  Par exemple, vous rencontrerez des gexps dans certaines définitions de paquets qui fournissent du code à exécuter pendant la construction du paquet. Elles ressemblent à ceci :

  (use-modules (guix gexp)           ;pour qu'on puisse écrire des gexps
               (gnu packages base))  ;pour « coreutils »
  
  ;; Ci-dessous, une G-expression représentant du code échelonné.
  #~(begin
      ;; Invoque « ls » du paquet défini par la variable
      ;; « coreutils ».
      (system* #$(file-append coreutils "/bin/ls") "-l")
  
      ;; Crée le répertoire de sortie de ce paquet.
      (mkdir #$output))
  

  Voir G-Expressions dans le manuel de référence de GNU Guix, pour plus de détails sur les gexps.

• On peut nommer localement plusieurs variables avec let (voir Local Bindings dans GNU Guile Reference Manual) :

  (define x 10)
  (let ((x 2)
        (y 3))
    (list x y))
  ⇒ (2 3)
  
  x
  ⇒ 10
  
  y
  erreur→ In procedure module-lookup: Unbound variable: y
  

  On peut utiliser let* pour permettre au déclarations de variables ultérieures d’utiliser les définitions précédentes.

  (let* ((x 2)
         (y (* x 3)))
    (list x y))
  ⇒ (2 6)
  

• On utilise typiquement des mot-clés pour identifier les paramètres nommés d’une procédure. Ils sont précédés de #: (dièse, deux-points) suivi par des caractères alphanumériques : #:comme-ça. Voir Keywords dans GNU Guile Reference Manual.
• On utilise souvent le signe pourcent % pour les variables globales non modifiables à l’étape de construction. Remarquez que ce n’est qu’une convention, comme _ en C. Scheme traite % de la même manière que les autres lettres.
• On peut créer des modules avec define-module (voir Creating Guile Modules dans GNU Guile Reference Manual). Par exemple :

  (define-module (guix build-system ruby)
    #:use-module (guix store)
    #:export (ruby-build
              ruby-build-system))
  

  défini le module guix build-system ruby qui doit se situer dans guix/build-system/ruby.scm quelque part dans le chemin de recherche de Guile. Il dépend du module (guix store) et exporte deux variables, ruby-build et ruby-build-system.

  Voir Modules de paquets dans le manuel de référence de GNU Guix, pour plus d’information sur les modules qui définissent des paquets.

Pour aller plus loin : Scheme est un langage qui a été beaucoup utilisé pour enseigner la programmation et vous trouverez plein de supports qui l’utilisent. Voici une liste de documents qui vous en apprendront plus sur le Scheme :

• A Scheme Primer, par Christine Lemmer-Webber et le Spritely Institute.
• Scheme at a Glance, par Steve Litt.
• Structure and Interpretation of Computer Programs, par Harold Abelson et Gerald Jay Sussman, avec Julie Sussman. Souvent appelé “SICP”, ce livre est une référence.

  Vous pouvez aussi l’installer et le lire sur votre ordinateur :

  guix install sicp info-reader
  info sicp
  

Vous trouverez plus de livres, de didacticiels et d’autres ressources sur https://schemers.org/.

2.1 Didacticiel d’empaquetage

GNU Guix se démarque des autres gestionnaire de paquets en étant bidouillable, surtout parce qu’il utilise GNU Guile, un langage de programmation de haut-niveau puissant, l’un des dialectes Scheme de la famille Lisp.

Les définitions de paquets sont aussi écrites en Scheme, ce qui le rend plus puissant de manière assez unique par rapport aux autres gestionnaires de paquets qui utilisent des scripts shell ou des langages simples.

• Vous pouvez utiliser des fonctions, des structures, des macros et toute l’expressivité de Scheme dans vos définitions de paquets.
• L’héritage facilite la personnalisation d’un paquet en héritant d’un autre et en modifiant uniquement les points nécessaires.
• Traitement par lot : la collection des paquets entière peut être analysée, filtrée et traitée. Vous voulez construire un serveur sans interface graphique ? C’est possible. Vous voulez tout reconstruire à partir des sources avec des drapeaux d’optimisation spécifiques ? Passez l’argument #:make-flags "…" à la liste des paquets. Ce ne serait pas aberrant de penser au drapeau USE de Gentoo, mais cela va plus loin : la personne qui crée les paquets n’a pas besoin de penser à l’avance à ces changements, ils peuvent être programmés par l’utilisateur ou l’utilisatrice !

Le didacticiel suivant traite des bases de la création de paquets avec Guix. Il ne présuppose aucune connaissance du système Guix ni du langage Lisp. On ne s’attend qu’à ce que vous aillez une certaine familiarité avec la ligne de commande et des connaissances de base en programmation.

• Un paquet « hello world »
• Configuration
• Exemple avancé
• Autres systèmes de construction
• Définition programmable et automatisée
• Se faire aider
• Conclusion
• Références

(define-public hello
  (package
    (name "hello")
    (version "2.10")
    (source (origin
              (method url-fetch)
              (uri (string-append "mirror://gnu/hello/hello-" version
                                  ".tar.gz"))
              (sha256
               (base32
                "0ssi1wpaf7plaswqqjwigppsg5fyh99vdlb9kzl7c9lng89ndq1i"))))
    (build-system gnu-build-system)
    (synopsis "Hello, GNU world: An example GNU package")
    (description
     "GNU Hello prints the message \"Hello, world!\" and then exits.  It
serves as an example of standard GNU coding practices.  As such, it supports
command-line arguments, multiple languages, and so on.")
    (home-page "https://www.gnu.org/software/hello/")
    (license gpl3+)))

(use-modules (guix packages)
             (guix download)
             (guix build-system gnu)
             (guix licenses))

(package
  (name "my-hello")
  (version "2.10")
  (source (origin
            (method url-fetch)
            (uri (string-append "mirror://gnu/hello/hello-" version
                                ".tar.gz"))
            (sha256
             (base32
              "0ssi1wpaf7plaswqqjwigppsg5fyh99vdlb9kzl7c9lng89ndq1i"))))
  (build-system gnu-build-system)
  (synopsis "Hello, Guix world: An example custom Guix package")
  (description
   "GNU Hello prints the message \"Hello, world!\" and then exits.  It
serves as an example of standard GNU coding practices.  As such, it supports
command-line arguments, multiple languages, and so on.")
  (home-page "https://www.gnu.org/software/hello/")
  (license gpl3+))

$ guix download mirror://gnu/hello/hello-2.10.tar.gz

Starting download of /tmp/guix-file.JLYgL7
From https://ftpmirror.gnu.org/gnu/hello/hello-2.10.tar.gz...
following redirection to `https://mirror.ibcp.fr/pub/gnu/hello/hello-2.10.tar.gz'...
 …10.tar.gz  709KiB                                 2.5MiB/s 00:00 [##################] 100.0%
/gnu/store/hbdalsf5lpf01x4dcknwx6xbn6n5km6k-hello-2.10.tar.gz
0ssi1wpaf7plaswqqjwigppsg5fyh99vdlb9kzl7c9lng89ndq1i

$ guix download mirror://gnu/hello/hello-2.10.tar.gz.sig

Starting download of /tmp/guix-file.03tFfb
From https://ftpmirror.gnu.org/gnu/hello/hello-2.10.tar.gz.sig...
following redirection to `https://ftp.igh.cnrs.fr/pub/gnu/hello/hello-2.10.tar.gz.sig'...
 ….tar.gz.sig  819B                                                                                                                       1.2MiB/s 00:00 [##################] 100.0%
/gnu/store/rzs8wba9ka7grrmgcpfyxvs58mly0sx6-hello-2.10.tar.gz.sig
0q0v86n3y38z17rl146gdakw9xc4mcscpk8dscs412j22glrv9jf
$ gpg --verify /gnu/store/rzs8wba9ka7grrmgcpfyxvs58mly0sx6-hello-2.10.tar.gz.sig /gnu/store/hbdalsf5lpf01x4dcknwx6xbn6n5km6k-hello-2.10.tar.gz
gpg: Signature faite le dim. 16 nov. 2014 13:08:37 CET
gpg:                avec la clef RSA A9553245FDE9B739
gpg: Bonne signature de « Sami Kerola (https://www.iki.fi/kerolasa/) <kerolasa@iki.fi> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 8ED3 96E3 7E38 D471 A005  30D3 A955 3245 FDE9 B739

$ guix package --install-from-file=my-hello.scm

$ guix package --list-installed=my-hello
my-hello	2.10	out
/gnu/store/f1db2mfm8syb8qvc357c53slbvf1g9m9-my-hello-2.10

  -f, --install-from-file=FICHIER
                         installer le paquet évalué par le code dans
                         FICHIER

mkdir ~/mon-canal

(define-module (my-hello)
  #:use-module (guix licenses)
  #:use-module (guix packages)
  #:use-module (guix build-system gnu)
  #:use-module (guix download))

(define-public my-hello
  (package
    (name "my-hello")
    (version "2.10")
    (source (origin
              (method url-fetch)
              (uri (string-append "mirror://gnu/hello/hello-" version
                                  ".tar.gz"))
              (sha256
               (base32
                "0ssi1wpaf7plaswqqjwigppsg5fyh99vdlb9kzl7c9lng89ndq1i"))))
    (build-system gnu-build-system)
    (synopsis "Hello, Guix world: An example custom Guix package")
    (description
     "GNU Hello prints the message \"Hello, world!\" and then exits.  It
serves as an example of standard GNU coding practices.  As such, it supports
command-line arguments, multiple languages, and so on.")
    (home-page "https://www.gnu.org/software/hello/")
    (license gpl3+)))

;; ...
(define-public my-hello
  ;; ...
  )

my-hello

guix show -L ~/mon-canal my-hello
guix build -L ~/mon-canal my-hello

cd ~/mon-canal
git init
git add my-hello.scm
git commit -m "Premier commit sur mon canal."

(append (list (channel
                (name 'mon-canal)
                (url (string-append "file://" (getenv "HOME")
                                    "/mon-canal"))))
        %default-channels)

$ git clone https://git.savannah.gnu.org/git/guix.git

(define-module (gnu packages version-control)
  #:use-module ((guix licenses) #:prefix license:)
  #:use-module (guix utils)
  #:use-module (guix packages)
  #:use-module (guix git-download)
  #:use-module (guix build-system cmake)
  #:use-module (gnu packages compression)
  #:use-module (gnu packages pkg-config)
  #:use-module (gnu packages python)
  #:use-module (gnu packages ssh)
  #:use-module (gnu packages tls)
  #:use-module (gnu packages web))

(define-public my-libgit2
  (let ((commit "e98d0a37c93574d2c6107bf7f31140b548c6a7bf")
        (revision "1"))
    (package
      (name "my-libgit2")
      (version (git-version "0.26.6" revision commit))
      (source (origin
                (method git-fetch)
                (uri (git-reference
                      (url "https://github.com/libgit2/libgit2/")
                      (commit commit)))
                (file-name (git-file-name name version))
                (sha256
                 (base32
                  "17pjvprmdrx4h6bb1hhc98w9qi6ki7yl57f090n9kbhswxqfs7s3"))
                (patches (search-patches "libgit2-mtime-0.patch"))
                (modules '((guix build utils)))
                ;; Suppression des logiciels embarqués.
                (snippet '(delete-file-recursively "deps"))))
      (build-system cmake-build-system)
      (outputs '("out" "debug"))
      (arguments
       `(#:tests? #true                         ; Lancer la suite de tests (c'est la valeur par défaut)
         #:configure-flags '("-DUSE_SHA1DC=ON") ; détection de collision SHA-1
         #:phases
         (modify-phases %standard-phases
           (add-after 'unpack 'fix-hardcoded-paths
             (lambda _
               (substitute* "tests/repo/init.c"
                 (("#!/bin/sh") (string-append "#!" (which "sh"))))
               (substitute* "tests/clar/fs.h"
                 (("/bin/cp") (which "cp"))
                 (("/bin/rm") (which "rm")))))
           ;; Lancer les tests avec plus de verbosité.
           (replace 'check
             (lambda* (#:key tests? #:allow-other-keys)
               (when tests?
                 (invoke "./libgit2_clar" "-v" "-Q"))))
           (add-after 'unpack 'make-files-writable-for-tests
             (lambda _ (for-each make-file-writable (find-files ".")))))))
      (inputs
       (list libssh2 http-parser python-wrapper))
      (native-inputs
       (list pkg-config))
      (propagated-inputs
       ;; Ces deux bibliothèques sont dans « Requires.private », dans libgit2.pc.
       (list openssl zlib))
      (home-page "https://libgit2.github.com/")
      (synopsis "Library providing Git core methods")
      (description
       "Libgit2 is a portable, pure C implementation of the Git core methods
provided as a re-entrant linkable library with a solid API, allowing you to
write native speed custom Git applications in any language with bindings.")
      ;; GPLv2 with linking exception
      (license license:gpl2))))

git clone https://github.com/libgit2/libgit2/
cd libgit2
git checkout v0.26.6
guix hash -rx .

#:make-flags (list (string-append "prefix=" (assoc-ref %outputs "out"))
                   "CC=gcc")

$ make CC=gcc prefix=/gnu/store/...-<out>

#:configure-flags '("-DUSE_SHA1DC=ON")

(define %standard-phases
  ;; Standard build phases, as a list of symbol/procedure pairs.
  (let-syntax ((phases (syntax-rules ()
                         ((_ p ...) `((p . ,p) ...)))))
    (phases set-SOURCE-DATE-EPOCH set-paths install-locale unpack
            bootstrap
            patch-usr-bin-file
            patch-source-shebangs configure patch-generated-file-shebangs
            build check install
            patch-shebangs strip
            validate-runpath
            validate-documentation-location
            delete-info-dir-file
            patch-dot-desktop-files
            install-license-files
            reset-gzip-timestamps
            compress-documentation)))

(add-to-load-path "/path/to/guix/checkout")
,use (guix build gnu-build-system)
(map first %standard-phases)
⇒ (set-SOURCE-DATE-EPOCH set-paths install-locale unpack bootstrap patch-usr-bin-file patch-source-shebangs configure patch-generated-file-shebangs build check install patch-shebangs strip validate-runpath validate-documentation-location delete-info-dir-file patch-dot-desktop-files install-license-files reset-gzip-timestamps compress-documentation)

(define* (unpack #:key source #:allow-other-keys)
  "Unpack SOURCE in the working directory, and change directory within the
source.  When SOURCE is a directory, copy it in a sub-directory of the current
working directory."
  (if (file-is-directory? source)
      (begin
        (mkdir "source")
        (chdir "source")

        ;; Preserve timestamps (set to the Epoch) on the copied tree so that
        ;; things work deterministically.
        (copy-recursively source "."
                          #:keep-mtime? #true))
      (begin
        (if (string-suffix? ".zip" source)
            (invoke "unzip" source)
            (invoke "tar" "xvf" source))
        (chdir (first-subdirectory "."))))
  #true)

(lambda* (#:key inputs outputs #:allow-other-keys)
  (let ((bash-directory (assoc-ref inputs "bash"))
        (output-directory (assoc-ref outputs "out"))
        (doc-directory (assoc-ref outputs "doc")))
    ;; ...
    #true))

$ guix import cran --recursive walrus

(define-public r-mc2d
    ; ...
    (license gpl2+)))

(define-public r-jmvcore
    ; ...
    (license gpl2+)))

(define-public r-wrs2
    ; ...
    (license gpl3)))

(define-public r-walrus
  (package
    (name "r-walrus")
    (version "1.0.3")
    (source
      (origin
        (method url-fetch)
        (uri (cran-uri "walrus" version))
        (sha256
          (base32
            "1nk2glcvy4hyksl5ipq2mz8jy4fss90hx6cq98m3w96kzjni6jjj"))))
    (build-system r-build-system)
    (propagated-inputs
      (list r-ggplot2 r-jmvcore r-r6 r-wrs2))
    (home-page "https://github.com/jamovi/walrus")
    (synopsis "Robust Statistical Methods")
    (description
      "This package provides a toolbox of common robust statistical
tests, including robust descriptives, robust t-tests, and robust ANOVA.
It is also available as a module for 'jamovi' (see
<https://www.jamovi.org> for more information).  Walrus is based on the
WRS2 package by Patrick Mair, which is in turn based on the scripts and
work of Rand Wilcox.  These analyses are described in depth in the book
'Introduction to Robust Estimation & Hypothesis Testing'.")
    (license gpl3)))

$ guix refresh hello

$ guix refresh hello --update

(define-public adwaita-icon-theme
  (package (inherit gnome-icon-theme)
    (name "adwaita-icon-theme")
    (version "3.26.1")
    (source (origin
              (method url-fetch)
              (uri (string-append "mirror://gnome/sources/" name "/"
                                  (version-major+minor version) "/"
                                  name "-" version ".tar.xz"))
              (sha256
               (base32
                "17fpahgh5dyckgz7rwqvzgnhx53cx9kr2xw0szprc6bnqy977fi8"))))
    (native-inputs (list `(,gtk+ "bin")))))

3.1 Connexion automatique à un TTY donné

Tandis que le manuel de Guix explique comment connecter automatiquement un utilisateur sur tous les TTY (voir connexion automatique à un TTY dans le manuel de référence de Guix), vous pourriez préférer avoir un utilisateur connecté sur un TTY et configurer les autres TTY pour connecter d’autres utilisateurs ou personne. Remarquez que vous pouvez connecter automatiquement un utilisateur sur n’importe quel TTY, mais il est recommandé d’éviter tty1, car par défaut, il est utilisé pour afficher les avertissements et les erreurs des journaux systèmes.

Voici comment on peut configurer la connexion d’un utilisateur sur un tty :

(define (auto-login-to-tty config tty user)
  (if (string=? tty (mingetty-configuration-tty config))
        (mingetty-configuration
         (inherit config)
         (auto-login user))
        config))

(define %my-services
  (modify-services %base-services
    ;; …
    (mingetty-service-type config =>
                           (auto-login-to-tty
                            config "tty3" "alice"))))

(operating-system
  ;; …
  (services %my-services))

On peut aussi utiliser compose (voir Higher-Order Functions dans The Guile Reference Manual) avec auto-login-to-tty pour connecter plusieurs utilisateurs sur différents ttys.

Enfin, une mise en garde. Configurer la connexion automatique à un TTY signifie que n’importe qui peut allumer votre ordinateur et lancer des commandes avec votre utilisateur normal. Cependant, si vous avez une partition racine chiffrée, et donc qu’il faut déjà saisir une phrase de passe au démarrage du système, la connexion automatique peut être un choix pratique.

3.2 Personnalisation du noyau

Guix est, en son cœur, une distribution source avec des substituts (voir Substituts dans le manuel de référence de GNU Guix), et donc construire des paquets à partir de leur code source est normal pendant les installations et les mis à jour de paquets. Malgré tout, c’est aussi normal d’essayer de réduire le temps passé à compiler des paquets, et les changements récents et futurs concernant la construction et la distribution des substituts continue d’être un sujet de discussion dans le projet Guix.

Le noyau, bien qu’il ne demande pas énormément de RAM pour être construit, prend assez long à construire sur une machine usuelle. La configuration du noyau officielle, comme avec la plupart des autres distributions GNU/Linux, penche du côté de l’inclusivité, et c’est vraiment ça qui rend la construction aussi longue à partir des sources.

Le noyau Linux, cependant, peut aussi être décrit comme un simple paquet comme les autres, et peut donc être personnalisé comme n’importe quel autre paquet. La procédure est un peu différente, même si c’est surtout dû à la nature de la définition du paquet.

Le paquet du noyau linux-libre est en fait une procédure qui crée un paquet.

(define* (make-linux-libre* version gnu-revision source supported-systems
                            #:key
                            (extra-version #f)
                            ;; Un fonction qui prend une architecture et une variante
                            ;; Voir kernel-config si vous voulez un exemple.
                            (configuration-file #f)
                            (defconfig "defconfig")
                            (extra-options (default-extra-linux-options version)))
  ...)

Le paquet linux-libre actuel pour la série 5.15.x, est déclaré comme ceci :

(define-public linux-libre-5.15
  (make-linux-libre* linux-libre-5.15-version
                     linux-libre-5.15-gnu-revision
                     linux-libre-5.15-source
                     '("x86_64-linux" "i686-linux" "armhf-linux"
                       "aarch64-linux" "riscv64-linux")
                     #:configuration-file kernel-config))

Les clés qui n’ont pas de valeur associée prennent leur valeur par défaut dans la définition de make-linux-libre. Lorsque vous comparez les deux bouts de code ci-dessus, remarquez le commentaire qui correspond à #:configuration-file. À cause de cela, il n’est pas facile d’inclure une configuration personnalisée du noyau à partir de la définition, mais ne vous inquiétez pas, il y a d’autres moyens de travailler avec ce qu’on a.

Il y a deux manières de créer un noyau avec une configuration personnalisée. La première consiste à fournir un fichier .config standard au processus de construction en ajoutant un fichier .config comme entrée native de notre noyau. Voici un bout de code correspondant à la phase 'configure de la définition de paquet make-linux-libre :

(let ((build  (assoc-ref %standard-phases 'build))
      (config (assoc-ref (or native-inputs inputs) "kconfig")))

  ;; Use a custom kernel configuration file or a default
  ;; configuration file.
  (if config
      (begin
        (copy-file config ".config")
        (chmod ".config" #o666))
      (invoke "make" ,defconfig)))

Et voici un exemple de paquet de noyau. Le paquet linux-libre n’a rien de spécial, on peut en hériter et remplacer ses champs comme n’importe quel autre paquet :

(define-public linux-libre/E2140
  (package
    (inherit linux-libre)
    (native-inputs
     `(("kconfig" ,(local-file "E2140.config"))
      ,@(alist-delete "kconfig"
                      (package-native-inputs linux-libre))))))

Dans le même répertoire que le fichier définissant linux-libre-E2140 se trouve un fichier nommé E2140.config, qui est un fichier de configuration du noyau. Le mot-clé defconfig de make-linux-libre reste vide ici, donc la configuration du noyau dans le paquet est celle qui sera incluse dans le champ native-inputs.

La deuxième manière de créer un noyau personnalisé est de passer une nouvelle valeur au mot-clé extra-options de la procédure make-linux-libre. Le mot-clé extra-options fonctionne avec une autre fonction définie juste en dessous :

(define (default-extra-linux-options version)
  `(;; https://lists.gnu.org/archive/html/guix-devel/2014-04/msg00039.html
   ("CONFIG_DEVPTS_MULTIPLE_INSTANCES" . #true)
   ;; Modules requis pour initrd :
   ("CONFIG_NET_9P" . m)
   ("CONFIG_NET_9P_VIRTIO" . m)
   ("CONFIG_VIRTIO_BLK" . m)
   ("CONFIG_VIRTIO_NET" . m)
   ("CONFIG_VIRTIO_PCI" . m)
   ("CONFIG_VIRTIO_BALLOON" . m)
   ("CONFIG_VIRTIO_MMIO" . m)
   ("CONFIG_FUSE_FS" . m)
   ("CONFIG_CIFS" . m)
   ("CONFIG_9P_FS" . m)))

(define (config->string options)
  (string-join (map (match-lambda
                      ((option . 'm)
                       (string-append option "=m"))
                      ((option . #true)
                       (string-append option "=y"))
                      ((option . #false)
                       (string-append option "=n")))
                    options)
               "\n"))

Et dans le script configure personnalisé du paquet « make-linux-libre » :

;; Appending works even when the option wasn't in the
;; file.  The last one prevails if duplicated.
(let ((port (open-file ".config" "a"))
      (extra-configuration ,(config->string extra-options)))
  (display extra-configuration port)
  (close-port port))

(invoke "make" "oldconfig")

Donc, en ne fournissant pas de fichier de configuration le fichier .config est au départ vide et on écrit ensuite l’ensemble des drapeaux que l’on veut. Voici un autre noyau personnalisé :

(define %macbook41-full-config
  (append %macbook41-config-options
          %file-systems
          %efi-support
          %emulation
          ((@@ (gnu packages linux) default-extra-linux-options) version)))

(define-public linux-libre-macbook41
  ;; XXX: Accède à la procédure interne « make-linux-libre* », qui est privée
  ;; et n'est pas exportée, et pourrait changer dans le futur.
  ((@@ (gnu packages linux) make-linux-libre*)
   (@@ (gnu packages linux) linux-libre-version)
   (@@ (gnu packages linux) linux-libre-gnu-revision)
   (@@ (gnu packages linux) linux-libre-source)
   '("x86_64-linux")
   #:extra-version "macbook41"
   #:extra-options %macbook41-config-options))

Dans l’exemple ci-dessus %fale-systems est un ensemble de drapeaux qui activent la prise en charge de différents systèmes de fichiers, %efi-support active la prise en charge de l’EFI et %emulation permet à une machine x86_64-linux de fonctionner aussi en mode 32-bits. La procédure default-extra-linux-options est définie plus haut, et elles devaient être utilisée pour éviter de perdre les options de configuration par défaut dans le mot-clé extra-options.

Tout ça est bien beau, mais comment savoir quels modules sont requis pour un système en particulier ? Il y a deux ressources qui peuvent être utiles pour répondre à cette question : le manuel de Gentoo et la documentation du noyau. D’après la documentation du noyau, il semble que la commande make localmodconfig soit la bonne.

Pour lancer make localmodconfig on doit d’abord récupérer et décompresser le code source du noyau :

tar xf $(guix build linux-libre --source)

Une fois dans le répertoire contenant le code source lancez touch .config pour créer un fichier .config initialement vide pour commencer. make localmodconfig fonctionne en remarquant que avec déjà un .config et en vous disant ce qu’il vous manque. Si le fichier est vide, il vous manquera tout ce qui est nécessaire. L’étape suivante consiste à lancer :

guix shell -D linux-libre -- make localmodconfig

et regardez la sortie. Remarquez que le fichier .config est toujours vide. La sortie contient en général deux types d’avertissements. Le premier commence par « WARNING » et peut être ignoré dans notre cas. Le deuxième dit :

module pcspkr did not have configs CONFIG_INPUT_PCSPKR

Pour chacune de ces lignes, copiez la partie CONFIG_XXXX_XXXX dans le .config du répertoire et ajoutez =m pour qu’à la fin il ressemble à cela :

CONFIG_INPUT_PCSPKR=m
CONFIG_VIRTIO=m

Après avoir copié toutes les options de configuration, lancez make localmodconfig de nouveau pour vous assurer que vous n’avez pas de sortie commençant par « module ». Après tous ces modules spécifiques à la machine, il y en a encore quelques uns que nous devons aussi définir. CONFIG_MODULES est nécessaire pour que nous puissions construire et charger les modules séparément et ne pas tout construire dans le noyau. CONFIG_BLK_DEV_SD est requis pour lire les disques durs. Il est possible que vous aillez besoin de quelques autres modules.

Cet article n’a pas pour but de vous guider dans la configuration de votre propre noyau cependant, donc si vous décidez de construire un noyau personnalisé vous devrez chercher d’autres guides pour créer un noyau qui vous convient.

La deuxième manière de configurer le noyau utilise un peu plus les fonctionnalités de Guix et vous permettent de partager des bouts de configuration entre différents noyaux. Par exemple, toutes les machines avec un démarrage EFI ont besoin d’un certain nombre de configurations. Tous les noyaux vont probablement partager une liste de systèmes de fichiers à prendre en charge. En utilisant des variables il est facile de voir du premier coup quelles fonctionnalités sont activées pour vous assurer que vous n’avez pas des fonctionnalités dans un noyau qui manquent dans un autre.

Cependant, nous ne parlons pas de la personnalisation du disque de ram initial. Vous devrez sans doute modifier le disque de ram initial sur les machines qui utilisent un noyau personnalisé, puisque certains modules attendus peuvent ne pas être disponibles.

3.3 L’API de création d’images du système Guix

Historiquement, le système Guix est centré sur une structure operating-system. Cette structure contient divers champs qui vont du chargeur d’amorçage et à la déclaration du noyau aux services à installer.

Les contraintes sur l’image peuvent grandement varier en fonction de la machine cible : une machine x86_64 standard n’a pas les mêmes contraintes qu’un petit ordinateur monocarte ARM comme le Pine64. Les fabricants de matériel imposent donc des formats d’image distincts avec des tailles et des emplacements de partition variables.

Pour créer des images convenables pour toutes ces machines, une nouvelle abstraction est nécessaire : c’est le but de l’enregistrement image. Cet enregistrement contient toutes les informations requises pour être transformé en une image complète, qui peut être directement démarrée sur une machine cible.

(define-record-type* <image>
  image make-image
  image?
  (name               image-name ;symbol
                      (default #f))
  (format             image-format) ;symbol
  (target             image-target
                      (default #f))
  (size               image-size  ;size in bytes as integer
                      (default 'guess))
  (operating-system   image-operating-system  ;<operating-system>
                      (default #f))
  (partitions         image-partitions ;list of <partition>
                      (default '()))
  (compression?       image-compression? ;boolean
                      (default #t))
  (volatile-root?     image-volatile-root? ;boolean
                      (default #t))
  (substitutable?     image-substitutable? ;boolean
                      (default #t)))

Cet enregistrement contient le système d’exploitation à instancier. Le champ format défini le type d’image et peut être efi-raw, qcow2 ou iso9660 par exemple. Plus tard, on prévoit de l’étendre à docker et aux autres types d’images.

Un nouveau répertoire dans les sources de Guix est dédié aux définitions des images. Pour l’instant il y a quatre fichiers :

• gnu/system/images/hurd.scm
• gnu/system/images/pine64.scm
• gnu/system/images/novena.scm
• gnu/system/images/pinebook-pro.scm

Regardons le fichier pine64.scm. Il contient la variable pine64-barebones-os qui est une définition minimale d’un système d’exploitation dédié à la carte Pine A64 LTS.

(define pine64-barebones-os
  (operating-system
   (host-name "vignemale")
   (timezone "Europe/Paris")
   (locale "en_US.utf8")
   (bootloader (bootloader-configuration
                (bootloader u-boot-pine64-lts-bootloader)
                (targets '("/dev/vda"))))
   (initrd-modules '())
   (kernel linux-libre-arm64-generic)
   (file-systems (cons (file-system
                        (device (file-system-label "my-root"))
                        (mount-point "/")
                        (type "ext4"))
                       %base-file-systems))
   (services (cons (service agetty-service-type
                            (agetty-configuration
                             (extra-options '("-L")) ; no carrier detect
                             (baud-rate "115200")
                             (term "vt100")
                             (tty "ttyS0")))
                   %base-services))))

Les champs kernel et bootloader pointent vers les paquets dédiés à cette carte.

Ci-dessous, la variable pine64-image-type est ainsi définie.

(define pine64-image-type
  (image-type
   (name 'pine64-raw)
   (constructor (cut image-with-os arm64-disk-image <>))))

Elle utilise un enregistrement dont nous n’avons pas encore parlé, l’enregistrement image-type, défini de cette façon :

(define-record-type* <image-type>
  image-type make-image-type
  image-type?
  (name           image-type-name) ;symbol
  (constructor    image-type-constructor)) ;<operating-system> -> <image>

Le but principal de cet enregistrement est d’associer un nom à une procédure transformant un operating-system en une image. Pour comprendre pourquoi c’est nécessaire, voyons la commande produisant une image à partir d’un fichier de configuration de type operating-system :

guix system image my-os.scm

Cette commande demande une configuration de type operating-system mais comment indiquer que l’on veut cibler une carte Pine64 ? Nous devons fournir l’information supplémentaire, image-type, en passant le drapeau --image-type ou -t, de cette manière :

guix system image --image-type=pine64-raw my-os.scm

Ce paramètre image-type pointe vers le pine64-image-type défini plus haut. Ainsi, la déclaration operating-system dans my-os.scm se verra appliquée la procédure [cut image-with-os arm64-disk-image <>) pour la transformer en une image.

L’image qui en résulte ressemble à ceci :

(image
 (format 'disk-image)
 (target "aarch64-linux-gnu")
 (operating-system my-os)
 (partitions
  (list (partition
         (inherit root-partition)
         (offset root-offset)))))

qui ajoute l’objet operating-system défini dans my-os.scm à l’enregistrement arm64-disk-image.

Mais assez de cette folie. Qu’est-ce que cette API pour les images apporte aux utilisateurs et utilisatrices ?

On peut lancer :

mathieu@cervin:~$ guix system --list-image-types
Les types d'image disponibles sont :

   - unmatched-raw
   - rock64-raw
   - pinebook-pro-raw
   - pine64-raw
   - novena-raw
   - hurd-raw
   - hurd-qcow2
   - qcow2
   - iso9660
   - uncompressed-iso9660
   - tarball
   - efi-raw
   - mbr-raw
   - docker
   - wsl2
   - raw-with-offset
   - efi32-raw

et en écrivant un fichier de type operating-system basé sur pine64-barebones-os, vous pouvez personnaliser votre image selon vos préférences dasn un fichier (my-pine-os.scm) de cette manière :

(use-modules (gnu services linux)
             (gnu system images pine64))

(let ((base-os pine64-barebones-os))
  (operating-system
    (inherit base-os)
    (timezone "America/Indiana/Indianapolis")
    (services
     (cons
      (service earlyoom-service-type
               (earlyoom-configuration
                (prefer-regexp "icecat|chromium")))
      (operating-system-user-services base-os)))))

lancez :

guix system image --image-type=pine64-raw my-pine-os.scm

ou bien,

guix system image --image-type=hurd-raw my-hurd-os.scm

pour récupérer une image que vous pouvez écrire sur un disque dur pour démarrer dessus.

Sans rien changer à my-hurd-os.scm, en appelant :

guix system image --image-type=hurd-qcow2 my-hurd-os.scm

vous aurez une image QEMU pour le Hurd à la place.

3.4 Utiliser des clés de sécurité

L’utilisation de clés de sécurité peut améliorer votre sécurité en fournissant une seconde source d’authentification qui ne peut pas être facilement volée ni copiée, au moins pour les adversaires à distance (quelque chose que vous possédez) de votre secret principal (une phrase de passe — quelque chose que vous connaissez), ce qui réduit les risques de vol d’identité.

L’exemple de configuration détaillée plus bas montre la configuration minimale dont vous avez besoin sur votre système Guix pour permettre l’utilisation d’une clé de sécurité Yubico. Nous espérons que la configuration puisse être utile pour d’autres clés de sécurité aussi, avec quelques ajustements.

• Configuration pour l’utiliser comme authentification à double facteur (2FA)
• Désactiver la génération de code OTP pour une Yubikey
• Demander une Yubikey pour ouvrir une base de données KeePassXC

(use-package-modules ... security-token ...)
...
(operating-system
 ...
 (users (cons* (user-account
               (name "your-user")
               (group "users")
               (supplementary-groups
		'("wheel" "netdev" "audio" "video"
                  "plugdev"))           ;<- added system group
               (home-directory "/home/your-user"))
              %base-user-accounts))
 ...
 (services
  (cons*
   ...
   (udev-rules-service 'fido2 libfido2 #:groups '("plugdev")))))

guix shell ungoogled-chromium -- chromium chrome://settings/securityKeys

guix shell python-yubikey-manager -- ykman config usb --force --disable OTP

(use-package-modules ... security-token ...)
...
(operating-system
 ...
 (services
  (cons*
   ...
   (udev-rules-service 'yubikey yubikey-personalization))))

guix shell yubikey-manager-qt -- ykman-gui

3.5 Tâche mcron pour le DNS dynamique

Si votre FAI (fournisseur d’accès à internet) ne fournit que des adresse IP dynamiques, il peut être utile de mettre en place un service DNS (Domain Name System) dynamique (aussi appelé DDNS (Dynamic DNS)) pour associer un nom d’hôte statique à une adresse IP publique mais dynamique (qui change souvent). Il y a plusieurs services existants qui peuvent être utilisés pour cela ; dans la tâche mcron suivante, nous utilisons DuckDNS. Cela devrait aussi fonctionner avec d’autres services DNS dynamiques qui fournissent une interface similaire pour mettre à jour l’adresse IP, comme https://freedns.afraid.org/, avec quelques petits ajustements.

La tâche mcron est fournie plus bas, où DOMAINE doit être remplacé par votre propre préfixe de domaine, et le jeton fournit par DuckDNS associé à DOMAINE est à ajouter au fichier /etc/duckdns/DOMAINE.token.

(define duckdns-job
  ;; Met à jour l'IP du domaine toutes les 5 minutes.
  #~(job '(next-minute (range 0 60 5))
	 #$(program-file
            "duckdns-update"
            (with-extensions (list guile-gnutls) ;requis par (web client)
              #~(begin
                  (use-modules (ice-9 textual-ports)
                               (web client))
                  (let ((token (string-trim-both
                                (call-with-input-file "/etc/duckdns/DOMAINE.token"
                                  get-string-all)))
                        (query-template (string-append "https://www.duckdns.org/"
                                                       "update?domains=DOMAINE"
                                                       "&token=~a&ip=")))
                    (http-get (format #f query-template token))))))
         "duckdns-update"
         #:user "nobody"))

La tâche a ensuite besoin d’être ajoutée à la liste des tâches mcron de votre système, avec quelque chose comme cela :

(operating-system
 (services
  (cons* (service mcron-service-type
           (mcron-configuration
             (jobs (list duckdns-job ...))))
         ...
         %base-services)))

3.6 Se connecter à un VPN Wireguard

Pour se connecter à un serveur VPN Wireguard, il faut que le module du noyau soit chargé en mémoire et qu’un paquet fournissant des outils de réseau le prenne en charge (par exemple, wireguard-tools ou network-manager).

Voici un exemple de configuration pour Linux-Libre < 5.6, où le module est hors de l’arborescence des sources et doit être chargé manuellement–les révisions suivantes du noyau l’ont intégré et n’ont donc pas besoin d’une telle configuration :

(use-modules (gnu))
(use-service-modules desktop)
(use-package-modules vpn)

(operating-system
  ;; …
  (services (cons (simple-service 'wireguard-module
                                  kernel-module-loader-service-type
                                  '("wireguard"))
                  %desktop-services))
  (packages (cons wireguard-tools %base-packages))
  (kernel-loadable-modules (list wireguard-linux-compat)))

Après avoir reconfiguré et redémarré votre système, vous pouvez utiliser les outils Wireguard ou NetworkManager pour vous connecter à un serveur VPN.

• Utilisation des outils Wireguard
• En utilisant NetworkManager

# nmcli connection import type wireguard file wg0.conf
Connection 'wg0' (edbee261-aa5a-42db-b032-6c7757c60fde) successfully added

$ nmcli connection up wg0
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/6)

# nmcli connection modify wg0 connection.autoconnect no

3.7 Personnaliser un gestionnaire de fenêtres

• StumpWM
• Verrouillage de session

(use-modules (gnu))
(use-package-modules wm)

(operating-system
  ;; …
  (packages (append (list sbcl stumpwm `(,stumpwm "lib"))
                    %base-packages)))

(use-modules (gnu))
(use-package-modules fonts wm)

(operating-system
  ;; …
  (packages (append (list sbcl stumpwm `(,stumpwm "lib"))
                    sbcl-ttf-fonts font-dejavu %base-packages)))

(require :ttf-fonts)
(setf xft:*font-dirs* '("/run/current-system/profile/share/fonts/"))
(setf clx-truetype:+font-cache-filename+ (concat (getenv "HOME")
                                                 "/.fonts/font-cache.sexp"))
(xft:cache-fonts)
(set-font (make-instance 'xft:font :family "DejaVu Sans Mono"
                                   :subfamily "Book" :size 11))

xss-lock -- slock &
exec stumpwm

(service screen-locker-service-type
         (screen-locker-configuration
          (name "slock")
          (program (file-append slock "/bin/slock"))))

3.8 Lancer Guix sur un serveur Linode

Pour lancer Guix sur un serveur hébergé par Linode, commencez par un serveur Debian recommandé. Nous vous recommandons d’utiliser la distribution par défaut pour amorcer Guix. Créez vos clés SSH.

ssh-keygen

Assurez-vous d’ajouter votre clé SSH pour vous connecter facilement sur le serveur distant. C’est facilité par l’interface graphique de Linode. Allez sur votre profil et cliquez sur le bouton pour ajouter une clé SSH. Copiez la sortie de :

cat ~/.ssh/<username>_rsa.pub

Éteignez votre Linode.

Dans l’onglet de stockage du Linode, modifiez la taille du disque Debian pour qu’il soit plus petit. Nous recommandons 30 Go d’espace libre. Ensuite, cliquez sur « Ajouter un disque » et remplissez le formulaire de cette manière :

• Label: "Guix"
• Filesystem: ext4
• Donnez-lui la taille restante

Dans l’onglet de configuration, cliquez sur « modifier » sur le profil Debian par défaut. Dans « Block Device Assignment » cliquez sur « Add a Device ». Il devrait apparaître en tant que /dev/sdc et vous pouvez sélectionner le disque « Guix ». Sauvegardez les changements.

Maintenant « Add a Configuration », avec ce qui suit :

• Label: Guix
• Kernel: GRUB 2 (c’est à la toute fin ! Cette étape est IMPORTANTE !)
• Périphériques blocs assignés :
• /dev/sda : Guix
• /dev/sdb : swap
• Périphérique racine : /dev/sda
• Désactivez tous les programmes d’aide pour les systèmes de fichiers et le démarrage

Maintenant démarrez le serveur avec la configuration Debian. Une fois lancé, connectez vous en ssh au serveur avec ssh root@<IP-de-votre-serveur-ici>. (Vous pouvez trouver l’adresse IP de votre serveur dans la section résumé de Linode). Maintenant vous pouvez lancer les étapes d’installation de voir Installation binaire dans GNU Guix :

sudo apt-get install gpg
wget https://sv.gnu.org/people/viewgpg.php?user_id=15145 -qO - | gpg --import -
wget https://git.savannah.gnu.org/cgit/guix.git/plain/etc/guix-install.sh
chmod +x guix-install.sh
./guix-install.sh
guix pull

Maintenant il est temps d’écrire une configuration pour le serveur. Voici ce que vous devrez obligatoirement écrire, en plus de vos propres configurations. Enregistrez le fichier avec le nom guix-config.scm.

(use-modules (gnu)
             (guix modules))
(use-service-modules networking
                     ssh)
(use-package-modules admin
                     package-management
                     ssh
                     tls)

(operating-system
  (host-name "my-server")
  (timezone "America/New_York")
  (locale "en_US.UTF-8")
  ;; Ce code va générer un grub.cfg
  ;; sans installer le chargeur d'amorçage grub sur le disque.
  (bootloader (bootloader-configuration
               (bootloader
                (bootloader
                 (inherit grub-bootloader)
                 (installer #~(const #true))))))
  (file-systems (cons (file-system
                        (device "/dev/sda")
                        (mount-point "/")
                        (type "ext4"))
                      %base-file-systems))


  (swap-devices (list "/dev/sdb"))


  (initrd-modules (cons "virtio_scsi"    ; Requis pour trouver le disque
                        %base-initrd-modules))

  (users (cons (user-account
                (name "janedoe")
                (group "users")
                ;; Ajoute le compte au groupe « wheel »
                ;; pour en faire un sudoer.
                (supplementary-groups '("wheel"))
                (home-directory "/home/janedoe"))
               %base-user-accounts))

  (packages (cons* openssh-sans-x
                   %base-packages))

  (services (cons*
             (service dhcp-client-service-type)
             (service openssh-service-type
                      (openssh-configuration
                       (openssh openssh-sans-x)
                       (password-authentication? #false)
                       (authorized-keys
                        `(("janedoe" ,(local-file "janedoe_rsa.pub"))
                          ("root" ,(local-file "janedoe_rsa.pub"))))))
             %base-services)))

Remplacez les champs suivants dans la configuration ci-dessus :

(host-name "my-server")       ; remplacez avec le nom de votre serveur
; si vous avez choisi un serveur Linode en dehors des U.S.,
; utilisez tzselect pour trouver le bon fuseau horaire
(timezone "America/New_York") ; remplacez le fuseau horaire si besoin
(name "janedoe")              ; remplacez avec votre nom d'utilisateur
("janedoe" ,(local-file "janedoe_rsa.pub")) ; remplacez par votre clé ssh
("root" ,(local-file "janedoe_rsa.pub")) ; remplacez par votre clé ssh

Cette dernière ligne vous permet de vous connecter au serveur en root et de créer le mot de passe initial de root (voir la note à la fin de cette recette sur la connexion en root). Après avoir fait cela, vous pouvez supprimer cette ligne de votre configuration et reconfigurer pour empêcher la connexion directe en root.

Copiez votre clé ssh publique (ex : ~/.ssh/id_rsa.pub) dans <votre-nom-d'utilisateur>_rsa.pub et ajoutez votre guix-config.scm au même répertoire. Dans un nouveau terminal lancez ces commandes.

sftp root@<adresse IP du serveur distant>
put /path/to/files/<username>_rsa.pub .
put /path/to/files/guix-config.scm .

Dans votre premier terminal, montez le disque guix :

mkdir /mnt/guix
mount /dev/sdc /mnt/guix

À cause de la manière dont nous avons paramétré la section du chargeur d’amorçage dans le fichier guix-config.scm, nous installons seulement notre fichier de configuration grub. Donc on doit copier certains fichiers GRUB déjà installés sur le système Debian :

mkdir -p /mnt/guix/boot/grub
cp -r /boot/grub/* /mnt/guix/boot/grub/

Maintenant initialisez l’installation de Guix :

guix system init guix-config.scm /mnt/guix

Ok, éteignez maintenant le serveur ! Depuis la console Linode, démarrez et choisissez « Guix ».

Une fois démarré, vous devriez pouvoir vous connecter en SSH ! (La configuration du serveur aura cependant changé). Vous pouvez rencontrer une erreur de ce type :

$ ssh root@<server ip address>
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@     WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!      @@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:0B+wp33w57AnKQuHCvQP0+ZdKaqYrI/kyU7CfVbS7R4.
Please contact your system administrator.
Add correct host key in /home/joshua/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/joshua/.ssh/known_hosts:3
ECDSA host key for 198.58.98.76 has changed and you have requested strict checking.
Host key verification failed.

Vous pouvez soit supprimer ~/.ssh/known_hosts, soit supprimer la ligne qui pose problème, qui commence par l’adresse IP de votre serveur.

Assurez-vous de configurer votre mot de passe et celui de root.

ssh root@<remote ip address>
passwd  ; pour le mot de passe root
passwd <username> ; pour le mot de passe utilisateur

Il se peut que vous ne puissiez pas lancer les commandes précédentes si vous n’arrivez pas à vous connecter à distance via SSH, auquel cas vous devrez peut-être configurer vos mot de passes utilisateurs et root en cliquant sur « Launch Console » dans votre espace Linode. Choisissez « Glish » au lieu de « Weblish ». Maintenant vous devriez pouvoir vous connecter en ssh à la machine.

Hourra ! Maintenant vous pouvez étendre le serveur, supprimer le disque Debian et redimensionner celui de Guix. Bravo !

Au fait, si vous sauvegardez le résultat dans une image disque maintenant, vous pourrez plus facilement démarrer de nouvelles images de guix ! Vous devrez peut-être réduire la taille de l’image Guix à 6144 Mo, pour la sauvegarder en tant qu’image. Ensuite vous pouvez redimensionner la partition à la taille maximum.

3.9 Lancer Guix sur un serveur Kimsufi

Pour lancer Guix sur un serveur hébergé par Kimsufi, cliquez sur l’onglet netboot puis choisissez rescue64-pro et redémarrez.

OVH vous enverra un courriel avec les identifiants requis pour vous connecter en ssh à un système Debian.

Maintenant vous pouvez exécuter les étapes de « installer guix de voir Installation binaire dans GNU Guix » :

wget https://git.savannah.gnu.org/cgit/guix.git/plain/etc/guix-install.sh
chmod +x guix-install.sh
./guix-install.sh
guix pull

Partitionnez les lecteurs et formatez-les, en commençant par arrêter la grappe raid :

mdadm --stop /dev/md127
mdadm --zero-superblock /dev/sda2 /dev/sdb2

Ensuite, effacez les disques et créez les partitions. Nous allons créer une grappe RAID 1.

wipefs -a /dev/sda
wipefs -a /dev/sdb

parted /dev/sda --align=opt -s -m -- mklabel gpt
parted /dev/sda --align=opt -s -m -- \
 mkpart bios_grub 1049kb 512MiB \
 set 1 bios_grub on
parted /dev/sda --align=opt -s -m -- \
 mkpart primary 512MiB -512MiB
 set 2 raid on
parted /dev/sda --align=opt -s -m -- mkpart primary linux-swap 512MiB 100%

parted /dev/sdb --align=opt -s -m -- mklabel gpt
parted /dev/sdb --align=opt -s -m -- \
     mkpart bios_grub 1049kb 512MiB \
     set 1 bios_grub on
parted /dev/sdb --align=opt -s -m -- \
     mkpart primary 512MiB -512MiB \
     set 2 raid on
parted /dev/sdb --align=opt -s -m -- mkpart primary linux-swap 512MiB 100%

Créez la grappe :

mdadm --create /dev/md127 --level=1 --raid-disks=2 \
  --metadata=0.90 /dev/sda2 /dev/sdb2

Maintenant, créez les systèmes de fichiers sur les bonnes partitions, en commençant par la partition de démarrage :

mkfs.ext4  /dev/sda1
mkfs.ext4  /dev/sdb1

Puis la partition racine :

mkfs.ext4 /dev/md127

Initialisez les partitions d’échange :

mkswap /dev/sda3
swapon /dev/sda3
mkswap /dev/sdb3
swapon /dev/sdb3

Montez le disque guix :

mkdir /mnt/guix
mount /dev/md127 /mnt/guix

Maintenant vous pouvez écrire une déclaration de système d’exploitation dans un fichier os.scm. Voici un exemple :

(use-modules (gnu) (guix))
(use-service-modules networking ssh vpn virtualization sysctl admin mcron)
(use-package-modules ssh tls tmux vpn virtualization)

(operating-system
  (host-name "kimsufi")

  (bootloader (bootloader-configuration
	       (bootloader grub-bootloader)
	       (targets (list "/dev/sda" "/dev/sdb"))
	       (terminal-outputs '(console))))

  ;; Ajouter un module noyau pour le RAID-1 (appelé « miroir »).
  (initrd-modules (cons* "raid1"  %base-initrd-modules))

  (mapped-devices
   (list (mapped-device
          (source (list "/dev/sda2" "/dev/sdb2"))
          (target "/dev/md127")
          (type raid-device-mapping))))

  (swap-devices
   (list (swap-space
          (target "/dev/sda3"))
         (swap-space
          (target "/dev/sdb3"))))

  (issue
   ;; Contenu par défaut de /etc/issue.
   "\
Ceci est le système GNU sur Kimsufi.  Bienvenue.\n")

  (file-systems (cons* (file-system
		         (mount-point "/")
		         (device "/dev/md127")
		         (type "ext4")
		         (dependencies mapped-devices))
		       %base-file-systems))

  (users (cons (user-account
	        (name "guix")
	        (comment "guix")
	        (group "users")
	        (supplementary-groups '("wheel"))
	        (home-directory "/home/guix"))
	       %base-user-accounts))

  (sudoers-file
   (plain-file "sudoers" "\
root ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
guix ALL=(ALL) NOPASSWD:ALL\n"))

  ;; Paquets installés sur tout le système.
  (packages (cons* tmux gnutls wireguard-tools %base-packages))
  (services
   (cons*
    (service static-networking-service-type
	     (list (static-networking
		    (addresses (list (network-address
				      (device "enp3s0")
				      (value "adresse-ip-du-serveur/24"))))
		    (routes (list (network-route
				   (destination "default")
				   (gateway "passerelle-du-serveur"))))
		    (name-servers '("213.186.33.99")))))

    (service unattended-upgrade-service-type)

    (service openssh-service-type
	     (openssh-configuration
	      (openssh openssh-sans-x)
	      (permit-root-login #f)
	      (authorized-keys
	       `(("guix" ,(plain-file "nom-de-clé-ssh.pub"
                                      "contenu-de-clé-ssh"))))))
    (modify-services %base-services
      (sysctl-service-type
       config =>
       (sysctl-configuration
	(settings (append '(("net.ipv6.conf.all.autoconf" . "0")
			    ("net.ipv6.conf.all.accept_ra" . "0"))
			  %default-sysctl-settings))))))))

N’oubliez pas de modifier les variables adresse-ip-du-serveur, passerelle-du-serveur, nom-de-clé-ssh et contenu-de-clé-ssh avec vos propres valeurs.

La passerelle est la dernière IP utilisable dans votre bloc donc si vous avez un serveur avec l’IP ‘37.187.79.10’, sa passerelle sera ‘37.187.79.254’.

Transférez votre déclaration de système d’exploitation os.scm sur le serveur via les commandes scp ou sftp.

Maintenant, tout ce qu’il reste à faire est d’installer Guix avec guix system init et redémarrer.

Cependant nous devons d’abord paramétrer un chroot, car la partition racine du système de secours est monté sur une partition aufs et si vous essayez d’installer Guix cela ne marchera pas à l’étape d’installation de GRUB. Il se plaindra du chemin canonique de « aufs ».

Installez les paquets qui seront utilisés dans le chroot :

guix install bash-static parted util-linux-with-udev coreutils guix

Ensuite, exécutez ce qui suit pour créer les répertoires nécessaires au chroot :

cd /mnt && \
mkdir -p bin etc gnu/store root/.guix-profile/ root/.config/guix/current \
  var/guix proc sys dev

Copiez le resolv.conf hôte dans le chroot :

cp /etc/resolv.conf etc/

Montez les périphériques de type bloc, le dépôt et sa base de données et la configuration guix actuelle :

mount --rbind /proc /mnt/proc
mount --rbind /sys /mnt/sys
mount --rbind /dev /mnt/dev
mount --rbind /var/guix/ var/guix/
mount --rbind /gnu/store gnu/store/
mount --rbind /root/.config/ root/.config/
mount --rbind /root/.guix-profile/bin/ bin
mount --rbind /root/.guix-profile root/.guix-profile/

Entrez dans le chroot sur /mnt et installez le système :

chroot /mnt/ /bin/bash

guix system init /root/os.scm /guix

Enfin, à partir de l’interface utilisateur web, modifiez ‘netboot’ en ‘boot to disk’ et redémarrez (également depuis l’interface web).

Attendez quelques minutes et essayez de vous connecter en ssh avec ssh guix@adresse-ip-du-serveur> -i chemin-vers-votre-clé-ssh

Votre système Guix devrait être opérationnel sur Kimsufi. Félicitations !

3.10 Mettre en place un montage dupliqué

Pour dupliquer le montage d’un système de fichier (bind mount), on doit d’abord ajouter quelques définitions avant la section operating-system de la définition de système d’exploitation. Dans cet exemple nous allons dupliquer le montage d’un dossier d’un disque dur vers /tmp, pour éviter d’épuiser le SSD principal, sans dédier une partition entière à /tmp.

Déjà, le disque source qui héberge de dossier dont nous voulons dupliquer le montage doit être défini, pour que le montage dupliqué puisse en dépendre.

(define source-drive ;; vous pouvez nommer « source-drive » comme vous le souhaitez.
   (file-system
    (device (uuid "indiquez l'UUID ici"))
    (mount-point "/chemin-vers-le-disque-dur")
    (type "ext4"))) ;Assurez-vous d'indiquer le bon type pour la partition

Le dossier source doit aussi être défini, pour que guix sache qu’il ne s’agit pas d’un périphérique bloc, mais d’un dossier.

;; vous pouvez nommer « source-directory » comme vous le souhaitez.
(define (%source-directory) "/chemin-vers-le-disque-dur/tmp")

Enfin, dans la définition file-systems, on doit ajouter le montage lui-même.

(file-systems (cons*

                ...<d'autres montages omis pour rester concis>...

                ;; Doit correspondre au nom que vous avez donné au disque source
                ;; dans la définition précédente.
                source-drive

                (file-system
                 ;; Assurez-vous que « source-directory » corresponde à
                 ;; la définition précédente.
                 (device (%source-directory))
                 (mount-point "/tmp")
                 ;; On monte un dossier, pas une partition, donc le montage est
                 ;; de type « none »
                 (type "none")
                 (flags '(bind-mount))
                 ;; Assurez-vous que « source-drive » corresponde au nom de
                 ;; la variable pour le disque.
                 (dependencies (list source-drive))
                 )

                 ...<d'autres montages omis pour rester concis>...

                ))

3.11 Récupérer des substituts via Tor

Le démon Guix peut utiliser un mandataire HTTP pour récupérer des substituts. Nous le configurons ici pour les récupérer par Tor.

Attention : Tout le trafic du démon de passera pas par Tor ! Seuls HTTP/HTTPS passer par le mandataire ; les connexions FTP, avec le protocol Git, SSH, etc, passeront toujours par le réseau en clair. De nouveau, cette configuration n’est pas parfaite et une partie de votre trafic ne sera pas routé par Tor du tout. Utilisez-la à vos risques et périls.

Remarquez aussi que la procédure décrite ici ne s’applique qu’à la substitution de paquets. Lorsque vous mettez à jour la distribution avec guix pull, vous aurez encore besoin de torsocks si vous voulez router la connexion vers les serveurs de dépôts git à travers Tor.

Le serveur de substitut de Guix est disponible sur un service Onion. Si vous voulez l’utiliser pour récupérer des substituts par Tor, configurez votre système de cette manière :

(use-modules (gnu))
(use-service-module base networking)

(operating-system
  …
  (services
    (cons
      (service tor-service-type
              (tor-configuration
                (config-file (plain-file "tor-config"
                                         "HTTPTunnelPort 127.0.0.1:9250"))))
      (modify-services %base-services
        (guix-service-type
          config => (guix-configuration
                      (inherit config)
                      ;; service Onion de ci.guix.gnu.org
                      (substitute-urls
                       "\
https://4zwzi66wwdaalbhgnix55ea3ab4pvvw66ll2ow53kjub6se4q2bclcyd.onion")
                      (http-proxy "http://localhost:9250")))))))

Cela fera tourner le processus tor et fournira un tunnel HTTP CONNECT qui sera utilisé par guix-daemon. Le démon peut utiliser d’autres protocoles que HTTP(S) pour récupérer des ressources distantes. Les requêtes utilisant ces protocoles ne passeront pas par Tor puisqu’il s’agit d’un tunnel HTTP uniquement. Remarquez que substitutes-urls doit utiliser HTTPS et non HTTP, sinon ça ne fonctionne pas. C’est une limite du tunnel de Tor ; vous voudrez peut-être utiliser privoxy à la place pour éviter ces limites.

Si vous ne voulez pas toute le temps récupérer des substituts à travers Tor mais l’utiliser seulement de temps en temps, alors ne modifiez pas l’objet guix-configuration. Lorsque vous voulez récupérer un substitut par le tunnel Tor, lancez :

sudo herd set-http-proxy guix-daemon http://localhost:9250
guix build \
  --substitute-urls=https://4zwzi66wwdaalbhgnix55ea3ab4pvvw66ll2ow53kjub6se4q2bclcyd.onion …

3.12 Configurer NGINX avec Lua

Les fonctionnalités de NGINX peuvent être étendues avec des scripts Lua.

Guix fournit un service NGINX qui est capable de charger des modules et des paquets Lua spécifiques, et de répondre aux requêtes en évaluant des scripts Lua.

L’exemple suivant montre une définition de système avec une configuration qui évalue le script Lua index.lua lors d’une requête HTTP à http://localhost/hello :

local shell = require "resty.shell"

local stdin = ""
local timeout = 1000  -- ms
local max_size = 4096  -- byte

local ok, stdout, stderr, reason, status =
   shell.run([[/run/current-system/profile/bin/ls /tmp]], stdin, timeout, max_size)

ngx.say(stdout)

(use-modules (gnu))
(use-service-modules #;… web)
(use-package-modules #;… lua)
(operating-system
  ;; …
  (services
   ;; …
   (service nginx-service-type
            (nginx-configuration
             (modules
              (list
               (file-append nginx-lua-module "/etc/nginx/modules/ngx_http_lua_module.so")))
             (lua-package-path (list lua-resty-core
                                     lua-resty-lrucache
                                     lua-resty-signal
                                     lua-tablepool
                                     lua-resty-shell))
             (lua-package-cpath (list lua-resty-signal))
             (server-blocks
              (list (nginx-server-configuration
                     (server-name '("localhost"))
                     (listen '("80"))
                     (root "/etc")
                     (locations (list
                                 (nginx-location-configuration
                                  (uri "/hello")
                                  (body (list #~(format #f "content_by_lua_file ~s;"
                                                        #$(local-file "index.lua"))))))))))))))

3.13 Serveur de musique avec l’audio bluetooth

MPD, le démon lecteur de musique, est une application serveur flexible pour jouer de la musique. Les programmes clients sur différentes machines du réseau — un téléphone portable, un ordinateur portable, un ordinateur de bureau — peuvent s’y connecter pour contrôler la lecture de fichiers audio de votre collection musicale locale. MPD décode les fichiers audio et les joue sur une ou plusieurs sorties.

Par défaut MPD jouera sur le périphérique audio par défaut. Dans l’exemple ci-dessous nous rendons les choses un peu plus intéressantes en configurant un serveur de musique sans affichage. Il n’y aura pas d’interface graphique, pas de démon Pulseaudio, ni de sortie audio locale. Au lieu de cela, nous configurons MPD avec deux sorties : un haut-parleur bluetooth et un serveur web pour servir des flux audio à n’importe quel lecture de musique.

Le Bluetooth est souvent frustrant à configurer. Vous devrez appairer vos périphériques Bluetooth et vous assurer que le périphérique se connecte automatiquement dès qu’il est branché. Le service système Bluetooth renvoyé par la procédure bluetooth-service fournit l’infrastructure requise pour cette configuration.

Reconfigurez votre système avec au moins les services et les paquets suivants :

(operating-system
  ;; …
  (packages (cons* bluez bluez-alsa
                   %base-packages))
  (services
   ;; …
   (dbus-service #:services (list bluez-alsa))
   (bluetooth-service #:auto-enable? #t)))

Démarrez le service bluetooth puis utilisez bluetoothctl pour scanner les périphériques Bluetooth. Essayez d’identifier votre haut-parleur Bluetooth et choisissez son ID de périphérique dans la liste de périphériques qui est indubitablement polluée par une armée de gadgets connectés chez votre voisin. Vous ne devrez le faire qu’une seule fois :

$ bluetoothctl 
[NEW] Controller 00:11:22:33:95:7F BlueZ 5.40 [default]

[bluetooth]# power on
[bluetooth]# Changing power on succeeded

[bluetooth]# agent on
[bluetooth]# Agent registered

[bluetooth]# default-agent
[bluetooth]# Default agent request successful

[bluetooth]# scan on
[bluetooth]# Discovery started
[CHG] Controller 00:11:22:33:95:7F Discovering: yes
[NEW] Device AA:BB:CC:A4:AA:CD My Bluetooth Speaker
[NEW] Device 44:44:FF:2A:20:DC My Neighbor's TV
…

[bluetooth]# pair AA:BB:CC:A4:AA:CD
Attempting to pair with AA:BB:CC:A4:AA:CD
[CHG] Device AA:BB:CC:A4:AA:CD Connected: yes

[My Bluetooth Speaker]# [CHG] Device AA:BB:CC:A4:AA:CD UUIDs: 0000110b-0000-1000-8000-00xxxxxxxxxx
[CHG] Device AA:BB:CC:A4:AA:CD UUIDs: 0000110c-0000-1000-8000-00xxxxxxxxxx
[CHG] Device AA:BB:CC:A4:AA:CD UUIDs: 0000110e-0000-1000-8000-00xxxxxxxxxx
[CHG] Device AA:BB:CC:A4:AA:CD Paired: yes
Pairing successful

[CHG] Device AA:BB:CC:A4:AA:CD Connected: no

[bluetooth]# 
[bluetooth]# trust AA:BB:CC:A4:AA:CD
[bluetooth]# [CHG] Device AA:BB:CC:A4:AA:CD Trusted: yes
Changing AA:BB:CC:A4:AA:CD trust succeeded

[bluetooth]# 
[bluetooth]# connect AA:BB:CC:A4:AA:CD
Attempting to connect to AA:BB:CC:A4:AA:CD
[bluetooth]# [CHG] Device AA:BB:CC:A4:AA:CD RSSI: -63
[CHG] Device AA:BB:CC:A4:AA:CD Connected: yes
Connection successful

[My Bluetooth Speaker]# scan off
[CHG] Device AA:BB:CC:A4:AA:CD RSSI is nil
Discovery stopped
[CHG] Controller 00:11:22:33:95:7F Discovering: no

Félicitations, vous pouvez maintenant vous connecter automatiquement à votre haut-parleur Bluetooth !

Il est maintenant temps de configurer ALSA pour utiliser le module Bluetooth bluealsa, pour que vous puissiez définir un périphérique pcm ALSA correspondant à votre haut-parleur Bluetooth. Un serveur sans affichage utilisant bluealsa avec un périphérique fixe est probablement plus facile à configurer que Pulseaudio et son comportement de changement de flux. Nous configurons ALSA en créant un alsa-configuration personnalisé pour le service alsa-service-type. La configuration déclarera un type pcm bluealsa du module bluealsa fournit par le paquet bluez-alsa, puis définira un périphérique pcm de ce type pour le haut-parleur Bluetooth.

Tout ce qui reste à faire est de faire en sorte que MPD envoie les données audio à ce périphérique ALSA. Nous ajoutons aussi une sortie MPD secondaire qui rend les fichiers audio en lecture disponibles en streaming sur un serveur web sur le port 8080. Lorsque la sortie est activée, un appareil sur le réseau peut écouter le flux audio en se connectant avec n’importe quel lecteur multimédia au serveur HTTP sur le port 8080, indépendamment du statut du haut-parleur Bluetooth.

Voici les grandes lignes d’une déclaration operating-system qui devrait accomplir les tâches sus-mentionnées :

(use-modules (gnu))
(use-service-modules audio dbus sound #;… etc)
(use-package-modules audio linux #;… etc)
(operating-system
  ;; …
  (packages (cons* bluez bluez-alsa
                   %base-packages))
  (services
   ;; …
   (service mpd-service-type
            (mpd-configuration
             (user "your-username")
             (music-dir "/path/to/your/music")
             (address "192.168.178.20")
             (outputs (list (mpd-output
                             (type "alsa")
                             (name "MPD")
                             (extra-options
                              ;; Utilisez le même nom que dans la configuration
                              ;; ALSA plus bas.
                              '((device . "pcm.btspeaker"))))
                            (mpd-output
                             (type "httpd")
                             (name "streaming")
                             (enabled? #false)
                             (always-on? #true)
                             (tags? #true)
                             (mixer-type 'null)
                             (extra-options
                              '((encoder . "vorbis")
                                (port    . "8080")
                                (bind-to-address . "192.168.178.20")
                                (max-clients . "0") ;no limit
                                (quality . "5.0")
                                (format  . "44100:16:1"))))))))
   (dbus-service #:services (list bluez-alsa))
   (bluetooth-service #:auto-enable? #t)
   (service alsa-service-type
            (alsa-configuration
             (pulseaudio? #false) ;we don't need it
             (extra-options
              #~(string-append "\
# Déclare un type de périphérique audio Bluetooth \"bluealsa\" du module bluealsa
pcm_type.bluealsa {
    lib \""
#$(file-append bluez-alsa "/lib/alsa-lib/libasound_module_pcm_bluealsa.so") "\"
}

# Déclare un type de périphérique de contrôle \"bluealsa\" du même module
ctl_type.bluealsa {
    lib \""
#$(file-append bluez-alsa "/lib/alsa-lib/libasound_module_ctl_bluealsa.so") "\"
}

# Définie le périphérique Bluetooth audio.
pcm.btspeaker {
    type bluealsa
    device \"AA:BB:CC:A4:AA:CD\" # unique device identifier
    profile \"a2dp\"
}

# Définie un contrôleur associé.
ctl.btspeaker {
    type bluealsa
}
"))))))

Profitez de votre musique avec le client MPD de votre choix ou un lecteur multimédia capable de streamer en HTTP !

4.1 Conteneurs Guix

La manière la plus simple de démarrer est d’utiliser guix shell avec l’option --container. Voir Invoquer guix shell dans le manuel de référence de GNU Guix pour la référence des options valides.

Le bout de code suivant démarre un shell minimal avec la plupart des espaces de noms départagés du système. Le répertoire de travail actuel est visible pour le processus, mais tout le reste du système de fichiers est indisponible. Cette isolation extrême peut être très utile si vous voulez écarter toute interférence des variables d’environnement, des bibliothèques installées globalement ou des fichiers de configuration.

guix shell --container

C’est un environnement vierge, aride et désolé. Vous trouverez que même GNU coreutils n’y est pas disponible, donc pour explorer cet environnement désert vous devrez utiliser les commandes internes au shell. Même le répertoire /gnu/store habituellement énorme est réduit à peau de chagrin.

$ echo /gnu/store/*
/gnu/store/…-gcc-10.3.0-lib
/gnu/store/…-glibc-2.33
/gnu/store/…-bash-static-5.1.8
/gnu/store/…-ncurses-6.2.20210619
/gnu/store/…-bash-5.1.8
/gnu/store/…-profile
/gnu/store/…-readline-8.1.1

Vous ne pouvez pas faire grand chose de plus dans un environnement comme celui-ci à part en sortir. Vous pouvez utiliser Ctrl-D ou exit pour quitter cet environnement shell limité.

Vous pouvez rendre d’autres répertoires disponibles à l’intérieur de l’environnement du conteneur. Utilisez --expose=RÉPERTOIRE pour créer un montage lié au répertoire donné en lecture-seule à l’intérieur du conteneur, ou utilisez --share=RÉPERTOIRE pour rendre cet emplacement inscriptible. Avec un argument de correspondance supplémentaire après le nom du répertoire vous pouvez contrôler le nom du répertoire lié dans le conteneur. Dans l’exemple suivant nous faisons correspondre /etc du système hôte à /l/hôte/etc dans un conteneur dans lequel GNU coreutils est installé.

$ guix shell --container --share=/etc=/l/hôte/etc coreutils
$ ls /l/hôte/etc

De même, vous pouvez empêcher le répertoire actuel d’être ajouté au conteneur avec l’option --no-cwd. Une autre bonne idée est de créer un répertoire dédié qui servira de répertoire personnel dans le conteneur et de démarrer le shell du conteneur dans ce répertoire.

Sur un système externe un environnement de conteneur peut être utilisé pour compiler un logiciel qui ne peut pas être lié aux bibliothèques du système ou avec la chaine d’outils du système. Un cas d’utilisation courant dans le contexte de la recherche est l’installation de paquets à partir d’une session R. En dehors de l’environnement du conteneur il est fort probable que la chaine de compilation externe et les bibliothèques systèmes incompatibles soient trouvés en premier, ce qui créer des binaires incompatibles qui ne peuvent pas être utilisés dans R. Dans un conteneur ce problème disparait car les bibliothèques du système et les executables ne sont simplement pas disponibles à cause de l’espace de nom mount départagé.

Prenons un manifeste complet pour fournir un environnement de développement confortable pour R :

(specifications->manifest
  (list "r-minimal"

        ;; paquets de base
        "bash-minimal"
        "glibc-locales"
        "nss-certs"

        ;; Outils en ligne de commande usuels, sans lesquels le conteneur est trop vide.
        "coreutils"
        "grep"
        "which"
        "wget"
        "sed"

        ;; outils markdown pour R
        "pandoc"

        ;; Chaine d'outils et bibliothèques courantes pour « install.packages »
        "gcc-toolchain@10"
        "gfortran-toolchain"
        "gawk"
        "tar"
        "gzip"
        "unzip"
        "make"
        "cmake"
        "pkg-config"
        "cairo"
        "libxt"
        "openssl"
        "curl"
        "zlib"))

Utilisons cela pour lancer R dans un environnement de conteneur. Pour se simplifier la vie, nous partageons l’espace de nom net pour utiliser les interfaces réseau du système hôte. Maintenant nous pouvons construire des paquets R à partir des sources de la manière traditionnelle sans avoir à se soucier des incompatibilités d’ABI.

$ guix shell --container --network --manifest=manifest.scm -- R

R version 4.2.1 (2022-06-23) -- "Funny-Looking Kid"
Copyright (C) 2022 The R Foundation for Statistical Computing
…
> e <- Sys.getenv("GUIX_ENVIRONMENT")
> Sys.setenv(GIT_SSL_CAINFO=paste0(e, "/etc/ssl/certs/ca-certificates.crt"))
> Sys.setenv(SSL_CERT_FILE=paste0(e, "/etc/ssl/certs/ca-certificates.crt"))
> Sys.setenv(SSL_CERT_DIR=paste0(e, "/etc/ssl/certs"))
> install.packages("Cairo", lib=paste0(getwd()))
…
* installing *source* package 'Cairo' ...
…
* DONE (Cairo)

The downloaded source packages are in
	'/tmp/RtmpCuwdwM/downloaded_packages'
> library("Cairo", lib=getwd())
> # success!

Utiliser des shells conteneurs est amusant, mais ils peuvent devenir un peu embêtant quand vous voulez plus qu’un seul processus interactif. Certaines tâches deviennent plus faciles lorsqu’elles se reposent sur les fondations solides d’un système Guix et de son riche ensemble de services systèmes. La section suivante vous montre comment lancer un système Guix complet à l’intérieur d’un conteneur.

4.2 Conteneurs pour le système Guix

Le système Guix fournit un large éventail de services systèmes interconnectés configurés déclarativement pour former les fondations d’un système GNU fiable et sans état pour n’importe quelle tâche que vous lui donnez. Même lorsque vous utilisez Guix sur une distribution externe, vous pouvez bénéficier de la conception du système Guix en lançant une instance du système dans un conteneur. Avec les mêmes fonctionnalités d’espaces de noms départagés mentionnés dans la section précédente, l’instance du système Guix qui en résulte est isolée du système hôte et ne partage que les emplacements de fichiers que vous avez explicitement déclarés.

Un conteneur du système Guix est différent du processus shell créé par guix shell --container de plusieurs façons importantes. Dans un shell conteneur le processus de conteneurisation est le processus de shell Bash alors qu’une conteneur du système Guix fait tourner le Shepherd en PID 1. Dans un conteneur système tous les services systèmes (voir Services dans le manuel de référence de GNU Guix) sont paramétrés de la même manière que sur un système Guix dans une machine virtuelle ou directement sur le matériel. Cela comprend les démons gérés par le GNU Shepherd (voir Services Shepherd dans le manuel de référence de GNU Guix) ainsi que d’autres types d’extensions du système d’exploitation (voir Composition de services dans le manuel de référence de GNU Guix).

La complexité perçue comme croissante d’un conteneur du système Guix est facilement justifiée lorsque vous devez traiter avec des applications plus complexes qui ont des prérequis plus grands ou plus rigides sur leur contexte d’exécution — des fichiers de configuration, des comptes utilisateurs dédiés, des répertoires pour les le cache ou les fichiers journaux, etc. Sur le système Guix, la demande de ce genre de logiciels est satisfaite en déployant des services systèmes.

• Un conteneur de base de données
• Utilisation du réseau dans le conteneur

(service postgresql-service-type
         (postgresql-configuration
          (postgresql postgresql-14)))

(use-modules (gnu))
(use-package-modules databases)
(use-service-modules databases)

(operating-system
  (host-name "container")
  (timezone "Europe/Berlin")
  (file-systems (cons (file-system
                        (device (file-system-label "does-not-matter"))
                        (mount-point "/")
                        (type "ext4"))
                      %base-file-systems))
  (bootloader (bootloader-configuration
               (bootloader grub-bootloader)
               (targets '("/dev/sdX"))))
  (services
   (cons* (service postgresql-service-type
                   (postgresql-configuration
                    (postgresql postgresql-14)
                    (config-file
                     (postgresql-config-file
                      (log-destination "stderr")
                      (hba-file
                       (plain-file "pg_hba.conf"
                                   "\
local	all	all			trust
host	all	all	10.0.0.1/32 	trust"))
                      (extra-config
                       '(("listen_addresses" "*")
                         ("log_directory"    "/var/log/postgresql")))))))
          (service postgresql-role-service-type
                   (postgresql-role-configuration
                    (roles
                     (list (postgresql-role
                            (name "test")
                            (create-database? #t))))))
          %base-services)))

$ guix system container os.scm
Les dérivations suivantes seront construites :
  /gnu/store/…-run-container.drv
  …
construction de /gnu/store/…-run-container.drv...
/gnu/store/…-run-container

$ sudo /gnu/store/…-run-container
le conteneur système tourne avec le PID 5983
…

$ guix shell util-linux
$ sudo nsenter -a -t 5983
root@container /# pgrep -a postgres
49 /gnu/store/…-postgresql-14.4/bin/postgres -D /var/lib/postgresql/data --config-file=/gnu/store/…-postgresql.conf -p 5432
51 postgres: checkpointer
52 postgres: background writer
53 postgres: walwriter
54 postgres: autovacuum launcher
55 postgres: stats collector
56 postgres: logical replication launcher
root@container /# exit

pid=5983
ns="guix-test"
host="veth-test"
client="ceth-test"

# Attache le nouvel espace de nom réseau « guix-test » au PID du conteneur.
sudo ip netns attach $ns $pid

# Crée une paire de périphériques
sudo ip link add $host type veth peer name $client

# Déplace le périphérique client dans l'espace de nom réseau du conteneur
sudo ip link set $client netns $ns

sudo ip link set $host up
sudo ip addr add 10.0.0.1/24 dev $host

sudo ip netns exec $ns  ip link set lo up
sudo ip netns exec $ns  ip link set $client up
sudo ip netns exec $ns  ip addr add 10.0.0.2/24 dev $client

$ psql -h 10.0.0.2 -U test
psql (14.4)
Type "help" for help.

test=> CREATE TABLE hello (who TEXT NOT NULL);
CREATE TABLE
test=> INSERT INTO hello (who) VALUES ('world');
INSERT 0 1
test=> SELECT * FROM hello;
  who
-------
 world
(1 row)

sudo kill $pid
sudo ip netns del $ns
sudo ip link del $host

5.1 Pont réseau pour QEMU

Par défaut, QEMU utilise un moteur réseau hôte en « mode utilisateur », qui est pratique comme il n’a pas besoin de configuration. Malheureusement, il est aussi très limité. Dans ce mode, la VM (machine virtuelle) invitée peut accéder au réseau de la même manière que l’hôte, mais elle ne peut pas être atteinte depuis l’hôte. De plus, comme le mode de réseau utilisateur de QEMU se base sur ICMP, les outils de réseau basés sur ICMP comme ping ne fonctionnent pas dans ce mode. Ainsi, il est souvent préférable de configurer un pont réseau, qui permet à l’invité de participer pleinement au réseau. Cela est nécessaire, par exemple, lorsque l’invité est utilisé comme serveur.

• Créer une interface réseau pont
• Configuring the QEMU bridge helper script
• Invoking QEMU with the right command line options
• Networking issues caused by Docker

# nmcli con add type bridge con-name br0 ifname br0

# nmcli con add type bridge-slave ifname enp2s0 master br0

(privileged-programs
 (cons (privileged-program
         (program (file-append qemu "/libexec/qemu-bridge-helper"))
         (setuid? #t))
       %default-privileged-programs))

(extra-special-file "/etc/qemu/host.conf" "allow br0\n")

$ qemu-system-x86_64 [...] \
    -device virtio-net-pci,netdev=user0,mac=XX:XX:XX:XX:XX:XX \
    -netdev bridge,id=user0,br=br0 \
    [...]

mac_address="52:54:00:$(dd if=/dev/urandom bs=512 count=1 2>/dev/null \
                           | md5sum \
                           | sed -E 's/^(..)(..)(..).*$/\1:\2:\3/')"
echo $mac_address

(service iptables-service-type
             (iptables-configuration
              (ipv4-rules (plain-file "iptables.rules" "\
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i br0 -o br0 -j ACCEPT
COMMIT
"))

5.2 Réseau routé pour libvirt

If the machine hosting your virtual machines is connected wirelessly to the network, you won’t be able to use a true network bridge as explained in the preceding section (voir Pont réseau pour QEMU). In this case, the next best option is to use a virtual bridge with static routing and to configure a libvirt-powered virtual machine to use it (via the virt-manager GUI for example). This is similar to the default mode of operation of QEMU/libvirt, except that instead of using NAT (Network Address Translation), it relies on static routes to join the VM (virtual machine) IP address to the LAN (local area network). This provides two-way connectivity to and from the virtual machine, which is needed for exposing services hosted on the virtual machine.

• Creating a virtual network bridge
• Configuring the static routes for your virtual bridge

<network>
  <name>virbr0</name>
  <bridge name="virbr0" />
  <forward mode="route"/>
  <ip address="192.168.2.0" netmask="255.255.255.0">
    <dhcp>
      <range start="192.168.2.1" end="192.168.2.254"/>
    </dhcp>
  </ip>
</network>

virsh net-define /tmp/virbr0.xml
virsh net-autostart virbr0
virsh net-start virbr0

6.1 Les profils Guix en pratique

Guix fournit une fonctionnalité utile que peut être plutôt étrange pour les débutants et débutantes : les profils. C’est une manière de regrouper l’installation de paquets ensemble et chaque utilisateur ou utilisatrice du même système peuvent avoir autant de profils que souhaité.

Que vous programmiez ou non, vous trouverez sans doute plus de flexibilité et de possibilité avec plusieurs profils. Bien qu’ils changent un peu du paradigme des gestionnaires de paquets traditionnels, ils sont pratiques à utiliser une fois que vous avec saisi comment les configurer.

Remarque : This section is an opinionated guide on the use of multiple profiles. It predates guix shell and its fast profile cache (voir Invoking guix shell dans GNU Guix Reference Manual).

Dans de nombreux cas, vous trouverez qu’utiliser guix shell pour configurer l’environnement dont vous avez besoin, quand vous en avez besoin, représente moins de travail que de maintenir un profil dédié. À vous de choisir !

Si vous connaissez ‘virtualenv’ de Python, vous pouvez conceptualiser un profil comme une sorte de ‘virtualenv’ universel qui peut contenir n’importe quel sorte de logiciel, pas seulement du code Python. En plus, les profils sont auto-suffisants : ils capturent toutes les dépendances à l’exécution qui garantissent que tous les programmes d’un profil fonctionneront toujours à tout instant.

Avoir plusieurs profils présente de nombreux intérêts :

• Une séparation sémantique claire des divers paquets dont vous avez besoin pour différents contextes.
• On peut rendre plusieurs profils disponibles dans l’environnement soit à la connexion, soit dans un shell dédié.
• Les profils peuvent être chargés à la demande. Par exemple, vous pouvez utiliser plusieurs shells, chacun dans un profil différent.
• L’isolation : les programmes d’un profil n’utiliseront pas ceux d’un autre, et vous pouvez même installe plusieurs versions d’un même programme dans deux profils différents, sans conflit.
• Déduplication : les profils partagent les dépendances qui sont exactement les mêmes. Avoir plusieurs profils ne gâche donc pas d’espace.
• Reproductible : lorsque vous utilisez des manifestes déclaratifs, un profil peut être entièrement spécifié par le commit Guix qui a été utilisé pour le créer. Cela signifie que vous pouvez recréer n’importe où et à n’importe quel moment exactement le même profil, avec juste l’information du numéro de commit. Voir la section sur les Profils reproductibles.
• Des mises à jours et une maintenance plus faciles : avoir plusieurs profils facilite la gestion des listes de paquets à la main.

Concrètement voici des profils courants :

• Les dépendances d’un projet sur lequel vous travaillez.
• Des bibliothèques de votre langage de programmation favori.
• Des programmes spécifiques pour les ordinateurs portables (comme ‘powertop’) dont vous n’avez pas besoin sur un ordinateur de bureau.
• TeXlive (il peut être bien pratique si vous avez besoin d’installer un seul paquet pour un document que vous avez reçu par courriel).
• Jeux.

Voyons cela de plus près !

• Utilisation de base avec des manifestes
• Paquets requis
• Profil par défaut
• Les avantages des manifestes
• Profils reproductibles

(specifications->manifest
  '("package-1"
    ;; Version 1.3 de package-2.
    "package-2@1.3"
    ;; La sortie « lib » de package-3.
    "package-3:lib"
    ; ...
    "package-N"))

GUIX_EXTRA_PROFILES=$HOME/.guix-extra-profiles
mkdir -p "$GUIX_EXTRA_PROFILES"/my-project # s'il n'existe pas encore
guix package --manifest=/path/to/guix-my-project-manifest.scm \
 --profile="$GUIX_EXTRA_PROFILES"/my-project/my-project

guix package --list-profiles

for i in $GUIX_EXTRA_PROFILES/*; do
  profile=$i/$(basename "$i")
  if [ -f "$profile"/etc/profile ]; then
    GUIX_PROFILE="$profile"
    . "$GUIX_PROFILE"/etc/profile
  fi
  unset profile
done

for i in "$GUIX_EXTRA_PROFILES"/my-project-1 "$GUIX_EXTRA_PROFILES"/my-project-2; do
  profile=$i/$(basename "$i")
  if [ -f "$profile"/etc/profile ]; then
    GUIX_PROFILE="$profile"
    . "$GUIX_PROFILE"/etc/profile
  fi
  unset profile
done

GUIX_PROFILE="path/to/my-project" ; . "$GUIX_PROFILE"/etc/profile

guix package --search-paths=prefix --profile=$my_profile"

guix package -m /path/to/guix-my-project-manifest.scm \
 -p "$GUIX_EXTRA_PROFILES"/my-project/my-project

for profile in "$GUIX_EXTRA_PROFILES"/*; do
  guix package --profile="$profile" \
   --manifest="$HOME/.guix-manifests/guix-$profile-manifest.scm"
done

guix package -p "$GUIX_EXTRA_PROFILES"/my-project/my-project --list-generations

guix package -p "$GUIX_EXTRA_PROFILES"/my-project/my-project --switch-generations=17

env -i $(which bash) --login --noprofile --norc
. my-project/etc/profile

guix install package-foo
guix upgrade package-bar

GUIX_EXTRA_PROFILES=$HOME/.guix-extra-profiles
GUIX_EXTRA=$HOME/.guix-extra

mkdir -p "$GUIX_EXTRA"/my-project
guix pull --channels=channel-specs.scm --profile="$GUIX_EXTRA/my-project/guix"

mkdir -p "$GUIX_EXTRA_PROFILES/my-project"
"$GUIX_EXTRA"/my-project/guix/bin/guix package \
 --manifest=/path/to/guix-my-project-manifest.scm \
 --profile="$GUIX_EXTRA_PROFILES"/my-project/my-project

7.1 Guide de démarrage

Comment entreprendre la “Guixification” d’un dépôt ? La première étape, comme vu précédemment, consiste à ajouter un fichier guix.scm à la racine du dépôt. Nous prendrons comme exemple Guile au long de chapitre. Guile est (principalement) écrit en Scheme et en C, possède plusieurs dépendances—Une suite d’outils de compilation C, des bibliothèques C, Autoconf et sa clique, LaTeX, et ainsi de suite… Le fichier guix.scm ressemblera à une définition de paquet traditionnelle (voir Définition des paquets dans Manuel de référence de GNU Guix) sans le define-public :

;; The ‘guix.scm’ file for Guile, for use by ‘guix shell’.

(use-modules (guix)
             (guix build-system gnu)
             ((guix licenses) #:prefix license:)
             (gnu packages autotools)
             (gnu packages base)
             (gnu packages bash)
             (gnu packages bdw-gc)
             (gnu packages compression)
             (gnu packages flex)
             (gnu packages gdb)
             (gnu packages gettext)
             (gnu packages gperf)
             (gnu packages libffi)
             (gnu packages libunistring)
             (gnu packages linux)
             (gnu packages pkg-config)
             (gnu packages readline)
             (gnu packages tex)
             (gnu packages texinfo)
             (gnu packages version-control))

(package
  (name "guile")
  (version "3.0.99-git")                          ;funky version number
  (source #f)                                     ;no source
  (build-system gnu-build-system)
  (native-inputs
   (append (list autoconf
                 automake
                 libtool
                 gnu-gettext
                 flex
                 texinfo
                 texlive-base                 ;for "make pdf"
                 texlive-epsf
                 gperf
                 git
                 gdb
                 strace
                 readline
                 lzip
                 pkg-config)

           ;; When cross-compiling, a native version of Guile itself is
           ;; needed.
           (if (%current-target-system)
               (list this-package)
               '())))
  (inputs
   (list libffi bash-minimal))
  (propagated-inputs
   (list libunistring libgc))

  (native-search-paths
   (list (search-path-specification
          (variable "GUILE_LOAD_PATH")
          (files '("share/guile/site/3.0")))
         (search-path-specification
          (variable "GUILE_LOAD_COMPILED_PATH")
          (files '("lib/guile/3.0/site-ccache")))))
  (synopsis "Scheme implementation intended especially for extensions")
  (description
   "Guile is the GNU Ubiquitous Intelligent Language for Extensions,
and it's actually a full-blown Scheme implementation!")
  (home-page "https://www.gnu.org/software/guile/")
  (license license:lgpl3+))

Même si ça peut paraître fastidieux, une personne souhaitant bidouiller Guile n’aura désormais qu’à exécuter :

guix shell

pour obtenir un environnement d’exécution avec toutes les dépendances de Guile : celle listées ci-dessus, mais également les dépendances implicites : la suite d’outils GCC, GNU Make, sed, grep, etc. Voir Invoquer guix shell dans Manuel de référence de GNU Guix pour plus d’informations sur guix shell.

La recommandation du chef : Nous suggérons la création d’environnements de développement comme suit :

guix shell --container --link-profile

… ou plus brièvement :

guix shell -CP

Nous obtenons un conteneur avec toutes les dépendances qui apparaissent dans $HOME/.guix-profile qui permet de profiter des caches comme le config.cache (voir Cache Files dans Autoconf) ainsi que des noms de fichier absolus stockés dans les éventuels Makefile autogénérés ou autres. L’exécution de l’environnement logiciel dans un conteneur apporte la garantie que seuls les dépendances de Guix et le dossier courant sont accessibles ; aucun élément du système ne peut interférer avec l’environnement de développement ainsi créé.

7.2 Niveau 1 : Compiler avec Guix

Maintenant que nous avons notre définition de paquet (voir Guide de démarrage), pour ne pas en profiter pour compiler Guile avec Guix ? Nous avions omis le champ source car guix shell ne se préoccupe que des dépendances du paquet—afin de mettre en place l’environnement de développement.

Pour compiler le paquet il nous faut remplir le champ source avec quelque chose du style :

(use-modules (guix)
             (guix git-download)  ;for ‘git-predicate’
             …)

(define vcs-file?
  ;; Return true if the given file is under version control.
  (or (git-predicate (current-source-directory))
      (const #t)))                                ;not in a Git checkout

(package
  (name "guile")
  (version "3.0.99-git")                          ;funky version number
  (source (local-file "." "guile-checkout"
                      #:recursive? #t
                      #:select? vcs-file?))
  …)

Voici la différence entre la version actuelle et la section précédente :

1. Nous avons ajouté (guix git-download) à la liste des modules importés pour la procédure git-predicate.
2. Nous avons défini la procédure vcs-file? qui nous permet de savoir si un fichier est versionné. Pour faire bonne mesure nous répondons toujours oui lorsque nous ne sommes pas dans un dépôt Git.
3. Nous remplissons la source avec un local-file—une copie récursive des fichiers versionnés (avec le #:select?) du dossier courant (".")

À partir de là, notre guix.scm prend un second rôle : il nous permet de compiler le logiciel avec Guix. L’intérêt réside en ce que cette compilation est “pure”—nous sommes certains qu’aucun élément de notre copie de travail ou du système n’interfère avec la compilation–et de tester plein de choses. Premièrement, nous pouvons réaliser une compilation native standard :

guix build -f guix.scm

Mais nous pouvons également compiler pour un autre système (après avoir mis en place voir Réglages du déchargement du démon dans Manuel de référence de GNU Guix ou voir Émulation transparente avec QEMU dans Manuel de référence de GNU Guix) :

guix build -f guix.scm -s aarch64-linux -s riscv64-linux

… ou en compilation croisée :

guix build -f guix.scm --target=x86_64-w64-mingw32

Nous pouvons également utiliser les transformations de paquets pour tester des variantes (voir Options de transformation de paquets dans Manuel de référence de GNU Guix) :

# What if we built with Clang instead of GCC?
guix build -f guix.scm \
  --with-c-toolchain=guile@3.0.99-git=clang-toolchain

# What about that under-tested configure flag?
guix build -f guix.scm \
  --with-configure-flag=guile@3.0.99-git=--disable-networking

Pratique !

7.3 Niveau 2 : Le dépôt comme canal

Nous avons maintenant un dépôt Git contenant (entre autres) une définition de paquet (voir Niveau 1 : Compiler avec Guix). Ne pourrions-nous pas l’utiliser comme canal (voir Canaux dans Manuel de référence de GNU Guix) ? Après tout, les canaux sont conçues pour livrer des définitions de paquets aux utilisateurs, et c’est ce que nous faisons avec notre guix.scm.

Il s’avère que nous pouvons effectivement faire de notre dépôt un canal, mais à une condition : nous devons créer un dossier à part pour le(s) fichier(s) .scm du canal, afin que guix pull ne télécharge pas des .scm liées au dépôt lors d’une mise à jour — il y en a beaucoup dans Guile ! Voici donc notre disposition initiale, en conservant un lien symbolique à la racine vers guix.scm pour la commande guix shell :

mkdir -p .guix/modules
mv guix.scm .guix/modules/guile-package.scm
ln -s .guix/modules/guile-package.scm guix.scm

Pour rendre notre fichier guix.scm utilisable dans le canal, nous devons l’adapter en module de paquets (voir Modules de paquets dans Manuel de référence de GNU Guix) en utilisant define-module à la place de use-modules au début. Nous devons également exporter une variable de paquet avec define-public tout en retournant le paquet à la fin du fichier pour qu’il reste utilisable avec guix shell et guix build -f guix.scm. Le résultat final ressemble à ça (en omettant les parties identiques) :

(define-module (guile-package)
  #:use-module (guix)
  #:use-module (guix git-download)   ;for ‘git-predicate’
  …)

(define vcs-file?
  ;; Return true if the given file is under version control.
  (or (git-predicate (dirname (dirname (current-source-directory))))
      (const #t)))                                ;not in a Git checkout

(define-public guile
  (package
    (name "guile")
    (version "3.0.99-git")                          ;funky version number
    (source (local-file "../.." "guile-checkout"
                        #:recursive? #t
                        #:select? vcs-file?))
    …))

;; Return the package object define above at the end of the module.
guile

Il nous manque plus que le dernier élément : le fichier .guix-channel qui permet à Guix de trouver les modules de paquets de notre dépôt :

;; This file lets us present this repo as a Guix channel.

(channel
  (version 0)
  (directory ".guix/modules"))  ;look for package modules under .guix/modules/

Pour récapituler, nous avons :

.
├── .guix-channel
├── guix.scm → .guix/modules/guile-package.scm
└── .guix
    └── modules
       └── guile-package.scm

Et voilà, nous avons un canal ! (Nous pourrions faire mieux en ajoutant le support de l’authentification de canal pour garantir l’authenticité du code. Nous n’entrerons pas dans les détails mais il peut être important de le considérer!) Les utilisateurs peuvent récupérer notre canal avec le fichier ~/.config/guix/channels.scm en y ajoutant quelque chose du genre :

(append (list (channel
                (name 'guile)
                (url "https://git.savannah.gnu.org/git/guile.git")
                (branch "main")))
        %default-channels)

Après un guix pull, nous pouvons voir les nouveaux paquets :

$ guix describe
Generation 264  May 26 2023 16:00:35    (current)
  guile 36fd2b4
    repository URL: https://git.savannah.gnu.org/git/guile.git
    branch: main
    commit: 36fd2b4920ae926c79b936c29e739e71a6dff2bc
  guix c5bc698
    repository URL: https://git.savannah.gnu.org/git/guix.git
    commit: c5bc698e8922d78ed85989985cc2ceb034de2f23
$ guix package -A ^guile$
guile   3.0.99-git      out,debug       guile-package.scm:51:4
guile   3.0.9           out,debug       gnu/packages/guile.scm:317:2
guile   2.2.7           out,debug       gnu/packages/guile.scm:258:2
guile   2.2.4           out,debug       gnu/packages/guile.scm:304:2
guile   2.0.14          out,debug       gnu/packages/guile.scm:148:2
guile   1.8.8           out             gnu/packages/guile.scm:77:2
$ guix build guile@3.0.99-git
[…]
/gnu/store/axnzbl89yz7ld78bmx72vpqp802dwsar-guile-3.0.99-git-debug
/gnu/store/r34gsij7f0glg2fbakcmmk0zn4v62s5w-guile-3.0.99-git

Voici comment, en tant que développeuse, vous pouvez livrer votre logiciel directement aux utilisateurs ! Sans aucun intermédiaire, sans perte de transparence et un suivi de la provenance.

De plus, il devient également trivial de créer des images Docker, des paquets Deb/RPM ou une archive avec guix pack (voir Invoquer guix pack dans Manuel de référence de GNU Guix) :

# How about a Docker image of our Guile snapshot?
guix pack -f docker -S /bin=bin guile@3.0.99-git

# And a relocatable RPM?
guix pack -f rpm -R -S /bin=bin guile@3.0.99-git

7.4 Bonus: Package Variants

We now have an actual channel, but it contains only one package (voir Niveau 2 : Le dépôt comme canal). While we’re at it, we can define package variants (voir Defining Package Variants dans GNU Guix Reference Manual) in our guile-package.scm file, variants that we want to be able to test as Guile developers—similar to what we did above with transformation options. We can add them like so:

;; This is the ‘.guix/modules/guile-package.scm’ file.

(define-module (guile-package)
  …)

(define-public guile
  …)

(define (package-with-configure-flags p flags)
  "Return P with FLAGS as additional 'configure' flags."
  (package/inherit p
    (arguments
     (substitute-keyword-arguments (package-arguments p)
       ((#:configure-flags original-flags #~(list))
        #~(append #$original-flags #$flags))))))

(define-public guile-without-threads
  (package
    (inherit (package-with-configure-flags guile
                                           #~(list "--without-threads")))
    (name "guile-without-threads")))

(define-public guile-without-networking
  (package
    (inherit (package-with-configure-flags guile
                                           #~(list "--disable-networking")))
    (name "guile-without-networking")))


;; Return the package object defined above at the end of the module.
guile

We can build these variants as regular packages once we’ve pulled the channel. Alternatively, from a checkout of Guile, we can run a command like this one from the top level:

guix build -L $PWD/.guix/modules guile-without-threads

7.5 Level 3: Setting Up Continuous Integration

The channel we defined above (voir Niveau 2 : Le dépôt comme canal) becomes even more interesting once we set up continuous integration (CI). There are several ways to do that.

You can use one of the mainstream continuous integration tools, such as GitLab-CI. To do that, you need to make sure you run jobs in a Docker image or virtual machine that has Guix installed. If we were to do that in the case of Guile, we’d have a job that runs a shell command like this one:

guix build -L $PWD/.guix/modules guile@3.0.99-git

Doing this works great and has the advantage of being easy to achieve on your favorite CI platform.

That said, you’ll really get the most of it by using Cuirass, a CI tool designed for and tightly integrated with Guix. Using it is more work than using a hosted CI tool because you first need to set it up, but that setup phase is greatly simplified if you use its Guix System service (voir Continuous Integration dans GNU Guix Reference Manual). Going back to our example, we give Cuirass a spec file that goes like this:

;; Cuirass spec file to build all the packages of the ‘guile’ channel.
(list (specification
        (name "guile")
        (build '(channels guile))
        (channels
         (append (list (channel
                         (name 'guile)
                         (url "https://git.savannah.gnu.org/git/guile.git")
                         (branch "main")))
                 %default-channels))))

It differs from what you’d do with other CI tools in two important ways:

• Cuirass knows it’s tracking two channels, guile and guix. Indeed, our own guile package depends on many packages provided by the guix channel—GCC, the GNU libc, libffi, and so on. Changes to packages from the guix channel can potentially influence our guile build and this is something we’d like to see as soon as possible as Guile developers.
• Build results are not thrown away: they can be distributed as substitutes so that users of our guile channel transparently get pre-built binaries! (voir Substitutes dans GNU Guix Reference Manual, for background info on substitutes.)

From a developer’s viewpoint, the end result is this status page listing evaluations: each evaluation is a combination of commits of the guix and guile channels providing a number of jobs—one job per package defined in guile-package.scm times the number of target architectures.

As for substitutes, they come for free! As an example, since our guile jobset is built on ci.guix.gnu.org, which runs guix publish (voir Invoking guix publish dans GNU Guix Reference Manual) in addition to Cuirass, one automatically gets substitutes for guile builds from ci.guix.gnu.org; no additional work is needed for that.

7.6 Bonus: Build manifest

The Cuirass spec above is convenient: it builds every package in our channel, which includes a few variants (voir Level 3: Setting Up Continuous Integration). However, this might be insufficiently expressive in some cases: one might want specific cross-compilation jobs, transformations, Docker images, RPM/Deb packages, or even system tests.

To achieve that, you can write a manifest (voir Writing Manifests dans GNU Guix Reference Manual). The one we have for Guile has entries for the package variants we defined above, as well as additional variants and cross builds:

;; This is ‘.guix/manifest.scm’.

(use-modules (guix)
             (guix profiles)
             (guile-package))   ;import our own package module

(define* (package->manifest-entry* package system
                                   #:key target)
  "Return a manifest entry for PACKAGE on SYSTEM, optionally cross-compiled to
TARGET."
  (manifest-entry
    (inherit (package->manifest-entry package))
    (name (string-append (package-name package) "." system
                         (if target
                             (string-append "." target)
                             "")))
    (item (with-parameters ((%current-system system)
                            (%current-target-system target))
            package))))

(define native-builds
  (manifest
   (append (map (lambda (system)
                  (package->manifest-entry* guile system))

                '("x86_64-linux" "i686-linux"
                  "aarch64-linux" "armhf-linux"
                  "powerpc64le-linux"))
           (map (lambda (guile)
                  (package->manifest-entry* guile "x86_64-linux"))
                (cons (package
                        (inherit (package-with-c-toolchain
                                  guile
                                  `(("clang-toolchain"
                                     ,(specification->package
                                       "clang-toolchain")))))
                        (name "guile-clang"))
                      (list guile-without-threads
                            guile-without-networking
                            guile-debug
                            guile-strict-typing))))))

(define cross-builds
  (manifest
   (map (lambda (target)
          (package->manifest-entry* guile "x86_64-linux"
                                    #:target target))
        '("i586-pc-gnu"
          "aarch64-linux-gnu"
          "riscv64-linux-gnu"
          "i686-w64-mingw32"
          "x86_64-linux-gnu"))))

(concatenate-manifests (list native-builds cross-builds))

We won’t go into the details of this manifest; suffice to say that it provides additional flexibility. We now need to tell Cuirass to build this manifest, which is done with a spec slightly different from the previous one:

;; Cuirass spec file to build all the packages of the ‘guile’ channel.
(list (specification
        (name "guile")
        (build '(manifest ".guix/manifest.scm"))
        (channels
         (append (list (channel
                         (name 'guile)
                         (url "https://git.savannah.gnu.org/git/guile.git")
                         (branch "main")))
                 %default-channels))))

We changed the (build …) part of the spec to '(manifest ".guix/manifest.scm") so that it would pick our manifest, and that’s it!

7.7 Récapitulatif

We picked Guile as the running example in this chapter and you can see the result here:

• .guix-channel;
• .guix/modules/guile-package.scm with the top-level guix.scm symlink;
• .guix/manifest.scm.

These days, repositories are commonly peppered with dot files for various tools: .envrc, .gitlab-ci.yml, .github/workflows, Dockerfile, .buildpacks, Aptfile, requirements.txt, and whatnot. It may sound like we’re proposing a bunch of additional files, but in fact those files are expressive enough to supersede most or all of those listed above.

With a couple of files, we get support for:

• development environments (guix shell);
• pristine test builds, including for package variants and for cross-compilation (guix build);
• continuous integration (with Cuirass or with some other tool);
• continuous delivery to users (via the channel and with pre-built binaries);
• generation of derivative build artifacts such as Docker images or Deb/RPM packages (guix pack).

This a nice (in our view!) unified tool set for reproducible software deployment, and an illustration of how you as a developer can benefit from it!

8.1 Environnement Guix avec direnv

Guix fournit un paquet ‘direnv’, qui peut étendre le shell après avoir changé de répertoire de travail. Vous pouvez utiliser cet outil pour préparer un environnement Guix pur.

L’exemple suivant fournit une fonction shell dans ~/.direnvrc, qui peut être utilisée dans le dépôt Git de Guix dans ~/src/guix/.envrc pour créer un environnement de construction similaire à celui décrit dans Construire depuis Git dans le manuel de référence de GNU Guix.

Créez un fichier ~/.direnv avec le code Bash suivant :

# Grâce à <https://github.com/direnv/direnv/issues/73#issuecomment-152284914>
export_function()
{
  local name=$1
  local alias_dir=$PWD/.direnv/aliases
  mkdir -p "$alias_dir"
  PATH_add "$alias_dir"
  local target="$alias_dir/$name"
  if declare -f "$name" >/dev/null; then
    echo "#!$SHELL" > "$target"
    declare -f "$name" >> "$target" 2>/dev/null
    # Remarquez qu'on ajoute des variables shells au déclencheur de la fonction.
    echo "$name \$*" >> "$target"
    chmod +x "$target"
  fi
}

use_guix()
{
    # indique un jeton Github.
    export GUIX_GITHUB_TOKEN="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

    # Nettoie « GUIX_PACKAGE_PATH ».
    export GUIX_PACKAGE_PATH=""

    # Recrée une racine du ramasse miettes.
    gcroots="$HOME/.config/guix/gcroots"
    mkdir -p "$gcroots"
    gcroot="$gcroots/guix"
    if [ -L "$gcroot" ]
    then
        rm -v "$gcroot"
    fi

    # Divers paquets.
    PACKAGES_MAINTENANCE=(
        direnv
        git
        git:send-email
        git-cal
        gnupg
        guile-colorized
        guile-readline
        less
        ncurses
        openssh
        xdot
    )

    # Paquets de l'environnement.
    PACKAGES=(help2man guile-sqlite3 guile-gcrypt)

    # Merci <https://lists.gnu.org/archive/html/guix-devel/2016-09/msg00859.html>
    eval "$(guix shell --search-paths --root="$gcroot" --pure \
     --development guix ${PACKAGES[@]} ${PACKAGES_MAINTENANCE[@]} "$@")"

    # Défini les drapeaux configure à l'avance.
    configure()
    {
        ./configure
    }
    export_function configure

    # Lance make et construit éventuellement quelque chose.
    build()
    {
        make -j 2
        if [ $# -gt 0 ]
        then
            ./pre-inst-env guix build "$@"
        fi
    }
    export_function build

    # Défini une commande Git pour pousser.
    push()
    {
        git push --set-upstream origin
    }
    export_function push

    clear                        # Nettoie l'écran.
    git-cal --author='Votre Nom' # Montre le calendrier des contributions.

    # Montre l'aide des commandes.
    echo "
build          construit un paquet ou juste un projet si aucun argument n'est fournit
configure      lance ./configure avec les paramètres pré-définis
push           pousse un dépôt Git
"
}

Tous les projets contenant un .envrc avec une chaine use guix aura des variables d’environnement et des procédures prédéfinies.

Lancez direnv allow pour mettre en place l’environnement pour la première fois.

9.1 Mettre en place un nœud principal

L’approche recommandée est d’installer un nœud principal qui exécuterait guix-daemon et exporterait /gnu/store sur NFS vers les nœuds de calcul.

Rappelez-vous que guix-daemon est responsable du démarrage des constructions et des téléchargements pour ses clients (voir Invoquer guix-daemon dans le manuel de référence de GNU Guix), et plus généralement de l’accès à /gnu/store qui contient tous les binaires des paquets construits par tous les utilisateur·ices (voir Le dépôt dans le manuel de référence de GNU Guix). Les « clients » signifient toutes les commandes Guix que voient les utilisateurs et utilisatrices, comme guix install. Sur une grappe, ces commandes peuvent être lancées sur les nœuds de calcul et l’on souhaiterait qu’elles parlent au guix-daemon du nœud principal.

Pour commencer, le nœud principal peut être installé suivant les instructions d’installation binaires habituelles (voir Installation binaire dans le manuel de référence de GNU Guix). Grâce au script d’installation, cela devrait être rapide. Une fois l’installation terminée, nous devons faire quelques ajustements.

Comme nous voulons que guix-daemon soit joignable non seulement depuis le nœud principal, mais aussi depuis les nœuds de calcul, nous devons nous arranger pour qu’il se mette en écoute de connexions sur TCP/IP. Pour ce faire, nous allons modifier le fichier de démarrage systemd de guix-daemon, /etc/systemd/system/guix-daemon.service, et ajouter un argument --listen à la ligne ExecStart ur qu’elle ressemble à quelque chose comme :

ExecStart=/var/guix/profiles/per-user/root/current-guix/bin/guix-daemon --build-users-group=guixbuild --listen=/var/guix/daemon-socket/socket --listen=0.0.0.0

Pour que ces changements fassent effet, le service doit être redémarré :

systemctl daemon-reload
systemctl restart guix-daemon

Remarque : --listen=0.0.0.0 indique que guix-daemon traitera toutes les connexions TCP entrantes sur le port 44146 (voir Invoquer guix-daemon dans le manuel de référence de GNU Guix). C’est généralement acceptable sur une grappe dont le nœud principal est exclusivement accessible à partir du réseau local de la grappe. Vous ne voulez pas l’exposer sur Internet !

L’étape suivante consiste à définir nos exports NFS dans /etc/exports en ajoutant quelque chose comme :

/gnu/store    *(ro)
/var/guix     *(rw, async)
/var/log/guix *(ro)

Le répertoire /gnu/store peut être exporté en lecture-seule car seul le guix-daemon du nœud principal le modifiera jamais. /var/guix contient les profils utilisateurs gérés par guix package. Ainsi, pour permettre à tout le monde d’installer des paquets avec guix package, il doit être en lecture-écriture.

Les utilisateurs et utilisatrices peuvent créer autant de profils qu’ils et elles le souhaitent en plus du profil par défaut, ~/.guix-profile. Par exemple, guix package -p ~/dev/python-dev -i python installe Python dans un profil accessible depuis le lien symbolique ~/dev/python-dev. Pour vous assurer que ce profil est protégé contre le ramasse-miettes, c.-à-d. que Python ne sera pas supprimé de /gnu/store alors que le profil existe, les répertoires personnels devraient également être montés sur le nœud principal pour que guix-daemon connaisse ces profils non standards et évite de supprimer les logiciels auxquels ils se réfèrent.

Vous devriez régulièrement supprimer les paquets inutilisés de /gnu/store en exécutant guix gc (voir Invoquer guix gc dans le manuel de référence de GNU Guix). Vous pouvez le faire en ajoutant une entrée à la crontab du nœud principal :

root@master# crontab -e

… avec quelque chose comme cela :

# Tous les jours à 5h, lancer le ramasse-miettes pour s'assurer
# d'avoir au moins 10 Gio libres sur /gnu/store.
0 5 * * 1  /usr/local/bin/guix gc -F10G

Nous en avons terminé avec le nœud principal ! Voyons maintenant les nœuds de calcul.

9.2 Mettre en place des nœuds de calcul

Tout d’abord, les nœuds de calcul doivent monter les répertoires NFS exportés par le nœud principal. Vous pouvez le faire en ajoutant les lignes suivantes à /etc/fstab :

head-node:/gnu/store    /gnu/store    nfs  defaults,_netdev,vers=3 0 0
head-node:/var/guix     /var/guix     nfs  defaults,_netdev,vers=3 0 0
head-node:/var/log/guix /var/log/guix nfs  defaults,_netdev,vers=3 0 0

… où head-node est le nom ou l’IP de votre nœud principal. À partir de là, en supposant que les points de montage existent, vous devriez pouvoir monter tous ces répertoires sur chaque nœud de calcul.

Ensuite, nous devons fournir une commande guix par défaut que les utilisateur·ices peuvent exécuter lors de leur première connexion à la grappe (ils et elles finiront par invoquer guix pull, qui leur fournira leur propre commande guix). Comme l’a fait le script d’installation sur le nœud principal, nous le stockons dans /usr/local/bin :

mkdir -p /usr/local/bin
ln -s /var/guix/profiles/per-user/root/current-guix/bin/guix \
      /usr/local/bin/guix

Nous devons ensuite dire à guix de parler au démon qui s’exécute sur notre nœud principal, en ajoutant ces lignes à /etc/profile :

GUIX_DAEMON_SOCKET="guix://head-node"
export GUIX_DAEMON_SOCKET

Pour éviter des avertissements et vous assurer que guix utilise le bon environnement linguistique, nous devons lui dire d’utiliser les données linguistiques fournies par Guix (voir Réglages applicatifs dans le manuel de référence de GNU Guix Reference Manual) :

GUIX_LOCPATH=/var/guix/profiles/per-user/root/guix-profile/lib/locale
export GUIX_LOCPATH

# Nous devons utiliser un nom de paramètre linguistique valide. Essayez « ls $GUIX_LOCPATH/* »
# pour voir les noms utilisables.
LC_ALL=fr_FR.utf8
export LC_ALL

For convenience, guix package automatically generates ~/.guix-profile/etc/profile, which defines all the environment variables necessary to use the packages—PATH, C_INCLUDE_PATH, PYTHONPATH, etc. Likewise, guix pull does that under ~/.config/guix/current. Thus it’s a good idea to source both from /etc/profile:

for GUIX_PROFILE in "$HOME/.config/guix/current" "$HOME/.guix-profile"
do
  if [ -f "$GUIX_PROFILE/etc/profile" ]; then
    . "$GUIX_PROFILE/etc/profile"
  fi
done

Enfin, Guix propose la complétion des commandes notamment pour Bash et zsh. Dans /etc/bashrc, pensez à ajouter cette ligne :

. /var/guix/profiles/per-user/root/current-guix/etc/bash_completion.d/guix

Et voilà !

Vous pouvez vérifier que tout est en place en vous connectant à un nœud de calcul et en exécutant :

guix install hello

Le démon sur le nœud principal devrait télécharger les binaires préconstruits pour vous et les déballer dans /gnu/store et guix install devrait créer un ~/.guix-profile contenant la commande ~/.guix-profile/bin/hello.

9.3 Accès réseau

Guix a besoin d’un accès réseau pour télécharger le code source et les binaires préconstruits. La bonne nouvelle, c’est que seul le nœud principal en a besoin car les nœuds de calcul lui délèguent cette tâche.

Les nœuds d’une grappe ont traditionnellement accès au mieux à une liste blanche d’hôtes. Notre nœud principal a besoin au minimum que ci.guix.gnu.org soit dans cette liste car c’est là qu’il récupère les binaires préconstruits par défaut, pour tous les paquets dans Guix lui-même.

Au passage, ci.guix.gnu.org sert également de miroir addressé par le contenu du code source de ces paquets. En conséquence, il suffit d’avoir uniquement ci.guix.gnu.org dans cette liste blanche.

Les paquets logiciels maintenus dans un dépôt séparé comme ceux des divers canaux HPC ne sont bien sur pas disponibles sur ci.guix.gnu.org. Pour ces paquets, vous devriez étendre la liste blanche pour que les sources et les binaires préconstruits (en supposant que des serveurs tiers fournissent des binaires pour ces paquets) puissent être téléchargés. En dernier recours, les utilisateur·ices peuvent toujours télécharger les sources sur leur machine de travail et les ajouter au /gnu/store de la grappe, de cette manière :

GUIX_DAEMON_SOCKET=ssh://compute-node.example.org \
  guix download http://starpu.gforge.inria.fr/files/starpu-1.2.3/starpu-1.2.3.tar.gz

La commande ci-dessus télécharge starpu-1.2.3.tar.gz et l’envoie à l’instance guix-daemon du nœud principal par SSH.

Les grappes sans connexion nécessitent plus de travail. Pour le moment, notre suggestion est de télécharger tout le code source nécessaire sur une station de travail qui exécute Guix. Par exemple, avec l’option --sources de guix build (voir Invoquer guix build dans le manuel de référence de GNU Guix), l’exemple ci-dessous télécharge tout le code source dont dépend le paquet openmpi :

$ guix build --sources=transitive openmpi

…

/gnu/store/xc17sm60fb8nxadc4qy0c7rqph499z8s-openmpi-1.10.7.tar.bz2
/gnu/store/s67jx92lpipy2nfj5cz818xv430n4b7w-gcc-5.4.0.tar.xz
/gnu/store/npw9qh8a46lrxiwh9xwk0wpi3jlzmjnh-gmp-6.0.0a.tar.xz
/gnu/store/hcz0f4wkdbsvsdky3c0vdvcawhdkyldb-mpfr-3.1.5.tar.xz
/gnu/store/y9akh452n3p4w2v631nj0injx7y0d68x-mpc-1.0.3.tar.gz
/gnu/store/6g5c35q8avfnzs3v14dzl54cmrvddjm2-glibc-2.25.tar.xz
/gnu/store/p9k48dk3dvvk7gads7fk30xc2pxsd66z-hwloc-1.11.8.tar.bz2
/gnu/store/cry9lqidwfrfmgl0x389cs3syr15p13q-gcc-5.4.0.tar.xz
/gnu/store/7ak0v3rzpqm2c5q1mp3v7cj0rxz0qakf-libfabric-1.4.1.tar.bz2
/gnu/store/vh8syjrsilnbfcf582qhmvpg1v3rampf-rdma-core-14.tar.gz
…

(Si vous vous posez la question, c’est plus de 320 Mio de code source compressé)

Nous pouvons ensuite créer une grosse archive contenant tout cela (voir Invoquer guix archive dans le manuel de référence de GNU Guix) :

$ guix archive --export \
    `guix build --sources=transitive openmpi` \
    > openmpi-source-code.nar

… et nous pouvons enfin transférer cette archive vers la grappe avec une clé usb et la déballer :

$ guix archive --import < openmpi-source-code.nar

Ce processus doit être répété chaque fois qu’un nouveau code source doit être apporté à la grappe.

Au moment d’écrire ces lignes, les instituts de recherche qui participent à Guix-HPC n’ont pas de grappe déconnectées. Si vous avez de l’expérience avec ce genre de configuration, nous aimerions entendre vos retours et vos suggestions.

9.4 Utilisation du disque

Une inquiétude courante des administrateur·ices systèmes est de savoir si cela va prendre beaucoup de place. Si cela doit avoir lieu, les jeux de données scientifiques prendront plus probablement toute la place, plutôt que les logiciels compilés. C’est notre expérience après presque dix ans d’utilisation de Guix sur des grappes HPC. Néanmoins, il vaut mieux jeter un œil à la manière dont Guix contribue à l’utilisation du disque.

Tout d’abord, avoir plusieurs versions ou variantes d’un paquet donné dans /gnu/store ne coûte pas forcément très cher, car guix-daemon implémente la déduplication des fichiers identiques et les variantes de paquets ont tendance à avoir de nombreux fichiers en commun.

Comme nous l’avons mentionné plus haut, nous recommandons d’utiliser une tâche cron pour exécuter guix gc régulièrement, pour supprimer les logiciels inutilisés de /gnu/store. Cependant, il est toujours possible que les utilisateur·ices gardent de nombreux logiciels dans leurs profils, qui sont « vivants » et ne peuvent pas être supprimés du point de vu de guix gc.

La solution à ce problème est de demander aux utilisateur·ices de régulièrement supprimer les anciennes générations de leurs profils. Par exemple, la commande suivante supprime les générations de plus de deux mois :

guix package --delete-generations=2m

De même, il vaut mieux inviter les utilisateur·ices à régulièrement mettre à jour leur profil, ce qui peut réduire le nombre de variantes d’un logiciel donnés stockés dans /gnu/store :

guix pull
guix upgrade

En dernier recours, il est toujours possibles pour les administrateur·ices systèmes de le faire pour leurs utilisateur·ices. Néanmoins, l’une des forces de Guix est la liberté et le contrôle que ses utilisateur·ices ont sur leur environnement logiciel, donc nous vous recommandons fortement de les laisser aux manettes.

9.5 Considérations de sécurité

Sur un grappe PC, guix est généralement utilisé pour gérer des logiciels scientifiques. Les logiciels critiques pour la sécurité comme le noyau du système d’exploitation et les services systèmes comme sshd et l’ordonnanceur par lot restent sous votre contrôle.

Le projet Guix a un bon historique de délivrance de mises à jour de sécurité à temps (voir Mises à jour de sécurité dans le manuel de référence de GNU Guix). Pour récupérer les mises à jour de sécurité, les utilisateur·ices doivent exécuter guix pull && guix upgrade.

Comme Guix identifie de manière unique les variantes des logiciels, il est facile de voir si un logiciel vulnérable est utilisé. Par exemple, pour vérifier si la variante glibc@2.25 sans correctif d’atténuation de « Stack Clash », on peut vérifier si les profils des utilisateur·ices s’y réfèrent ou non :

guix gc --referrers /gnu/store/…-glibc-2.25

Cela rapportera si des profils qui se réfèrent à cette variante spécifique de glibc existent.