OpenWrt procd 与 systemd 服务自愈机制对比：架构差异与选型指南

核心定位与架构差异

在 Linux 生态中，procd 与 systemd 均承担 PID 1 的核心职责，但设计哲学截然不同。procd 是 OpenWrt 定制的轻量级初始化系统，以低资源占用、UBUS 总线集成、脚本驱动为核心，专为路由/网关/IoT 等嵌入式场景优化。systemd 则是现代桌面与服务器的标准初始化方案，强调单元化抽象、有向无环图（DAG）依赖、全量 cgroups 管控与统一日志，面向复杂分布式与云原生环境。

服务“自愈”不仅指进程崩溃后的自动重启，更包含：故障检测延迟、重启频率抑制（防抖动）、资源隔离防雪崩、状态一致性恢复、以及依赖链的优雅降级。两者在这些维度的实现路径差异显著。

服务自愈机制深度拆解

崩溃检测与进程追踪

重启策略与防抖动设计

procd 采用参数化阈值控制，配置嵌入在 /etc/init.d/ 脚本中：

procd_set_param respawn \
    ${respawn_threshold:-3600} \
    ${respawn_timeout:-5} \
    ${respawn_retry:-5}

• threshold：统计窗口（秒），默认 3600s
• timeout：重启冷却间隔（秒），默认 5s
• retry：窗口内最大重启次数，超限后标记为 stopped，不再自愈

systemd 通过 .service 单元文件声明策略，逻辑更细粒度：

[Service]
Restart=on-failure
RestartSec=3s
StartLimitIntervalSec=300
StartLimitBurst=4

• Restart 支持 always/on-success/on-failure/on-abnormal/on-watchdog/on-abort
• StartLimitBurst + StartLimitIntervalSec 构成滑动窗口限流，超限触发 Failed 状态并记录至 journal

资源隔离与故障遏制

自愈不仅是“拉起”，更是“安全地拉起”。procd 早期依赖 ulimit 与基础 cgroup v1，通过 procd_set_param limits 限制单实例 CPU/内存/文件描述符，但隔离粒度较粗，多实例并发时易互相干扰。现代 OpenWrt 已逐步引入 cgroup v2，但配置仍以脚本注入为主。

systemd 原生绑定 cgroup v2，提供声明式资源配额：

MemoryMax=256M
CPUQuota=50%
OOMPolicy=stop

结合 Delegate=yes 可将 cgroup 控制权下放给容器/应用自身。在故障恢复阶段，systemd 能确保新进程继承隔离边界，避免“带病重启”引发级联 OOM。

优劣势对比分析

工程实践与选型建议

1. 嵌入式网关/智能家居中枢：优先 procd。其脚本化配置与 UBUS 服务发现高度契合硬件受限场景，respawn 三参数已覆盖 90% 自愈需求。若需增强观测，可外挂 prometheus-node-exporter 或轻量级 syslog-ng。
2. 边缘计算节点/工业控制器：若 RAM ≥ 256MB 且需运行多租户服务、容器或数据库，迁移至 systemd 更稳妥。利用 Restart=on-failure + MemoryMax + OOMPolicy=kill 可构建防雪崩闭环。
3. 混合架构过渡：OpenWrt 23.05+ 已支持 procd 与 systemd 共存（需手动替换 init 包）。建议在关键业务（如 MQTT Broker、视频推流）使用 systemd 托管，网络栈与防火墙仍交由 procd 管理，实现资源与稳定性的平衡。

服务自愈不是“无限重启”，而是“可控恢复”。理解底层监控模型与资源边界，才能在架构设计阶段规避隐性故障链。