Make patch-overlays idempotent

Put squashfs-label patch overlays in a separate file

The util-linux patch in particular causes a lot of rebuilds / cache
misses (linux kernel, llvm and hence clang, rustc, & ghc, etc.) in the
guest.

If the host is also building large stuff like the kernel locally for
other reasons, this can result in two sets of large, local builds. :(

Users sensitive to this may wish to harmonize the host and guest config
to get back down to one set of large local builds.  So we make the
squashfs-label patches easy to also apply to the host, for those that
wish to do so.

Use bcarnes' squashfs label patches instead of the dubious kludge

nixpkgs pin: 25.05 → 26.05

Adjust squashfs-tools patch to apply cleanly on top of nixpkgs' 4k-align patch

Contemplate using bcarnes' squashfs label patches

24.11: Stop using includes-to-excludes.py

New nixpkgs pin for erofs-utils 1.6 → 1.8.2 for --tar=f support for 24.11

Restore squashfs support with a dubious kludge

Follow NixOS PR 236656's changes about device naming

... as we update flake.lock to a nixpkgs rev that includes that PR.

Offer option of an erofs nix store image

Size of the simple test's nix store image:
 240M squashfs (no longer available)
 684M erofs
 1.3G ext4

Reduce repetition in test script

squashfs -> ext4, which makes images ~5x larger.  :(

https://github.com/NixOS/nixpkgs/pull/236656 changed NixOS's qemu-vm
disk-finding mechanism to use filesystem labels.

squashfs doesn't support filesystem labels (see
https://github.com/plougher/squashfs-tools/issues/59 ).

So we can't use squashfs anymore.  :(

The simple test's nix store image is 240M as squashfs and 1.3G as ext4.

Drop support for < 23.05

New runTest interface fixes useNixStoreImage test

The new runTest interface lets us turn off includeTestScriptReferences,
which lets the useNixStoreImage test pass.

Unfortunately, I then discovered another problem with useNixStoreImage:
It builds a new store image every time the VM starts up!  This is
undesirable for two reasons:

  1. It significantly delays VM start-up.  For network-service-providing
     VMs, this is downtime.  Longer startup time likely won't trouble
     high-availability services with fancy load balancers, health
     checks, and rolling restarts, but for unsophisticated use cases
     that currently just accept some small amount of downtime during VM
     restarts for software updates, using useNixStoreImage means much
     longer periods of interrupted service.

  2. This wastes disk I/O, building the same image over and over.

This useNixStoreImage design choice was made in order to keep the
guest's Nix store image out of the host's Nix store.  This is especially
important for the public Hydra that populates the public binary cache
that's currently hosted on centralized pay-per-byte commercial storage
services -- it doesn't make sense to pay to store and host the Nix store
itself and also many little copies of overlapping pieces of it.

So here in nixos-qemu-vm-isolation, we're happy to pay the cost of
storing the guests' Nix store images in the host's Nix store, because we
really value the faster start-up, and because we don't have the problem
of large storage service bills and no budget to pay them with.  :)

Use the new nixpkgs.lib.nixos.runTest interface for checks

23.05: New way to get the list of tier1 systems

Don't set virtualisation.bootDevice in 23.05+

This missing default has been fixed in 23.05, so setting it here is no
longer necessary.

Allow this to be used as a channel

Markup-formatted README

Note that useNixStoreImage exists now

I'm disappointed that it doesn't work.  :(

When it's fixed, it can replace this module.

21.11: Follow the pathsInNixDB → additionalPaths rename

This rename is unfortunate.  We depend here upon this actually being *all
the paths in the Nix DB*.  It still *is* all the paths in the Nix DB —
nothing has changed about its implementation — but now it's named after
one use case (adding some additional paths) rather than what it *is*
(all the paths), which makes this usage here read as if it couldn't
possibly work.  :(

New nixpkgs pin

Stick to the nixos-unstable branch so folks that use the public build
cache get cache hits.

In particular, make sure to pick up
e8cc900eaec34c2b7399678f0cd47c1b0e36a6ef, which makes useNixStoreImage
actually work.

Check that an unreferenced package does not appear in the guest.

License

Use a squashfs Nix Store rather than a virtio host mount