タグ付けされた質問 「lxc」

この質問は、openvpnのlxcゲストのtunデバイスなしに似ています。LXCは進化しており、刑務所の破壊に対する別のセキュリティ層を提供する非特権LXCコンテナが最近導入されました。 非特権コンテナーの1つの中にOpenVPNサーバーを作成する必要があります。コンテナーにプライベートtunネットワークデバイスを作成させる方法がわかりません。 に追加lxc.cgroup.devices.allow = c 10:200 rwmしました~/.local/share/lxc/mylxc/config。 コンテナを起動した後、コンテナ内にmknod /dev/net/tun c 10 200戻りますmknod: '/dev/net/tun': Operation not permitted。 私はホストとしてバニラUbuntu 14.04 64ビットを使用し、コンテナは lxc-create -t download -n mylxc -- -d ubuntu -r trusty -a amd64 /dev/tun特権のないLXCの下でデバイスを実行できた人はいますか？

10 openvpn  lxc  tun 

CentOS LXCコンテナがUbuntu 14.10マシンで起動しなくなりました。問題は再起動後に始まったと思いますが、よくわかりません。 Yumの更新後、initスクリプトがLXCに対応していない標準のスクリプトに置き換えられたときに、同様の問題が発生しました。彼らはudevなどを起動しようとしていました...しかし今回は、新しく作成されたものを含め、すべてのCentOSインスタンスでこの問題が発生します。 ホストOS：Ubuntu14.10 64ビット ゲストOS：Centos 6.5 64ビット root@ubuntu-mvutcovici:~# lxc-start --logfile stash-lxc.log --logpriority DEBUG -dn stash lxc-start: lxc_start.c: main: 337 The container failed to start. lxc-start: lxc_start.c: main: 339 To get more details, run the container in foreground mode. lxc-start: lxc_start.c: main: 341 Additional information can be obtained by …

10 lxc  ubuntu-14.10 

1つのubuntuサーバーが3つのアプリをすべて別々のドメインでホストしています。 各アプリには独自の開発者がいます。 アプリ開発者は、linuxの「sftp」グループに属しています。 chroot各アプリ開発者にパスワードsftpアクセスを許可します。 /home/app1/prod /home/app2/prod /home/app3/prod sshd_config Match Group sftp PasswordAuthentication yes ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no 私たちの懸念は、他の2つのアプリで問題を引き起こす1つのアプリのプログラミングの脆弱性です。 chrootの代わりにlxcコンテナーを使用する必要がありますか？どうして？lxcコンテナーへの変更はアプリ開発者に透過的ですか？

10 ubuntu  security  sftp  chroot  lxc 

EDIT2：この問題は3.8.0-25-generic＃37-Ubuntu SMPにも存在するようです 編集：「なぜddを使用してファイルに書き込むことによってLinuxのメモリ不足マネージャーがトリガーされるのですか？」という元のタイトルからの質問を変更しました。以下で説明する一般的な問題について心配していることをよりよく反映するために： メモリ制限（300MBに設定）を超えるサイズのファイルを書き込むと、LXCコンテナーでOOMキラーがプロセスを強制終了するという厄介なシナリオに遭遇しています。実際には512 MBのRAMしかないXen仮想マシン（EC2 t1.micro）でアプリケーションを実行しても問題は発生しないため、コンテナーのメモリ制限に関するファイルバッファリングに問題があるようです。 簡単な例として、ddによって書き込まれた大きなファイルがどのように問題を引き起こすかを示します。繰り返しますが、この問題はすべてのアプリケーションを悩ませています。アプリケーションのキャッシュが大きくなりすぎるという一般的な問題を解決しようとしています。「dd」を機能させる方法を理解しています。 シナリオ： LXCコンテナーで、memory.limit_in_bytesが300 MBに設定されています。 私は次のように500 MB以下のファイルをddしようとします。 dd if=/dev/zero of=test2 bs=100k count=5010 ほぼ20％の時間、Linux OOMマネージャーはこのコマンドによってトリガーされ、プロセスが強制終了されます。言うまでもなく、これは非常に意図しない動作です。ddは、コンテナ内で実行されるプログラムによる実際の「有用な」ファイル書き込みをシミュレートすることを目的としています。 詳細：ファイルキャッシュが大きくなる（260 MB）一方で、rssとファイルマップはかなり低いままのようです。以下は、書き込み中にmemory.statがどのように見えるかの例です。 cache 278667264 rss 20971520 mapped_file 24576 pgpgin 138147 pgpgout 64993 swap 0 pgfault 55054 pgmajfault 2 inactive_anon 10637312 active_anon 10342400 inactive_file 278339584 active_file 319488 unevictable 0 hierarchical_memory_limit 300003328 hierarchical_memsw_limit …

10 linux  ubuntu  lxc  oom  cgroup 

私たちは、Debian Lenny（および他のいくつか）を対象としたサーバー製品を開発しています。ただし、ドライバーのニーズ、開発者の個人的な選択などにより、ハードウェアでUbuntu（12.04）を実行しています。 Ubuntu 12.04のLXCコンテナーでDebian Lennyを実行することは可能ですか？

10 lxc 

Ubuntu 14.04では、手動で開始および停止できる非特権コンテナーを作成しました。 しかし、私はこれをシステムとともに開始および停止したいと思います。 コンテナの構成に以下を追加しました： lxc.start.auto = 1 lxc.start.delay = 5 ただし、システムスクリプトは非特権コンテナを選択するようには見えません。 linuxcontainers.orgにこれに関連するスレッドがありますが、解決策はrootユーザーに制限されているようです。 （rootユーザーの同意を得て）非rootユーザーに対してこれを行うためのクリーンな方法はありますか？

9 lxc  ubuntu-14.04 

lxc-executeを使用してプロセスを分離したいと思います。帯域幅、CPU、メモリ制限を設定することは可能ですか？ lxc.confのmanを調べましたが、完全ではありませんでした。

9 linux  lxc 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ サーバー障害のトピックになるように質問を更新します。 6年前休業。 LXCとは何ですか？ それは何のために便利ですか？ LXCと一般的な仮想化の違いは何ですか？

9 linux  lxc  containers 

より重い仮想化（Xen DomU、KVM、Hyper-V、VMVare）の下でLXCを使用することは可能ですか？セキュリティ（分離）ツールとして使用したいのですが、リソースの消費を制限する機能は優先されません。それが簡単な方法で行えるかどうかだけに興味があります。非仮想化サーバーでのLXCの使用に似ています。本番サーバーでトリッキーなセットアップを使いたくありません。

9 virtualization  xen  kvm-virtualization  jail  lxc 

私はLXCのエキスパートではありませんが、私の知る限り、これはlinux-vserverに非常に似ています。 それが正しければ、すでに混雑している仮想化キャンプに別のプレーヤーがいるのはなぜでしょうか。LXCはlinux-vserverにないものを提供（または約束）しますか？ 私は長い間linux-vserverのユーザーでしたが、この仮想化の宣伝が広まるのは何年も前のことです。開発は最近遅くなりましたが、完全に止まることはありませんでした-開発者がlinux / hppa（少なくともGentooで）の有用な状態に戻すのを助けたので私は知っています。彼らは定期的に、最新のカーネル（LXCで使用されているのと同じコンテナインフラストラクチャ）をすべて使用し、さらにGRsecurityと統合して、最新のカーネルに対してパッチを適用しています。 LXCの取り組みを始めた人々は、すでに確立されたlinux-vserverベースに参加する代わりに、おそらくそうする正当な理由があったのでしょうか？それから私は知りたいのですが。 それはすべてメインラインの統合に関するものですか？それなら、Xenの人々がXenLinuxでやっているように、統合のためにlinux-vserverを適合させてみませんか？

9 linux  virtualization  containers  lxc  linux-vserver 

10.0.3.2ホストでLXCコンテナ（）を実行しています。ポート上のコンテナー内でサービスが実行されています7000。 ホスト（10.0.3.1、lxcbr0）から、サービスにアクセスできます。 $ telnet 10.0.3.2 7000 Trying 10.0.3.2... Connected to 10.0.3.2. Escape character is '^]'. コンテナー内で実行されているサービスを、外部の世界からアクセスできるようにしたいと思います。したがって、7002ホストのポート7000をコンテナのポートに転送したいと思います。 iptables -t nat -A PREROUTING -p tcp --dport 7002 -j DNAT --to 10.0.3.2:7000 結果は（iptables -t nat -L）になります： DNAT tcp -- anywhere anywhere tcp dpt:afs3-prserver to:10.0.3.2:7000 それでも、転送されたポートを使用してホストからサービスにアクセスできません。 $ telnet 10.0.3.1 7002 Trying 10.0.3.1... telnet: Unable …

8 iptables  port-forwarding  lxc 

ソフトウェアコンポーネントの有効期間が短い（CIとテストビルド）を実行するシステムを構築しようとしています。それは、それぞれがプライベートホストに存在するという私の要件によれば必須です。準仮想化オプションも含めるように定義しています。頭痛が大幅に軽減されるようです。 私はMacで作業しているので、ほとんどすべてのテクノロジーが使用できなくなり、libvirtやquemuなどが機能しなくなります。ただし、Debianへの展開を計画しています。そのため、ホストマシンとゲストドメインのプロビジョニングをスクリプト化できれば、Debianで実行されるものはすべて元に戻ります。 私の意図したセットアップは、Debianインストーラーをブートストラップするために使用できることでした。つまり、ブート時にマシンが自動的にプロビジョニングされることを意味します（Chef、Puppet、Babushka、問題ありません）-そのプロビジョニングの一部は、コンテナの起動に使用できるテンプレートrootfs。コンテナー自体もプロビジョニングする必要があります。これにより、コンテナーが起動したときに、コンテナーが実行する必要がある作業を認識し、その作業を実行して終了できます。 要するに、ここに私が必要とするワークフローがあります： マシンを（仮想またはその他の方法で）ブートし、作業を行う準備をします。 作業は、chef / puppet / babushka / etcによってインストールされたスクリプトによって実行される必要があります 作業が始まると、作業を行うために仮想マシンを起動する必要があります。 VMは作業を行い、終了し、そのリソースを親/ホストマシンに解放します。（妥当なハードウェア上でこれを少なくとも数百のゲストVMに拡張することが重要です） 私は次のことを試して、以下に示す理由のためにそれらを放棄するようになりました： ホストマシンの場合 InstalinuxのプレシードDebianマイクロISOイメージ（LinuxCOEがサポートされている）（悪い： まったく機能しなかった（「カーネルモジュールが見つかりませんでした」（InstalinuxイメージがFTPリポジトリと同期していないため、このソリューションは非常に壊れやすいため、また、インストール後、既知のSSHキー、ホストキーなどをマシンにドロップするためのスコープをあまり許可していません。ファイアアンドフォーゲットのようです。結局、実行中のマシンがありますが、アクセスできません。。） プレシードDebian netinst ISO（悪い：上記と同じ問題。ただし、ISOとFTPリポジトリの間にカーネルの相違がないため、通常はインストールが完了します。インストール後の範囲はまだ限られています。 良い：絶対に確実で再現性があり、 MacやベアメタルマシンのVMテクノロジスタックで簡単にスローできればどこでも機能しますが、十分にポストインストールできません） rootfsのを構築し、ブート可能なハードディスクイメージとしてそれをコンパイルする様々な方法が（悪い：少し私は作業は地獄のように壊れやすいし得ることができますどのような、実際のマシン上にインストールすることは困難であり、複雑なビルドプロセスであるだろう。 良い： もし私はそれを機能させることができました、これはマシンをsshキー、ホストキー、ホスト名、Gitからインストールされたソフトウェア、およびその他のもので指定された仕様に事前設定するための最も広い範囲を提供するようですが、問題はどのようにパッケージするかです配布用、またはレクリエーション用のスクリプトの作成方法。） 正直なところ、VMを何もない状態から実行中の機能している有用なシステムにするために人々がどのようなテクノロジを使用することが期待されるかはわかりません。私には3つのステップのように思えますa）オペレーティングシステム、b）システム構成（ユーザーなど）、そしてc）ファイルシステムの変更。 ゲスト（仮想）マシンの場合： 多くのこと、私はここでの答えは、で作成された読み取り専用のrootfsとdebootstrap、この特定のインスタンスに対して実行される作業（ジョブマニフェスト）を含むLXCコンテナー上の特別なパーティションであると思います。OSの構築、起動、ユーザーの作成、gitからのソフトウェアのチェックアウト、および作業の実行に関する通常の注意事項をすべて挿入します。 どのツールに手を伸ばせばよいのか本当にわからないのですが、問題は十分に解決されているようです。しかし、どこから始めればいいのかわかりません。 ほとんどの人は、ホストマシンについて、仮想化テクノロジを選択し、マシンを起動して動作状態にしてから、スナップショットを作成するように提案しているようです（libvirtは、このための論理的なお気に入りのようです）。スナップショットを使用して、後続のインストールをテスト用に、または本番環境で起動します。 ゲストマシンでは、lxcが最も簡単なオプションを提供しているようですが、コンテナのバックグラウンド化と、コンソール経由でのコンテナへの接続が現在のすべてのカーネルで壊れており、安定版のDebianで利用できるlxcの最新バージョンは18か月以上前のものです、そして広く使用されている多くの機能が不足しています。 通常、私はアプリケーション開発者であり、サーバーレベルのテクノロジを使用することはあまりありません（そして、SFがこの質問に「主観的すぎる」とフラグを立てることは確かです）が、どのツールに到達すればよいかは本当にわかりません。 最後の言葉は、このためにVagrantボックスを使用している1つの同様にスタックされたプロジェクト（travis-ci.org）を知っているということです。重要なサービスインフラストラクチャに使用されているテストVMの小規模なデスクトッププロビジョニング用に設計された、かなり鈍い道具、大きくて遅い、ルビー指向のツールのように見えますが、私はそれらの人の一部も知っており、私よりも賢いです、多分彼らはただあきらめた 助けてくれてありがとう。

8 debian  virtualization  libvirt  lxc  provisioning 

更新： そこで解決策を見つけました：http : //www.linuxfoundation.org/collaborate/workgroups/networking/bridge#No_traffic_gets_trough_.28except_ARP_and_STP.29 # cd /proc/sys/net/bridge # ls bridge-nf-call-arptables bridge-nf-call-iptables bridge-nf-call-ip6tables bridge-nf-filter-vlan-tagged # for f in bridge-nf-*; do echo 0 > $f; done しかし、私はこれについて専門家の意見を持ちたいのです。すべてのbridge-nf- *を無効にしても安全ですか？彼らは何のためにここにいるのですか？ 更新の終わり LXCコンテナーをホストの物理インターフェイス（eth0）にブリッジし、テーマに関する多数のチュートリアル、ドキュメント、ブログ投稿を読む必要があります。 コンテナーに独自のパブリックIP（以前にKVM / libvirtを実行したもの）が必要です。 2日間検索して試した後でも、LXCコンテナーで動作させることができません。 ホストは、新しくインストールされたUbuntu Server Quantal（12.10）を実行し、libvirt（ここでは使用していません）とlxcのみがインストールされています。 私はコンテナを作成しました： lxc-create -t ubuntu -n mycontainer したがって、彼らはUbuntu 12.10も実行しています。 / var / lib / lxc / …

8 networking  iptables  bridge  lxc 

現在、VPSホスティングにLinux VServerを使用しています。しかし、必要な機能（CPU使用の仮想化、ゲストの割り当てサポートなど）が不足しているため、OpenVZに切り替えるか、直接LXCに切り替えることを考えています。私はどこかでLXCはまだ安全とは見なされていません（例：http://en.gentoo-wiki.com/wiki/LXC#MAJOR_Temporary_Problems_with_LXC_-_READ_THIS）-これはまだ本当ですか？ゲストを運営している人が分からないので、本当にセキュリティに気を配る必要があります。

8 security  linux  openvz  lxc