タグ付けされた質問 「lxc」

Linuxコンテナー(LXC)は、カーネルの名前空間やコントロールグループ(cgroups)など、メインラインLinuxカーネルのオペレーティングシステムレベルの仮想化機能用のユーザースペースインターフェイスです。これらにより、複数の異なるユーザー空間インスタンスを単一のカーネルで実行できます。注:3文字の「lxc」コマンドはLXCではなくLXDの一部です。質問がLXCだけでなくLXDに関するものである場合は、LXDタグを使用してください。

1
Linux LXC対FreeBSD刑務所
LXC(Linuxコンテナ)とFreeBSDの刑務所の間に、セキュリティ、安定性、パフォーマンスの面で顕著な違いはありますか? 一見すると、両方のアプローチは非常によく似ています。
1
LXCコンテナーの内外のユーザー許可
サーバー上のDocker LXCコンテナー内でいくつかのサービスを実行しており、実際にそれらのサービスで深刻なことを始めています。 私が明確にしていないことの1つは、コンテナの内外でユーザーのアクセス許可がどのように機能するかです。たとえば、MySQLをコンテナで実行し、そのデータディレクトリを/dataDockerボリュームであるに設定している場合、コンテナ内外のアクセス許可はアクセスポリシーにどのように影響しますか? 明らかに、MySQLをコンテナ内で独自のユーザー(つまりmysql:mysql)として実行し、そのディレクトリに対する読み取り権と書き込み権を付与することです。これはかなり簡単でchmod、ディレクトリなどを入力するだけだと思います。しかし、これはコンテナの外でどのように機能しますか?「データ」と呼ばれるこのDocker共有ボリュームがあるので、アクセス制御をどのように管理しますか? 私は、MySQL共有ボリュームに定期的にアクセスしてデータをバックアップするDockerコンテナの外部で、権限のないユーザーを実行できることを特に探しています。 ホスト上の特定のユーザーがDocker共有ボリュームのファイルとフォルダーを読み書きできるように、アクセス許可、ユーザー、およびグループを設定するにはどうすればよいですか?
4
Linuxで名前空間をリストする方法は?
この質問は、UnixおよびLinux Stack Exchangeで回答できるため、Server Faultから移行されました。 5年前に移行され ました。 Linuxには、実行中のホスト上のすべての名前空間をリストする方法がありますか?特定のプロセスの名前空間をチェックする必要があります(たとえば、LXCコンテナーで実行されているプロセスとホスト上の他のすべてのプロセス)。次に、それらのcgroupを見つけます。
24 linux  lxc  namespace 
6
LXC:ホストからコンテナにフォルダをマウントするにはどうすればよいですか?
ホスト上のフォルダーをLXCコンテナーにマウントしようとしています。 ホストにはフォルダーが/mnt/ssd/solr_data作成されています(これは現在ルートファイルシステム上にありますが、後でSSDドライブをマウントするので、その準備をしています)。 そのフォルダーを/dataコンテナー内でマウントするようにします。 そのため、コンテナのfstabファイルには次のものがあります。 /mnt/ssd/solr_data /var/lib/lxc/Solr4StandAlone/rootfs/data ext4 defaults,noatime 0 0 しかし、それは無意味です、私はコンテナを開始するこのエラーを受け取ります: lxc-start: No such file or directory - failed to mount '/mnt/ssd/solr_data' on '/usr/lib/x86_64-linux-gnu/lxc//data' lxc-start: failed to setup the mounts for 'Solr4StandAlone' lxc-start: failed to setup the container lxc-start: invalid sequence number 1. expected 2 lxc-start: failed to spawn 'Solr4StandAlone'
24 ubuntu  mount  lxc 
1
何がsystemd-nspawnを「安全なコンテナ設定に適さない」のでしょうか?
これは、systemd-nspawnの manページに記載されています これらのセキュリティ予防措置が講じられているにもかかわらず、systemd-nspawnは安全なコンテナのセットアップには適していないことに注意してください。セキュリティ機能の多くは回避される可能性があるため、コンテナからホストシステムへの偶発的な変更を避けるために主に役立ちます。このプログラムの使用目的は、ブートとシステム管理に関連するパッケージ、ディストリビューション、およびソフトウェアの構築だけでなく、デバッグとテストです。 この質問は2011年にメーリングリストで続けて尋ねられましたが、答えは時代遅れのようです。 systemd-nspawnにはCLONE_NEWNET、--private-network現在このオプションを使用して実行するコードが含まれています。これは、プライベートカバーすると思われるAF_UNIX名前空間の問題を、と私は推測CAP_NET_RAWしてCAP_NET_BIND問題が言及しました。 この時点でどのような問題が残っており、systemd-nspawn現在できることに加えて、たとえばLXCは何をしていますか?
21 security  systemd  lxc 
2
Linux-LXC; 可能な限り最小のX11でイメージを展開する
現在、X11機能を備えたLXCコンテナをセットアップすることは可能ですか?使用可能な最軽量のX11コンテナ(メモリ単位)、ハードウェアアクセラレーションはプラスですが、必須ではありません。 現在使用できない、またはすぐに使用できない場合、それをサポートするためにまだ実装する必要がある機能はわかっていますか?
19 linux  x11  xorg  lxc  container 
2
実行中のLXC内でコマンドを実行する
通常のLinux initを経由せずに、既存のlxc内でコマンドを実行したい。lxc-executeコマンドはそのためだと思いますが、既存のテストlxcでこのコマンドを実行すると、次のエラーが表示されます。 sudo lxc-execute -n test -- service apache2 start 次のエラーが表示されます。 lxc-execute: Failed to find an lxc-init lxc-execute: invalid sequence number 1. expected 4 lxc-execute: failed to spawn 'test'
18 linux  lxc 
3
LXCゲストの外部IPアドレスを構成する方法は?
私はUbuntu 12.04のLXC機能を調査していますが、本当に次のようなネットワークをセットアップしたいと思います。 client1: 192.168.56.101/24 lxc-host: 192.168.56.102/24 guest1 192.168.56.201/24 guest2 192.168.56.202/24 guest3 192.166.56.203/24 ゲストがLANに完全にアクセスでき、クライアントから見える「フラットな」ネットワークが必要です。http://libvirt.org/formatdomain.html#elementsNICSBridgeで説明されているように、私はlibvirt / KVMでネットワークをブリッジするのに慣れています。 ホスト上: # /etc/network/interfaces auto br0 iface br0 inet static address 192.168.56.102 netmask 255.255.255.0 broadcast 192.168.56.255 bridge_ports eth1 最初のゲストのlxc.conf: # /var/lib/lxc/guest1/config: lxc.network.type=veth lxc.network.link=br0 lxc.network.flags=up lxc.network.hwaddr=00:16:3e:13:48:4e lxc.network.ipv4=192.168.56.201/24 192.168.56.201は外界には見えないように見えますが、これは私が望んでいるものではありません。私はこれらのことの1つをしなければならないようです: 1)ホストとゲストでルーティングを手動で設定します 2)何か簡単なことをします...事前にホスト上に仮想インターフェースを作成し、ゲストがそれらを使用するように設定しますlxc.network.type=phys。それが実際に機能するかどうかはわかりません。 私はUbuntuに焦点を当てていますが、RHEL / Fedoraの答えも役立ちます。...
18 ubuntu  networking  lxc 
5
Ubuntu 12.04の起動スクリプトを使用して起動時にdockerコンテナが起動しないのはなぜですか?
Ubuntu 12.04およびDocker 0.8.1を実行しているLinode VPS でのDocker自動起動の手順を使用すると、指定されたコンテナーは再起動時に起動しません。 起動したら、次のことができます ~$ sudo start [service-name] そして、すべてが計画通りに進みますが、リブート後にコンテナを再起動したいと思います。 チュートリアルのスクリプトは、再起動を処理するように設計されていませんか? / etc / default / dockerファイルには次の1行が含まれます。 DOCKER_OPTS="-r=false" /etc/init/service-name.confはdockerページから直接です: description "service description" author "me" start on filesystem and started docker stop on runlevel [!2345] respawn script # Wait for docker to finish starting up first. FILE=/var/run/docker.sock while [ ! …
15 ubuntu  upstart  lxc 
3
Linuxで子プロセスを「オフライン」(外部ネットワークなし)で実行するコマンド
実際のネットワークを停止せずにオフラインモードでテストしたいプログラムがあります。このプログラムは、Unixドメインソケットとループバックを含むローカルソケットに接続する必要があります。また、ループバックでリッスンし、他のアプリに表示される必要があります。 ただし、リモートマシンへの接続は失敗します。 strace/ unshare/のように機能sudoし、インターネット(およびLAN)を隠した状態でコマンドを実行し、他のすべてがまだ機能しているユーティリティが必要です。 $ offline my-program-to-test この質問には答えがあります:プロセスのネットワークアクセスをブロックしますか? 他のユーザーとして実行してからiptablesを操作するなど、いくつかの提案がありunshare -nます。しかし、どちらの場合も、UNIXドメインソケットとループバックをメインシステムと共有するための呪文はわかりません。その質問に対する答えは、ネットワーク全体の共有を解除する方法を教えてくれるだけです。 私がテストしているプログラムは、まだXサーバーとdbusに接続し、システム上の他のアプリからの接続をループバックでリッスンできる必要があります。 ネットワークケーブルを抜くのと同じくらい迷惑になるので、理想的には、chrootやユーザー、VMなどを作成しないようにします。すなわち質問のポイントはどのように私はこれをaのように簡単にすることができるかsudoです。 非ローカルアドレスを指定するネットワークコールが失敗することを除いて、通常どおりに100%実行するプロセスが必要です。理想的には、同じuid、同じhomedir、同じpwd、...を除くすべてをオフラインに保つ。 私はFedora 18を使用しているので、移植性のないLinuxの答えは問題ありません(予想される、でも)。 それが関係しているのであれば、Cプログラムを書くことでこれを解決できてうれしいので、Cを書くことに関係する答えは問題ありません。ローカルネットワークを維持しながら、Cプログラムが外部ネットワークアクセスを取り消すために必要なsyscallがわからないだけです。 「オフラインモード」をサポートしようとする開発者は、おそらくこのユーティリティに感謝するでしょう!
3
systemdでユーザーcgroupを作成する方法
で非特権lxcコンテナを使用していArch Linuxます。基本的なシステム情報は次のとおりです。 [chb@conventiont ~]$ uname -a Linux conventiont 3.17.4-Chb #1 SMP PREEMPT Fri Nov 28 12:39:54 UTC 2014 x86_64 GNU/Linux これは、カスタム/コンパイルされたカーネルuser namespace enabledです: [chb@conventiont ~]$ lxc-checkconfig --- Namespaces --- Namespaces: enabled Utsname namespace: enabled Ipc namespace: enabled Pid namespace: enabled User namespace: enabled Network namespace: enabled Multiple /dev/pts instances: enabled …
2
localhost上のLXCゲストのFast X?
LXCコンテナー内でXアプリを効率的に実行するにはどうすればよいですか? ssh -Y guest 遅すぎる-グラフィックアクセラレーションがないssh -Y-すべてが従来のX11プロトコルで仮想ネットワーク上を移動する必要がある ホストアプリとゲストアプリの間でコピーアンドペーストできることが望ましいですが、必須ではありません。ホスト用とゲスト用の2つのXサーバーを実行することは(私の目的では)重要です。 ゲストとしてネイティブXorgを実行できないのは、/dev/tty0欠落しているというメッセージが表示されるためmknodです。また、rootとして実行した場合でも、アクセスが拒否されるため、ゲスト内でそのデバイスを実行できません。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.