Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия		 Предыдущая версия
linux-containers:lxc [2017/11/19 00:41] – [Создание непривилегированного контейнера от root] mirocowlinux-containers:lxc [2018/06/21 23:50] (текущий) – [Расширенная поддержка] mirocow
Строка 15: Строка 15:
 </code> </code>
  
-  * debian - +==== Контейнеры ==== 
 + 
 +  * https://github.com/fgrehm/vagrant-lxc/wiki/Base-boxes 
 +  * https://github.com/fgrehm/vagrant-lxc-base-boxes 
 +  * debian 
 +  * fgrehm/precise64-lxc 
 +  * https://app.vagrantup.com/boxes/search?provider=lxc 
 +  * http://www.vagrantbox.es/
  
  
Строка 27: Строка 34:
 $ lxc-destroy -n my-container $ lxc-destroy -n my-container
 </code> </code>
 +
 +===== vagrant =====
 +
 +Работа с контейнером чере vagrant
 +
 +<code bash>
 +$ vagrant plugin install vagrant-lxc
 +</code>
 +===== Создание непривилегированного контейнера от root =====
 +
 +Для запуска общесистемного непривилегированного контейнера (то есть, непривилегированного контейнера запущенного от root) вы должны следовать только части шагов ниже.
 +
 +А именно, вам нужно вручную выделить диапазон uid и gid для root в /etc/subuid and /etc/subgid. А затем задать этот диапазон в /etc/lxc/default.conf используя такие же записи lxc.id_map как выше.
 +
 +И все. Root не требует квоты на сетевые устройства и использует общий конфигурационный файл так что другие шаги не применяются.
 +
 +Любой контейнер создаваемый вами от root с этого момента будет запущен непривилегированным.
 +
 +===== Создание привилегированных контейнеров =====
 +
 +Привилегированные контейнеры это контейнеры созданные root и запущенные от root.
 +
 +В зависимости от дистрибутива Linux, они могут быть защищены некоторым сбросом привилегий, профилями apparmor, контекстом selinux или политиками seccomp но все равно, процессы до сих пор запускаются от root и вы не должны давать root доступ внутри привилегированного контейнера недоверенной стороне.
 +
 +Если вам все еще необходимо создавать привилегированные контейнеры, это довольно просто. Не делайте ничего из настроек описанных выше и LXC будет создавать привилегированные контейнеры.
 +
 +Так:
 +
 +<code bash>$ sudo lxc-create -t download -n privileged-container</code>
 +Создаст новый "privileged-container" привилегированный контейнер на вашей системе используя образ и загруженного шаблона.
 ===== Особенности ===== ===== Особенности =====
  
Строка 83: Строка 120:
 Проект спонсируется Canonical Ltd. Проект спонсируется Canonical Ltd.
  
 +====== Другие системы виртуализации ======
 +
 +{{topic>[virtual]}}