container的分类

目前container可以分为两大类,一类是Privileged container,一类是Unprivileged container。

Privileged container内部的root跟container外部的root是同一个用户(也就是UID都是0),如果在Privileged container中创建文件(比如在--bind的目录中创建文件),那么该文件在Host中的UID跟Container中的UID一样。这样可以做到与Host权限一一对应,某些情况下比较方便。

Unprivileged container内部的UID 0用户其实是被映射到了container外部的某个unprivileged用户,这是通过user namespace来实现的,如果在Unprivileged container中创建文件,那么该文件在Host中的UID跟Container中的不一样,而是没有对应用户的一串数字(实际上Host可以指定一个有用户的UID来作为Container的指定UID)。这样可以保证当container被攻破时,Host仍然安全。

systemd-nspawn的默认情况

systemd-nspawn分两种情况。

  • systemd-nspawn直接启动
  • 通过systemd-nspawn@.service模板启动,即machinectl

两种方式启动时默认选项不同。

通过systemd-nspawn@.service模板启动:

  • 默认使用-b,--boot方式启动。
  • 默认使用 Unprivileged container 选项-U
  • 默认使用-n,--network-veth网络配置。
  • 默认使用 -j,--link-journal=try-guest日志配置。

systemd-nspawn@.service模板默认设置可以通过.nspawn配置文件覆盖掉。

machinectl

尝试了一下machinectl命令,差点以为把好不容易装好的centos7容器给搞坏了。注意:machinectl都是基于 systemd-nspawn@.service 模版启动的。

常用命令:

  • machinectl start <machine_name>:启动容器
  • machinectl stop <machine_name>:关闭容器
  • machinectl login <machine_name>:显示登录界面
  • machinectl enable/diable <machine_name>:是否以systemd-nspawn@.service方式开机启动

优先在 /var/lib/machines/ 目录中搜索, 但是也会在 /usr/local/lib/machines//usr/lib/machines/ 目录中搜索镜像, 出于兼容性原因,还会在 /var/lib/container/ 中搜索镜像。

模板文件搜索规则

模板文件xxx.nspawn

  • 如果在 /etc/systemd/nspawn//run/systemd/nspawn/ 目录中找到了对应的配置文件, 那么将会应用其中的全部配置(但依然有可能会被命令行上的设置所覆盖), 同时将会停止进一步的搜索。
  • 如果没有找到对应的配置文件, 那么将会进一步在容器镜像文件的所在目录、或容器根目录的所在父目录中搜索。 如果找到了对应的配置文件,那么将会仅应用其中的非特权指令, 所有特权指令, 也就是有可能造成权限提升或者要求访问主机资源(例如主机的文件或目录)的配置指令, 都将被忽略

.nspawn文件语法可以参考man

systemd-nspawn容器网络配置

-n,--network-veth配置方法:

  • Host运行systemd-networkd.service,此时Host端无ip。之后和container运行,此时Host端会自动配置ip。
  • container端配置ip地址,可以使用任何方式配置,比如ip addr add或者nmtui或者使用systemd-networkd
  • 确定Host内核开启ip转发功能。
  • 确定Host端FORWARD链规则是否默认DROP。如果是,添加ACCEPT规则,可以参考Archwiki。
  • 确定Host端iptables为ve-enth网卡开启dhcp端口(67,68),否则Host无法为container自动分配地址。

systemd-networkd.service(8) 默认包含 /usr/lib/systemd/network/80-container-ve.network, 此文件匹配所有通过该选项创建的虚拟以太网连接的宿主端接口, 此文件不但为这些接口启用了 DHCP 功能,而且还为这些接口设置了通向宿主机外部网络的路由(从而可以连通外网)。 该服务还默认包含 /usr/lib/systemd/network/80-container-host0.network , 此文件匹配所有通过该选项创建的虚拟以太网连接的容器端接口,并且为这些接口启用了 DHCP 功能。 如果在宿主与容器内同时运行了 systemd-networkd 服务, 那么无须额外的配置,即可自动实现在容器与宿主之间进行 IP 通信, 并且可以连接到外部网络。

撤销Unprivileged container造成的权限问题

撤销 --private-users-chown (或 -U) 造成的影响,可以通过将容器的 UID/GIU 起点重置为"0"来实现:

systemd-nspawn … --private-users=0 --private-users-chown

systemd-nspawn以及container的学习的更多相关文章

  1. systemd 编写服务管理脚本---学习

    转载:https://www.cnblogs.com/sparkdev/p/8521812.html 我们运行 linux 服务器的主要目的是通过运行程序提供服务,比如 mysql.web serve ...

  2. blfs(systemd版本)学习笔记-总页

    我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! lfs(systemd版本)学习笔记:https://www.cnblogs.com/renren-study-notes/p/ ...

  3. lfs(systemd版本)学习笔记-第1页

    我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! 一名linux爱好者,记录构建Linux From Scratch的过程 经博客园-骏马金龙前辈介绍,开始接触学习lfs,用博客 ...

  4. docker学习笔记(3)- 镜像

    简介 在docker学习笔记(1)- 架构概述一节中可以看到镜像是docker三大组件之一,可以将Docker镜像类比为虚拟机的模版. 镜像由多个层组成,每层叠加之后从外部看就像一个独立的对象,镜像的 ...

  5. blfs(systemv版本)学习笔记-总页

    我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! lfs(systemv版本)学习笔记:https://www.cnblogs.com/renren-study-notes/p/ ...

  6. lfs(systemv版本)学习笔记-第1页

    我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! 一名linux爱好者,记录构建Linux From Scratch的过程 经博客园-骏马金龙前辈介绍,开始接触学习lfs,用博客 ...

  7. systemd初始化进程(转)

    Systemd初始化进程 Linux操作系统开机过程首先从BIOS开始→进入"Boot Loader"→加载内核→内核的初始化→启动初始化进程,初始化进程作为系统第一个进程,它需要 ...

  8. Kata Container 介绍

    docker容器,性能高,不安全:VM虚拟机,安全性好,性能损耗大:Kata Container轻量级虚拟机的容器,即安全,性能也高. 开源容器项目Kata Containers,旨在将虚拟机(VM) ...

  9. Docker系列03—Docker 基础入门

    本文收录在容器技术学习系列文章总目录 1.概念介绍 1.1 容器 1.1.1 介绍 容纳其它物品的工具,可以部分或完全封闭,被用于容纳.储存.运输物品.物体可以被放置在容器中,而容器则可以保护内容物. ...

随机推荐

  1. 2.docker安装及原理

    一. docker的架构 1.1 docker的架构 先来看docker官网给出的docker架构图: 看官网,docker的架构描述: https://docs.docker.com/get-sta ...

  2. Hadoop的高可用搭建

    在已经安装完hadoop单机和zookeeper前提下 1.免密钥 ssh-keygen -t rsa 分发秘钥 ssh-copy-id -i master ssh-copy-id -i node1 ...

  3. css定位:p:nth-child(n)

    p:nth-child(n) 定位p标签下的第一个元素,下标从1开始. 首先是一个标签下有多个相同的元素. 如index_service_cnt js_service_list下有多个class=&q ...

  4. kubeadm 命令简介

    kubeadm 命令 kubeadm init 启动一个kubernetes主节点 kubeadm join 启动一个kubernetes工作节点并加入到集群中 kubeadm upgrade 更新一 ...

  5. 92仿<高频彩>源码带采集

    需要的联系QQ 肆伍以柒柒九八一

  6. sqlserver 2000 insert注入的问题

    一个sql server 2000的注入点猜测语句如下:insert into t1(col1, col2, col3) values('注入点1','数据点2','xxx');注入点1的值可以通过o ...

  7. 浏览器输入URL之后,HTTP请求返回的完整过程

    1.输入url,按下回车时,先做一个redirect(重定向),因为浏览器可能记录本机的地址已经永久跳转成新的地址,所以一开始浏览器就先要判断下需不需要重定向,以及重定向到哪里:2.然后第二步就是看A ...

  8. 浅谈机(J)惨(C)技巧——从入门到精通(?)

    JC总是无聊的机房中有意思的一个瞬间... 比如: 这个杰作由 ZSWBWYX 完成 你认为这只是AK-IOI吗?不!注意用户名...也是此人的杰作. 所以,在险恶的机房里,一定要保护好自己的账号. ...

  9. node-pre-gyp以及node-gyp的源码简单解析(以安装sqlite3为例)

    title: node-pre-gyp以及node-gyp的源码简单解析(以安装sqlite3为例) date: 2020-11-27 tags: node native sqlite3 前言 简单来 ...

  10. SpringBoot入门06-Thymeleaf显示作用域对象种的对象

    作用域对象request,session, servletContext中的数据在Thymeleaf中的显示都是相同的 作用域对象中的 List和Set的集合在html中的显示是相同的 作用域对象中的 ...