systemd-nspawn以及container的学习
container的分类
目前container可以分为两大类,一类是Privileged container,一类是Unprivileged container。
Privileged container内部的root跟container外部的root是同一个用户(也就是UID都是0),如果在Privileged container中创建文件(比如在--bind的目录中创建文件),那么该文件在Host中的UID跟Container中的UID一样。这样可以做到与Host权限一一对应,某些情况下比较方便。
Unprivileged container内部的UID 0用户其实是被映射到了container外部的某个unprivileged用户,这是通过user namespace来实现的,如果在Unprivileged container中创建文件,那么该文件在Host中的UID跟Container中的不一样,而是没有对应用户的一串数字(实际上Host可以指定一个有用户的UID来作为Container的指定UID)。这样可以保证当container被攻破时,Host仍然安全。
systemd-nspawn的默认情况
systemd-nspawn分两种情况。
- 用
systemd-nspawn直接启动 - 通过
systemd-nspawn@.service模板启动,即machinectl
两种方式启动时默认选项不同。
通过systemd-nspawn@.service模板启动:
- 默认使用
-b,--boot方式启动。 - 默认使用 Unprivileged container 选项
-U。 - 默认使用
-n,--network-veth网络配置。 - 默认使用
-j,--link-journal=try-guest日志配置。
systemd-nspawn@.service模板默认设置可以通过.nspawn配置文件覆盖掉。
machinectl
尝试了一下machinectl命令,差点以为把好不容易装好的centos7容器给搞坏了。注意:machinectl都是基于 systemd-nspawn@.service 模版启动的。
常用命令:
machinectl start <machine_name>:启动容器machinectl stop <machine_name>:关闭容器machinectl login <machine_name>:显示登录界面machinectl enable/diable <machine_name>:是否以systemd-nspawn@.service方式开机启动
优先在 /var/lib/machines/ 目录中搜索, 但是也会在 /usr/local/lib/machines/ 与 /usr/lib/machines/ 目录中搜索镜像, 出于兼容性原因,还会在 /var/lib/container/ 中搜索镜像。
模板文件搜索规则
模板文件xxx.nspawn:
- 如果在
/etc/systemd/nspawn/与/run/systemd/nspawn/目录中找到了对应的配置文件, 那么将会应用其中的全部配置(但依然有可能会被命令行上的设置所覆盖), 同时将会停止进一步的搜索。 - 如果没有找到对应的配置文件, 那么将会进一步在容器镜像文件的所在目录、或容器根目录的所在父目录中搜索。 如果找到了对应的配置文件,那么将会仅应用其中的非特权指令, 所有特权指令, 也就是有可能造成权限提升或者要求访问主机资源(例如主机的文件或目录)的配置指令, 都将被忽略。
.nspawn文件语法可以参考man。
systemd-nspawn容器网络配置
-n,--network-veth配置方法:
- Host运行
systemd-networkd.service,此时Host端无ip。之后和container运行,此时Host端会自动配置ip。 - container端配置ip地址,可以使用任何方式配置,比如
ip addr add或者nmtui或者使用systemd-networkd。 - 确定Host内核开启ip转发功能。
- 确定Host端FORWARD链规则是否默认DROP。如果是,添加ACCEPT规则,可以参考Archwiki。
- 确定Host端iptables为ve-enth网卡开启dhcp端口(67,68),否则Host无法为container自动分配地址。
systemd-networkd.service(8) 默认包含 /usr/lib/systemd/network/80-container-ve.network, 此文件匹配所有通过该选项创建的虚拟以太网连接的宿主端接口, 此文件不但为这些接口启用了 DHCP 功能,而且还为这些接口设置了通向宿主机外部网络的路由(从而可以连通外网)。 该服务还默认包含 /usr/lib/systemd/network/80-container-host0.network , 此文件匹配所有通过该选项创建的虚拟以太网连接的容器端接口,并且为这些接口启用了 DHCP 功能。 如果在宿主与容器内同时运行了 systemd-networkd 服务, 那么无须额外的配置,即可自动实现在容器与宿主之间进行 IP 通信, 并且可以连接到外部网络。
撤销Unprivileged container造成的权限问题
撤销 --private-users-chown (或 -U) 造成的影响,可以通过将容器的 UID/GIU 起点重置为"0"来实现:
systemd-nspawn … --private-users=0 --private-users-chown
systemd-nspawn以及container的学习的更多相关文章
- systemd 编写服务管理脚本---学习
转载:https://www.cnblogs.com/sparkdev/p/8521812.html 我们运行 linux 服务器的主要目的是通过运行程序提供服务,比如 mysql.web serve ...
- blfs(systemd版本)学习笔记-总页
我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! lfs(systemd版本)学习笔记:https://www.cnblogs.com/renren-study-notes/p/ ...
- lfs(systemd版本)学习笔记-第1页
我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! 一名linux爱好者,记录构建Linux From Scratch的过程 经博客园-骏马金龙前辈介绍,开始接触学习lfs,用博客 ...
- docker学习笔记(3)- 镜像
简介 在docker学习笔记(1)- 架构概述一节中可以看到镜像是docker三大组件之一,可以将Docker镜像类比为虚拟机的模版. 镜像由多个层组成,每层叠加之后从外部看就像一个独立的对象,镜像的 ...
- blfs(systemv版本)学习笔记-总页
我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! lfs(systemv版本)学习笔记:https://www.cnblogs.com/renren-study-notes/p/ ...
- lfs(systemv版本)学习笔记-第1页
我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! 一名linux爱好者,记录构建Linux From Scratch的过程 经博客园-骏马金龙前辈介绍,开始接触学习lfs,用博客 ...
- systemd初始化进程(转)
Systemd初始化进程 Linux操作系统开机过程首先从BIOS开始→进入"Boot Loader"→加载内核→内核的初始化→启动初始化进程,初始化进程作为系统第一个进程,它需要 ...
- Kata Container 介绍
docker容器,性能高,不安全:VM虚拟机,安全性好,性能损耗大:Kata Container轻量级虚拟机的容器,即安全,性能也高. 开源容器项目Kata Containers,旨在将虚拟机(VM) ...
- Docker系列03—Docker 基础入门
本文收录在容器技术学习系列文章总目录 1.概念介绍 1.1 容器 1.1.1 介绍 容纳其它物品的工具,可以部分或完全封闭,被用于容纳.储存.运输物品.物体可以被放置在容器中,而容器则可以保护内容物. ...
随机推荐
- 2.docker安装及原理
一. docker的架构 1.1 docker的架构 先来看docker官网给出的docker架构图: 看官网,docker的架构描述: https://docs.docker.com/get-sta ...
- Hadoop的高可用搭建
在已经安装完hadoop单机和zookeeper前提下 1.免密钥 ssh-keygen -t rsa 分发秘钥 ssh-copy-id -i master ssh-copy-id -i node1 ...
- css定位:p:nth-child(n)
p:nth-child(n) 定位p标签下的第一个元素,下标从1开始. 首先是一个标签下有多个相同的元素. 如index_service_cnt js_service_list下有多个class=&q ...
- kubeadm 命令简介
kubeadm 命令 kubeadm init 启动一个kubernetes主节点 kubeadm join 启动一个kubernetes工作节点并加入到集群中 kubeadm upgrade 更新一 ...
- 92仿<高频彩>源码带采集
需要的联系QQ 肆伍以柒柒九八一
- sqlserver 2000 insert注入的问题
一个sql server 2000的注入点猜测语句如下:insert into t1(col1, col2, col3) values('注入点1','数据点2','xxx');注入点1的值可以通过o ...
- 浏览器输入URL之后,HTTP请求返回的完整过程
1.输入url,按下回车时,先做一个redirect(重定向),因为浏览器可能记录本机的地址已经永久跳转成新的地址,所以一开始浏览器就先要判断下需不需要重定向,以及重定向到哪里:2.然后第二步就是看A ...
- 浅谈机(J)惨(C)技巧——从入门到精通(?)
JC总是无聊的机房中有意思的一个瞬间... 比如: 这个杰作由 ZSWBWYX 完成 你认为这只是AK-IOI吗?不!注意用户名...也是此人的杰作. 所以,在险恶的机房里,一定要保护好自己的账号. ...
- node-pre-gyp以及node-gyp的源码简单解析(以安装sqlite3为例)
title: node-pre-gyp以及node-gyp的源码简单解析(以安装sqlite3为例) date: 2020-11-27 tags: node native sqlite3 前言 简单来 ...
- SpringBoot入门06-Thymeleaf显示作用域对象种的对象
作用域对象request,session, servletContext中的数据在Thymeleaf中的显示都是相同的 作用域对象中的 List和Set的集合在html中的显示是相同的 作用域对象中的 ...