คำถามติดแท็ก lxc

ความแตกต่างระหว่าง Docker, LXD และ LXC คืออะไร พวกเขาเสนอบริการเดียวกันหรือแตกต่างกัน

163 lxc  docker  lxd 

มีความแตกต่างที่โดดเด่นระหว่างLXC (คอนเทนเนอร์ Linux)และเรือนจำของ FreeBSDในแง่ของความปลอดภัยเสถียรภาพและประสิทธิภาพหรือไม่? ในครั้งแรกที่วิธีการทั้งสองมีลักษณะคล้ายกันมาก

62 linux  freebsd  virtualization  lxc  jails 

ฉันใช้บริการบางอย่างภายใน Docker LXC container บนเซิร์ฟเวอร์ของฉันและฉันเริ่มทำสิ่งที่ร้ายแรงกับพวกเขา สิ่งหนึ่งที่ฉันไม่ชัดเจนคือการอนุญาตของผู้ใช้ทำงานภายในและภายนอกของคอนเทนเนอร์อย่างไร ตัวอย่างเช่นถ้าฉันใช้ MySQL ในคอนเทนเนอร์และตั้งค่าไดเรกทอรีข้อมูล/dataเป็นไดรฟ์ข้อมูลของนักเทียบท่าการอนุญาตภายในและภายนอกของคอนเทนเนอร์มีผลต่อนโยบายการเข้าถึงอย่างไร เห็นได้ชัดว่าความคิดคือการใช้ MySQL เป็นผู้ใช้ของตัวเองในภาชนะ (เช่นmysql:mysql) และให้มันอ่านและเขียนสิทธิ์ในไดเรกทอรีนั้น ฉันคิดว่ามันจะตรงไปตรงมาพอเพียงแค่วางไดchmodเร็กตอรี่ ฯลฯ แต่วิธีนี้ทำงานนอกคอนเทนเนอร์ได้อย่างไร ตอนนี้ฉันมีโวลุ่มที่แชร์ที่เรียกว่า 'ข้อมูล' ฉันจะจัดการการควบคุมการเข้าถึงได้อย่างไร ฉันกำลังมองหาเฉพาะเพื่อให้สามารถเรียกใช้ผู้ใช้ที่ไม่มีสิทธิพิเศษภายนอกคอนเทนเนอร์ Docker ซึ่งจะเข้าถึงปริมาณการแชร์ MySQL และสำรองข้อมูลเป็นระยะ ฉันจะตั้งค่าการอนุญาตผู้ใช้และกลุ่มเพื่อให้ผู้ใช้เฉพาะบนโฮสต์สามารถอ่าน / เขียนไฟล์และโฟลเดอร์ในไดรฟ์ข้อมูลที่แชร์ของ Docker ได้อย่างไร

26 permissions  users  lxc  docker 

คำถามนี้ถูกโยกย้ายจาก Server Fault เนื่องจากสามารถตอบได้ใน Unix & Linux Stack Exchange อพยพ 5 ปีที่ผ่านมา มีวิธีใดบ้างใน Linux ที่จะแสดงรายการเนมสเปซทั้งหมดในโฮสต์ที่ทำงานอยู่? ฉันต้องการตรวจสอบ namespaces สำหรับกระบวนการเฉพาะ (เช่นกระบวนการที่ทำงานใน LXC-container และกระบวนการอื่น ๆ ทั้งหมดบนโฮสต์) จากนั้นหากลุ่ม cg ของพวกเขา

24 linux  lxc  namespace 

ฉันกำลังพยายามติดตั้งโฟลเดอร์บนโฮสต์กับคอนเทนเนอร์ LXC โฮสต์มีโฟลเดอร์ที่/mnt/ssd/solr_dataสร้างขึ้น (ปัจจุบันอยู่ในระบบไฟล์รูท แต่ต่อมาฉันจะเมานไดรฟ์ SSD ที่นั่นดังนั้นฉันจึงเตรียมการไว้แล้ว) ฉันต้องการให้โฟลเดอร์นั้นเมานต์เหมือน/dataในคอนเทนเนอร์ ดังนั้นในไฟล์ fstab ภาชนะฉันมีดังต่อไปนี้: /mnt/ssd/solr_data /var/lib/lxc/Solr4StandAlone/rootfs/data ext4 defaults,noatime 0 0 แต่นั่นเป็นไม่ไปฉันได้รับข้อผิดพลาดนี้เริ่มภาชนะ: lxc-start: No such file or directory - failed to mount '/mnt/ssd/solr_data' on '/usr/lib/x86_64-linux-gnu/lxc//data' lxc-start: failed to setup the mounts for 'Solr4StandAlone' lxc-start: failed to setup the container lxc-start: invalid sequence number 1. …

24 ubuntu  mount  lxc 

นี่คือที่ระบุไว้ในหน้าคนสำหรับsystemd-nspawn โปรดทราบว่าแม้ว่าข้อควรระวังเพื่อความปลอดภัยเหล่านี้จะเกิดขึ้น systemd-nspawn ไม่เหมาะสำหรับการตั้งค่าคอนเทนเนอร์ที่ปลอดภัย คุณลักษณะด้านความปลอดภัยจำนวนมากอาจถูกหลีกเลี่ยงและเป็นประโยชน์หลักในการหลีกเลี่ยงการเปลี่ยนแปลงโดยไม่ตั้งใจของระบบโฮสต์จากคอนเทนเนอร์ การใช้โปรแกรมนี้ตามวัตถุประสงค์คือการดีบักและทดสอบรวมถึงการสร้างแพ็คเกจการแจกจ่ายและซอฟต์แวร์ที่เกี่ยวข้องกับการจัดการการบูตและระบบ คำถามนี้ถูกถามในรายชื่อผู้รับจดหมายในปี 2011แต่ดูเหมือนว่าคำตอบจะล้าสมัย systemd-nspawn มีรหัสที่จะดำเนินการCLONE_NEWNETโดยใช้--private-networkตัวเลือกตอนนี้ ดูเหมือนว่าจะครอบคลุมAF_UNIXปัญหาเนมสเปซส่วนตัวและฉันเดาCAP_NET_RAWและCAP_NET_BINDปัญหาที่กล่าวถึง ประเด็นปัญหายังคงอยู่ ณ จุดนี้และตัวอย่างเช่น LXC ทำนอกเหนือจากสิ่งที่systemd-nspawnสามารถทำได้ในปัจจุบัน?

21 security  systemd  lxc 

มันหมายความว่าอย่างไรถ้าคอนเทนเนอร์ Linux (คอนเทนเนอร์ LXC) เรียกว่า "unprivileged"

20 lxc  userns 

เป็นไปได้หรือไม่ที่จะติดตั้งตู้คอนเทนเนอร์ LXCด้วยความสามารถของ X11 ฉันตั้งตารอคอยภาชนะ X11 ที่มีน้ำหนักเบาที่สุด (หน่วยความจำที่ชาญฉลาด) การเร่งความเร็วด้วยฮาร์ดแวร์ a บวก แต่ไม่จำเป็น หากปัจจุบันยังไม่สามารถใช้งานได้หรือพร้อมใช้งานจะทราบได้หรือไม่ว่าฟังก์ชันใดที่จำเป็นต้องมีในการใช้งานเพื่อรองรับ

19 linux  x11  xorg  lxc  container 

ฉันต้องการรันคำสั่งภายใน lxc ที่มีอยู่โดยไม่ต้องผ่าน init Linux ปกติ lxc-executeคำสั่งสำหรับการที่ฉันเดา แต่ฉันได้รับข้อผิดพลาดต่อไปนี้เมื่อฉันเรียกใช้คำสั่งนี้ในการทดสอบที่มีอยู่ของฉัน lxc sudo lxc-execute -n test -- service apache2 start ฉันได้รับข้อผิดพลาดดังต่อไปนี้: lxc-execute: Failed to find an lxc-init lxc-execute: invalid sequence number 1. expected 4 lxc-execute: failed to spawn 'test'

18 linux  lxc 

ฉันสำรวจคุณสมบัติ LXC ใน Ubuntu 12.04 และฉันต้องการตั้งค่าเครือข่ายเช่นนี้: client1: 192.168.56.101/24 lxc-host: 192.168.56.102/24 guest1 192.168.56.201/24 guest2 192.168.56.202/24 guest3 192.166.56.203/24 ฉันแค่ต้องการเครือข่าย "แบน" ที่แขกสามารถเข้าถึง LAN ได้อย่างเต็มที่และมองเห็นได้จากลูกค้า ฉันคุ้นเคยกับการเชื่อมต่อเครือข่ายด้วย libvirt / KVM ดังที่อธิบายไว้ที่นี่: http://libvirt.org/formatdomain.html#elementsNICSBridge บนโฮสต์: # /etc/network/interfaces auto br0 iface br0 inet static address 192.168.56.102 netmask 255.255.255.0 broadcast 192.168.56.255 bridge_ports eth1 lxc.conf สำหรับแขกรายแรก: # /var/lib/lxc/guest1/config: lxc.network.type=veth lxc.network.link=br0 …

18 ubuntu  networking  lxc 

คำอธิบายทางเทคนิคของสิ่งที่ไม่ได้รับสิทธิพิเศษค่อนข้างดี อย่างไรก็ตามไม่ใช่สำหรับผู้ใช้พีซีทั่วไป มีคำตอบง่ายๆเมื่อใดและเพราะเหตุใดผู้คนจึงควรใช้ภาชนะที่ไม่ได้รับสิทธิพิเศษและประโยชน์และข้อเสียของพวกเขาคืออะไร?

16 security  virtual-machine  not-root-user  lxc  privileges 

ใช้คำแนะนำสำหรับDocker เริ่มอัตโนมัติบน Linode VPS ที่ใช้ Ubuntu 12.04 และ Docker 0.8.1 คอนเทนเนอร์ที่ระบุไม่เริ่มทำงานเมื่อรีบูต เมื่อบูตฉันสามารถ ~$ sudo start [service-name] และทุกอย่างเป็นไปตามแผนที่วางไว้ แต่ฉันต้องการที่จะรีสตาร์ทหลังจากรีบูต สคริปต์ในบทช่วยสอนไม่ได้ออกแบบมาเพื่อจัดการกับการรีบูตหรือไม่ ไฟล์ / etc / default / docker มีหนึ่งบรรทัด: DOCKER_OPTS="-r=false" /etc/init/service-name.conf ตรงจากหน้านักเทียบท่า: description "service description" author "me" start on filesystem and started docker stop on runlevel [!2345] respawn script # Wait for …

15 ubuntu  upstart  lxc 

ฉันมีโปรแกรมที่ฉันต้องการทดสอบในโหมดออฟไลน์โดยไม่ต้องถอดเครือข่ายจริงของฉัน โปรแกรมนี้จะยังคงต้องเชื่อมต่อกับซ็อกเก็ตท้องถิ่นรวมถึงซ็อกเก็ตโดเมนยูนิกซ์และลูปแบ็ค นอกจากนี้ยังต้องฟังลูปแบ็คและสามารถมองเห็นแอปอื่น ๆ ได้ แต่ความพยายามเชื่อมต่อกับเครื่องระยะไกลควรล้มเหลว ฉันต้องการที่จะมียูทิลิตี้ที่ทำงานเหมือนstrace/ unshare/ sudoและเพียงแค่เรียกใช้คำสั่งกับอินเทอร์เน็ต (และ LAN) ที่ซ่อนอยู่และทุกอย่างอื่นยังคงทำงาน: $ offline my-program-to-test คำถามนี้มีคำแนะนำที่คำตอบ: ปิดกั้นการเข้าถึงกระบวนการหรือไม่ มีคู่ของข้อเสนอแนะที่มีเช่นการทำงานเป็นผู้ใช้อื่นแล้วจัดการ iptables unshare -nหรือ แต่ในทั้งสองกรณีฉันไม่รู้ว่าคาถาที่จะได้รับซ็อกเก็ตโดเมนยูนิกซ์และลูปแบ็คเพื่อใช้ร่วมกับระบบหลัก - คำตอบสำหรับคำถามนั้นเพียงบอกฉันว่าจะแบ่งเครือข่ายทั้งหมดอย่างไร โปรแกรมที่ฉันกำลังทดสอบยังต้องเชื่อมต่อกับเซิร์ฟเวอร์ X และ dbus ของฉันและยังสามารถฟังลูปแบ็คสำหรับการเชื่อมต่อจากแอพอื่น ๆ ในระบบ เป็นการดีที่ฉันต้องการหลีกเลี่ยงการสร้าง chroots หรือผู้ใช้หรือ VM หรือสิ่งที่คล้ายกันเนื่องจากมันกลายเป็นเรื่องที่น่ารำคาญเหมือนการถอดสายเคเบิลเครือข่าย sudoคือจุดของคำถามคือวิธีที่ฉันสามารถทำให้เป็นง่ายๆเป็น ฉันชอบกระบวนการที่จะเรียกใช้ 100% ตามปกติยกเว้นการโทรผ่านเครือข่ายที่ระบุที่อยู่นอกพื้นที่จะล้มเหลว เป็นการดีที่จะรักษา uid เดียวกัน homedir เดียวกัน pwd เดียวกันทุกอย่างเดียวกันยกเว้น ... ออฟไลน์ ฉันใช้ …

15 linux  networking  lxc  capabilities  namespace 

ฉันใช้lxcตู้คอนเทนเนอร์ที่Arch Linuxไม่ได้รับสิทธิพิเศษมา นี่คือข้อมูลพื้นฐานของระบบ: [chb@conventiont ~]$ uname -a Linux conventiont 3.17.4-Chb #1 SMP PREEMPT Fri Nov 28 12:39:54 UTC 2014 x86_64 GNU/Linux มันเป็นเคอร์เนลที่กำหนดเอง / คอมไพล์ด้วยuser namespace enabled: [chb@conventiont ~]$ lxc-checkconfig --- Namespaces --- Namespaces: enabled Utsname namespace: enabled Ipc namespace: enabled Pid namespace: enabled User namespace: enabled Network namespace: enabled Multiple …

14 systemd  virtualization  lxc  cgroups  container 

ฉันจะรันแอพ X ภายในคอนเทนเนอร์ LXC ได้อย่างมีประสิทธิภาพได้อย่างไร ssh -Y guest ช้าเกินไป - ไม่มีการเร่งกราฟิกด้วยssh -Y- ทุกอย่างต้องเดินทางผ่านเครือข่ายเสมือนจริงด้วยโปรโตคอล X11 แบบดั้งเดิม ความสามารถในการคัดลอกวางระหว่างแอปโฮสต์และเกสต์เป็นสิ่งที่ต้องการ แต่ไม่จำเป็น การรันเซิร์ฟเวอร์ X สองตัวหนึ่งตัวสำหรับโฮสต์และอีกหนึ่งตัวสำหรับแขกเป็นสิ่งจำเป็น (สำหรับจุดประสงค์ของฉัน) ฉันไม่สามารถเรียกใช้ Xorg ดั้งเดิมจากภายในแขกเพราะบ่น/dev/tty0ว่าหายไปและฉันไม่สามารถmknodใช้อุปกรณ์นั้นในแขกเพราะฉันได้รับอนุญาตถูกปฏิเสธแม้ว่าจะทำในฐานะรูท

12 linux  xorg  virtualization  lxc