Debian WheezyでのLXC（Linuxコンテナー）テストの経験

Centos-adminでは、新しい技術の出現を監視し、テストし、もちろん実装します。 ほとんどすべてのサーバーで、OpenVZコンテナー仮想化を使用しています。 作業で使用されるツールセットを拡張するために、ネイティブLinux LXC仮想化を調査およびテストすることにしました。
カットの下に、Debian WheezyでLXCを使用するための技術の簡単な概要と簡単なマニュアルと私たちの結論があります。

この技術は長い間積極的に開発されてきました。 現在、安定バージョン0.9、来年リリース1.0が準備されており、Ubuntu 14.04 LTSに含まれます。 ただし、現時点では、Ubuntuメインストリームカーネルはユーザーネームスペースをサポートしていないため、この記事ではDebian Wheezyの例を使用したLinuxコンテナの使用について説明します。
LXCの使用を今すぐ開始する必要がありますか？ それを理解してみましょう。

LXC（Linux Containers）は、オペレーティングシステムレベルの仮想化テクノロジに過ぎません。
LXC仮想化テクノロジーの全範囲を呼び出すことはできませんが、むしろコンピューターリソースを分離して共有するためのテクノロジーです。

LXCは、VserverとOpenVZの2つの以前のテクノロジーの論理的な継続ですが、バージョン2.6.29から始まる「バニラ」カーネルブランチのフレームワーク内で開発されます。カーネル。

LXCとは何ですか？ LXCは、APIがLinuxカーネルの機能を使用してオペレーティングシステムの分離されたコンテナを作成および管理できるようにするユーティリティのセットです。 これをすべて実現するために、Linuxカーネルのさまざまな機能で次のことができます。

• 分離とリソースの制限（cgroup）
• カーネル名前空間の分離（ipc、uts、mount、pid、network、user）
• ファイルシステムの分離（Chroot）
• ApparmorおよびSELinuxプロファイル
• Seccompポリシー

他のコンテナ仮想化技術と同様に、LXCはWebホスティング、開発、およびWebプロジェクトのテストとデバッグのニーズに役立ちます。

Debian 7でのLXCのインストール、設定

前述のように、LXCはCgroupを使用します。コンテナの操作を開始するには、cgroupファイルシステムをマウントする必要があります。 デフォルトのマウントポイントは/ sys / fs / cgroupですが、任意のポイントにマウントできます。
fstabを修正し、cgroupを追加します。

vi /etc/fstab 

 ... cgroup /sys/fs/cgroup cgroup defaults 0 0 ... 

そして、cgroup仮想ファイルシステムをマウントします。

 mount /sys/fs/cgroup 

コンテナの管理には、lxcユーティリティのコンテナセットが使用されます。
lxcパッケージをインストールすると、システム自体の残りの部分がプルします：

 apt-get install lxc 

コンテナが保存されるフォルダ、デフォルトでは：/ var / lib / lxc
ユーティリティをインストールした後、システムがコンテナでの作業を開始する準備が完全に整っていることを確認する必要があります。

 lxc-checkconfig 

 root@lxc-debian:~# lxc-checkconfig Kernel config /proc/config.gz not found, looking in other places... Found kernel config file /boot/config-3.2.0-4-amd64 --- Namespaces --- Namespaces: enabled Utsname namespace: enabled Ipc namespace: enabled Pid namespace: enabled User namespace: enabled Network namespace: enabled Multiple /dev/pts instances: enabled --- Control groups --- Cgroup: enabled Cgroup clone_children flag: enabled Cgroup device: enabled Cgroup sched: enabled Cgroup cpu account: enabled Cgroup memory controller: enabled Cgroup cpuset: enabled --- Misc --- Veth pair device: enabled Macvlan: enabled Vlan: enabled File capabilities: enabled Note : Before booting a new kernel, you can check its configuration usage : CONFIG=/path/to/config /usr/bin/lxc-checkconfig 

すべてが正常である場合、最初のコンテナを作成しようとすることができます。

コンテナ管理

 lxc-create -n test -t debian 

ここで、「-n test」はコンテナの名前、「-t debian」は作成されるコンテナのOSテンプレートです。

lxcテンプレート自体は、ルートファイルシステムのフォルダー、構成ファイルの最小限のセットを作成し、リポジトリから新しいパッケージをプルするbashスクリプトです。 この場合、テンプレート作成スクリプトを最初に起動した後、必要なパッケージがディスクにキャッシュされます。 もちろん、スクリプトは簡単にカスタマイズできます。 たとえば、必要なパッケージセットのインストールを追加します。 私の謙虚な意見では、このテンプレートへのアプローチは、同じOpenVZよりも少し便利です。
Debianでは、Archlinux、Altlinux、Fedora、Opensuse、Ubuntu-Cloudテンプレートを見つけることができます。 利用可能なテンプレートのセットが十分でない場合は、自分で不足しているテンプレートを作成してみてください。
デフォルトでは、ウィザードがDebianで起動され、いくつかの手順に従ってコンテナを作成できます。 そして、すべてがうまくいくでしょう、しかし、Wheezyテンプレートは「 壊れています 」、そして、私は本当にSqeezeを使いたくありません。 したがって、独自のテンプレートを作成するか、インターネットでワーカーを探す必要があります。

たとえば、CentOS 6用の新しいテンプレートをダウンロードします。

 cd /usr/share/lxc/templates 

 wget https://gist.github.com/hagix9/3514296/raw/7f6bb4e291fad1dad59a49a5c02f78642bb99a45/lxc-centos 

 chmod +x lxc-centos 

CentOSの場合は、yumパッケージマネージャーが必要です。

 apt-get install yum 

CentOSテンプレートを使用して新しいコンテナを作成します。

 lxc-create -n test -t centos 

最初のコンテナを作成すると、完全にクリーンなシステムが得られます。実際には、テキストエディタすらありません。
コンテナコンソールにアクセスする方法は2つあります。
コンテナを起動すると、自動的にコンソールにアクセスします。ここで、ログインする必要があります。デフォルトのルート：Debianのルートパスワード。

 lxc-start -n test 

別のテンプレートを使用する場合、パスワードはテンプレートファイルにあります。
2番目のオプションは、既に実行中のコンテナーに接続します：

 lxc-console -n test 

コンテナに初めて接続すると、次の表記が表示されます。

 Type <Ctrl+a q> to exit the console, <Ctrl+a Ctrl+a> to enter Ctrl+a itself 

-動作しない、または常に動作するとは限りません。 たぶん、彼らはより最近のリリースでそれをすでに修正しているかもしれません。
したがって、screenを使用するか、-dスイッチを使用してコンテナを起動し、ssh経由でアクセスする必要があります（ネットワークが既に構成されている場合）。
一般的に、コンテナはホストマシンのネットワークスタックを使用します。 テストについては非常に良いですが、Webプロジェクトについてはそうではないので、次にコンテナ内で分離されたネットワークスタックを取得する方法を見ていきます。

コンテナの削除は、lxc-destroyユーティリティによって実行されます。

 lxc-destroy -n test 

ネットワーク設定
2つのオプションを考えてみましょう。
-サーバーと多数の「白い」IPアドレスがあります。 各コンテナは独自のアドレスを持ち、インターネットと自由に通信できます。
-サーバーと複数の、または1つの「ホワイト」IPアドレスさえあります。 この場合、ほとんどのコンテナはNATで機能します。
どちらの場合も、ネットワークブリッジ、DHCPサーバー、およびiptablesが必要です。

 apt-get install bridge-utils isc-dhcp-server 

コンテナネットワークをセットアップする前に、ホストマシンで2つのネットワークブリッジを構成します。 1つは「ホワイト」アドレス用で、もう1つはプライベートな「グレー」アドレス用です。
ネットワークアダプター設定ファイルは次のようになります。

 vi /etc/network/interfaces 

 #    auto br0 iface br0 inet static bridge_ports eth0 bridge_fd 0 address 192.168.0.100 netmask 255.255.255.0 gateway 192.168.0.1 dns-nameservers 192.168.0.1 8.8.8.8 #    auto lxcbr0 iface lxcbr0 inet static bridge_ports none bridge_fd 0 address 10.0.0.1 netmask 255.255.255.0 

最初のオプション
ネットワークアダプターをコンテナー構成に登録します。
デフォルトでは、containers / var / lib / lxcを含むフォルダーで、コンテナー（テスト）の名前のフォルダーを探し、設定ファイルがその中にあり、編集します。
ネットワーク設定のブロックをファイルの最後に追加します。

 vi /var/lib/lxc/test/config 

 ... # networking lxc.utsname = centos #   ( ) lxc.network.type = veth #  -   lxc.network.flags = up #    ( ) lxc.network.link = br0 #      lxc.network.name = eth0 #       lxc.network.veth.pair = veth0 # IP-  lxc.network.ipv4 = 192.168.0.101/24 #    lxc.network.ipv4.gateway = 192.168.0.1 #  (mac)    lxc.network.hwaddr = 00:1E:2D:F7:E3:4F 

これで、コンテナを起動して、ssh経由で接続を試行できます。

 lxc-start -n test -d && ssh root@192.168.0.101 

2番目のオプション
2番目のオプションは、異なるネットワークブリッジを使用し、コンテナがNATを介してのみインターネットにアクセスできるという点で、最初のオプションと異なります。
CentOSコンテナの設定を修正しましょう：

 vi /var/lib/lxc/test/config 

 ... # networking lxc.utsname = centos lxc.network.type = veth lxc.network.flags = up lxc.network.link = lxcbr0 lxc.network.name = eth0 lxc.network.veth.pair = veth1 lxc.network.ipv4 = 10.0.0.10/24 lxc.network.ipv4.gateway = 10.0.0.1 lxc.network.hwaddr = 00:1E:2D:F7:E3:4E 

コンテナーがアドレスを自動的に受信できるように、dhcpサーバーを構成します。

 vi /etc/dhcp/dhcpd.conf 

 ... #   authoritative; … #     subnet 10.0.0.0 netmask 255.255.255.0 { range 10.0.0.10 10.0.0.50; option domain-name-servers 192.168.0.1, 8.8.8.8; option domain-name "somehost.com"; option routers 10.0.0.1; default-lease-time 600; max-lease-time 7200; } 

DHCPが機能するネットワークインターフェイスを示すことも必要です。

 vi /etc/default/isc-dhcp-server 

 ... INTERFACES="lxcbr0" ... 

ホストマシンでパケット転送を有効にする必要があります。

 /etc/sysctl.conf 

 ... net.ipv4.ip_forward=1 ... 

 sysctl -p 

コンテナからのインターネットアクセス、およびインターネットからのコンテナへのアクセスを提供するには、次のiptablesルールを使用してファイアウォールを構成する必要があります。

 vi /etc/network/iptables.up.rules 

 *nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] #       NAT -A POSTROUTING -s 10.0.0.0/24 -o lxbr0 -j MASQUERADE #    ,   SNAT # -A POSTROUTING -s 10.0.0.10/32 -j SNAT --to-source 192.168.0.100 #  SSH   -A PREROUTING -p tcp -m tcp -d 192.168.0.100 --dport 5678 -j DNAT --to-destination 10.0.0.10:22 COMMIT *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT *filter :FORWARD ACCEPT [0:0] :INPUT DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 5678 -j ACCEPT COMMIT 

ルールを適用します。

 iptables-restore < /etc/network/iptables.up.rules 

また、サーバーの起動時にルールを自動的にロードします。

 echo “post-up iptables-restore < /etc/network/iptables.up.rules” >> /etc/network/interfaces 

コンテナを起動して、インターネット接続を確認します。

 lxc-start -n centos -d 

バックアップ、クローン、復元
コンテナをバックアップするには、lxc-backupユーティリティを使用します。 vzdumpと比較する価値はありません。 ユーティリティは、rsyncを使用してコンテナファイルをコピーします。 実際、コンテナファイルを隣接するフォルダに単にコピーするだけです。 実際的な利点は疑わしい。 同じ成功で、スクリプトを使用して、同じrsyncでファイルを適切な場所にバックアップできます。
コンテナのクローン作成はlxc-cloneユーティリティを使用して実行されます。バックアップからのリカバリにはlxc-restoreがあります。 これらのユーティリティは豊富な機能を誇ることはできませんが、最低限必要なものがあります。

結果は何ですか？
この技術は39のリリースと1989のコミット（2013年11月14日現在）で大きな進歩を遂げており、現在、何らかの完全な外観に適しています。 現在の形式の共有ホスティングでLXCを使用するのは時期尚早かもしれませんが、この技術はプライベートプロジェクトに非常に適しています。

コンテナを扱うためのユーティリティは、おそらくまだ改善する必要があり、そのような作業は積極的に行われています。 同時に、現時点では、それらの機能はLinuxコンテナーの実装と管理に関する本格的な作業に十分です。

最後にいくつかの数字
テストは別の投稿のトピックなので、詳細は説明しません。テストは同じマシンで実行されたとしか言いようがありません。 すべてが急いで行われましたが、ここで何が起こったのですか：



有用な記事：
Debian Wiki LXC
LXCコンテナーを30分でセットアップする
UbuntuサーバーガイドLXC
LXC：Linuxコンテナユーティリティ
セキュアLinuxコンテナーガイド