{"id":282,"date":"2014-09-10T05:57:19","date_gmt":"2014-09-10T03:57:19","guid":{"rendered":"http:\/\/grenzdebiel.no-ip.biz\/wordpress\/?p=282"},"modified":"2015-07-24T16:53:38","modified_gmt":"2015-07-24T14:53:38","slug":"lxc-chroot-auf-steroide","status":"publish","type":"post","link":"https:\/\/blog.grenzdebiel.dynv6.net\/?p=282","title":{"rendered":"LXC – chroot auf Steroide"},"content":{"rendered":"

LXC<\/strong> – L<\/strong>inuX<\/strong> C<\/strong>ontainer ist eine Virtualisierung welche auf Betriebssystemebene wie z.b. Linux-VServer arbeitet. Es kann auch mit BSD-Jails verglichen werden.<\/p>\n

Mit LXC ist es m\u00f6glich verschiedene Container isoliert voneinander auf dem gleichen System laufen zu lassen. Dabei muss nicht ein komplettes root-Dateisystem vorhandensein mit LXC ist es auch m\u00f6glich einzelne Applikationen isoliert zu starten.<\/p>\n

Es wird nicht wie z.b. bei KVM oder VMWare eine Virtuelle Maschine erzeugt sondern ein root-Dateisystem mit dem gleichen Kernel des Host als „Container“ gestartet.<\/p>\n

Mit den „Namespaces“ und „Control groups“ ergibt sich eine flexible m\u00f6glichkeit Resourcenschonend mehrere Virtuelle Instanzen zu erstellen, diese isoliert voneinander zu betreiben und die Resourcen des Host f\u00fcr die Virtuellen Instanzen zu kontrollieren .<\/p>\n

Ich nutze die m\u00f6glichkeit verschiedene Instanzen um Programme auf meinem „Cubietruck“ zu testen. Auf ein ARM-SoC KVM oder Qemu laufen zu lassen w\u00e4re die denkbar schlechteste Idee.<\/p>\n

Legen wir los, als erstes installieren lxc und ein paar tools die uns das leben vereinfachen.<\/p>\n

apt-get install lxc lxctl bridge-utils libvirt-bin debootstrap dnsmasq-base ebtables gawk libxml2-utils netcat-openbsd<\/pre>\n
Um „Control groups“ nutzen zu k\u00f6nnen m\u00fcsst Ihr dies „mounten“. Tragt folgendes in eure \/etc\/fstab ein:<\/p>\n
\/etc\/fstab:<\/p>\n
# cgroup for lxc \/ docker\r\ncgroup \/sys\/fs\/cgroup cgroup defaults 0 0<\/pre>\n
Und mountet es mit „mount \/sys\/fs\/cgroup<\/strong>„.<\/p>\n
libvirt wurde aus zwei Gr\u00fcnden installiert, erstens es kann u.a. lxc steuern(und kvm, xen, qemu …) und es wird die virtuelle Netzwerkbr\u00fccke samt dhcp-Server installiert und konfiguriert.<\/p>\n
Im folgenden wird die Virtuelle Netzwerkbr\u00fccke „virbr0“ erzeugt und konfiguriert:<\/p>\n
root@test:~# virsh net-edit default<\/pre>\n
Euer Editor der Wahl \u00f6ffnet die default.xml in der Ihr das IP-Netzwerk, die IP-Adresse eures dhcp-Server und die „range“ aus welchen Bereich die Adressen vergeben werden sollen konfiguriert.
\nAnschliessend startet ihr die Netzwerkbr\u00fccke mit:<\/p>\n
root@test:~# virsh net-start default<\/pre>\n
Mit „ifconfig“ k\u00f6nnt ihr euch vergewissern das diese gestartet wurde.<\/p>\n
Jetzt pr\u00fcfen wir mit „lxc-checkconfig<\/strong>“ ob die vorraussetzungen f\u00fcr lxc vorhanden sind bzw. welche m\u00f6glichkeiten der Steuerung vorhanden sind:<\/p>\n
root@test:~# lxc-checkconfig\r\n--- Namespaces ---\r\nNamespaces: enabled\r\nUtsname namespace: enabled\r\nIpc namespace: enabled\r\nPid namespace: enabled\r\nUser namespace: enabled\r\nNetwork namespace: enabled\r\nMultiple \/dev\/pts instances: enabled\r\n\r\n--- Control groups ---\r\nCgroup: enabled\r\nCgroup clone_children flag: enabled\r\nCgroup device: enabled\r\nCgroup sched: enabled\r\nCgroup cpu account: enabled\r\nCgroup memory controller: enabled\r\nCgroup cpuset: enabled\r\n\r\n--- Misc ---\r\nVeth pair device: enabled\r\nMacvlan: enabled\r\nVlan: enabled\r\nFile capabilities: enabled\r\n\r\nNote : Before booting a new kernel, you can check its configuration\r\nusage : CONFIG=\/path\/to\/config \/usr\/bin\/lxc-checkconfig<\/pre>\n
Im Idealfall sieht eure Ausgabe \u00e4hnlich aus. Sollte bei „Control groups“ ein „missing“ erscheinen ist dies nicht unbedingt ein Fehlschlag – es fehlt dann nur z.b. eine m\u00f6glichkeit eine Instanz einzuschr\u00e4nken.<\/p>\n
Instanz bzw. root-Dateisystem erzeugen:<\/p>\n
root@test:~# lxc-create -n test1 -t debian<\/pre>\n
Es wird mithilfe von „debootstrap“ das root-Daateisystem heruntergeladen und vorkonfiguriert. Mit den Schaltern „-n“ legen wir fest wie die Instanz benannt werden soll mit „-t“ welches template genutzt werden soll. Wir\/Ich habe\/n uns f\u00fcr Debian entschieden eine Ubuntu, Redhat usw. w\u00e4re auch m\u00f6glich und mithilfe von debootstrap erzeugt und eingerichtet.<\/p>\n
Bevor Ihr die Instanz startet konfiguriert ein paar Parameter:<\/p>\n
root@test:~# vim \/var\/lib\/lxc\/<name der Instanz>\/config<\/pre>\n
Und f\u00fcgt folgendes hinzu:<\/p>\n
lxc.utsname = <containername>\r\n# network\r\nlxc.network.type = veth \r\nlxc.network.flags = up \r\nlxc.network.link = virbr0 \r\nlxc.network.ipv4 = \/\r\nlxc.network.hwaddr = 00:1E:62:CH:GE:ME<\/pre>\n
Bitte beachtet das Ihr den korrekten Hostname, die korrekte IP-Adresse und eine „vern\u00fcnftige“ MAC-Adresse angebet (CH:GE:ME wechseln zu z.b. 00:00:01).<\/p>\n
Jetzt k\u00f6nnt Ihr eure Instanz starten:<\/p>\n
root@test:~# lxc-start -n test1<\/pre>\n
Wenn Ihr Debian als Template gew\u00e4hlt habt ist das Passwort f\u00fcr root: „root“.
\nAus der Konsole kommt Ihr mit <STRG>+a und anschlessenden „q“.<\/p>\n
PS<\/strong>: solltet ihr z.b. Putty benutzen funktioniert <STRG>+a und q nicht. Stellt dann euren „Terminal-type-string“ unter Connection -> Data auf „linux“.<\/p>\n
\n
Links:
\n [1] – https:\/\/de.wikipedia.org\/wiki\/LXC<\/a>
\n[2] – https:\/\/help.ubuntu.com\/12.04\/serverguide\/lxc.html<\/a>
\n[3] – http:\/\/lxc.sourceforge.net\/man\/lxc.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
LXC – LinuX Container ist eine Virtualisierung welche auf Betriebssystemebene wie z.b. Linux-VServer arbeitet. Es kann auch mit BSD-Jails verglichen werden. Mit LXC ist es m\u00f6glich verschiedene Container isoliert voneinander auf dem gleichen System laufen zu lassen. Dabei muss nicht ein komplettes root-Dateisystem vorhandensein mit LXC ist es auch m\u00f6glich einzelne Applikationen isoliert zu starten.<\/p>\n","protected":false},"author":3,"featured_media":383,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[43,27,12],"tags":[75,31,74,76],"class_list":["post-282","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cubietruck","category-linux","category-software-pi","tag-cgroup","tag-chroot","tag-lxc","tag-namespace"],"_links":{"self":[{"href":"https:\/\/blog.grenzdebiel.dynv6.net\/index.php?rest_route=\/wp\/v2\/posts\/282","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.grenzdebiel.dynv6.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.grenzdebiel.dynv6.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.grenzdebiel.dynv6.net\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.grenzdebiel.dynv6.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=282"}],"version-history":[{"count":1,"href":"https:\/\/blog.grenzdebiel.dynv6.net\/index.php?rest_route=\/wp\/v2\/posts\/282\/revisions"}],"predecessor-version":[{"id":301,"href":"https:\/\/blog.grenzdebiel.dynv6.net\/index.php?rest_route=\/wp\/v2\/posts\/282\/revisions\/301"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.grenzdebiel.dynv6.net\/index.php?rest_route=\/wp\/v2\/media\/383"}],"wp:attachment":[{"href":"https:\/\/blog.grenzdebiel.dynv6.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=282"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.grenzdebiel.dynv6.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=282"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.grenzdebiel.dynv6.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=282"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}