Provided by: lxc_1.0.10-0ubuntu1.1_amd64
NAME
lxc.container.conf - LXC コンテナ設定ファイル
説明
linux コンテナ (lxc) は、常に使用する前に作成されます。 コンテナは、プロセスがコンテナを使 う時に仮想化/隔離するシステムリソースのセットを定義することによって作成します。 デフォルト では、pid, sysv ipc, マウントポイントが仮想化され、隔離されます。 他のシステムリソース は、設定ファイルで明確に定義されない限りは、コンテナをまたいで共有されます。 例えば、もし ネットワークが設定されていなければ、コンテナを作成する側とコンテナでネットワークを共有しま す。 しかし、ネットワークが指定されれば、新しいネットワークスタックがコンテナ用に作成さ れ、コンテナは作成元の環境のネットワークを使いません。 設定ファイルは、コンテナに割り当てられる様々なシステムリソースを定義します。 現時点で は、utsname、ネットワーク、マウントポイント、root ファイルシステム、ユーザ名前空 間、control groups がサポートされます。 設定ファイルのオプション一つを、key = value の形で一行で表します。 '#' は、その行はコメン トであることを示します。 ケーパビリティや cgroup のオプションのような、リスト形式で指定す るオプションでは、value がない形式で指定できます。このように使うと、それ以前に定義した値を すべてクリアします。 設定 複数の関係するコンテナの管理を容易にするために、コンテナの設定ファイルに別のファイルをロー ドすることが可能です。 例えば、ネットワークの設定を、複数のコンテナから include させるよう に 1 つのファイルに定義することが可能です。 その場合、コンテナが他のホストに移動すると、そ のファイルだけを更新する必要があるかもしれません。 lxc.include include させたいファイルを指定します。 include するファイルは、lxc 設定ファイルの フォーマットとして有効でなければいけません。 アーキテクチャ コンテナに対してアーキテクチャを設定することが可能です。 例えば、64 ビットのホスト上で 32 ビットのバイナリを動かすために 32 ビットアーキテクチャを設定することが可能です。 この設定 を行うことにより、パッケージのダウンロードを行うなどの作業のうち、アーキテクチャ名に依存す るような作業を行うコンテナスクリプトの修正を行います。 lxc.arch コンテナに設定するアーキテクチャを指定します。 有効なオプションは以下です。 x86, i686, x86_64, amd64 ホスト名 utsname セクションは、コンテナに設定されるホスト名を定義します。 コンテナは、システムのホ スト名を変えることなく、自身のホスト名を持つ事が可能です。 このことにより、ホスト名はコン テナ専用となります。 lxc.utsname コンテナのホスト名を指定します。 クリーンなシャットダウン時のシグナル lxc-stop がコンテナをクリーンにシャットダウンするためにコンテナの init プロセスに送るシグ ナル名か番号を指定することができます。 init システムによって、クリーンなシャットダウンを行 うために使うシグナルは異なります。 このオプションではシグナルとして kill(1) で使う形式を指 定することができます。 例えば SIGKILL, SIGRTMIN+14, SIGRTMAX-10 のような形式、もしくは数字 を指定します。デフォルトのシグナルは SIGPWR です。 lxc.haltsignal コンテナをシャットダウンするのに使うシグナルを指定します 強制停止時のシグナル lxc-stop がコンテナを強制的にシャットダウンするために送るシグナル名か番号を指定することが できます。 このオプションではシグナルとして kill(1) で使う形式を指定することができます。 例えば SIGKILL, SIGRTMIN+14, SIGRTMAX-10 のような形式、もしくは数字を指定します。デフォル トのシグナルは SIGKILL です。 lxc.stopsignal コンテナを停止するのに使用するシグナルを指定します。 ネットワーク ネットワークセクションは、コンテナ内でどのようにネットワークを仮想化するかを定義します。 ネットワークの仮想化はレイヤー 2 で作動します。 ネットワークの仮想化を使用するためには、コ ンテナのネットワークインターフェースを定義しなければなりません。 いくつかの仮想インター フェースをアサインすることができます。 そして、仮に物理ネットワークインターフェースが一つ しかなくても、コンテナ内でいくつもの仮想インターフェースを使うことができます。 lxc.network 値を指定せずに使い、それ以前に定義されたすべてのネットワークオプションをクリアでき ます。 lxc.network.type コンテナがどの種類のネットワーク仮想化を使うかを指定します。 一つのネットワークの設 定ごとに lxc.network.type フィールドを指定します。 このように、一つのコンテナに複数 のネットワークインターフェースを割り当てることができるだけでなく、同じコンテナに対 して複数のネットワーク仮想化の種類を指定することが出来ます。 仮想化の種類は以下の値 を取る事が出来ます: none: ホストのネットワーク名前空間を共有します。 これにより、ホストのネットワークデ バイスをコンテナ内で使うことが可能になります。 もしコンテナもホストも init として upstart を使っている場合、(例えば) コンテナ内で 'halt' を実行すると、ホストがシャッ トダウンしてしまうことにもなります。 empty: ループバックインターフェースだけを作成します。 veth: 一方がコンテナに、もう一方が lxc.network.link オプションで指定されたブリッジ に接続されるペアの仮想イーサネットデバイスを作成します。 もし、ブリッジが指定されて いない場合、veth ペアデバイスは作成されますが、ブリッジには接続されません。 ブリッ ジはコンテナが開始する前にシステムで事前に設定しておく必要があります。 lxc はコンテ ナ外の設定を扱うことはありません。 デフォルトでは、lxc がコンテナの外部に属するネッ トワークデバイスに対する名前を決定します。 しかし、もしこの名前を自分で指定したい場 合、lxc.network.veth.pair オプションを使って名前を設定し、lxc に対して指定をするこ とができます (非特権コンテナの場合をのぞきます。セキュリティ上の理由からこのオプ ションは無視されます)。 vlan: vlan インターフェースは lxc.network.link で指定されたインターフェースとリンク し、コンテナに割り当てられます。 vlan の指定は lxc.network.vlan.id オプションで指定 します。 macvlan: macvlan インターフェースは lxc.network.link により指定されるインターフェー スとリンクし、コンテナに割り当てられます。 lxc.network.macvlan.mode でモードを指定 すると、その macvlan の指定を、同じ上位デバイスで異なる macvlan の間の通信をする時 に使います。 受け入れられたモードが private であれば、デバイスは同じ上位デバイスの 他のデバイスとの通信を行いません (デフォルト)。 新しい仮想イーサネットポート集約 モード (Virtual Ethernet Port Aggregator (VEPA)) である vepa は、隣接したポート が、ソースとデスティネーションの両方が macvlan ポートに対してローカルであるフレーム を全て返すと仮定します。 すなわち、ブリッジが reflective relay として設定されている ということです。 上位デバイスから入ってくるブロードキャストフレームは、VEPA モード である全ての macvlan インターフェースに送りつけられます。 ローカルのフレームはロー カルには配送されません。 bridge の指定は、同じポートの異なる macvlan インターフェー スの間のシンプルなブリッジとして動作します。 あるインターフェースから他のインター フェースへのフレームは、直接配送され、外部には送出されません。 ブロードキャストフ レームは、全ての他のブリッジと外部のインターフェースに対して送られます。 しか し、reflective relay からフレームが返ってきたときは、再度それを配送することはしませ ん。 全ての MAC アドレスを知っているので、ブリッジモジュールのように、macvlan ブ リッジモードは学習や STP の必要はありません。 phys: lxc.network.link で指定された、すでに存在しているインターフェースがコンテナに 割り当てられます。 lxc.network.flags ネットワークに対して行うアクションを指定します。 up: インターフェースを起動させます。 lxc.network.link 実際のネットワークトラフィックに使うインターフェースを指定します。 lxc.network.mtu インターフェースに対する MTU を指定します。 lxc.network.name インターフェース名は動的に割り当てられます。 しかし、もしコンテナが使用する設定ファ イルが一般的な名前を使用するために、他の特定の名前が必要であれば (例えば eth0 な ど)、コンテナ内のインターフェースは、このオプションで指定した名前にリネームされま す。 lxc.network.hwaddr 仮想インターフェースの MAC アドレスは、デフォルトでは動的に割り当てられます。 しか し、MAC アドレスの衝突や、リンクローカルIPv6 アドレスを常に同じにした場合などは、こ のオプションが必要です。 アドレス中の "x" という文字は、ランダムな値に置き換えられ ます。 これによりテンプレートに hwaddr を設定することが可能になります。 lxc.network.ipv4 仮想インターフェースに割り当てる ipv4 アドレスを指定します。 複数行により複数の ipv4 アドレスを指定します。 このアドレスは x.y.z.t/m というフォーマットで指定しま す。 例えば、192.168.1.123/24。ブロードキャストアドレスも同じ行の ipv4 アドレスのす ぐ後で指定しなくてはなりません。 lxc.network.ipv4.gateway コンテナでゲートウェイとして使う IPv4 アドレスを指定します。 アドレスは x.y.z.t と いうフォーマットです。 例えば、192.168.1.123。 auto という特別な値を記述する事も可 能です。 これは (lxc.network.link で指定した) ブリッジインターフェースの最初のアド レスを使用し、それをゲートウェイに使うという意味になります。 auto はネットワークタ イプとして veth と macvlan を指定している時だけ有効となります。 lxc.network.ipv6 仮想インターフェースに割り当てる ipv6 アドレスを指定します。 複数行により複数の ipv6 アドレスを指定します。 このアドレスは x::y/m というフォーマットで指定します。 例えば、2003:db8:1:0:214:1234:fe0b:3596/64。 lxc.network.ipv6.gateway コンテナでゲートウェイとして使う IPv6 アドレスを指定します。 アドレスは x::y という フォーマットです。例えば、2003:db8:1:0::1。 auto という特別な値を記述する事も可能で す。 これは (lxc.network.link で指定した) ブリッジインターフェースの最初のアドレス を使用し、それをゲートウェイに使うという意味になります。 auto はネットワークタイプ として veth と macvlan を指定している時だけ有効となります。 lxc.network.script.up ホスト側から使われる、ネットワークの作成と設定が済んだ後に実行するスクリプトを指定 します。 以下の引数がスクリプトに渡されます: コンテナ名、設定セクション名(net)。 そ の後の引数はスクリプトのフックで使われる設定セクションに依存します。 以下がネット ワークシステムによって使われます: 実行コンテキスト (up)、ネットワークのタイプ (empty/veth/macvlan/phys) ネットワークのタイプによっては、更に別の引数が渡されるか もしれません: veth/macvlan/phys の場合 (ホスト側の) デバイス名 スクリプトからの標準出力は debug レベルでロギングされます。 標準エラー出力はロギン グされません。 しかし、フックの標準エラー出力を標準出力にリダイレクトすることにより 保存することは可能です。 lxc.network.script.down ホスト側から使われる、ネットワークを破壊する前に実行するスクリプトを指定します。 以 下の引数がスクリプトに渡されます: コンテナ名、設定セクション名(net)。 その後の引数 はスクリプトのフックで使われる設定セクションに依存します。 以下がネットワークシステ ムによって使われます: 実行コンテキスト (up)、ネットワークのタイプ (empty/veth/macvlan/phys)。 ネットワークのタイプによっては、更に別の引数が渡される かもしれません: veth/macvlan/phys。そして最後に (ホスト側の) デバイス名が渡されま す。 スクリプトからの標準出力は debug レベルでロギングされます。 標準エラー出力はロギン グされません。 しかし、フックの標準エラー出力を標準出力にリダイレクトすることにより 保存することは可能です。 新しい擬似端末のインスタンス (DEVPTS) さらに厳しい隔離のために、コンテナは自身のプライベートな pseudo tty (擬似端末) を持つこと が可能です。 lxc.pts もし設定された場合、コンテナは新しい pseudo tty インスタンスを持ち、それを自身のプ ライベートとします。 この値は pts インスタンスに許可される pseudo tty の最大数を指 定します (この制限はまだ実装されていません)。 コンテナのシステムコンソール コンテナでルートファイルシステムを持つように設定されており、inittab ファイルでコンソールの 使用が設定されている場合、このコンソールの出力がどこになされるのかを指定したいと思うでしょ う。 lxc.console.logfile コンソール出力を書き込むファイルのパスを指定します。 lxc.console コンソールを割り当てるデバイスのパスを指定します。'none' というキーワードは、単純に コンソールを無効にします。 この設定は、アプリケーションが書き込む事ができるコンソー ルデバイスファイルが rootfs に存在する場合、メッセージがホスト側に出力されるので危 険です。 TTY を通したコンソール このオプションはコンテナが root ファイルシステムを持つように設定されており、inittab ファイ ルで tty 上に getty の起動が設定されている場合に役に立ちます。 このオプションはコンテナで 利用できる tty の数を指定します。 inittab ファイルに設定する getty の数は、このオプション の指定する tty の数より大きくしてはいけません。 さもなければ、超過した分の getty セッショ ンはコンソールか /var/log/messages にうっとうしいメッセージを生死を表示しながら、永久に生 死を繰り返すでしょう。 lxc.tty コンテナに作成出来る tty の数を指定します。 コンソールデバイスの位置 LXC のコンソールはホストによって作られ、コンテナ内で要求されたデバイスに bind マウントされ た Unix98 PTY 経由で提供されます。 デフォルトでは /dev/console と /dev/ttyN に bind マウン トされます。 これはゲスト内でのパッケージのアップグレードを妨げる可能性があります。 なので /dev 以下のディレクトリを指定することができます。 LXC はこのディレクトリ以下にファイルを作 成し、これらのファイルを bind マウントします。 そして、これらの (作成された) ファイルは /dev/console と /dev/ttyN にシンボリックリンクされます。 シンボリックリンクを消去したり置 き換えたりすることは可能ですから、パッケージのアップグレードは成功します。 lxc.devttydir コンテナのコンソールデバイスを作成するための /dev 以下のディレクトリを指定します。 /DEV ディレクトリ デフォルトでは、lxc はコンテナの /dev 以下に fd, stdin, stdout, stderr のシンボリックリン クを作成しますが、自動的にはデバイスノードのエントリは作成しません。 これは、コンテナの rootfs で必要な設定を行えるようにするものです。 lxc.autodev が 1 に設定されている場合、コ ンテナの rootfs をマウントした後、LXC は新しい tmpfs を /dev 以下にマウントします (500k 制 限の)。 そして初期デバイスの最小限のセットを作成します。 これは、"systemd" ベースの "init" 環境のコンテナを起動する時に通常必要ですが、他の環境の場合はオプショナルなものです。 コン テナの /dev ディレクトリ内の追加デバイスは lxc.hook.autodev フックを使用して作成されます。 lxc.autodev コンテナの起動時に LXC が /dev をマウントして、最小限の /dev を作成しているようにす るには、これを 1 に設定してください。 KMSG のシンボリックリンクの有効化 /dev/kmsg の /dev/console へのシンボリックリンクとしての作成を有効にします。デフォルトは 1 です。 lxc.kmsg /dev/kmsg のシンボリックリンクを無効にするには 0 を設定してください。 マウントポイント マウントポイントセクションは、マウントするための区別された場所を指定します。 これらのマウ ントポイントは、コンテナだけに見え、コンテナ外で実行されるプロセスから見えることはありませ ん。 例えば、/etc や /var や /home をマウントするときに役に立つでしょう。 注意: 通常 LXC は、マウント対象と相対パス指定のバインドマウントを、適切にコンテナルート以 下に閉じ込めます。 これは、ホストのディレクトリやファイルに対して重ね合わせを行うようなマ ウントによる攻撃を防ぎます。(絶対パス指定のマウントソース中の各パスがシンボリックリンクで ある場合は無視されます。) しかし、もしコンテナの設定が最初に、/home/joe のようなコンテナ ユーザのコントロール配下にあるディレクトリを、コンテナ中のある path にマウントし、その後 path 以下でマウントが行われるような場合、コンテナユーザがタイミングを見計らって自身のホー ムディレクトリ以下でシンボリックリンクを操作するような TOCTTOU 攻撃が成立する可能性があり ます。 lxc.mount マウント情報の書かれた fstab フォーマットで書かれたファイルの場所を指定します。 マ ウントする場所は相対バスで書くことができます。そして、ほとんどの場合にコンテナの root からの相対パスとなるはずです。例えば、以下のように書きます。 proc proc proc nodev,noexec,nosuid 0 0 .fi この例は、root ファイルシステムがどこにあっても、コンテナの /proc 以下に proc ファイルシステムをマウントします。 これは、ブロックデバイスがバックエンドのファイルシステムだけでなく、コンテナのクローンにも柔軟に対応できます。 ファイルシステムがイメージファイルやブロックデバイスからマウントされている場合、3 つ目のフィールド (fs_vfstype) は mount(8) のように auto を指定することはできず、明確に指定しなければいけません。 lxc.mount.entry fstab フォーマットの一行と同じフォーマットのマウントポイントの指定をします。 fstab フォーマットに加えて、LXC ではマウントに対して独自の 2 つのオプションが使えます。 optional は、マウントが失敗しても失敗を返さずに無視します。 create=dir と create=file は、マウントポイントをマウントする際にディレクトリもしくはファイルを作成します。 lxc.mount.auto 標準のカーネルファイルシステムで自動的にマウントするものを指定します。 これは劇的に設定を容易にする可能性があります。 • proc:mixed (or proc): /proc を読み書き可能でマウントします。 ただし、/proc/sys と /proc/sysrq-trigger は、セキュリティとコンテナの隔離の目的でリードオンリーで再マウントされます。 • proc:rw: /proc を読み書き可能でマウントします。 • sys:ro (or sys): /sys を、セキュリティとコンテナの隔離の目的でリードオンリーでマウントします。 • sys:rw: /sys を読み書き可能でマウントします。 • cgroup:mixed: /sys/fs/cgroup を tmpfs でマウントし、そのコンテナの追加が行われた全ての階層構造に対するディレクトリを作製し、その cgroup の名前でその中にサブディレクトリを作製し、そのコンテナ自身の cgroup をそのディレクトリにバインドマウントします。 コンテナは自身の cgroup ディレクトリに書き込みが可能ですが、親ディレクトリはリードオンリーで再マウントされているため書き込めません。 • cgroup:ro: cgroup:mixed と同様にマウントされますが、全てリードオンリーでマウントされます。 • cgroup:rw: cgroup:mixed と同様にマウントされますが、全て読み書き可能でマウントされます。 コンテナ自身の cgroup に至るまでのパスも書き込み可能になることに注意が必要ですが、cgroup ファイルシステムにはならず、 /sys/fs/cgroup の tmpfs の一部分になるでしょう。 • cgroup (マウントオプションなしの場合): コンテナが CAP_SYS_ADMIN ケーパビリティを保持している場合、cgroup:rw となります。保持していない場合、cgroup:mixed となります。 • cgroup-full:mixed: /sys/fs/cgroup を tmpfs でマウントし、そのコンテナの追加が行われた全ての階層構造に対するディレクトリを作製し、ホストからコンテナまでの階層構造を全てバインドマウントし、コンテナ自身の cgroup を除いてリードオンリーにします。 cgroup と比べると、コンテナ自身の cgroup に至るまでの全てのパスが tmpfs の下層のシンプルなディレクトリとなり、コンテナ自身の cgroup の外ではリードオンリーになりますが、/sys/fs/cgroup/$hierarchy はホストの全ての cgroup 階層構造を含みます。 これにより、コンテナにはかなりの情報が漏洩します。 • cgroup-full:ro: cgroup-full:mixed と同様にマウントされますが、全てリードオンリーでマウントされます。 • cgroup-full:rw: cgroup-full:mixedと同様にマウントされますが、全て読み書き可能でマウントされます。 この場合、コンテナは自身の cgroup から脱出する可能性があることに注意してください (コンテナが CAP_SYS_ADMIN を持ち、自身で cgroup ファイルシステムをマウント可能なら、いずれにせよそのようにするかもしれないことにも注意してください)。 • cgroup-full (マウントオプションなしの場合): コンテナが CAP_SYS_ADMIN ケーパビリティを保持している場合、cgroup-full:rw となります。保持していない場合、cgroup-full:mixed となります。 cgroup ファイルシステムの自動マウントが有効の場合、/sys/fs/cgroup 以下の tmpfs は常に読み書き可能でマウントされることに注意が必要です (しかし :mixed と :ro の場合は、個々の階層の /sys/fs/cgroup/$hierarchy は読み込み専用となるでしょう)。これは Ubuntu の mountall(8) コマンドの特異な動きに対処するためのものです。特異な動きとは、/sys/fs/cgroup が読み込み専用でマウントされた状態で、コンテナが CAP_SYS_ADMIN を持たない場合、/sys/fs/cgroup を読み書き可能で再マウントしようとしてできないため、コンテナのブート時にユーザからの入力を待ってしまうというものです。 例: lxc.mount.auto = proc sys cgroup lxc.mount.auto = proc:rw sys:rw cgroup-full:rw ルートファイルシステム コンテナのルートファイルシステムは、ホストのルートファイルシステムと異なるようにすることも 可能です。 lxc.rootfs コンテナのルートファイルシステムを指定します。 この値はイメージファイル、ディレクト リ、ブロックデバイスのどれかを取ることができます。 もし指定されない場合、コンテナは ホストとルートファイルシステムを共有します。 lxc.rootfs.mount root ファイルシステムの変更の前に、lxc.rootfs を再帰的にどこにバインドするのかを指 定します。これは pivot_root(8) システムコールが確実に成功する事を保証します。 どん なディレクトリでも良く、デフォルトでも通常は動くはずです。 lxc.rootfs.options rootfs をマウントするときに追加したいマウントオプション。 lxc.pivotdir 元の root ファイルシステムを、lxc.rootfs 以下のどこに移動させるかを lxc.rootfs から の相対パスで指定します。 デフォルトは mnt です。 これはもし必要であれば作成され、そ してコンテナのセットアップの間、全てアンマウントされた後で消去されます。 CONTROL GROUP CONTROL GROUP セクションは、(lxc とは) 別のサブシステムの設定を含みます。 lxc は、このサブ システム名の正しさはチェックしません。 実行時のエラーを検出するのに不便ですが、別の将来の サブシステムをサポート出来るという有利な点もあります。 lxc.cgroup.[subsystem name] 設定する control group の値を指定します。 サブシステム名は、control group のそのま まの名前です。 許される名前や値の書式は LXC が指示することはなく、コンテナが実行さ れた時に実行されている Linux カーネルの機能に依存します。 例えば lxc.cgroup.cpuset.cpus ケーパビリティ コンテナが root 権限で実行されていても、コンテナ内ではケーパビリティ (capabilities) を削除 する事は可能です。 lxc.cap.drop コンテナ内で削除するケーパビリティ (capability) を指定します。 一行でスペース区切り で複数のケーパビリティを指定することも可能です。 指定は、"CAP_" というプレフィック スなしで、小文字でケーパビリティを指定します。 例えば、CAP_SYS_MODULE というケーパ ビリティは sys_module と指定する必要があります。 詳しくは以下を参照してください。 capabilities(7) この設定を、値を指定しない状態で使った場合、それ以前に指定された削 除対象のケーパビリティの指定をすべてクリアします (lxc.cap.drop に何も指定しない状態 になります)。 lxc.cap.keep コンテナ内で維持するケーパビリティを指定します。 指定した以外の全てのケーパビリティ はドロップされます。 APPARMOR プロファイル lxc が apparmor サポートでコンパイルされ、インストールされている場合で、ホストで apparmor が有効な場合、コンテナが従って動くべき apparmor プロファイルは、コンテナの設定で指定するこ とが可能です。 デフォルトは lxc-container-default です。 lxc.aa_profile コンテナが従うべき apparmor プロファイルを指定します。 コンテナが apparmor による制 限を受けないように設定するには、以下のように設定します。 lxc.aa_profile = unconfined SELINUX コンテキスト lxc が SELinux サポートでコンパイルされ、インストールされている場合で、ホストで SELinux が 有効な場合、コンテナが従って動くべき SELinux コンテキストは、コンテナの設定で指定すること が可能です。 デフォルトは unconfined_t であり、これは lxc がコンテキストを変えないという意 味になります。 ポリシーの例と追加の情報は /usr/share/lxc/selinux/lxc.te ファイルを参照して ください。 lxc.se_context コンテナが従うべき SELinux コンテキストを指定するか、unconfined_t を指定します。例 えば以下のように設定します。 lxc.se_context = system_u:system_r:lxc_t:s0:c22 SECCOMP の設定 コンテナは、起動時に seccomp プロファイルをロードすることで、利用可能なシステムコールを減 らして起動することが可能です。 seccomp の設定ファイルは、1 行目がバージョン番号、2 行目が ポリシーのタイプで始まる必要があり、その後に設定を書きます。 現時点では、バージョン番号は 1 と 2 をサポートしています。バージョン 1 では、ポリシーはシ ンプルなホワイトリストですので、2 行目は "whitelist" でなければなりません。 そして残りの行 には 1 行に 1 つずつ、システムコール番号を書きます。各行のシステムコール番号がホワイトリス ト化され、リストにない番号は、そのコンテナではブラックリストに入ります。 バージョン 2 では、ポリシーはブラックリストもしくはホワイトリストで表され、ルールごとのア クションと、ポリシーごとのデフォルトのアクションを設定できます。そして、アーキテクチャごと の設定と、テキストで書かれたシステムコール名での設定が可能です。 以下にブラックリストのポリシーの例を示します。これは mknod 以外の全てのシステムコールが許 可され、mknod が呼ばれると、何もせずに単に 0(成功) を返します。 2 blacklist mknod errno 0 .fi lxc.seccomp コンテナがスタートする前にロードする seccomp の設定を含むファイルを指定します。 UID のマッピング コンテナは、ユーザとグループの id のマッピングを持った専用のユーザ名前空間で起動することが 可能です。 たとえば、コンテナ内のユーザ id 0 を、ホストのユーザ id 200000 にマッピングする ことが可能です。 コンテナの root ユーザはコンテナ内では特権を持ちますが、ホストでは特権を 持ちません。 通常は、システムコンテナは id の範囲を要求し、それをマッピングします。 例え ば、コンテナ内のユーザとグループの id 0 から 20,000 を 200,000 から 220,000 にマッピングし ます。 lxc.id_map 4 つの値を記述する必要があります。 最初の文字は 'u' か 'g' のどちらかで、ユーザかグ ループの ID のどちらをマッピングするかを指定します。 次はコンテナのユーザ名前空間内 に現れる最初のユーザ ID です。 その次は、そのユーザ ID のホスト上での値です。 最後 は、ID のマッピングをいくつ連続して行うかの数を指定します。 コンテナのフック コンテナのフックは、コンテナの存続期間の色々な場面で実行することのできるプログラムやスクリ プトです。 コンテナのフックが実行されるとき、情報がコマンドライン引数と環境変数の両方を通して渡されま す。引数は: • コンテナ名 • セクション (常に 'lxc') • フックのタイプ ('clone' や 'pre-mount' など) • 追加の引数。clone フックの場合、lxc-clone に渡される追加の引数は、フックへの引数として追 加されます。 以下の環境変数がセットされます。 • LXC_NAME: コンテナ名 • LXC_ROOTFS_MOUNT: マウントされた root ファイルシステムへのパス • LXC_CONFIG_FILE: コンテナの設定ファイルのパス • LXC_SRC_NAME: clone フックの場合、元のコンテナの名前 • LXC_ROOTFS_PATH: コンテナの lxc.rootfs エントリ。これはマウントされた rootfs が存在する 場所にはならないでしょう。それには LXC_ROOTFS_MOUNT を使用してください。 スクリプトからの標準出力は debug レベルでロギングされます。 標準エラー出力はロギングされま せん。 しかし、フックの標準エラー出力を標準出力にリダイレクトすることにより保存することは 可能です。 lxc.hook.pre-start コンテナの tty、コンソールの作成、マウントが実行される前に、ホストの名前空間内で実 行するフック。 lxc.hook.pre-mount コンテナのファイルシステムの名前空間で実行されますが、rootfs が設定される前に実行す るフック。 これにより rootfs の操作が可能になります。 例えば、暗号化されたファイル システムのマウントなどです。 このフック内でなされるマウントはホストには影響しません (mounts propagation を除いて)。 なので、それらはコンテナがシャットダウンする時に自 動的にクリーンアップされます。 lxc.hook.mount マウントが完了した後ですが、pivot_root の前にコンテナの名前空間で実行されるフック。 lxc.hook.autodev lxc.autodev == 1 が設定されている場合で、マウントが完了し、マウント時のフックも実行 された後ですが、pivot_root の前にコンテナの名前空間で実行するフック。 このフックの 目的は、systemd ベースのコンテナ向けの autodev オプションが設定されている時に、コン テナの /dev ディレクトリを設定するのを支援することです。コンテナの /dev ディレクト リは、このフックが実行される時有効な ${LXC_ROOTFS_MOUNT} 環境変数からの相対パスとな ります。 lxc.hook.start コンテナの init が実行される直前にコンテナの名前空間で実行されるフック。 コンテナ内 で利用可能なプログラムである必要があります。 lxc.hook.post-stop コンテナがシャットダウンされた後にホストの名前空間で実行するフック。 lxc.hook.clone コンテナが新しいコンテナにクローンされる際に実行されるフック。詳しくは lxc-clone(1) を参照してください。 コンテナのフックで使える環境変数 起動時のフックに設定情報を提供し、フックの機能を助けるための環境変数がいくつか利用可能で す。 全ての変数が全てのコンテキストで利用可能なわけではありません。 具体的には、全てのパス はホストシステム上のパスであり、そのため、lxc.hook.start フックの時点では使用できません。 LXC_NAME LXC コンテナの名前。共通のログ環境内でのログメッセージに使うときに便利です。[-n] LXC_CONFIG_FILE コンテナの設定ファイルのホスト上でのパス。 これは、他の方法では得られない追加の設定 情報を見つけるために、コンテナに、元の、トップレベルの設定ファイルの位置を与えるも のです。 [-f] LXC_CONSOLE 設定されている場合のコンテナのコンソール出力のパス。 [-c] [lxc.console] LXC_CONSOLE_LOGPATH 設定されている場合のコンテナのコンソールログ出力のパス。 [-L] LXC_ROOTFS_MOUNT 初期にコンテナがマウントされる場所。 これは、コンテナインスタンスが起動するためのコ ンテナの rootfs へのホスト上のパスであり、インスタンスのための移行が行われる場所で す。 [lxc.rootfs.mount] LXC_ROOTFS_PATH rootfs.mount へマウントされるコンテナのルートへのホスト上のパスです。 ロギング ロギングはコンテナごとに設定することが可能です。 デフォルトでは、lxc パッケージのコンパイ ル条件に依存し、コンテナのスタートアップは ERROR レベルでのみロギングされ、コンテナのパス 以下か、/var/log/lxc 以下のどちらかにコンテナ名 (の後に '.log' が付与される) をもとにした 名前でロギングされます。 デフォルトのログレベルとログファイルは両方とも、コンテナの設定ファイル内で指定され、デフォ ルトの値を上書きします。 同様に、設定ファイルのエントリは lxc-start のコマンドラインオプ ションで上書きすることも可能です。 lxc.loglevel ログを取得するレベル。 ログレベルは 0..8 の範囲の整数です。 数字が小さいほど冗長な デバッグを意味します。 具体的には、0 = trace, 1 = debug, 2 = info, 3 = notice, 4 = warn, 5 = error, 6 = critical, 7 = alert, and 8 = fatal です。 指定されない場合、レ ベルのデフォルトは 5 (error) で、それ以上のエラーがロギングされます。 (フックスクリプトやネットワークインターフェースの起動、停止時のスクリプトのような) スクリプトが呼ばれた時、スクリプトの標準出力は level 1 の debug でロギングされま す。 lxc.logfile ログ情報を書き込むファイル。 自動起動 自動起動オプションでは、自動起動させるコンテナと順番の設定が可能です。 このオプションは LXC ツールが直接使用するか、ディストリビューションが提供する外部ツールが使用するかもしれま せん。 lxc.start.auto コンテナを自動起動させるかどうかを設定します。 有効な値は 0(オフ) か 1(オン) です。 lxc.start.delay コンテナを起動させた後、次のコンテナを起動させるまでにどれくらい (秒) 待つかを設定 します。 lxc.start.order 多数の自動起動させるコンテナがある場合のコンテナの起動順を決めるのに使う整数を指定 します。 lxc.group コンテナを追加したいコンテナグループ名を指定します。 複数の値を設定でき、複数回指定 することもできます。 設定されたグループは、関連する一連のコンテナを起動させるために 使われます。 自動起動とシステムブート コンテナはいくつでもグループに属することができ、全く属さないことも可能です。特別なグループ が 2 つ存在します。1 つは NULL グループです。これはどのグループにも属さないコンテナで す。もう 1 つは "onboot" グループです。 LXC サービスが有効になった状態でシステムがブートすると、最初に "onboot" グループのメンバー である lxc.start.auto == 1 が設定されたコンテナを起動しようとします。起動は lxc.start.order の順に起動します。 lxc.start.delay が指定されている場合、現在対象となって いるコンテナに初期化の時間を与え、ホストシステムの負荷を低減するために、次のコンテナを開始 させるまでに遅延時間を与えます。 "onboot" グループのメンバーが開始した後、LXC システムは lxc.start.auto == 1 が設定された、どのグループのメンバーでもない (NULL グループの) コンテ ナのブートを onboot グループのコンテナと同様に開始します。
例
以下に紹介するいくつかの例に加えて、他の設定例が /usr/share/doc/lxc/examples にあります。 ネットワーク この設定は、片方をブリッジである br0 と接続される veth ペアデバイスを使うコンテナを設定し ます (ブリッジは管理者によりあらかじめシステム上に設定済みである必要があります)。 仮想ネッ トワークデバイスは、コンテナ内では eth0 とリネームされます。 lxc.utsname = myhostname lxc.network.type = veth lxc.network.flags = up lxc.network.link = br0 lxc.network.name = eth0 lxc.network.hwaddr = 4a:49:43:49:79:bf lxc.network.ipv4 = 1.2.3.5/24 1.2.3.255 lxc.network.ipv6 = 2003:db8:1:0:214:1234:fe0b:3597 UID/GID のマッピング この設定は、コンテナ内のユーザとグループ両方の id 0-9999 の範囲を、ホスト上の 100000-109999 へマッピングします。 lxc.id_map = u 0 100000 10000 lxc.id_map = g 0 100000 10000 CONTROL GROUP この設定は、アプリケーションのための control group をいくつか設定します。 cpuset.cpus は定 義された cpu のみ使用できるように制限します。 cpus.share は、control group の (cpu) 優先度 を指定します。 devices.allow は、特定のデバイスを使用可能にします。 lxc.cgroup.cpuset.cpus = 0,1 lxc.cgroup.cpu.shares = 1234 lxc.cgroup.devices.deny = a lxc.cgroup.devices.allow = c 1:3 rw lxc.cgroup.devices.allow = b 8:0 rw 複雑な設定 この例は、control group を使って、複雑なネットワークスタックを作成し、新しいホスト名を指定 し、いくつかの場所をマウントし、ルートファイルシステムを変更するような複雑な設定を示しま す。 lxc.utsname = complex lxc.network.type = veth lxc.network.flags = up lxc.network.link = br0 lxc.network.hwaddr = 4a:49:43:49:79:bf lxc.network.ipv4 = 10.2.3.5/24 10.2.3.255 lxc.network.ipv6 = 2003:db8:1:0:214:1234:fe0b:3597 lxc.network.ipv6 = 2003:db8:1:0:214:5432:feab:3588 lxc.network.type = macvlan lxc.network.flags = up lxc.network.link = eth0 lxc.network.hwaddr = 4a:49:43:49:79:bd lxc.network.ipv4 = 10.2.3.4/24 lxc.network.ipv4 = 192.168.10.125/24 lxc.network.ipv6 = 2003:db8:1:0:214:1234:fe0b:3596 lxc.network.type = phys lxc.network.flags = up lxc.network.link = dummy0 lxc.network.hwaddr = 4a:49:43:49:79:ff lxc.network.ipv4 = 10.2.3.6/24 lxc.network.ipv6 = 2003:db8:1:0:214:1234:fe0b:3297 lxc.cgroup.cpuset.cpus = 0,1 lxc.cgroup.cpu.shares = 1234 lxc.cgroup.devices.deny = a lxc.cgroup.devices.allow = c 1:3 rw lxc.cgroup.devices.allow = b 8:0 rw lxc.mount = /etc/fstab.complex lxc.mount.entry = /lib /root/myrootfs/lib none ro,bind 0 0 lxc.rootfs = /mnt/rootfs.complex lxc.cap.drop = sys_module mknod setuid net_raw lxc.cap.drop = mac_override
SEE ALSO
chroot(1), pivot_root(8), fstab(5) capabilities(7)
SEE ALSO
lxc(7), lxc-create(1), lxc-destroy(1), lxc-start(1), lxc-stop(1), lxc-execute(1), lxc- console(1), lxc-monitor(1), lxc-wait(1), lxc-cgroup(1), lxc-ls(1), lxc-info(1), lxc- freeze(1), lxc-unfreeze(1), lxc-attach(1), lxc.conf(5)
作者
Daniel Lezcano <daniel.lezcano@free.fr> 2017-08-01 lxc.container.conf(5)