Re: непривелигерованный контейнер lxc в бустер

To: debian-russian@lists.debian.org
Subject: Re: непривелигерованный контейнер lxc в бустер
From: Maxim Nikulin <manikulin@gmail.com>
Date: Tue, 16 Feb 2021 22:07:33 +0700
Message-id: <[🔎] s0gn3m$dc2$1@ciao.gmane.io>
In-reply-to: <[🔎] CAMRqRqxqhi=e2H0pbrRwY4n8CShUvs4J+4o0PcPw+mbd=Obocg@mail.gmail.com>
References: <[🔎] 20210209191119.4a2091c0@mars.gamic.com> <[🔎] 90893a38-7cee-ad93-f3f9-040502ffaa24@ngs.ru> <[🔎] s037cd$gc5$1@ciao.gmane.io> <[🔎] CAMRqRqwP54zX-w3ow_sp_eaMsd8tox-=dFwND_5y2M7eqvQdHw@mail.gmail.com> <[🔎] s03jog$13cq$1@ciao.gmane.io> <[🔎] CAMRqRqxqhi=e2H0pbrRwY4n8CShUvs4J+4o0PcPw+mbd=Obocg@mail.gmail.com>

On 14/02/2021 03:08, Maksim Dmitrichenko wrote:

чт, 11 февр. 2021 г. в 18:51, Maxim Nikulin:
Если правильно помню, то не сработает mkdev, такое namespaces не
позволяют. Так что готовить образы должен root. Дальше их уже может
распаковывать обычный пользователь, поэтому --template
download успешно работает.
Если создается привилегированный контейнер, то с правами root все будет
работать. А fakeroot дает дополнительные накладные расходы - надо
сначала создавать дерево файловой системы во временном месте, и уже
потом распаковывать его в namespace. В этом смысле готовые образы типа
download проще.
То, что download проще, не обсуждается. Мой комментарий-вопрос относилсяименно к готовке образа. Ведь вы написали: "готовить образы долженroot". Вот я и предположил, что если вы всё-таки дошли до готовки, тонет никакой нужды на самом деле в том, чтобы это был root.

Наверно я просто не достаточно аккуратно выразился. Я назвал образомдерево файловой системы, которое будет использоваться внутри контейнера.В этом смысле fakeroot к стандартным шаблонам действительно неприспособили, от обычного пользователя работает только "download". Япытался сказать, что не стоит ждать, что `-t debian` заработает. Хотьэто и может показаться странным.

Надеюсь, что без особых сложностей можно написать шаблон, который будетзапускаться от обычного пользователя и создавать дерево файлов с помощьюdebootstrap. Заодно получится образ, который можно распаковывать, чтобыразворачивать такие же контейнеры. Хотя пока сам не попробовал, ручатьсяне могу. Повисший на семафоре fakeroot я видел больше одного раза. Сдругой стороны, проблема была слишком редкой, чтобы серьезно искать причины.

P.S. Я как-то не осознавал важности того, что когда запускаешьlxc-контейнеры руками, их надо заворачивать в systemd units. Иlxc-attach надо пускать из-под systemd-run. Без Delegate=yes systemd,которые живут снаружи и внутри, могут между собой поругаться. И этолучше делать не только для чистых cgroup v2, хотя такие нюансы описаныименно там

https://wiki.debian.org/LXC/CGroupV2

Reply to:

References:
- непривелигерованный контейнер lxc в бустер
  - From: Sergey Spiridonov <sena@s73.work>
- Re: непривелигерованный контейнер lxc в бустер
  - From: Andrey Lu <a2l@ngs.ru>
- Re: непривелигерованный контейнер lxc в бустер
  - From: Maxim Nikulin <manikulin@gmail.com>
- Re: непривелигерованный контейнер lxc в бустер
  - From: Maksim Dmitrichenko <dmitrmax@gmail.com>
- Re: непривелигерованный контейнер lxc в бустер
  - From: Maxim Nikulin <manikulin@gmail.com>
- Re: непривелигерованный контейнер lxc в бустер
  - From: Maksim Dmitrichenko <dmitrmax@gmail.com>

Prev by Date: Re: X Logical Font Description и HiDPI
Next by Date: Re: непривелигерованный контейнер lxc в бустер
Previous by thread: Re: непривелигерованный контейнер lxc в бустер
Next by thread: Re: непривелигерованный контейнер lxc в бустер
Index(es):
- Date
- Thread