<para>
<!--
- The linux containers (<command>lxc</command>) are always created
- before being used. This creation defines a set of system
- resources to be virtualized / isolated when a process is using
- the container. By default, the pids, sysv ipc and mount points
- are virtualized and isolated. The other system resources are
- shared across containers, until they are explicitly defined in
- the configuration file. For example, if there is no network
- configuration, the network will be shared between the creator of
- the container and the container itself, but if the network is
- specified, a new network stack is created for the container and
- the container can no longer use the network of its ancestor.
- -->
- linux コンテナ (<command>lxc</command>) は、常に使用する前に作成されます。
- コンテナは、プロセスがコンテナを使う時に仮想化/隔離するシステムリソースのセットを定義することによって作成します。
- デフォルトでは、pid, sysv ipc, マウントポイントが仮想化され、隔離されます。
- 他のシステムリソースは、設定ファイルで明確に定義されない限りは、コンテナをまたいで共有されます。
- 例えば、もしネットワークが設定されていなければ、コンテナを作成する側とコンテナでネットワークを共有します。
- しかし、ネットワークが指定されれば、新しいネットワークスタックがコンテナ用に作成され、コンテナは作成元の環境のネットワークを使いません。
+ LXC is the well-known and heavily tested low-level Linux container
+ runtime. It is in active development since 2008 and has proven itself in
+ critical production environments world-wide. Some of its core contributors
+ are the same people that helped to implement various well-known
+ containerization features inside the Linux kernel.
+ -->
+ LXC は良く知られた、多くのテストが行われた Linux コンテナのランタイムです。LXC は、2008 年以来アクティブに開発されており、世界中の重要な本番環境で実証されています。開発への貢献者の中には、Linux カーネル内の良く知られた様々なコンテナ機能の実装に貢献した人と同じ人もいます。
</para>
<para>
<!--
- The configuration file defines the different system resources to
- be assigned for the container. At present, the utsname, the
- network, the mount points, the root file system, the user namespace,
- and the control groups are supported.
- -->
- 設定ファイルは、コンテナに割り当てられる様々なシステムリソースを定義します。
- 現時点では、utsname、ネットワーク、マウントポイント、root ファイルシステム、ユーザ名前空間、control groups がサポートされます。
+ LXC's main focus is system containers. That is, containers which offer an
+ environment as close as possible as the one you'd get from a VM but
+ without the overhead that comes with running a separate kernel and
+ simulating all the hardware.
+ -->
+ LXC は主にシステムコンテナにフォーカスを当てています。つまり、VM で得られる環境と可能な限り近い環境を提供を提供するにも関わらず、別々のカーネルを実行したり、ハードウェアをすべてシミュレートしたりすることによるオーバーヘッドがないコンテナのことです。
+ </para>
+
+ <para>
+ <!--
+ This is achieved through a combination of kernel security features such as
+ namespaces, mandatory access control and control groups.
+ -->
+ このような環境は、名前空間 (namespace)、強制アクセスコントロール、cgroup といったカーネルのセキュリティ機能の組み合わせで実現しています。
+ </para>
+
+ <para>
+ <!--
+ LXC has supports unprivileged containers. Unprivileged containers are
+ containers that are run without any privilege. This requires support for
+ user namespaces in the kernel that the container is run on. LXC was the
+ first runtime to support unprivileged containers after user namespaces
+ were merged into the mainline kernel.
+ -->
+ LXC は非特権コンテナをサポートしています。非特権コンテナは、いかなる特権も持たずに実行するコンテナです。非特権コンテナの実行には、コンテナを実行しているカーネルにユーザ名前空間 (user namespace) のサポートが必要です。LXC は、ユーザ名前空間がメインラインカーネルにマージされてから、初めて非特権コンテナをサポートしたランタイムです。
+ </para>
+
+ <para>
+ <!--
+ In essence, user namespaces isolate given sets of UIDs and GIDs. This is
+ achieved by establishing a mapping between a range of UIDs and GIDs on the
+ host to a different (unprivileged) range of UIDs and GIDs in the
+ container. The kernel will translate this mapping in such a way that
+ inside the container all UIDs and GIDs appear as you would expect from the
+ host whereas on the host these UIDs and GIDs are in fact unprivileged. For
+ example, a process running as UID and GID 0 inside the container might
+ appear as UID and GID 100000 on the host. The implementation and working
+ details can be gathered from the corresponding user namespace man page.
+ UID and GID mappings can be defined with the <option>lxc.idmap</option>
+ key.
+ -->
+ 本質的には、ユーザ名前空間は与えられた UID、GID の組を隔離します。ユーザ名前空間は、ホスト上の UID、GID のある範囲を、それとは異なるコンテナ上の UID、GID の範囲へマッピングすることで実現します。カーネルは、ホスト上では実際には UID、GID は特権を持たないにも関わらず、コンテナ内ではすべての UID、GID が期待されるように見えるように変換を行います。
+ 例えば、コンテナ内では UID、GID が 0 として実行中のプロセスは、ホスト上では UID、GID が 100000 として見えるでしょう。実装と動作の詳細は、ユーザ名前空間の man ページから得られます。UID と GID のマッピングは <option>lxc.idmap</option> を使って定義できます。
+ </para>
+
+ <para>
+ <!--
+ Linux containers are defined with a simple configuration file. Each
+ option in the configuration file has the form <command>key =
+ value</command> fitting in one line. The "#" character means the line is a
+ comment. List options, like capabilities and cgroups options, can be used
+ with no value to clear any previously defined values of that option.
+ -->
+ Linux コンテナは、簡単な設定ファイルで定義します。設定ファイル中のオプションは <command>key = value</command> の形で一行で表します。'#' は、その行はコメントであることを示します。ケーパビリティや cgroup のオプションのような、リスト形式で指定するオプションでは、value がない形式で指定でき、そのように使うと、それ以前に定義した値をすべてクリアします。
</para>
<para>
<!--
- Each option in the configuration file has the form <command>key
- = value</command> fitting in one line. The '#' character means
- the line is a comment.
+ LXC namespaces configuration keys by using single dots. This means complex
+ configuration keys such as <option>lxc.net.0</option> expose various
+ subkeys such as <option>lxc.net.0.type</option>,
+ <option>lxc.net.0.link</option>, <option>lxc.net.0.ipv6.address</option>, and
+ others for even more fine-grained configuration.
-->
- 設定ファイルのオプション一つを、<command>key = value</command> の形で一行で表します。
- '#' は、その行はコメントであることを示します。
+ LXC は、シングルドットを使って設定キーの名前空間を表します。<option>lxc.net.0</option> のような複雑な設定キーは、<option>lxc.net.0.type</option>、<option>lxc.net.0.link</option>、<option>lxc.net.0.ipv6.address</option> や、さらに細分化された設定向けの色々なサブキーを持つことを意味します。
</para>
<refsect2>
<title><!-- Configuration -->設定</title>
<para>
<!--
- In order to ease administration of multiple related containers, it
- is possible to have a container configuration file cause another
- file to be loaded. For instance, network configuration
- can be defined in one common file which is included by multiple
- containers. Then, if the containers are moved to another host,
- only one file may need to be updated.
- -->
+ In order to ease administration of multiple related containers, it is
+ possible to have a container configuration file cause another file to be
+ loaded. For instance, network configuration can be defined in one common
+ file which is included by multiple containers. Then, if the containers
+ are moved to another host, only one file may need to be updated.
+ -->
複数の関係するコンテナの管理を容易にするために、コンテナの設定ファイルに別のファイルをロードすることが可能です。
例えば、ネットワークの設定を、複数のコンテナから include させるように 1 つのファイルに定義することが可能です。
その場合、コンテナが他のホストに移動すると、そのファイルだけを更新する必要があるかもしれません。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.include</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.include</option>
+ </term>
+ <listitem>
<!--
- Specify the file to be included. The included file must be
- in the same valid lxc configuration file format.
+ Specify the file to be included. The included file must be
+ in the same valid lxc configuration file format.
-->
include させたいファイルを指定します。
include するファイルは、lxc 設定ファイルのフォーマットとして有効でなければいけません。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<title><!-- Architecture -->アーキテクチャ</title>
<para>
<!--
- Allows one to set the architecture for the container. For example,
- set a 32bits architecture for a container running 32bits
- binaries on a 64bits host. That fixes the container scripts
- which rely on the architecture to do some work like
- downloading the packages.
+ Allows one to set the architecture for the container. For example, set a
+ 32bits architecture for a container running 32bits binaries on a 64bits
+ host. This fixes the container scripts which rely on the architecture to
+ do some work like downloading the packages.
-->
コンテナに対してアーキテクチャを設定することが可能です。
例えば、64 ビットのホスト上で 32 ビットのバイナリを動かすために 32 ビットアーキテクチャを設定することが可能です。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.arch</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.arch</option>
+ </term>
+ <listitem>
<!--
- Specify the architecture for the container.
+ Specify the architecture for the container.
-->
コンテナに設定するアーキテクチャを指定します。
- </para>
- <para>
- <!--
- Valid options are
- <option>x86</option>,
- <option>i686</option>,
- <option>x86_64</option>,
- <option>amd64</option>
- -->
- æ\9c\89å\8a¹ã\81ªã\82ªã\83\97ã\82·ã\83§ã\83³ã\81¯ä»¥ä¸\8bã\81§す。
- <option>x86</option>,
- <option>i686</option>,
- <option>x86_64</option>,
- <option>amd64</option>
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ <!--
+ Some valid options are
+ <option>x86</option>,
+ <option>i686</option>,
+ <option>x86_64</option>,
+ <option>amd64</option>
+ -->
+ æ\9c\89å\8a¹ã\81ªã\82ªã\83\97ã\82·ã\83§ã\83³ã\81«ã\81¯ä»¥ä¸\8bã\81®ã\82\88ã\81\86ã\81ªã\82\82ã\81®ã\81\8cã\81\82ã\82\8aã\81¾す。
+ <option>x86</option>,
+ <option>i686</option>,
+ <option>x86_64</option>,
+ <option>amd64</option>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<title><!-- Hostname -->ホスト名</title>
<para>
<!--
- The utsname section defines the hostname to be set for the
- container. That means the container can set its own hostname
- without changing the one from the system. That makes the
- hostname private for the container.
+ The utsname section defines the hostname to be set for the container.
+ That means the container can set its own hostname without changing the
+ one from the system. That makes the hostname private for the container.
-->
utsname セクションは、コンテナに設定されるホスト名を定義します。
コンテナは、システムのホスト名を変えることなく、自身のホスト名を持つ事が可能です。
このことにより、ホスト名はコンテナ専用となります。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.utsname</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.uts.name</option>
+ </term>
+ <listitem>
<!--
- specify the hostname for the container
+ specify the hostname for the container
-->
コンテナのホスト名を指定します。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<title><!-- Halt signal -->クリーンなシャットダウン時のシグナル</title>
<para>
<!--
- Allows one to specify signal name or number, sent by lxc-stop to the
- container's init process to cleanly shutdown the container. Different
- init systems could use different signals to perform clean shutdown
- sequence. This option allows the signal to be specified in kill(1)
- fashion, e.g. SIGPWR, SIGRTMIN+14, SIGRTMAX-10 or plain number. The
- default signal is SIGPWR.
+ Allows one to specify signal name or number sent to the container's
+ init process to cleanly shutdown the container. Different init systems
+ could use different signals to perform clean shutdown sequence. This
+ option allows the signal to be specified in kill(1) fashion, e.g.
+ SIGPWR, SIGRTMIN+14, SIGRTMAX-10 or plain number. The default signal is
+ SIGPWR.
-->
- lxc-stop がコンテナをクリーンにシャットダウンするためにコンテナの init プロセスに送るシグナル名か番号を指定できます。
- init システムによって、クリーンなシャットダウンを行うために使うシグナルは異なります。
- このオプションではシグナルとして kill(1) で使う形式を指定することができます。
+ コンテナをクリーンにシャットダウンするためにコンテナの init プロセスに送るシグナル名か番号を指定できます。init システムによって、クリーンなシャットダウンを行うために使うシグナルは異なります。このオプションではシグナルとして kill(1) で使う形式を指定できます。
例えば SIGKILL, SIGRTMIN+14, SIGRTMAX-10 のような形式、もしくは数字を指定します。デフォルトのシグナルは SIGPWR です。
</para>
<variablelist>
<varlistentry>
<term>
- <option>lxc.haltsignal</option>
+ <option>lxc.signal.halt</option>
</term>
<listitem>
<para>
<title>リブート時のシグナル <!-- Reboot signal --></title>
<para>
<!--
- Allows one to specify signal name or number, sent by lxc-stop to
- reboot the container. This option allows signal to be specified in
- kill(1) fashion, e.g. SIGTERM, SIGRTMIN+14, SIGRTMAX-10 or plain number.
- The default signal is SIGINT.
+ Allows one to specify signal name or number to reboot the container.
+ This option allows signal to be specified in kill(1) fashion, e.g.
+ SIGTERM, SIGRTMIN+14, SIGRTMAX-10 or plain number. The default signal
+ is SIGINT.
-->
- lxc-stop がコンテナをリブートするために送るシグナル名か番号を指定できます。
- このオプションではシグナルとして kill(1) で使う形式を指定することができます。
+ コンテナをリブートするために送るシグナル名か番号を指定できます。このオプションではシグナルとして kill(1) で使う形式を指定できます。
例えば SIGKILL, SIGRTMIN+14, SIGRTMAX-10 のような形式、もしくは数字を指定します。デフォルトのシグナルは SIGINT です。
</para>
<variablelist>
<varlistentry>
<term>
- <option>lxc.rebootsignal</option>
+ <option>lxc.signal.reboot</option>
</term>
<listitem>
<para>
<title><!-- Stop signal -->強制停止時のシグナル</title>
<para>
<!--
- Allows one to specify signal name or number, sent by lxc-stop to forcibly
- shutdown the container. This option allows signal to be specified in
- kill(1) fashion, e.g. SIGKILL, SIGRTMIN+14, SIGRTMAX-10 or plain number.
- The default signal is SIGKILL.
+ Allows one to specify signal name or number to forcibly shutdown the
+ container. This option allows signal to be specified in kill(1) fashion,
+ e.g. SIGKILL, SIGRTMIN+14, SIGRTMAX-10 or plain number. The default
+ signal is SIGKILL.
-->
- lxc-stop がコンテナを強制的にシャットダウンするために送るシグナル名か番号を指定することができます。
- このオプションではシグナルとして kill(1) で使う形式を指定することができます。
+ コンテナを強制的にシャットダウンするために送るシグナル名か番号を指定できます。このオプションではシグナルとして kill(1) で使う形式を指定できます。
例えば SIGKILL, SIGRTMIN+14, SIGRTMAX-10 のような形式、もしくは数字を指定します。デフォルトのシグナルは SIGKILL です。
</para>
<variablelist>
<varlistentry>
<term>
- <option>lxc.stopsignal</option>
+ <option>lxc.signal.stop</option>
</term>
<listitem>
<para>
<para>
<!--
Sets the command to use as the init system for the containers.
+ -->
+ コンテナの init として使うコマンドを設定します。
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.execute.cmd</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Absolute path from container rootfs to the binary to run by default. This
+ mostly makes sense for lxc-execute.
+ -->
+ デフォルトで実行するバイナリのコンテナの root からの絶対パスを指定します。これは <command>lxc-execute</command> のための設定です。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.init.cmd</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Absolute path from container rootfs to the binary to use as init. This
+ mostly makes sense for lxc-start. Default is /sbin/init.
+ -->
+ init として使うバイナリの、コンテナの root からの絶対パスを指定します。これは <command>lxc-start</command> のための設定です。デフォルトは <command>/sbin/init</command> です。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2>
+ <title>Init のワーキングディレクトリ <!-- Init working directory --></title>
+ <para>
+ <!--
+ Sets the absolute path inside the container as the working directory for the containers.
+ LXC will switch to this directory before executing init.
+ -->
+ コンテナのワーキングディレクトリとして、コンテナ内の絶対パスを設定します。LXC は init を実行する前に、このディレクトリに移動します。
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.init.cwd</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Absolute path inside the container to use as the working directory.
+ -->
+ ワーキングディレクトリとして使うコンテナ内の絶対パス
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
- This option is ignored when using lxc-execute.
+ <refsect2>
+ <title><!-- Init ID -->Init が使う ID</title>
+ <para>
+ <!--
+ Sets the UID/GID to use for the init system, and subsequent commands.
+ Note that using a non-root uid when booting a system container will
+ likely not work due to missing privileges. Setting the UID/GID is mostly
+ useful when running application container.
- Defaults to: /sbin/init
+ Defaults to: UID(0), GID(0)
-->
- コンテナの init として使うコマンドを設定します。
- このオプションは lxc-execute では無視されます。
- デフォルトは /sbin/init です。
+ init と後続のコマンドが使う UID/GID を設定します。システムコンテナを起動するのに非 root な UID を使うと、特権がないために動作しないでしょう。UID/GID の指定は、通常はアプリケーションコンテナの動作の際に役に立ちます。
+
+ デフォルト値: UID(0)、GID(0)
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.init.uid</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ UID to use for init.
+ -->
+ init が使う UID です。
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>
+ <option>lxc.init.gid</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ GID to use for init.
+ -->
+ init が使う GID です。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2>
+ <title>Proc</title>
+ <para>
+ <!--
+ Configure proc filesystem for the container.
+ -->
+ コンテナ内の proc ファイルシステムで設定できるパラメータを設定します。
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.proc.[proc file name]</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify the proc file name to be set. The file name available
+ are those listed under /proc/PID/.
+ Example:
+ -->
+ 設定したい proc ファイルシステムのファイル名を指定します。指定できるファイル名は /proc/PID/ 以下に存在するものです。
+ 例:
+ </para>
+ <programlisting>
+ lxc.proc.oom_score_adj = 10
+ </programlisting>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2>
+ <title><!-- Ephemeral -->一時的なコンテナ</title>
+ <para>
+ <!--
+ Allows one to specify whether a container will be destroyed on shutdown.
+ -->
+ シャットダウン後にコンテナを削除するかどうかを指定できます。
</para>
<variablelist>
<varlistentry>
<term>
- <option>lxc.init_cmd</option>
+ <option>lxc.ephemeral</option>
</term>
<listitem>
<para>
<!--
- Absolute path from container rootfs to the binary to use as init.
+ The only allowed values are 0 and 1. Set this to 1 to destroy a
+ container on shutdown.
-->
- init として使うバイナリの、コンテナの rootfs からの絶対パスを指定します。
+ 指定できる値は 0 または 1 のみです。この値を 1 に設定すると、シャットダウン後にコンテナを削除します。
</para>
</listitem>
</varlistentry>
<title><!-- Network -->ネットワーク</title>
<para>
<!--
- The network section defines how the network is virtualized in
- the container. The network virtualization acts at layer
- two. In order to use the network virtualization, parameters
- must be specified to define the network interfaces of the
- container. Several virtual interfaces can be assigned and used
- in a container even if the system has only one physical
- network interface.
+ The network section defines how the network is virtualized in
+ the container. The network virtualization acts at layer
+ two. In order to use the network virtualization, parameters
+ must be specified to define the network interfaces of the
+ container. Several virtual interfaces can be assigned and used
+ in a container even if the system has only one physical
+ network interface.
-->
ネットワークセクションは、コンテナ内でどのようにネットワークを仮想化するかを定義します。
ネットワークの仮想化はレイヤー 2 で作動します。
そして、仮に物理ネットワークインターフェースが一つしかなくても、コンテナ内でいくつもの仮想インターフェースを使うことができます。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.network.type</option>
- </term>
- <listitem>
- <para>
- <!--
- specify what kind of network virtualization to be used
- for the container. Each time
- a <option>lxc.network.type</option> field is found a new
- round of network configuration begins. In this way,
- several network virtualization types can be specified
- for the same container, as well as assigning several
- network interfaces for one container. The different
- virtualization types can sbe:
- -->
- コンテナがどの種類のネットワーク仮想化を使うかを指定します。
- 一つのネットワークの設定ごとに <option>lxc.network.type</option> フィールドを指定します。
- このように、一つのコンテナに複数のネットワークインターフェースを割り当てることができるだけでなく、同じコンテナに対して複数のネットワーク仮想化の種類を指定することが出来ます。
- 仮想化の種類は以下の値を取る事が出来ます:
- </para>
-
- <para>
- <!--
- <option>none:</option> will cause the container to share
- the host's network namespace. This means the host
- network devices are usable in the container. It also
- means that if both the container and host have upstart as
- init, 'halt' in a container (for instance) will shut down the
- host.
+ <varlistentry>
+ <term>
+ <option>lxc.net</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ may be used without a value to clear all previous network options.
+ -->
+ 値を指定せずに使い、それ以前に定義されたすべてのネットワークオプションをクリアできます。
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].type</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ specify what kind of network virtualization to be used
+ for the container.
+ Multiple networks can be specified by using an additional index
+ <option>i</option>
+ after all <option>lxc.net.*</option> keys. For example,
+ <option>lxc.net.0.type = veth</option> and
+ <option>lxc.net.1.type = veth</option> specify two different
+ networks of the same type. All keys sharing the same index
+ <option>i</option> will be treated as belonging to the same
+ network. For example, <option>lxc.net.0.link = br0</option>
+ will belong to <option>lxc.net.0.type</option>.
+ Currently, the different virtualization types can be:
+ -->
+ コンテナがどの種類のネットワーク仮想化を使うかを指定します。すべての <option>lxc.net.*</option> キーに、追加のインデックス <option>i</option> を使うと、複数のネットワークを指定できます。例えば、<option>lxc.net.0.type = veth</option> と <option>lxc.net.1.type = veth</option> は、同じタイプの異なるネットワークを 2 つ指定します。
+ 同じインデックスを指定したキーはすべて同じネットワークの指定になります。例えば、<option>lxc.net.0.link = br0</option> は <option>lxc.net.0.type</option> と同じネットワークの設定になります。
+ 現時点では、以下のネットワーク仮想化のタイプが使えます:
+ </para>
+
+ <para>
+ <!--
+ <option>none:</option> will cause the container to share
+ the host's network namespace. This means the host
+ network devices are usable in the container. It also
+ means that if both the container and host have upstart as
+ init, 'halt' in a container (for instance) will shut down the
+ host.
-->
<option>none:</option> ホストのネットワーク名前空間を共有します。
これにより、ホストのネットワークデバイスをコンテナ内で使うことが可能になります。
もしコンテナもホストも init として upstart を使っている場合、(例えば) コンテナ内で 'halt' を実行すると、ホストがシャットダウンしてしまうことにもなります。
- </para>
+ </para>
- <para>
<!--
- <option>empty:</option> will create only the loopback
- interface.
+ <option>empty:</option> will create only the loopback
+ interface.
-->
- <option>empty:</option> ループバックインターフェースだけを作成します。
- </para>
+ <option>empty:</option> ループバックインターフェースだけを作成します。
+ </para>
<para>
<!--
<option>veth:</option> a virtual ethernet pair
device is created with one side assigned to the container
and the other side attached to a bridge specified by
- the <option>lxc.network.link</option> option.
+ the <option>lxc.net.[i].link</option> option.
If the bridge is not specified, then the veth pair device
will be created but not attached to any bridge.
Otherwise, the bridge has to be created on the system
container, but if you wish to handle
this name yourselves, you can tell <command>lxc</command>
to set a specific name with
- the <option>lxc.network.veth.pair</option> option (except for
+ the <option>lxc.net.[i].veth.pair</option> option (except for
unprivileged containers where this option is ignored for security
reasons).
-->
- <option>veth:</option > 一方がコンテナに、もう一方が <option>lxc.network.link</option> オプションで指定されたブリッジに接続されるペアの仮想イーサネットデバイスを作成します。
+ <option>veth:</option > 一方がコンテナに、もう一方が <option>lxc.net.[i].link</option> オプションで指定されたブリッジに接続されるペアの仮想イーサネットデバイスを作成します。
もし、ブリッジが指定されていない場合、veth ペアデバイスは作成されますが、ブリッジには接続されません。
ブリッジはコンテナが開始する前にシステムで事前に設定しておく必要があります。
<command>lxc</command> はコンテナ外の設定を扱うことはありません。
デフォルトでは、<command>lxc</command> がコンテナの外部に属するネットワークデバイスに対する名前を決定します。
- しかし、もしこの名前を自分で指定したい場合、<option>lxc.network.veth.pair</option> オプションを使って名前を設定し、lxc に対して指定をすることができます (非特権コンテナの場合をのぞきます。セキュリティ上の理由からこのオプションは無視されます)。
+ しかし、もしこの名前を自分で指定したい場合、<option>lxc.net.[i].veth.pair</option> オプションを使って名前を設定し、lxc に対して指定をすることができます (非特権コンテナの場合をのぞきます。セキュリティ上の理由からこのオプションは無視されます)。
</para>
- <para>
<!--
- <option>vlan:</option> a vlan interface is linked with
- the interface specified by
- the <option>lxc.network.link</option> and assigned to
- the container. The vlan identifier is specified with the
- option <option>lxc.network.vlan.id</option>.
+ <option>vlan:</option> a vlan interface is linked with
+ the interface specified by
+ the <option>lxc.net.[i].link</option> and assigned to
+ the container. The vlan identifier is specified with the
+ option <option>lxc.net.[i].vlan.id</option>.
-->
- <option>vlan:</option> vlan インターフェースは <option>lxc.network.link</option> で指定されたインターフェースとリンクし、コンテナに割り当てられます。
- vlan の指定は <option>lxc.network.vlan.id</option> オプションで指定します。
- </para>
+ <option>vlan:</option> vlan インターフェースは <option>lxc.net.[i].link</option> で指定されたインターフェースとリンクし、コンテナに割り当てられます。
+ vlan の指定は <option>lxc.net.[i].vlan.id</option> オプションで指定します。
+ </para>
- <para>
<!--
- <option>macvlan:</option> a macvlan interface is linked
- with the interface specified by
- the <option>lxc.network.link</option> and assigned to
- the container.
- <option>lxc.network.macvlan.mode</option> specifies the
- mode the macvlan will use to communicate between
- different macvlan on the same upper device. The accepted
+ <option>macvlan:</option> a macvlan interface is linked
+ with the interface specified by
+ the <option>lxc.net.[i].link</option> and assigned to
+ the container.
+ <option>lxc.net.[i].macvlan.mode</option> specifies the
+ mode the macvlan will use to communicate between
+ different macvlan on the same upper device. The accepted
modes are <option>private</option>, <option>vepa</option>,
<option>bridge</option> and <option>passthru</option>.
- In <option>private</option> mode, the device never
+ In <option>private</option> mode, the device never
communicates with any other device on the same upper_dev (default).
In <option>vepa</option> mode, the new Virtual Ethernet Port
- Aggregator (VEPA) mode, it assumes that the adjacent
- bridge returns all frames where both source and
- destination are local to the macvlan port, i.e. the
- bridge is set up as a reflective relay. Broadcast
- frames coming in from the upper_dev get flooded to all
- macvlan interfaces in VEPA mode, local frames are not
+ Aggregator (VEPA) mode, it assumes that the adjacent
+ bridge returns all frames where both source and
+ destination are local to the macvlan port, i.e. the
+ bridge is set up as a reflective relay. Broadcast
+ frames coming in from the upper_dev get flooded to all
+ macvlan interfaces in VEPA mode, local frames are not
delivered locally. In <option>bridge</option> mode, it
- provides the behavior of a simple bridge between
- different macvlan interfaces on the same port. Frames
- from one interface to another one get delivered directly
- and are not sent out externally. Broadcast frames get
- flooded to all other bridge ports and to the external
- interface, but when they come back from a reflective
- relay, we don't deliver them again. Since we know all
- the MAC addresses, the macvlan bridge mode does not
+ provides the behavior of a simple bridge between
+ different macvlan interfaces on the same port. Frames
+ from one interface to another one get delivered directly
+ and are not sent out externally. Broadcast frames get
+ flooded to all other bridge ports and to the external
+ interface, but when they come back from a reflective
+ relay, we don't deliver them again. Since we know all
+ the MAC addresses, the macvlan bridge mode does not
require learning or STP like the bridge module does. In
<option>passthru</option> mode, all frames received by
the physical interface are forwarded to the macvlan
interface. Only one macvlan interface in <option>passthru</option>
mode is possible for one physical interface.
-->
- <option>macvlan:</option> macvlan インターフェースは <option>lxc.network.link</option> により指定されるインターフェースとリンクし、コンテナに割り当てられます。
- <option>lxc.network.macvlan.mode</option> でモードを指定すると、その macvlan の指定を、同じ上位デバイスで異なる macvlan の間の通信をする時に使います。
+ <option>macvlan:</option> macvlan インターフェースは <option>lxc.net.[i].link</option> により指定されるインターフェースとリンクし、コンテナに割り当てられます。
+ <option>lxc.net.[i].macvlan.mode</option> でモードを指定すると、その macvlan の指定を、同じ上位デバイスで異なる macvlan の間の通信をする時に使います。
指定できるモードは <option>private</option>、<option>vepa</option>、<option>bridge</option>、<option>passthru</option> のいずれかです。
<option>private</option> モードの場合、デバイスは同じ上位デバイスの他のデバイスとの通信を行いません (デフォルト)。
新しい仮想イーサネットポート集約モード (Virtual Ethernet Port Aggregator (VEPA)) である <option>vepa</option> モードの場合、隣接したポートが、ソースとデスティネーションの両方が macvlan ポートに対してローカルであるフレームを全て返すと仮定します。
しかし、reflective relay からフレームが返ってきたときは、再度それを配送することはしません。
全ての MAC アドレスを知っているので、ブリッジモジュールのように、macvlan ブリッジモードは学習や STP の必要はありません。
<option>passthru</option> モードの場合、物理インターフェースで受け取った全てのフレームは macvlan インターフェースに転送されます。<option>passthru</option> モードの場合、ひとつの macvlan インターフェースだけが、ひとつの物理インターフェースに対して設定できます。
- </para>
+ </para>
- <para>
<!--
- <option>phys:</option> an already existing interface
- specified by the <option>lxc.network.link</option> is
- assigned to the container.
+ <option>phys:</option> an already existing interface
+ specified by the <option>lxc.net.[i].link</option> is
+ assigned to the container.
-->
- <option>phys:</option> <option>lxc.network.link</option> で指定された、すでに存在しているインターフェースがコンテナに割り当てられます。
- </para>
- </listitem>
- </varlistentry>
+ <option>phys:</option> <option>lxc.net.[i].link</option> で指定された、すでに存在しているインターフェースがコンテナに割り当てられます。
+ </para>
+ </listitem>
+ </varlistentry>
- <varlistentry>
- <term>
- <option>lxc.network.flags</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].flags</option>
+ </term>
+ <listitem>
<!--
- specify an action to do for the
- network.
+ Specify an action to do for the network.
-->
ネットワークに対して行うアクションを指定します。
- </para>
+ </para>
- <para>
<!--
<option>up:</option> activates the interface.
-->
<option>up:</option> インターフェースを起動させます。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
- <varlistentry>
- <term>
- <option>lxc.network.link</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].link</option>
+ </term>
+ <listitem>
<!--
- specify the interface to be used for real network
- traffic.
+ Specify the interface to be used for real network traffic.
-->
実際のネットワークトラフィックに使うインターフェースを指定します。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
- <varlistentry>
- <term>
- <option>lxc.network.mtu</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].mtu</option>
+ </term>
+ <listitem>
<!--
- specify the maximum transfer unit for this interface.
+ Specify the maximum transfer unit for this interface.
-->
インターフェースに対する MTU を指定します。
- </para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term>
- <option>lxc.network.name</option>
- </term>
- <listitem>
- <para>
- <!--
- the interface name is dynamically allocated, but if
- another name is needed because the configuration files
- being used by the container use a generic name,
- eg. eth0, this option will rename the interface in the
- container.
- -->
- インターフェース名は動的に割り当てられます。
- しかし、もしコンテナが使用する設定ファイルが一般的な名前を使用するために、他の特定の名前が必要であれば (例えば eth0 など)、コンテナ内のインターフェースは、このオプションで指定した名前にリネームされます。
- </para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term>
- <option>lxc.network.hwaddr</option>
- </term>
- <listitem>
- <para>
- <!--
- the interface mac address is dynamically allocated by
- default to the virtual interface, but in some cases,
- this is needed to resolve a mac address conflict or to
- always have the same link-local ipv6 address.
- Any "x" in address will be replaced by random value,
- this allows setting hwaddr templates.
- -->
- 仮想インターフェースの MAC アドレスは、デフォルトでは動的に割り当てられます。
- しかし、MAC アドレスの衝突や、リンクローカルIPv6 アドレスを常に同じにした場合などは、このオプションが必要です。
- アドレス中の "x" という文字は、ランダムな値に置き換えられます。
- これによりテンプレートに hwaddr を設定することが可能になります。
- </para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term>
- <option>lxc.network.ipv4</option>
- </term>
- <listitem>
- <para>
- <!--
- specify the ipv4 address to assign to the virtualized
- interface. Several lines specify several ipv4 addresses.
- The address is in format x.y.z.t/m,
- eg. 192.168.1.123/24.The broadcast address should be
- specified on the same line, right after the ipv4
- address.
- -->
- 仮想インターフェースに割り当てる ipv4 アドレスを指定します。
- 複数行により複数の ipv4 アドレスを指定します。
- このアドレスは x.y.z.t/m というフォーマットで指定します。
- 例えば、192.168.1.123/24。ブロードキャストアドレスも同じ行の ipv4 アドレスのすぐ後で指定しなくてはなりません。
- </para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term>
- <option>lxc.network.ipv4.gateway</option>
- </term>
- <listitem>
- <para>
- <!--
- specify the ipv4 address to use as the gateway inside the
- container. The address is in format x.y.z.t, eg.
- 192.168.1.123.
-
- Can also have the special value <option>auto</option>,
- which means to take the primary address from the bridge
- interface (as specified by the
- <option>lxc.network.link</option> option) and use that as
- the gateway. <option>auto</option> is only available when
- using the <option>veth</option> and
- <option>macvlan</option> network types.
- -->
- コンテナでゲートウェイとして使う IPv4 アドレスを指定します。
- アドレスは x.y.z.t というフォーマットです。
- 例えば、192.168.1.123。
-
- <option>auto</option> という特別な値を記述する事も可能です。
- これは (<option>lxc.network.link</option> で指定した) ブリッジインターフェースの最初のアドレスを使用し、それをゲートウェイに使うという意味になります。
- <option>auto</option> はネットワークタイプとして <option>veth</option> と <option>macvlan</option> を指定している時だけ有効となります。
- </para>
- </listitem>
- </varlistentry>
-
-
- <varlistentry>
- <term>
- <option>lxc.network.ipv6</option>
- </term>
- <listitem>
- <para>
- <!--
- specify the ipv6 address to assign to the virtualized
- interface. Several lines specify several ipv6 addresses.
- The address is in format x::y/m,
- eg. 2003:db8:1:0:214:1234:fe0b:3596/64
- -->
- 仮想インターフェースに割り当てる ipv6 アドレスを指定します。
- 複数行により複数の ipv6 アドレスを指定します。
- このアドレスは x::y/m というフォーマットで指定します。
- 例えば、2003:db8:1:0:214:1234:fe0b:3596/64。
- </para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term>
- <option>lxc.network.ipv6.gateway</option>
- </term>
- <listitem>
- <para>
- <!--
- specify the ipv6 address to use as the gateway inside the
- container. The address is in format x::y,
- eg. 2003:db8:1:0::1
-
- Can also have the special value <option>auto</option>,
- which means to take the primary address from the bridge
- interface (as specified by the
- <option>lxc.network.link</option> option) and use that as
- the gateway. <option>auto</option> is only available when
- using the <option>veth</option> and
- <option>macvlan</option> network types.
- -->
- コンテナでゲートウェイとして使う IPv6 アドレスを指定します。
- アドレスは x::y というフォーマットです。例えば、2003:db8:1:0::1。
-
- <option>auto</option> という特別な値を記述する事も可能です。
- これは (<option>lxc.network.link</option> で指定した) ブリッジインターフェースの最初のアドレスを使用し、それをゲートウェイに使うという意味になります。
- <option>auto</option> はネットワークタイプとして <option>veth</option> と <option>macvlan</option> を指定している時だけ有効となります。
- </para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term>
- <option>lxc.network.script.up</option>
- </term>
- <listitem>
- <para>
- <!--
- add a configuration option to specify a script to be
- executed after creating and configuring the network used
- from the host side. The following arguments are passed
- to the script: container name and config section name
- (net) Additional arguments depend on the config section
- employing a script hook; the following are used by the
- network system: execution context (up), network type
- (empty/veth/macvlan/phys), Depending on the network
- type, other arguments may be passed:
- veth/macvlan/phys. And finally (host-sided) device name.
- -->
- ホスト側から使われる、ネットワークの作成と設定が済んだ後に実行するスクリプトを指定します。
- 以下の引数がスクリプトに渡されます: コンテナ名、設定セクション名(net)。
- その後の引数はスクリプトのフックで使われる設定セクションに依存します。
- 以下がネットワークシステムによって使われます: 実行コンテキスト (up)、ネットワークのタイプ (empty/veth/macvlan/phys)
- ネットワークのタイプによっては、更に別の引数が渡されるかもしれません: veth/macvlan/phys の場合 (ホスト側の) デバイス名
- </para>
- <para>
- <!--
- Standard output from the script is logged at debug level.
- Standard error is not logged, but can be captured by the
- hook redirecting its standard error to standard output.
- -->
- スクリプトからの標準出力は debug レベルでロギングされます。
- 標準エラー出力はロギングされません。
- しかし、フックの標準エラー出力を標準出力にリダイレクトすることにより保存することは可能です。
- </para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term>
- <option>lxc.network.script.down</option>
- </term>
- <listitem>
- <para>
- <!--
- add a configuration option to specify a script to be
- executed before destroying the network used from the
- host side. The following arguments are passed to the
- script: container name and config section name (net)
- Additional arguments depend on the config section
- employing a script hook; the following are used by the
- network system: execution context (down), network type
- (empty/veth/macvlan/phys), Depending on the network
- type, other arguments may be passed:
- veth/macvlan/phys. And finally (host-sided) device name.
- -->
- ホスト側から使われる、ネットワークを破壊する前に実行するスクリプトを指定します。
- 以下の引数がスクリプトに渡されます: コンテナ名、設定セクション名(net)。
- その後の引数はスクリプトのフックで使われる設定セクションに依存します。
- 以下がネットワークシステムによって使われます: 実行コンテキスト (up)、ネットワークのタイプ (empty/veth/macvlan/phys)。
- ネットワークのタイプによっては、更に別の引数が渡されるかもしれません: veth/macvlan/phys。そして最後に (ホスト側の) デバイス名が渡されます。
- </para>
- <para>
- <!--
- Standard output from the script is logged at debug level.
- Standard error is not logged, but can be captured by the
- hook redirecting its standard error to standard output.
- -->
- スクリプトからの標準出力は debug レベルでロギングされます。
- 標準エラー出力はロギングされません。
- しかし、フックの標準エラー出力を標準出力にリダイレクトすることにより保存することは可能です。
- </para>
- </listitem>
- </varlistentry>
- </variablelist>
-
- </refsect2>
+ </para>
+ </listitem>
+ </varlistentry>
- <refsect2>
- <title><!-- New pseudo tty instance (devpts) -->新しい擬似端末のインスタンス (devpts)</title>
- <para>
- <!--
- For stricter isolation the container can have its own private
- instance of the pseudo tty.
- -->
- さらに厳しい隔離のために、コンテナは自身のプライベートな pseudo tty (擬似端末) を持つことが可能です。
- </para>
- <variablelist>
- <varlistentry>
- <term>
- <option>lxc.pts</option>
- </term>
- <listitem>
- <para>
- <!--
- If set, the container will have a new pseudo tty
- instance, making this private to it. The value specifies
- the maximum number of pseudo ttys allowed for a pts
- instance (this limitation is not implemented yet).
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].name</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ The interface name is dynamically allocated, but if another name
+ is needed because the configuration files being used by the
+ container use a generic name, eg. eth0, this option will rename
+ the interface in the container.
-->
- もし設定された場合、コンテナは新しい pseudo tty インスタンスを持ち、それを自身のプライベートとします。
- この値は pts インスタンスに許可される pseudo tty の最大数を指定します (この制限はまだ実装されていません)。
- </para>
- </listitem>
- </varlistentry>
- </variablelist>
- </refsect2>
+ インターフェース名は動的に割り当てられます。しかし、もしコンテナが使用する設定ファイルが一般的な名前を使用するために、他の特定の名前が必要であれば (例えば eth0 など)、コンテナ内のインターフェースは、このオプションで指定した名前にリネームされます。
+ </para>
+ </listitem>
+ </varlistentry>
- <refsect2>
- <title><!-- Container system console -->コンテナのシステムコンソール</title>
- <para>
- <!--
- If the container is configured with a root filesystem and the
- inittab file is setup to use the console, you may want to specify
- where the output of this console goes.
- -->
- コンテナでルートファイルシステムを持つように設定されており、inittab ファイルでコンソールの使用が設定されている場合、このコンソールの出力がどこになされるのかを指定したいと思うでしょう。
- </para>
- <variablelist>
- <varlistentry>
- <term>
- <option>lxc.console.logfile</option>
- </term>
- <listitem>
- <para>
- <!--
- Specify a path to a file where the console output will
- be written.
- -->
- コンソール出力を書き込むファイルのパスを指定します。
- </para>
- </listitem>
- </varlistentry>
- <varlistentry>
- <term>
- <option>lxc.console</option>
- </term>
- <listitem>
- <para>
- <!--
- Specify a path to a device to which the console will be
- attached. The keyword 'none' will simply disable the
- console. This is dangerous once if have a rootfs with a
- console device file where the application can write, the
- messages will fall in the host.
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].hwaddr</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ The interface mac address is dynamically allocated by default to
+ the virtual interface, but in some cases, this is needed to
+ resolve a mac address conflict or to always have the same
+ link-local ipv6 address. Any "x" in address will be replaced by
+ random value, this allows setting hwaddr templates.
-->
- コンソールを割り当てるデバイスのパスを指定します。'none' というキーワードは、単純にコンソールを無効にします。
- この設定は、アプリケーションが書き込む事ができるコンソールデバイスファイルが rootfs に存在する場合、メッセージがホスト側に出力されるので危険です。
- </para>
- </listitem>
- </varlistentry>
- </variablelist>
+ 仮想インターフェースの MAC アドレスは、デフォルトでは動的に割り当てられます。しかし、MAC アドレスの衝突や、リンクローカルIPv6 アドレスを常に同じにした場合などは、このオプションが必要です。アドレス中の "x" という文字は、ランダムな値に置き換えられます。これによりテンプレートに hwaddr を設定することが可能になります。
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].ipv4.address</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify the ipv4 address to assign to the virtualized interface.
+ Several lines specify several ipv4 addresses. The address is in
+ format x.y.z.t/m, eg. 192.168.1.123/24.
+ -->
+ 仮想インターフェースに割り当てる ipv4 アドレスを指定します。複数行により複数の ipv4 アドレスを指定します。このアドレスは x.y.z.t/m というフォーマットで指定します。例) 192.168.1.123/24
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].ipv4.gateway</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ specify the ipv4 address to use as the gateway inside the
+ container. The address is in format x.y.z.t, eg. 192.168.1.123.
+
+ Can also have the special value <option>auto</option>,
+ which means to take the primary address from the bridge
+ interface (as specified by the
+ <option>lxc.net.[i].link</option> option) and use that as
+ the gateway. <option>auto</option> is only available when
+ using the <option>veth</option> and
+ <option>macvlan</option> network types.
+ -->
+ コンテナでゲートウェイとして使う IPv4 アドレスを指定します。アドレスは x.y.z.t というフォーマットです。例) 192.168.1.123
+ <option>auto</option> という特別な値を指定できます。これは (<option>lxc.net.[i].link</option> で指定した) ブリッジインターフェースの最初のアドレスを使用し、それをゲートウェイに使うという意味になります。<option>auto</option> はネットワークタイプとして <option>veth</option> と <option>macvlan</option> を指定している時だけ有効となります。
+ </para>
+ </listitem>
+ </varlistentry>
+
+
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].ipv6.address</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify the ipv6 address to assign to the virtualized
+ interface. Several lines specify several ipv6 addresses. The
+ address is in format x::y/m, eg.
+ 2003:db8:1:0:214:1234:fe0b:3596/64
+ -->
+ 仮想インターフェースに割り当てる ipv6 アドレスを指定します。複数行により複数の ipv6 アドレスを指定します。このアドレスは x::y/m というフォーマットで指定します。例) 2003:db8:1:0:214:1234:fe0b:3596/64
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].ipv6.gateway</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify the ipv6 address to use as the gateway inside the
+ container. The address is in format x::y, eg. 2003:db8:1:0::1
+
+ Can also have the special value <option>auto</option>,
+ which means to take the primary address from the bridge
+ interface (as specified by the
+ <option>lxc.net.[i].link</option> option) and use that as
+ the gateway. <option>auto</option> is only available when
+ using the <option>veth</option> and
+ <option>macvlan</option> network types.
+ -->
+ コンテナでゲートウェイとして使う IPv6 アドレスを指定します。アドレスは x::y というフォーマットです。例) 2003:db8:1:0::1
+ <option>auto</option> という特別な値を記述する事も可能です。これは (<option>lxc.net.[i].link</option> で指定した) ブリッジインターフェースの最初のアドレスを使用し、それをゲートウェイに使うという意味になります。<option>auto</option> はネットワークタイプとして <option>veth</option> と <option>macvlan</option> を指定している時だけ有効となります。
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].script.up</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Add a configuration option to specify a script to be
+ executed after creating and configuring the network used
+ from the host side.
+ -->
+ ホスト側から使われる、ネットワークの作成と設定が済んだ後に実行するスクリプトを指定します。
+ </para>
+
+ <para>
+ <!--
+ In addition to the information available to all hooks. The
+ following information is provided to the script:
+ -->
+ すべてのフックで追加の情報が使えます。以下の情報がスクリプトに提供されます:
+ <itemizedlist>
+ <listitem>
+ <para>
+ LXC_HOOK_TYPE: フックタイプ。'up' か 'down' のいずれかです <!-- the hook type. This is either 'up' or 'down'. -->
+ </para>
+ </listitem>
+
+ <listitem>
+ <para>
+ LXC_HOOK_SECTION: セクションタイプとして 'net' が設定されます<!-- the section type 'net'. -->
+ </para>
+ </listitem>
+
+ <listitem>
+ <para>
+ LXC_NET_TYPE: ネットワークタイプ。有効なネットワークタイプのうちのひとつです (例: 'macvlan', 'veth') <!-- the network type. This is one of the valid
+ network types listed here (e.g. 'macvlan', 'veth'). -->
+ </para>
+ </listitem>
+
+ <listitem>
+ <para>
+ LXC_NET_PARENT: ホスト上の親デバイス名。これはネットワークタイプが 'macvlan'、'veth'、'phys' のどれかのときだけ設定されます <!-- the parent device on the host. This is only
+ set for network types 'mavclan', 'veth', 'phys'. -->
+ </para>
+ </listitem>
+
+ <listitem>
+ <para>
+ LXC_NET_PEER: ホスト上のピアデバイス名。これはネットワークタイプが 'veth' の場合のみ設定されます。この情報は <option>lxc.hook.version</option> が 1 に設定されている場合のみ設定されます
+ <!-- the name of the peer device on the host. This is
+ only set for 'veth' network types. Note that this information
+ is only available when <option>lxc.hook.version</option> is set
+ to 1. -->
+ </para>
+ </listitem>
+ </itemizedlist>
+
+ <!--
+ Whether this information is provided in the form of environment
+ variables or as arguments to the script depends on the value of
+ <option>lxc.hook.version</option>. If set to 1 then information is
+ provided in the form of environment variables. If set to 0
+ information is provided as arguments to the script.
+ -->
+ この情報が環境変数の形で提供されるか、スクリプトへの引数の形で提供されるかは <option>lxc.hook.version</option> の値によって決まります。もし <option>lxc.hook.version</option> が 1 に設定されている場合は、環境変数の形で提供されます。もし 0 が設定されている場合は、スクリプトへの引数として提供されます。
+ </para>
+
+ <para>
+ <!--
+ Standard output from the script is logged at debug level.
+ Standard error is not logged, but can be captured by the
+ hook redirecting its standard error to standard output.
+ -->
+ スクリプトからの標準出力は debug レベルでロギングされます。標準エラー出力はロギングされません。しかし、フックの標準エラー出力を標準出力にリダイレクトすることにより保存することは可能です。
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>
+ <option>lxc.net.[i].script.down</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Add a configuration option to specify a script to be
+ executed before destroying the network used from the
+ host side.
+ -->
+ ホスト側から使われる、ネットワークを破壊する前に実行するスクリプトを指定します。
+ </para>
+
+ <para>
+ <!--
+ In addition to the information available to all hooks. The
+ following information is provided to the script:
+ -->
+ すべてのフックで追加の情報が使えます。以下の情報がスクリプトに提供されます:
+ <itemizedlist>
+ <listitem>
+ <para>
+ LXC_HOOK_TYPE: フックタイプ。'up' か 'down' のいずれかです <!-- the hook type. This is either 'up' or 'down'. -->
+ </para>
+ </listitem>
+
+ <listitem>
+ <para>
+ LXC_HOOK_SECTION: セクションタイプとして 'net' が設定されます<!-- the section type 'net'. -->
+ </para>
+ </listitem>
+
+ <listitem>
+ <para>
+ LXC_NET_TYPE: ネットワークタイプ。有効なネットワークタイプのうちのひとつです (例: 'macvlan', 'veth') <!-- the network type. This is one of the valid
+ network types listed here (e.g. 'macvlan', 'veth'). -->
+ </para>
+ </listitem>
+
+ <listitem>
+ <para>
+ LXC_NET_PARENT: ホスト上の親デバイス名。これはネットワークタイプが 'macvlan'、'veth'、'phys' のどれかのときだけ設定されます <!-- the parent device on the host. This is only
+ set for network types 'mavclan', 'veth', 'phys'. -->
+ </para>
+ </listitem>
+
+ <listitem>
+ <para>
+ LXC_NET_PEER: ホスト上のピアデバイス名。これはネットワークタイプが 'veth' の場合のみ設定されます。この情報は <option>lxc.hook.version</option> が 1 に設定されている場合のみ設定されます
+ <!-- the name of the peer device on the host. This is
+ only set for 'veth' network types. Note that this information
+ is only available when <option>lxc.hook.version</option> is set
+ to 1. -->
+ </para>
+ </listitem>
+ </itemizedlist>
+
+ <!--
+ Whether this information is provided in the form of environment
+ variables or as arguments to the script depends on the value of
+ <option>lxc.hook.version</option>. If set to 1 then information is
+ provided in the form of environment variables. If set to 0
+ information is provided as arguments to the script.
+ -->
+ この情報が環境変数の形で提供されるか、スクリプトへの引数の形で提供されるかは <option>lxc.hook.version</option> の値によって決まります。もし <option>lxc.hook.version</option> が 1 に設定されている場合は、環境変数の形で提供されます。もし 0 が設定されている場合は、スクリプトへの引数として提供されます。
+ </para>
+
+ <para>
+ <!--
+ Standard output from the script is logged at debug level.
+ Standard error is not logged, but can be captured by the
+ hook redirecting its standard error to standard output.
+ -->
+ スクリプトからの標準出力は debug レベルでロギングされます。標準エラー出力はロギングされません。しかし、フックの標準エラー出力を標準出力にリダイレクトすることにより保存することは可能です。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+
+ </refsect2>
+
+ <refsect2>
+ <title><!-- New pseudo tty instance (devpts) -->新しい擬似端末のインスタンス (devpts)</title>
+ <para>
+ <!--
+ For stricter isolation the container can have its own private
+ instance of the pseudo tty.
+ -->
+ さらに厳しい隔離のために、コンテナは自身のプライベートな pseudo tty (擬似端末) を持つことが可能です。
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.pty.max</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ If set, the container will have a new pseudo tty
+ instance, making this private to it. The value specifies
+ the maximum number of pseudo ttys allowed for a pts
+ instance (this limitation is not implemented yet).
+ -->
+ もし設定された場合、コンテナは新しい pseudo tty インスタンスを持ち、それを自身のプライベートとします。
+ この値は pts インスタンスに許可される pseudo tty の最大数を指定します (この制限はまだ実装されていません)。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2>
+ <title><!-- Container system console -->コンテナのシステムコンソール</title>
+ <para>
+ <!--
+ If the container is configured with a root filesystem and the
+ inittab file is setup to use the console, you may want to specify
+ where the output of this console goes.
+ -->
+ コンテナでルートファイルシステムを持つように設定されており、inittab ファイルでコンソールの使用が設定されている場合、このコンソールの出力がどこになされるのかを指定したいと思うでしょう。
+ </para>
+ <variablelist>
+
+ <varlistentry>
+ <term>
+ <option>lxc.console.buffer.size</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Setting this option instructs liblxc to allocate an in-memory
+ ringbuffer. The container's console output will be written to the
+ ringbuffer. Note that ringbuffer must be at least as big as a
+ standard page size. When passed a value smaller than a single page
+ size liblxc will allocate a ringbuffer of a single page size. A page
+ size is usually 4kB.
+ -->
+ このオプションを設定すると、liblxc はインメモリのリングバッファを割り当てます。コンテナのコンソールはリングバッファに出力されます。リングバッファは少なくとも標準ページサイズの大きさでなければなりません。ページサイズより小さい値を与えた場合は、liblxc はページサイズのリングバッファを割り当てます。ページサイズは通常は 4kB です。
+
+ <!--
+ The keyword 'auto' will cause liblxc to allocate a ringbuffer of
+ 128kB.
+ -->
+ 'auto' を指定すると、liblxc は 128kB のリングバッファを割り当てます。
+
+ <!--
+ When manually specifying a size for the ringbuffer the value should
+ be a power of 2 when converted to bytes. Valid size prefixes are
+ 'kB', 'MB', 'GB'. (Note that all conversions are based on multiples
+ of 1024. That means 'kb' == 'KiB', 'MB' == 'MiB', 'GB' == 'GiB'.)
+ -->
+ リングバッファサイズを数値指定する場合、値がバイトに変換されるときに 2 の累乗になります。サイズ接頭辞付きの単位として 'kB'、'MB'、'GB' が使えます。(この場合の変換は 1024 の倍数に基づいています。つまり 'kB' == 'KiB'、'MB' == 'MiB'、'GB' == 'GiB' という意味です。)
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>
+ <option>lxc.console.buffer.logfile</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Setting this option instructs liblxc to write the in-memory
+ ringbuffer to disk. For performance reasons liblxc will only write
+ the in-memory ringbuffer to disk when requested. Note that the this
+ option is only used by liblxc when
+ <option>lxc.console.buffer.size</option> is set.
+ -->
+ このオプションを設定すると、liblxc はインメモリのリングバッファをディスクに書き込みます。パフォーマンスを考慮して、liblxc は指定をした場合に限り、インメモリのリングバッファをディスクに書き込みます。liblxc はこのオプションを、<option>lxc.console.buffer.size</option> が指定された場合のみ使います。
+
+ <!--
+ By default liblxc will dump the contents of the in-memory ringbuffer
+ to disk when the container terminates. This allows users to diagnose
+ boot failures when the container crashed before an API request to
+ retrieve the in-memory ringbuffer could be sent or handled.
+ -->
+ デフォルトでは liblxc は、コンテナが終了した際にインメモリのリングバッファの内容をディスクに書き出します。これによりユーザは、インメモリのリングバッファを取得する API リクエストが送られたり処理される前に、コンテナがクラッシュした場合、ブートの失敗を調査できます。
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>
+ <option>lxc.console.logfile</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify a path to a file where the console output will be written.
+ Note that in contrast to the on-disk ringbuffer logfile this file
+ will keep growing potentially filling up the users disks if not
+ rotated and deleted. This problem can also be avoided by using the
+ in-memory ringbuffer options
+ <option>lxc.console.buffer.size</option> and
+ <option>lxc.console.buffer.logfile</option>.
+ -->
+ コンソール出力を書き込むファイルのパスを指定します。ディスクに保存されるリングバッファログと異なり、このファイルはサイズが大きくなり続けるので、ファイルがローテートや削除されない限りは、ユーザのディスクをいっぱいにしてしまう可能性があります。この問題は、インメモリのリングバッファオプションである、<option>lxc.console.buffer.size</option> と <option>lxc.console.buffer.logfile</option> を使うことでも回避できます。
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>
+ <option>lxc.console.rotate</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Whether to rotate the console logfile specified in
+ <option>lxc.console.logfile</option>. Users can send an API
+ request to rotate the logfile. Note that the old logfile will have
+ the same name as the original with the suffix ".1" appended.
+ -->
+ <option>lxc.console.logfile</option> で指定したコンソールログファイルをローテートするかどうかを指定します。ユーザはログファイルをローテートするように API リクエストを送ることができます。古いログファイルは、元のファイル名と同じ名前のファイルに ".1" というサフィックスが付け加わります。
+
+ <!--
+ Users wishing to prevent the console log file from filling the
+ disk should rotate the logfile and delete it if unneeded. This
+ problem can also be avoided by using the in-memory ringbuffer
+ options <option>lxc.console.buffer.size</option> and
+ <option>lxc.console.buffer.logfile</option>.
+ -->
+ ユーザがコンソールログでディスクがいっぱいになるのを防ぐには、ログファイルをローテートし、不要なログファイルを削除してください。この問題はインメモリのリングバッファオプションである <option>lxc.console.buffer.size</option> と <option>lxc.console.buffer.logfile</option> を使うことでも防げます。
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>
+ <option>lxc.console.path</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify a path to a device to which the console will be
+ attached. The keyword 'none' will simply disable the
+ console. Note, when specifying 'none' and creating a device node
+ for the console in the container at /dev/console or bind-mounting
+ the hosts's /dev/console into the container at /dev/console the
+ container will have direct access to the hosts's /dev/console.
+ This is dangerous when the container has write access to the
+ device and should thus be used with caution.
+ -->
+ コンソールを割り当てるデバイスのパスを指定します。'none' というキーワードは、単純にコンソールを無効にします。
+ 'none' を指定し、コンテナ内のコンソールに対するデバイスノードを /dev/console に作成するか、もしくはホストの /dev/console をコンテナ内の /dev/console に bind mount する場合、そのコンテナはホストの /dev/console へ直接アクセスを行うことに注意が必要です。
+ そのコンテナがデバイスへの書き込み権を持っている場合は危険ですので、注意してこの指定を使用する必要があります。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
</refsect2>
<refsect2>
<title><!-- Console through the ttys -->tty を通したコンソール</title>
<para>
<!--
- This option is useful if the container is configured with a root
- filesystem and the inittab file is setup to launch a getty on the
- ttys. The option specifies the number of ttys to be available for
- the container. The number of gettys in the inittab file of the
- container should not be greater than the number of ttys specified
- in this option, otherwise the excess getty sessions will die and
- respawn indefinitely giving annoying messages on the console or in
- <filename>/var/log/messages</filename>.
+ This option is useful if the container is configured with a root
+ filesystem and the inittab file is setup to launch a getty on the
+ ttys. The option specifies the number of ttys to be available for
+ the container. The number of gettys in the inittab file of the
+ container should not be greater than the number of ttys specified
+ in this option, otherwise the excess getty sessions will die and
+ respawn indefinitely giving annoying messages on the console or in
+ <filename>/var/log/messages</filename>.
-->
このオプションはコンテナが root ファイルシステムを持つように設定されており、inittab ファイルで tty 上に getty の起動が設定されている場合に役に立ちます。
このオプションはコンテナで利用できる tty の数を指定します。
さもなければ、超過した分の getty セッションはコンソールか /var/log/messages にうっとうしいメッセージを生死を表示しながら、永久に生死を繰り返すでしょう。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.tty</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.tty.max</option>
+ </term>
+ <listitem>
<!--
- Specify the number of tty to make available to the
- container.
+ Specify the number of tty to make available to the
+ container.
-->
コンテナに作成出来る tty の数を指定します。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<para>
<!--
LXC consoles are provided through Unix98 PTYs created on the
- host and bind-mounted over the expected devices in the container.
- By default, they are bind-mounted over <filename>/dev/console</filename>
- and <filename>/dev/ttyN</filename>. This can prevent package upgrades
- in the guest. Therefore you can specify a directory location (under
- <filename>/dev</filename> under which LXC will create the files and
- bind-mount over them. These will then be symbolically linked to
- <filename>/dev/console</filename> and <filename>/dev/ttyN</filename>.
- A package upgrade can then succeed as it is able to remove and replace
- the symbolic links.
+ host and bind-mounted over the expected devices in the container.
+ By default, they are bind-mounted over <filename>/dev/console</filename>
+ and <filename>/dev/ttyN</filename>. This can prevent package upgrades
+ in the guest. Therefore you can specify a directory location (under
+ <filename>/dev</filename> under which LXC will create the files and
+ bind-mount over them. These will then be symbolically linked to
+ <filename>/dev/console</filename> and <filename>/dev/ttyN</filename>.
+ A package upgrade can then succeed as it is able to remove and replace
+ the symbolic links.
-->
LXC のコンソールはホストによって作られ、コンテナ内で要求されたデバイスに bind マウントされた Unix98 PTY 経由で提供されます。
デフォルトでは <filename>/dev/console</filename> と <filename>/dev/ttyN</filename> に bind マウントされます。
シンボリックリンクを消去したり置き換えたりすることは可能ですから、パッケージのアップグレードは成功します。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.devttydir</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.tty.dir</option>
+ </term>
+ <listitem>
<!--
- Specify a directory under <filename>/dev</filename>
- under which to create the container console devices.
- -->
+ Specify a directory under <filename>/dev</filename>
+ under which to create the container console devices. Note that LXC
+ will move any bind-mounts or device nodes for /dev/console into
+ this directory.
+ -->
コンテナのコンソールデバイスを作成するための <filename>/dev</filename> 以下のディレクトリを指定します。
- </para>
- </listitem>
- </varlistentry>
+ LXC は /dev/console に対する bind mount や /dev/console デバイスノードをこのディレクトリ以下に移動することに注意が必要です。
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<title><!-- /dev directory -->/dev ディレクトリ</title>
<para>
<!--
- By default, lxc creates a few symbolic links (fd,stdin,stdout,stderr)
- in the container's <filename>/dev</filename> directory but does not
- automatically create device node entries. This allows the container's
- <filename>/dev</filename> to be set up as needed in the container
- rootfs. If lxc.autodev is set to 1, then after mounting the container's
- rootfs LXC will mount a fresh tmpfs under <filename>/dev</filename>
- (limited to 100k) and fill in a minimal set of initial devices.
+ By default, lxc creates a few symbolic links (fd,stdin,stdout,stderr)
+ in the container's <filename>/dev</filename> directory but does not
+ automatically create device node entries. This allows the container's
+ <filename>/dev</filename> to be set up as needed in the container
+ rootfs. If lxc.autodev is set to 1, then after mounting the container's
+ rootfs LXC will mount a fresh tmpfs under <filename>/dev</filename>
+ (limited to 500k) and fill in a minimal set of initial devices.
This is generally required when starting a container containing
a "systemd" based "init" but may be optional at other times. Additional
devices in the containers /dev directory may be created through the
-->
デフォルトでは、lxc はコンテナの <filename>/dev</filename> 以下に fd, stdin, stdout, stderr のシンボリックリンクを作成しますが、自動的にはデバイスノードのエントリは作成しません。
これは、コンテナの rootfs で必要な設定を行えるようにするものです。
- lxc.autodev が 1 に設定されている場合、コンテナの rootfs をマウントした後、LXC は新しい tmpfs を <filename>/dev</filename> 以下にマウントします (100k 制限の)。
+ lxc.autodev が 1 に設定されている場合、コンテナの rootfs をマウントした後、LXC は新しい tmpfs を <filename>/dev</filename> 以下にマウントします (500k 制限の)。
そして初期デバイスの最小限のセットを作成します。
これは、"systemd" ベースの "init" 環境のコンテナを起動する時に通常必要ですが、他の環境の場合はオプショナルなものです。
コンテナの /dev ディレクトリ内の追加デバイスは <option>lxc.hook.autodev</option> フックを使用して作成されます。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.autodev</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.autodev</option>
+ </term>
+ <listitem>
<!--
Set this to 0 to stop LXC from mounting and populating a minimal
<filename>/dev</filename> when starting the container.
-->
コンテナの起動時に LXC が /dev をマウントして最小限の /dev を作成するのを止めるには、この値を 0 に設定してください。
- </para>
- </listitem>
- </varlistentry>
- </variablelist>
- </refsect2>
-
- <refsect2>
- <title><!-- Enable kmsg symlink -->kmsg のシンボリックリンクの有効化</title>
- <para>
- <!--
- Enable creating /dev/kmsg as symlink to /dev/console. This defaults to 0.
- -->
- /dev/console へのシンボリックリンクとして /dev/kmsg を作成することを有効にします。デフォルトは 0 です。
- </para>
- <variablelist>
- <varlistentry>
- <term>
- <option>lxc.kmsg</option>
- </term>
- <listitem>
- <para>
- <!--
- Set this to 1 to enable /dev/kmsg symlinking.
- -->
- /dev/kmsg へのシンボリックリンクを有効にするには 1 を設定してください。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<title><!-- Mount points -->マウントポイント</title>
<para>
<!--
- The mount points section specifies the different places to be
- mounted. These mount points will be private to the container
- and won't be visible by the processes running outside of the
- container. This is useful to mount /etc, /var or /home for
- examples.
+ The mount points section specifies the different places to be
+ mounted. These mount points will be private to the container
+ and won't be visible by the processes running outside of the
+ container. This is useful to mount /etc, /var or /home for
+ examples.
-->
マウントポイントセクションは、マウントするための区別された場所を指定します。
これらのマウントポイントは、コンテナだけに見え、コンテナ外で実行されるプロセスから見えることはありません。
例えば、/etc や /var や /home をマウントするときに役に立つでしょう。
</para>
+ <para>
+ <!--
+ NOTE - LXC will generally ensure that mount targets and relative
+ bind-mount sources are properly confined under the container
+ root, to avoid attacks involving over-mounting host directories
+ and files. (Symbolic links in absolute mount sources are ignored)
+ However, if the container configuration first mounts a directory which
+ is under the control of the container user, such as /home/joe, into
+ the container at some <filename>path</filename>, and then mounts
+ under <filename>path</filename>, then a TOCTTOU attack would be
+ possible where the container user modifies a symbolic link under
+ his home directory at just the right time.
+ -->
+ 注意: 通常 LXC は、マウント対象と相対パス指定のバインドマウントを、適切にコンテナルート以下に閉じ込めます。
+ これは、ホストのディレクトリやファイルに対して重ね合わせを行うようなマウントによる攻撃を防ぎます。(絶対パス指定のマウントソース中の各パスがシンボリックリンクである場合は無視されます。)
+ しかし、もしコンテナの設定が最初に、/home/joe のようなコンテナユーザのコントロール配下にあるディレクトリを、コンテナ中のある <filename>path</filename> にマウントし、その後 <filename>path</filename> 以下でマウントが行われるような場合、コンテナユーザがタイミングを見計らって自身のホームディレクトリ以下でシンボリックリンクを操作するような TOCTTOU 攻撃が成立する可能性があります。
+ </para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.mount</option>
- </term>
- <listitem>
- <para>
- <!--
- specify a file location in
- the <filename>fstab</filename> format, containing the
- mount information. The mount target location can and in
- most cases should be a relative path, which will become
- relative to the mounted container root. For instance,
+ <varlistentry>
+ <term>
+ <option>lxc.mount.fstab</option>
+ </term>
+ <listitem>
+ <!--
+ specify a file location in
+ the <filename>fstab</filename> format, containing the
+ mount information. The mount target location can and in
+ most cases should be a relative path, which will become
+ relative to the mounted container root. For instance,
-->
マウント情報の書かれた <filename>fstab</filename> フォーマットで書かれたファイルの場所を指定します。
マウントする場所は相対バスで書くことができます。そして、ほとんどの場合にコンテナの root からの相対パスとなるはずです。例えば、以下のように書きます。
- </para>
-<screen>
-proc proc proc nodev,noexec,nosuid 0 0
-</screen>
- <para>
+ </para>
+ <programlisting>
+ proc proc proc nodev,noexec,nosuid 0 0
+ </programlisting>
<!--
- Will mount a proc filesystem under the container's /proc,
- regardless of where the root filesystem comes from. This
- is resilient to block device backed filesystems as well as
- container cloning.
- -->
- この例は、root ファイルシステムがどこにあっても、コンテナの /proc 以下に proc ファイルシステムをマウントします。
- これは、ブロックデバイスがバックエンドのファイルシステムだけでなく、コンテナのクローンにも柔軟に対応できます。
- </para>
- <para>
- <!--
- Note that when mounting a filesystem from an
- image file or block device the third field (fs_vfstype)
- cannot be auto as with
+ Will mount a proc filesystem under the container's /proc,
+ regardless of where the root filesystem comes from. This
+ is resilient to block device backed filesystems as well as
+ container cloning.
+ -->
+ この例は、root ファイルシステムがどこにあっても、コンテナの /proc 以下に proc ファイルシステムをマウントします。これは、ブロックデバイスがバックエンドのファイルシステムだけでなく、コンテナのクローンにも柔軟に対応できます。
+ </para>
+ <para>
+ <!--
+ Note that when mounting a filesystem from an
+ image file or block device the third field (fs_vfstype)
+ cannot be auto as with
<citerefentry>
- <refentrytitle>mount</refentrytitle>
+ <refentrytitle>mount</refentrytitle>
<manvolnum>8</manvolnum>
</citerefentry>
but must be explicitly specified.
-->
ファイルシステムがイメージファイルやブロックデバイスからマウントされている場合、3 つ目のフィールド (fs_vfstype) は
<citerefentry>
- <refentrytitle>mount</refentrytitle>
+ <refentrytitle>mount</refentrytitle>
<manvolnum>8</manvolnum>
</citerefentry>
のように auto を指定することはできず、明確に指定しなければいけません。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
- <varlistentry>
- <term>
- <option>lxc.mount.entry</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.mount.entry</option>
+ </term>
+ <listitem>
<!--
- specify a mount point corresponding to a line in the
- fstab format.
+ specify a mount point corresponding to a line in the
+ fstab format.
-->
fstab フォーマットの一行と同じフォーマットのマウントポイントの指定をします。
- </para>
- </listitem>
- </varlistentry>
- <varlistentry>
- <term>
- <option>lxc.mount.auto</option>
- </term>
- <listitem>
- <para>
<!--
- specify which standard kernel file systems should be
- automatically mounted. This may dramatically simplify
- the configuration. The file systems are:
+ Moreover lxc add two options to mount.
+ <option>optional</option> don't fail if mount does not work.
+ <option>create=dir</option> or <option>create=file</option>
+ to create dir (or file) when the point will be mounted.
+ <option>relative</option> source path is taken to be relative to
+ the mounted container root. For instance,
+ -->
+ fstab フォーマットに加えて、LXC ではマウントに対して独自の 2 つのオプションが使えます。
+ <option>optional</option> は、マウントが失敗しても失敗を返さずに無視します。
+ <option>create=dir</option> と <option>create=file</option> は、マウントポイントをマウントする際にディレクトリもしくはファイルを作成します。
+ <option>relative</option> を指定すると、マウントされたコンテナルートからの相対パスとして取得されます。
+ </para>
+ <screen>
+ dev/null proc/kcore none bind,relative 0 0
+ </screen>
+ <para>
+ <!--
+ Will expand dev/null to ${<option>LXC_ROOTFS_MOUNT</option>}/dev/null,
+ and mount it to proc/kcore inside the container.
+ -->
+ は dev/null を ${<option>LXC_ROOTFS_MOUNT</option>}/dev/null と展開し、コンテナ内の proc/kcore にマウントします。
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>
+ <option>lxc.mount.auto</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ specify which standard kernel file systems should be
+ automatically mounted. This may dramatically simplify
+ the configuration. The file systems are:
-->
標準のカーネルファイルシステムで自動的にマウントするものを指定します。
これは劇的に設定を容易にする可能性があります。
- </para>
- <itemizedlist>
- <listitem>
+ </para>
+ <itemizedlist>
+ <listitem>
<!--
- <para>
- <option>proc:mixed</option> (or <option>proc</option>):
- mount <filename>/proc</filename> as read-write, but
- remount <filename>/proc/sys</filename> and
- <filename>/proc/sysrq-trigger</filename> read-only
- for security / container isolation purposes.
- </para>
+ <option>proc:mixed</option> (or <option>proc</option>):
+ mount <filename>/proc</filename> as read-write, but
+ remount <filename>/proc/sys</filename> and
+ <filename>/proc/sysrq-trigger</filename> read-only
+ for security / container isolation purposes.
+ </para>
-->
<para>
<option>proc:mixed</option> (or <option>proc</option>):
<filename>/proc</filename> を読み書き可能でマウントします。
ただし、<filename>/proc/sys</filename> と <filename>/proc/sysrq-trigger</filename> は、セキュリティとコンテナの隔離の目的でリードオンリーで再マウントされます。
</para>
- </listitem>
- <listitem>
+ </listitem>
+ <listitem>
<!--
- <para>
- <option>proc:rw</option>: mount
- <filename>/proc</filename> as read-write
- </para>
+ <option>proc:rw</option>: mount
+ <filename>/proc</filename> as read-write
+ </para>
-->
<para>
- <option>proc:rw</option>:
+ <option>proc:rw</option>:
<filename>/proc</filename> を読み書き可能でマウントします。
</para>
- </listitem>
- <listitem>
- <!--
+ </listitem>
+ <listitem>
+ <!--
<para>
<option>sys:mixed</option> (or <option>sys</option>):
mount <filename>/sys</filename> as read-only but with
/sys/devices/virtual/net writable.
</para>
- -->
- <para>
- <option>sys:mixed</option> (or <option>sys</option>):
- /sys/devices/virtual/net のみ書き込み可能で、その他の <filename>/sys</filename> はリードオンリーでマウントします。
- </para>
+ -->
+ <option>sys:mixed</option> (or <option>sys</option>):
+ /sys/devices/virtual/net のみ書き込み可能で、その他の <filename>/sys</filename> はリードオンリーでマウントします。
+ </para>
</listitem>
- <listitem>
+ <listitem>
<!--
- <para>
- <option>sys:ro</option>
- mount <filename>/sys</filename> as read-only
- for security / container isolation purposes.
- </para>
+ <option>sys:ro</option>
+ mount <filename>/sys</filename> as read-only
+ for security / container isolation purposes.
+ </para>
-->
<para>
<option>sys:ro</option>:
<filename>/sys</filename> を、セキュリティとコンテナの隔離の目的でリードオンリーでマウントします。
</para>
- </listitem>
- <listitem>
- <!--
- <para>
- <option>sys:rw</option>: mount
- <filename>/sys</filename> as read-write
- </para>
+ </listitem>
+ <listitem>
+ <!--
+ <option>sys:rw</option>: mount
+ <filename>/sys</filename> as read-write
+ </para>
-->
<para>
- <option>sys:rw</option>:
+ <option>sys:rw</option>:
<filename>/sys</filename> を読み書き可能でマウントします。
</para>
- </listitem>
- <listitem>
+ </listitem>
+ <listitem>
<!--
- <para>
- <option>cgroup:mixed</option>:
- mount a tmpfs to <filename>/sys/fs/cgroup</filename>,
- create directories for all hierarchies to which
- the container is added, create subdirectories
- there with the name of the cgroup, and bind-mount
- the container's own cgroup into that directory.
- The container will be able to write to its own
- cgroup directory, but not the parents, since they
- will be remounted read-only
- </para>
+ <option>cgroup:mixed</option>:
+ mount a tmpfs to <filename>/sys/fs/cgroup</filename>,
+ create directories for all hierarchies to which
+ the container is added, create subdirectories
+ there with the name of the cgroup, and bind-mount
+ the container's own cgroup into that directory.
+ The container will be able to write to its own
+ cgroup directory, but not the parents, since they
+ will be remounted read-only
+ </para>
-->
<para>
- <option>cgroup:mixed</option>:
+ <option>cgroup:mixed</option>:
<filename>/sys/fs/cgroup</filename> を tmpfs でマウントし、そのコンテナの追加が行われた全ての階層構造に対するディレクトリを作製し、その cgroup の名前でその中にサブディレクトリを作製し、そのコンテナ自身の cgroup をそのディレクトリにバインドマウントします。
コンテナは自身の cgroup ディレクトリに書き込みが可能ですが、親ディレクトリはリードオンリーで再マウントされているため書き込めません。
</para>
- </listitem>
- <listitem>
+ </listitem>
+ <listitem>
<!--
- <para>
- <option>cgroup:ro</option>: similar to
- <option>cgroup:mixed</option>, but everything will
- be mounted read-only.
- </para>
+ <option>cgroup:ro</option>: similar to
+ <option>cgroup:mixed</option>, but everything will
+ be mounted read-only.
+ </para>
-->
<para>
- <option>cgroup:ro</option>:
+ <option>cgroup:ro</option>:
<option>cgroup:mixed</option> と同様にマウントされますが、全てリードオンリーでマウントされます。
</para>
- </listitem>
- <listitem>
+ </listitem>
+ <listitem>
<!--
- <para>
- <option>cgroup:rw</option>: similar to
- <option>cgroup:mixed</option>, but everything will
- be mounted read-write. Note that the paths leading
- up to the container's own cgroup will be writable,
- but will not be a cgroup filesystem but just part
- of the tmpfs of <filename>/sys/fs/cgroup</filename>
- </para>
+ <option>cgroup:rw</option>: similar to
+ <option>cgroup:mixed</option>, but everything will
+ be mounted read-write. Note that the paths leading
+ up to the container's own cgroup will be writable,
+ but will not be a cgroup filesystem but just part
+ of the tmpfs of <filename>/sys/fs/cgroup</filename>
+ </para>
-->
<para>
- <option>cgroup:rw</option>:
+ <option>cgroup:rw</option>:
<option>cgroup:mixed</option> と同様にマウントされますが、全て読み書き可能でマウントされます。
コンテナ自身の cgroup に至るまでのパスも書き込み可能になることに注意が必要ですが、cgroup ファイルシステムにはならず、
<filename>/sys/fs/cgroup</filename> の tmpfs の一部分になるでしょう。
</para>
- </listitem>
- <listitem>
- <para>
+ </listitem>
+ <listitem>
<!--
- <option>cgroup</option> (without specifier):
- defaults to <option>cgroup:rw</option> if the
- container retains the CAP_SYS_ADMIN capability,
- <option>cgroup:mixed</option> otherwise.
+ <option>cgroup</option> (without specifier):
+ defaults to <option>cgroup:rw</option> if the
+ container retains the CAP_SYS_ADMIN capability,
+ <option>cgroup:mixed</option> otherwise.
-->
- <option>cgroup</option> (マウントオプションなしの場合):
+ <option>cgroup</option> (マウントオプションなしの場合):
コンテナが CAP_SYS_ADMIN ケーパビリティを保持している場合、<option>cgroup:rw</option> となります。保持していない場合、<option>cgroup:mixed</option> となります。
- </para>
- </listitem>
- <listitem>
+ </para>
+ </listitem>
+ <listitem>
<!--
- <para>
- <option>cgroup-full:mixed</option>:
- mount a tmpfs to <filename>/sys/fs/cgroup</filename>,
- create directories for all hierarchies to which
- the container is added, bind-mount the hierarchies
- from the host to the container and make everything
- read-only except the container's own cgroup. Note
- that compared to <option>cgroup</option>, where
- all paths leading up to the container's own cgroup
- are just simple directories in the underlying
- tmpfs, here
- <filename>/sys/fs/cgroup/$hierarchy</filename>
- will contain the host's full cgroup hierarchy,
- albeit read-only outside the container's own cgroup.
- This may leak quite a bit of information into the
- container.
- </para>
+ <option>cgroup-full:mixed</option>:
+ mount a tmpfs to <filename>/sys/fs/cgroup</filename>,
+ create directories for all hierarchies to which
+ the container is added, bind-mount the hierarchies
+ from the host to the container and make everything
+ read-only except the container's own cgroup. Note
+ that compared to <option>cgroup</option>, where
+ all paths leading up to the container's own cgroup
+ are just simple directories in the underlying
+ tmpfs, here
+ <filename>/sys/fs/cgroup/$hierarchy</filename>
+ will contain the host's full cgroup hierarchy,
+ albeit read-only outside the container's own cgroup.
+ This may leak quite a bit of information into the
+ container.
+ </para>
-->
<para>
- <option>cgroup-full:mixed</option>:
+ <option>cgroup-full:mixed</option>:
<filename>/sys/fs/cgroup</filename> を tmpfs でマウントし、そのコンテナの追加が行われた全ての階層構造に対するディレクトリを作製し、ホストからコンテナまでの階層構造を全てバインドマウントし、コンテナ自身の cgroup を除いてリードオンリーにします。
<option>cgroup</option> と比べると、コンテナ自身の cgroup に至るまでの全てのパスが tmpfs の下層のシンプルなディレクトリとなり、コンテナ自身の cgroup の外ではリードオンリーになりますが、<filename>/sys/fs/cgroup/$hierarchy</filename> はホストの全ての cgroup 階層構造を含みます。
これにより、コンテナにはかなりの情報が漏洩します。
</para>
- </listitem>
- <listitem>
+ </listitem>
+ <listitem>
<!--
- <para>
- <option>cgroup-full:ro</option>: similar to
- <option>cgroup-full:mixed</option>, but everything
- will be mounted read-only.
- </para>
+ <option>cgroup-full:ro</option>: similar to
+ <option>cgroup-full:mixed</option>, but everything
+ will be mounted read-only.
+ </para>
-->
<para>
- <option>cgroup-full:ro</option>:
+ <option>cgroup-full:ro</option>:
<option>cgroup-full:mixed</option> と同様にマウントされますが、全てリードオンリーでマウントされます。
</para>
- </listitem>
- <listitem>
+ </listitem>
+ <listitem>
<!--
- <para>
- <option>cgroup-full:rw</option>: similar to
- <option>cgroup-full:mixed</option>, but everything
- will be mounted read-write. Note that in this case,
- the container may escape its own cgroup. (Note also
- that if the container has CAP_SYS_ADMIN support
- and can mount the cgroup filesystem itself, it may
- do so anyway.)
- </para>
+ <option>cgroup-full:rw</option>: similar to
+ <option>cgroup-full:mixed</option>, but everything
+ will be mounted read-write. Note that in this case,
+ the container may escape its own cgroup. (Note also
+ that if the container has CAP_SYS_ADMIN support
+ and can mount the cgroup filesystem itself, it may
+ do so anyway.)
+ </para>
-->
<para>
- <option>cgroup-full:rw</option>:
- <option>cgroup-full:mixed</option>と同様にマウントされますが、全て読み書き可能でマウントされます。
+ <option>cgroup-full:rw</option>:
+ <option>cgroup-full:mixed</option>と同様にマウントされますが、全て読み書き可能でマウントされます。
この場合、コンテナは自身の cgroup から脱出する可能性があることに注意してください (コンテナが CAP_SYS_ADMIN を持ち、自身で cgroup ファイルシステムをマウント可能なら、いずれにせよそのようにするかもしれないことにも注意してください)。
</para>
- </listitem>
- <listitem>
- <para>
+ </listitem>
+ <listitem>
<!--
- <option>cgroup-full</option> (without specifier):
- defaults to <option>cgroup-full:rw</option> if the
- container retains the CAP_SYS_ADMIN capability,
- <option>cgroup-full:mixed</option> otherwise.
+ <option>cgroup-full</option> (without specifier):
+ defaults to <option>cgroup-full:rw</option> if the
+ container retains the CAP_SYS_ADMIN capability,
+ <option>cgroup-full:mixed</option> otherwise.
-->
- <option>cgroup-full</option> (マウントオプションなしの場合):
+ <option>cgroup-full</option> (マウントオプションなしの場合):
コンテナが CAP_SYS_ADMIN ケーパビリティを保持している場合、<option>cgroup-full:rw</option> となります。保持していない場合、<option>cgroup-full:mixed</option> となります。
- </para>
- </listitem>
- </itemizedlist>
- <para>
- <!--
- Note that if automatic mounting of the cgroup filesystem
- is enabled, the tmpfs under
- <filename>/sys/fs/cgroup</filename> will always be
- mounted read-write (but for the <option>:mixed</option>
- and <option>:ro</option> cases, the individual
- hierarchies,
- <filename>/sys/fs/cgroup/$hierarchy</filename>, will be
- read-only). This is in order to work around a quirk in
- Ubuntu's
+ </para>
+ </listitem>
+ </itemizedlist>
+ <para>
+ <!--
+ If cgroup namespaces are enabled, then any <option>cgroup</option>
+ auto-mounting request will be ignored, since the container can
+ mount the filesystems itself, and automounting can confuse the
+ container init.
+ -->
+ cgroup 名前空間が有効の場合、<option>cgroup</option> の自動マウントの指定はどれも無視されます。これは、コンテナが自身でファイルシステムをマウントするため、自動マウントがコンテナの init を混乱させる可能性があるためです。
+ </para>
+ <para>
+ <!--
+ Note that if automatic mounting of the cgroup filesystem
+ is enabled, the tmpfs under
+ <filename>/sys/fs/cgroup</filename> will always be
+ mounted read-write (but for the <option>:mixed</option>
+ and <option>:ro</option> cases, the individual
+ hierarchies,
+ <filename>/sys/fs/cgroup/$hierarchy</filename>, will be
+ read-only). This is in order to work around a quirk in
+ Ubuntu's
<citerefentry>
- <refentrytitle>mountall</refentrytitle>
+ <refentrytitle>mountall</refentrytitle>
<manvolnum>8</manvolnum>
</citerefentry>
- command that will cause containers to wait for user
- input at boot if
- <filename>/sys/fs/cgroup</filename> is mounted read-only
- and the container can't remount it read-write due to a
- lack of CAP_SYS_ADMIN.
+ command that will cause containers to wait for user
+ input at boot if
+ <filename>/sys/fs/cgroup</filename> is mounted read-only
+ and the container can't remount it read-write due to a
+ lack of CAP_SYS_ADMIN.
-->
cgroup ファイルシステムの自動マウントが有効の場合、<filename>/sys/fs/cgroup</filename> 以下の tmpfs は常に読み書き可能でマウントされることに注意が必要です (しかし <option>:mixed</option> と <option>:ro</option> の場合は、個々の階層の <filename>/sys/fs/cgroup/$hierarchy</filename> は読み込み専用となるでしょう)。これは Ubuntu の
<citerefentry>
- <refentrytitle>mountall</refentrytitle>
+ <refentrytitle>mountall</refentrytitle>
<manvolnum>8</manvolnum>
</citerefentry>
コマンドの特異な動きに対処するためのものです。特異な動きとは、<filename>/sys/fs/cgroup</filename> が読み込み専用でマウントされた状態で、コンテナが CAP_SYS_ADMIN を持たない場合、/sys/fs/cgroup を読み書き可能で再マウントしようとしてできないため、コンテナのブート時にユーザからの入力を待ってしまうというものです。
- </para>
- <para>
+ </para>
<!--
- Examples:
+ Examples:
-->
例:
- </para>
- <programlisting>
- lxc.mount.auto = proc sys cgroup
- lxc.mount.auto = proc:rw sys:rw cgroup-full:rw
- </programlisting>
- </listitem>
- </varlistentry>
+ </para>
+ lxc.mount.auto = proc sys cgroup
+ lxc.mount.auto = proc:rw sys:rw cgroup-full:rw
+ </programlisting>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<title><!-- Root file system -->ルートファイルシステム</title>
<para>
<!--
- The root file system of the container can be different than that
- of the host system.
+ The root file system of the container can be different than that
+ of the host system.
-->
コンテナのルートファイルシステムは、ホストのルートファイルシステムと異なるようにすることも可能です。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.rootfs</option>
- </term>
- <listitem>
- <para>
- <!--
- specify the root file system for the container. It can
- be an image file, a directory or a block device. If not
- specified, the container shares its root file system
- with the host.
+ <varlistentry>
+ <term>
+ <option>lxc.rootfs.path</option>
+ </term>
+ <listitem>
+ <!--
+ specify the root file system for the container. It can
+ be an image file, a directory or a block device. If not
+ specified, the container shares its root file system
+ with the host.
-->
コンテナのルートファイルシステムを指定します。
この値はイメージファイル、ディレクトリ、ブロックデバイスのどれかを取ることができます。
もし指定されない場合、コンテナはホストとルートファイルシステムを共有します。
- </para>
- <para>
+ </para>
<!--
For directory or simple block-device backed containers,
a pathname can be used. If the rootfs is backed by a nbd
specifies that the rootfs should be an overlay with <filename>/upper</filename>
being mounted read-write over a read-only mount of <filename>/lower</filename>.
<filename>aufs:/lower:/upper</filename> does the same using aufs in place
- of overlayfs. <filename>loop:/file</filename> tells lxc to attach
+ of overlayfs. For both <filename>overlayfs</filename> and
+ <filename>aufs</filename> multiple <filename>/lower</filename>
+ directories can be specified. <filename>loop:/file</filename> tells lxc to attach
<filename>/file</filename> to a loop device and mount the loop device.
-->
ディレクトリ、単純なブロックデバイスのバックエンドを持つコンテナの場合、パス名を使うことができます。
もし rootfs が nbd デバイスの場合、<filename>nbd:file:1</filename> という指定は <filename>file</filename> を nbd デバイスとして使用し、その 1 番目のパーティションが rootfs としてマウントされます。
<filename>nbd:file</filename> という指定は、nbd デバイス自身をマウントします。
<filename>overlayfs:/lower:/upper</filename> という指定は、rootfs は <filename>/lower</filename> という読み込み専用でマウントされるディレクトリの上に、<filename>/upper</filename> というディレクトリを読み書き可能で重ね合わせてマウントします。
- <filename>aufs:/lower:/upper</filename> は overlayfs で指定している部分を aufs と指定すれば同じことになります。
+ <filename>aufs:/lower:/upper</filename> は overlayfs で指定している部分を aufs と指定すれば同じことになります。<filename>overlayfs</filename> と <filename>aufs</filename> は両方とも、複数の <filename>/lower</filename> ディレクトリを指定できます。
<filename>loop:/file</filename> は <filename>/file</filename> を loop デバイスとして使用し、loop デバイスをマウントします。
- </para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term>
- <option>lxc.rootfs.mount</option>
- </term>
- <listitem>
- <para>
- <!--
- where to recursively bind <option>lxc.rootfs</option>
- before pivoting. This is to ensure success of the
- <citerefentry>
- <refentrytitle><command>pivot_root</command></refentrytitle>
- <manvolnum>8</manvolnum>
- </citerefentry>
- syscall. Any directory suffices, the default should
- generally work.
- -->
- root ファイルシステムの変更の前に、<option>lxc.rootfs</option> を再帰的にどこにバインドするのかを指定します。これは
- <citerefentry>
- <refentrytitle><command>pivot_root</command></refentrytitle>
- <manvolnum>8</manvolnum>
- </citerefentry>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>
+ <option>lxc.rootfs.mount</option>
+ </term>
+ <listitem>
+ <!--
+ where to recursively bind <option>lxc.rootfs.path</option>
+ before pivoting. This is to ensure success of the
+ <citerefentry>
+ <refentrytitle><command>pivot_root</command></refentrytitle>
+ <manvolnum>8</manvolnum>
+ </citerefentry>
+ syscall. Any directory suffices, the default should
+ generally work.
+ -->
+ root ファイルシステムの変更の前に、<option>lxc.rootfs.path</option> を再帰的にどこにバインドするのかを指定します。これは
+ <citerefentry>
+ <refentrytitle><command>pivot_root</command></refentrytitle>
+ <manvolnum>8</manvolnum>
+ </citerefentry>
システムコールが確実に成功する事を保証します。
どんなディレクトリでも良く、デフォルトでも通常は動くはずです。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
- <varlistentry>
- <term>
- <option>lxc.rootfs.options</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.rootfs.options</option>
+ </term>
+ <listitem>
<!--
- extra mount options to use when mounting the rootfs.
+ extra mount options to use when mounting the rootfs.
-->
rootfs をマウントするときに追加したいマウントオプション。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<title>Control group</title>
<para>
<!--
- The control group section contains the configuration for the
- different subsystem. <command>lxc</command> does not check the
- correctness of the subsystem name. This has the disadvantage
- of not detecting configuration errors until the container is
- started, but has the advantage of permitting any future
- subsystem.
+ The control group section contains the configuration for the
+ different subsystem. <command>lxc</command> does not check the
+ correctness of the subsystem name. This has the disadvantage
+ of not detecting configuration errors until the container is
+ started, but has the advantage of permitting any future
+ subsystem.
-->
CONTROL GROUP セクションは、(lxc とは) 別のサブシステムの設定を含みます。
<command>lxc</command> は、このサブシステム名の正しさはチェックしません。
実行時のエラーを検出するのに不便ですが、別の将来のサブシステムをサポート出来るという有利な点もあります。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.cgroup.[subsystem name]</option>
- </term>
- <listitem>
- <para>
- <!--
- specify the control group value to be set. The
- subsystem name is the literal name of the control group
- subsystem. The permitted names and the syntax of their
- values is not dictated by LXC, instead it depends on the
- features of the Linux kernel running at the time the
- container is started,
- eg. <option>lxc.cgroup.cpuset.cpus</option>
+ <varlistentry>
+ <term>
+ <option>lxc.cgroup.[subsystem name]</option>
+ </term>
+ <listitem>
+ <!--
+ specify the control group value to be set. The
+ subsystem name is the literal name of the control group
+ subsystem. The permitted names and the syntax of their
+ values is not dictated by LXC, instead it depends on the
+ features of the Linux kernel running at the time the
+ container is started,
+ eg. <option>lxc.cgroup.cpuset.cpus</option>
-->
設定する control group の値を指定します。
サブシステム名は、control group のそのままの名前です。
許される名前や値の書式は LXC が指示することはなく、コンテナが実行された時に実行されている Linux カーネルの機能に依存します。
例えば <option>lxc.cgroup.cpuset.cpus</option>
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>
+ <option>lxc.cgroup.dir</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ specify a directory or path in which the container's cgroup will
+ be created. For example, setting
+ <option>lxc.cgroup.dir = my-cgroup/first</option> for a container
+ named "c1" will create the container's cgroup as a sub-cgroup of
+ "my-cgroup". For example, if the user's current cgroup "my-user"
+ is located in the root cgroup of the cpuset controllerin in a
+ cgroup v1 hierarchy this would create the cgroup
+ "/sys/fs/cgroup/cpuset/my-user/my-cgroup/first/c1" for the
+ container. Any missing cgroups will be created by LXC. This
+ presupposes that the user has write access to its current cgroup.
+ -->
+ コンテナの cgroup を作成するパスやディレクトリを指定します。
+ 例えば、"c1" という名前のコンテナで <option>lxc.cgroup.dir = my-cgroup/first</option> のように設定すると、"my-cgroup" のサブ cgroup のようにコンテナの cgroup を作成します。
+ 例えば、ユーザのカレントの cgroup である "my-user" が cgroup v1 階層にある cpuset コントローラの root cgroup 内に存在する場合、この設定は "/sys/fs/cgroup/cpuset/my-user/my-cgroup/first/c1" という cgroup をこのコンテナ向けに作成します。
+ 存在しない cgroup は LXC が作成しますが、ユーザがカレントの cgroup に書き込み権を持っていることが前提となります。
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<title><!-- Capabilities -->ケーパビリティ</title>
<para>
<!--
- The capabilities can be dropped in the container if this one
- is run as root.
+ The capabilities can be dropped in the container if this one
+ is run as root.
-->
コンテナが root 権限で実行されていても、コンテナ内ではケーパビリティ (capabilities) を削除する事は可能です。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.cap.drop</option>
- </term>
- <listitem>
- <para>
- <!--
- Specify the capability to be dropped in the container. A
- single line defining several capabilities with a space
- separation is allowed. The format is the lower case of
- the capability definition without the "CAP_" prefix,
- eg. CAP_SYS_MODULE should be specified as
- sys_module. See
- <citerefentry>
- <refentrytitle><command>capabilities</command></refentrytitle>
- <manvolnum>7</manvolnum>
- </citerefentry>,
+ <varlistentry>
+ <term>
+ <option>lxc.cap.drop</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify the capability to be dropped in the container. A
+ single line defining several capabilities with a space
+ separation is allowed. The format is the lower case of
+ the capability definition without the "CAP_" prefix,
+ eg. CAP_SYS_MODULE should be specified as
+ sys_module. See
+ <citerefentry>
+ <refentrytitle><command>capabilities</command></refentrytitle>
+ <manvolnum>7</manvolnum>
+ </citerefentry>,
+ If used with no value, lxc will clear any drop capabilities
+ specified up to this point.
-->
コンテナ内で削除するケーパビリティ (capability) を指定します。
一行でスペース区切りで複数のケーパビリティを指定することも可能です。
指定は、"CAP_" というプレフィックスなしで、小文字でケーパビリティを指定します。
例えば、CAP_SYS_MODULE というケーパビリティは sys_module と指定する必要があります。
詳しくは以下を参照してください。
- <citerefentry>
- <refentrytitle><command>capabilities</command></refentrytitle>
- <manvolnum>7</manvolnum>
- </citerefentry>
- </para>
- </listitem>
- </varlistentry>
- <varlistentry>
- <term>
- <option>lxc.cap.keep</option>
- </term>
- <listitem>
- <para>
- <!--
- Specify the capability to be kept in the container. All other
- capabilities will be dropped. When a special value of "none" is
- encountered, lxc will clear any keep capabilities specified up
- to this point. A value of "none" alone can be used to drop all
- capabilities.
+ <citerefentry>
+ <refentrytitle><command>capabilities</command></refentrytitle>
+ <manvolnum>7</manvolnum>
+ </citerefentry>
+ この設定を、値を指定しない状態で使った場合、それ以前に指定された削除対象のケーパビリティの指定をすべてクリアします (lxc.cap.drop に何も指定しない状態になります)。
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>
+ <option>lxc.cap.keep</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify the capability to be kept in the container. All other
+ capabilities will be dropped. When a special value of "none" is
+ encountered, lxc will clear any keep capabilities specified up
+ to this point. A value of "none" alone can be used to drop all
+ capabilities.
-->
コンテナ内で維持するケーパビリティを指定します。指定した以外の全てのケーパビリティはドロップされます。
特別な値 "none" が指定されている時点で、lxc はこの時点で保持することになっている全てのケーパビリティをクリアします。"none" を単独で使用するとすべてのケーパビリティを削除できます。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2>
+ <title>名前空間の継承 <!-- Namespace Inheritance --></title>
+ <para>
+ <!--
+ A namespace can be inherited from another container or process.
+ -->
+ 他のコンテナやプロセスから名前空間を継承できます。
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.namespace.[namespace identifier]</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify a namespace to inherit from another container or process.
+ The <option>[namespace identifier]</option> suffix needs to be
+ replaced with one of the namespaces that appear in the
+ <filename>/proc/PID/ns</filename> directory.
+ -->
+ 他のコンテナやプロセスから継承する名前空間を指定します。<option>[namespace identifier]</option> には、<filename>/proc/PID/ns</filename> ディレクトリ内に現れる名前空間のひとつが入ります。
+ </para>
+
+ <para>
+ <!--
+ To inherit the namespace from another process set the
+ <option>lxc.namespace.[namespace identifier]</option> to the PID of
+ the process, e.g. <option>lxc.namespace.net=42</option>.
+ -->
+ 他のプロセスから名前空間を継承するには、<option>lxc.namespace.[namespace identifier]</option> の値をプロセスの PID に設定します。例えば <option>lxc.namespace.net=42</option> のようになります。
+ </para>
+
+ <para>
+ <!--
+ To inherit the namespace from another container set the
+ <option>lxc.namespace.[namespace identifier]</option> to the name of
+ the container, e.g. <option>lxc.namespace.pid=c3</option>.
+ -->
+ 他のコンテナから名前空間を継承するには、<option>lxc.namespace.[namespace identifier]</option> の値をコンテナ名に設定します。例えば <option>lxc.namespace.pid=c3</option> のようになります。
+ </para>
+
+ <para>
+ <!--
+ To inherit the namespace from another container located in a
+ different path than the standard liblxc path set the
+ <option>lxc.namespace.[namespace identifier]</option> to the full
+ path to the container, e.g.
+ <option>lxc.namespace.user=/opt/c3</option>.
+ -->
+ 標準の liblxc のパスとは異なるコンテナパスに存在する他のコンテナから名前空間を継承するには、<option>lxc.namespace.[namespace identifier]</option> をそのコンテナのフルパスで指定します。例えば <option>lxc.namespace.user=/opt/c3</option> のようになります。
+ </para>
+
+ <para>
+ <!--
+ In order to inherit namespaces the caller needs to have sufficient
+ privilege over the process or container.
+ -->
+ 名前空間を継承するためには、呼び出し元が継承元のプロセスまたはコンテナに対して十分な権限を持っている必要があります。
+ </para>
+
+ <para>
+ <!--
+ Note that sharing pid namespaces between system containers will
+ likely not work with most init systems.
+ -->
+ システムコンテナ間での PID 名前空間の共有は、ほとんどの init システムではうまく動作しない可能性があることに注意が必要です。
+ </para>
+
+ <para>
+ <!--
+ Note that if two processes are in different user namespaces and one
+ process wants to inherit the other's network namespace it usually
+ needs to inherit the user namespace as well.
+ -->
+ ふたつのプロセスが異なるユーザ名前空間に存在し、そのうちのひとつが他のネットワーク名前空間を継承したい場合、通常はユーザ名前空間も同様に継承する必要があることに注意が必要です。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2>
+ <title>リソース制限 <!-- Resource limits --></title>
+ <para>
+ <!--
+ The soft and hard resource limits for the container can be changed.
+ Unprivileged containers can only lower them. Resources which are not
+ explicitly specified will be inherited.
+ -->
+ コンテナに対するソフトもしくはハードリミットを変更できます。非特権コンテナでは、制限を下げることしかできません。明示的に指定されていないリソースは継承されます。
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.prlimit.[limit name]</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify the resource limit to be set. A limit is specified as two
+ colon separated values which are either numeric or the word
+ 'unlimited'. A single value can be used as a shortcut to set both
+ soft and hard limit to the same value. The permitted names the
+ "RLIMIT_" resource names in lowercase without the "RLIMIT_"
+ prefix, eg. RLIMIT_NOFILE should be specified as "nofile". See
+ <citerefentry>
+ <refentrytitle><command>setrlimit</command></refentrytitle>
+ <manvolnum>2</manvolnum>
+ </citerefentry>.
+ If used with no value, lxc will clear the resource limit
+ specified up to this point. A resource with no explicitly
+ configured limitation will be inherited from the process starting
+ up the container.
+ -->
+ 設定したいリソースと制限値を指定します。制限値はコロンで区切られた 2 つの値で指定します。値は数値もしくは 'unlimited' で指定します。ソフトもハードも同じ値を指定する場合は単一の値を指定できます。指定できる名前は、"RLIMIT_" 接頭辞がなく小文字で書かれた、"RLIMIT_" リソース名です。例えば、RLIMIT_NOFILE は "nofile" と指定します。詳しくは
+ <citerefentry>
+ <refentrytitle><command>setrlimit</command></refentrytitle>
+ <manvolnum>2</manvolnum>
+ </citerefentry> を参照してください。
+ 値を指定せずに使用した場合、lxc はこの指定以前に設定されたリソース制限をクリアします。明示的に制限が設定されていないリソースについては、コンテナを起動したプロセスから継承します。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2>
+ <title>Sysctl</title>
+ <para>
+ <!--
+ Configure kernel parameters for the container.
+ -->
+ コンテナ用のカーネルパラメータを設定します。
+ </para>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.sysctl.[kernel parameters name]</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify the kernel parameters to be set. The parameters available
+ are those listed under /proc/sys/.
+ Note that not all sysctls are namespaced. Changing Non-namespaced
+ sysctls will cause the system-wide setting to be modified.
+ -->
+ 設定したいカーネルパラメータを指定します。指定できるパラメータは /proc/sys 以下に存在するものです。
+ すべての sysctl パラメータが仮想化(名前空間化)されているわけではないことに注意してください。仮想化されていない sysctl を設定すると、システムワイドで設定が変更されてしまいます。
+ <citerefentry>
+ <refentrytitle><command>sysctl</command></refentrytitle>
+ <manvolnum>8</manvolnum>
+ </citerefentry>.
+ <!--
+ If used with no value, lxc will clear the parameters specified up
+ to this point.
+ -->
+ 値を指定しないでこの設定を指定した場合は、この設定より前に設定されたパラメータをクリアします。
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<title><!-- Apparmor profile -->Apparmor プロファイル</title>
<para>
<!--
- If lxc was compiled and installed with apparmor support, and the host
- system has apparmor enabled, then the apparmor profile under which the
- container should be run can be specified in the container
- configuration. The default is <command>lxc-container-default</command>.
+ If lxc was compiled and installed with apparmor support, and the host
+ system has apparmor enabled, then the apparmor profile under which the
+ container should be run can be specified in the container
+ configuration. The default is <command>lxc-container-default-cgns</command>
+ if the host kernel is cgroup namespace aware, or
+ <command>lxc-container-default</command> othewise.
-->
lxc が apparmor サポートでコンパイルされ、インストールされている場合で、ホストで apparmor が有効な場合、コンテナが従って動くべき apparmor プロファイルは、コンテナの設定で指定することが可能です。
- デフォルトは <command>lxc-container-default</command> です。
+ デフォルトは、ホストのカーネルで cgroup 名前空間が使える場合は <command>lxc-container-default-cgns</command>です。使えない場合は <command>lxc-container-default</command> です。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.aa_profile</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.apparmor.profile</option>
+ </term>
+ <listitem>
<!--
- Specify the apparmor profile under which the container should
- be run. To specify that the container should be unconfined,
- use
+ Specify the apparmor profile under which the container should
+ be run. To specify that the container should be unconfined,
+ use
-->
コンテナが従うべき apparmor プロファイルを指定します。
コンテナが apparmor による制限を受けないように設定するには、以下のように設定します。
- </para>
- <programlisting>lxc.aa_profile = unconfined</programlisting>
- </listitem>
- </varlistentry>
- <varlistentry>
- <term>
- <option>lxc.aa_allow_incomplete</option>
- </term>
- <listitem>
- <para>
- <!--
- Apparmor profiles are pathname based. Therefore many file
- restrictions require mount restrictions to be effective against
- a determined attacker. However, these mount restrictions are not
- yet implemented in the upstream kernel. Without the mount
- restrictions, the apparmor profiles still protect against accidental
- damager.
+ </para>
+ <programlisting>lxc.apparmor.profile = unconfined</programlisting>
+ <para>
+ <!--
+ If the apparmor profile should remain unchanged (i.e. if you
+ are nesting containers and are already confined), then use
+ -->
+ もし apparmor プロファイルが変更されないままでなくてはならない場合 (ネストしたコンテナである場合や、すでに confined されている場合) は以下のように設定します。
+ </para>
+ <programlisting>lxc.apparmor.profile = unchanged</programlisting>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>
+ <option>lxc.apparmor.allow_incomplete</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Apparmor profiles are pathname based. Therefore many file
+ restrictions require mount restrictions to be effective against
+ a determined attacker. However, these mount restrictions are not
+ yet implemented in the upstream kernel. Without the mount
+ restrictions, the apparmor profiles still protect against accidental
+ damager.
-->
apparmor プロファイルはパス名ベースですので、多数のファイルの制限を行う際、執念深い攻撃者に対して効果的であるためにはマウントの制限が必要です。
しかし、これらのマウントの制限は upstream のカーネルではまだ実装されていません。マウントの制限なしでも、apparmor プロファイルによって予想外のダメージに対する保護が可能です。
- </para>
- <para>
+ </para>
<!--
- If this flag is 0 (default), then the container will not be
- started if the kernel lacks the apparmor mount features, so that a
- regression after a kernel upgrade will be detected. To start the
- container under partial apparmor protection, set this flag to 1.
+ If this flag is 0 (default), then the container will not be
+ started if the kernel lacks the apparmor mount features, so that a
+ regression after a kernel upgrade will be detected. To start the
+ container under partial apparmor protection, set this flag to 1.
-->
このフラグが 0 の場合 (デフォルト)、カーネルが apparmor のマウント機能をサポートしていない場合にコンテナが起動しません。これはカーネルを更新した後に機能が退行したことが検出できるようにするためです。
不完全な apparmor の保護の下でコンテナを起動するためには、このフラグを 1 に設定してください。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<title><!-- SELinux context -->SELinux コンテキスト</title>
<para>
<!--
- If lxc was compiled and installed with SELinux support, and the host
- system has SELinux enabled, then the SELinux context under which the
- container should be run can be specified in the container
- configuration. The default is <command>unconfined_t</command>,
- which means that lxc will not attempt to change contexts.
- See @DATADIR@/lxc/selinux/lxc.te for an example policy and more
- information.
+ If lxc was compiled and installed with SELinux support, and the host
+ system has SELinux enabled, then the SELinux context under which the
+ container should be run can be specified in the container
+ configuration. The default is <command>unconfined_t</command>,
+ which means that lxc will not attempt to change contexts.
+ See @DATADIR@/lxc/selinux/lxc.te for an example policy and more
+ information.
-->
lxc が SELinux サポートでコンパイルされ、インストールされている場合で、ホストで SELinux が有効な場合、コンテナが従って動くべき SELinux コンテキストは、コンテナの設定で指定することが可能です。
デフォルトは <command>unconfined_t</command> であり、これは lxc がコンテキストを変えないという意味になります。
ポリシーの例と追加の情報は @DATADIR@/lxc/selinux/lxc.te ファイルを参照してください。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.se_context</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.selinux.context</option>
+ </term>
+ <listitem>
<!--
- Specify the SELinux context under which the container should
- be run or <command>unconfined_t</command>. For example
+ Specify the SELinux context under which the container should
+ be run or <command>unconfined_t</command>. For example
-->
コンテナが従うべき SELinux コンテキストを指定するか、<command>unconfined_t</command> を指定します。例えば以下のように設定します。
- </para>
- <programlisting>lxc.se_context = system_u:system_r:lxc_t:s0:c22</programlisting>
- </listitem>
- </varlistentry>
+ </para>
+ <programlisting>lxc.selinux.context = system_u:system_r:lxc_t:s0:c22</programlisting>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<para>
<!--
A container can be started with a reduced set of available
- system calls by loading a seccomp profile at startup. The
- seccomp configuration file must begin with a version number
- on the first line, a policy type on the second line, followed
- by the configuration.
+ system calls by loading a seccomp profile at startup. The
+ seccomp configuration file must begin with a version number
+ on the first line, a policy type on the second line, followed
+ by the configuration.
-->
コンテナは、起動時に seccomp プロファイルをロードすることで、利用可能なシステムコールを減らして起動することが可能です。
seccomp の設定ファイルは、1 行目がバージョン番号、2 行目がポリシーのタイプで始まる必要があり、その後に設定を書きます。
<para>
<!--
Versions 1 and 2 are currently supported. In version 1, the
- policy is a simple whitelist. The second line therefore must
- read "whitelist", with the rest of the file containing one (numeric)
- sycall number per line. Each syscall number is whitelisted,
- while every unlisted number is blacklisted for use in the container
+ policy is a simple whitelist. The second line therefore must
+ read "whitelist", with the rest of the file containing one (numeric)
+ sycall number per line. Each syscall number is whitelisted,
+ while every unlisted number is blacklisted for use in the container
-->
現時点では、バージョン番号は 1 と 2 をサポートしています。バージョン 1 では、ポリシーはシンプルなホワイトリストですので、2 行目は "whitelist" でなければなりません。
そして残りの行には 1 行に 1 つずつ、システムコール番号を書きます。各行のシステムコール番号がホワイトリスト化され、リストにない番号は、そのコンテナではブラックリストに入ります。
-->
以下にブラックリストのポリシーの例を示します。これは mknod 以外の全てのシステムコールが許可され、mknod が呼ばれると、何もせずに単に 0(成功) を返します。
</para>
-<screen>
-2
-blacklist
-mknod errno 0
-</screen>
+
+ <programlisting>
+ 2
+ blacklist
+ mknod errno 0
+ </programlisting>
+
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.seccomp.profile</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Specify a file containing the seccomp configuration to
+ load before the container starts.
+ -->
+ コンテナがスタートする前にロードする seccomp の設定を含むファイルを指定します。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ </refsect2>
+
+ <refsect2>
+ <title>PR_SET_NO_NEW_PRIVS</title>
+ <para>
+ <!--
+ With PR_SET_NO_NEW_PRIVS active execve() promises not to grant
+ privileges to do anything that could not have been done without
+ the execve() call (for example, rendering the set-user-ID and
+ set-group-ID mode bits, and file capabilities non-functional).
+ Once set, this bit cannot be unset. The setting of this bit is
+ inherited by children created by fork() and clone(), and preserved
+ across execve().
+ Note that PR_SET_NO_NEW_PRIVS is applied after the container has
+ changed into its intended AppArmor profile or SElinux context.
+ -->
+ PR_SET_NO_NEW_PRIVS を付与すると、対象の execve() は、execve() の呼び出しなしでは実行できなかったことに対する特権を許可しなくなります (例えば、set-user-ID、set-group-ID 許可ビットや、ファイルケーパビリティが動作しなくなります)。
+ 一度設定されると、このビットは解除できません。このビットの設定は fork() や clone() で生成される子プロセスにも継承され、execve() の前後で保持されます。
+ PR_SET_NO_NEW_PRIVS は、コンテナに適用しようとする AppArmor プロファイルもしくは SELinux コンテキストへの変更がなされたあとに適用されます。
+ </para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.seccomp</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.no_new_privs</option>
+ </term>
+ <listitem>
<!--
- Specify a file containing the seccomp configuration to
- load before the container starts.
- -->
- ã\82³ã\83³ã\83\86ã\83\8aã\81\8cã\82¹ã\82¿ã\83¼ã\83\88ã\81\99ã\82\8bå\89\8dã\81«ã\83ã\83¼ã\83\89ã\81\99ã\82\8b seccomp ã\81®è¨å®\9aã\82\92å\90«ã\82\80ã\83\95ã\82¡ã\82¤ã\83«ã\82\92æ\8c\87å®\9aã\81\97ます。
- </para>
- </listitem>
- </varlistentry>
+ Specify whether the PR_SET_NO_NEW_PRIVS flag should be set for the
+ container. Set to 1 to activate.
+ -->
+ ã\82³ã\83³ã\83\86ã\83\8aã\81«å¯¾ã\81\97ã\81¦ PR_SET_NO_NEW_PRIVS ã\83\93ã\83\83ã\83\88ã\82\92è¨å®\9aã\81\99ã\82\8bã\81\8bã\81©ã\81\86ã\81\8bã\82\92æ\8c\87å®\9aã\81\97ã\81¾ã\81\99ã\80\821 ã\81«è¨å®\9aã\81\99ã\82\8bã\81¨æ\9c\89å\8a¹ã\81«ã\81ªã\82\8aます。
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<para>
<!--
A container can be started in a private user namespace with
- user and group id mappings. For instance, you can map userid
- 0 in the container to userid 200000 on the host. The root
- user in the container will be privileged in the container,
- but unprivileged on the host. Normally a system container
- will want a range of ids, so you would map, for instance,
- user and group ids 0 through 20,000 in the container to the
- ids 200,000 through 220,000.
+ user and group id mappings. For instance, you can map userid
+ 0 in the container to userid 200000 on the host. The root
+ user in the container will be privileged in the container,
+ but unprivileged on the host. Normally a system container
+ will want a range of ids, so you would map, for instance,
+ user and group ids 0 through 20,000 in the container to the
+ ids 200,000 through 220,000.
-->
コンテナは、ユーザとグループの id のマッピングを持った専用のユーザ名前空間で起動することが可能です。
たとえば、コンテナ内のユーザ id 0 を、ホストのユーザ id 200000 にマッピングすることが可能です。
例えば、コンテナ内のユーザとグループの id 0 から 20,000 を 200,000 から 220,000 にマッピングします。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.id_map</option>
- </term>
- <listitem>
- <para>
- <!--
- Four values must be provided. First a character, either
- 'u', or 'g', to specify whether user or group ids are
- being mapped. Next is the first userid as seen in the
- user namespace of the container. Next is the userid as
- seen on the host. Finally, a range indicating the number
- of consecutive ids to map.
+ <varlistentry>
+ <term>
+ <option>lxc.idmap</option>
+ </term>
+ <listitem>
+ <!--
+ Four values must be provided. First a character, either
+ 'u', or 'g', to specify whether user or group ids are
+ being mapped. Next is the first userid as seen in the
+ user namespace of the container. Next is the userid as
+ seen on the host. Finally, a range indicating the number
+ of consecutive ids to map.
-->
4 つの値を記述する必要があります。
最初の文字は 'u' か 'g' のどちらかで、ユーザかグループの ID のどちらをマッピングするかを指定します。
次はコンテナのユーザ名前空間内に現れる最初のユーザ ID です。
その次は、そのユーザ ID のホスト上での値です。
最後は、ID のマッピングをいくつ連続して行うかの数を指定します。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<para>
<!--
Container hooks are programs or scripts which can be executed
- at various times in a container's lifetime.
- -->
+ at various times in a container's lifetime.
+ -->
コンテナのフックは、コンテナの存続期間の色々な場面で実行することのできるプログラムやスクリプトです。
</para>
<para>
<!--
- When a container hook is executed, information is passed both
- as command line arguments and through environment variables.
- The arguments are:
- <itemizedlist>
- <listitem><para> Container name. </para></listitem>
- <listitem><para> Section (always 'lxc'). </para></listitem>
- <listitem><para> The hook type (i.e. 'clone' or 'pre-mount'). </para></listitem>
- <listitem><para> Additional arguments In the
- case of the clone hook, any extra arguments passed to
- lxc-clone will appear as further arguments to the hook. </para></listitem>
- </itemizedlist>
- The following environment variables are set:
- <itemizedlist>
- <listitem><para> LXC_NAME: is the container's name. </para></listitem>
- <listitem><para> LXC_ROOTFS_MOUNT: the path to the mounted root filesystem. </para></listitem>
- <listitem><para> LXC_CONFIG_FILE: the path to the container configuration file. </para></listitem>
- <listitem><para> LXC_SRC_NAME: in the case of the clone hook, this is the original container's name. </para></listitem>
- <listitem><para> LXC_ROOTFS_PATH: this is the lxc.rootfs entry for the container. Note this is likely not where the mounted rootfs is to be found, use LXC_ROOTFS_MOUNT for that. </para></listitem>
- </itemizedlist>
- -->
- コンテナのフックが実行されるとき、情報がコマンドライン引数と環境変数の両方を通して渡されます。引数は:
- <itemizedlist>
- <listitem><para>コンテナ名</para></listitem>
- <listitem><para>セクション (常に 'lxc')</para></listitem>
- <listitem><para>フックのタイプ ('clone' や 'pre-mount' など)</para></listitem>
- <listitem><para>追加の引数。clone フックの場合、lxc-clone に渡される追加の引数は、フックへの引数として追加されます。</para></listitem>
- </itemizedlist>
- 以下の環境変数がセットされます。
- <itemizedlist>
- <listitem><para> LXC_NAME: コンテナ名</para></listitem>
- <listitem><para> LXC_ROOTFS_MOUNT: マウントされた root ファイルシステムへのパス</para></listitem>
- <listitem><para> LXC_CONFIG_FILE: コンテナの設定ファイルのパス </para></listitem>
- <listitem><para> LXC_SRC_NAME: clone フックの場合、元のコンテナの名前</para></listitem>
- <listitem><para> LXC_ROOTFS_PATH: コンテナの lxc.rootfs エントリ。これはマウントされた rootfs が存在する場所にはならないでしょう。それには LXC_ROOTFS_MOUNT を使用してください。</para></listitem>
+ When a container hook is executed, additional information is passed
+ along. The <option>lxc.hook.version</option> argument can be used to
+ determine if the following arguments are passed as command line
+ arguments or through environment variables. The arguments are:
+ -->
+ コンテナフックが実行されるとき、追加の情報が渡されます。追加の引数がコマンドライン引数で渡されるか、環境変数経由で渡されるかを判断するのに、<option>lxc.hook.version</option> が使えます。引数は:
+ <itemizedlist>
+ <listitem><para> コンテナ名 <!-- Container name.--></para></listitem>
+ <listitem><para> セクション (常に 'lxc') <!-- Section (always 'lxc'). --></para></listitem>
+ <listitem><para> フックのタイプ ('clone' や 'pre-mount' など) <!-- The hook type (i.e. 'clone' or 'pre-mount'). --></para></listitem>
+ <listitem><para> 追加の引数。clone フックの場合、lxc-clone に渡される追加の引数は、フックへの引数として追加されます。stop フックの場合は、コンテナの名前空間のそれぞれに対するファイルディスクリプタへのパスが、名前空間名とともに渡されます。 <!-- Additional arguments. In the
+ case of the clone hook, any extra arguments passed to
+ lxc-clone will appear as further arguments to the hook.
+ In the case of the stop hook, paths to filedescriptors
+ for each of the container's namespaces along with their types
+ are passed. --></para></listitem>
+ </itemizedlist>
+ <!--
+ The following environment variables are set:
+ -->
+ 次の環境変数がセットされます。
+ <itemizedlist>
+ <listitem><para> LXC_CGNS_AWARE: コンテナで cgroup namespace が使えるかどうか <!-- indicator whether the container is
+ cgroup namespace aware. --></para></listitem>
+ <listitem><para> LXC_CONFIG_FILE: コンテナの設定ファイルのパス <!-- the path to the container
+ configuration file. --></para></listitem>
+ <listitem><para> LXC_HOOK_TYPE: フックのタイプ (例えば 'clone'、'mount'、'pre-mount')。この環境変数が存在するかどうかは <option>lxc.hook.version</option> の値次第です。この値が 1 なら、LXC_HOOK_TYPE が設定されています。
+ <!-- the hook type (e.g. 'clone', 'mount',
+ 'pre-mount'). Note that the existence of this environment variable is
+ conditional on the value of <option>lxc.hook.version</option>. If it
+ is set to 1 then LXC_HOOK_TYPE will be set. -->
+ </para></listitem>
+ <listitem><para> LXC_HOOK_SECTION: セクションタイプ (例えば 'lxc'、'net')。この環境変数が存在するかどうかは <option>lxc.hook.version</option> の値次第です。この値が 1 なら、LXC_HOOK_TYPE が設定されています。
+ <!-- the section type (e.g. 'lxc',
+ 'net'). Note that the existence of this environment variable is
+ conditional on the value of <option>lxc.hook.version</option>. If it
+ is set to 1 then LXC_HOOK_SECTION will be set. -->
+ </para></listitem>
+ <listitem><para> LXC_HOOK_VERSION: フックのバージョン。この値は、コンテナの <option>lxc.hook.version</option> の値と同じです。もし、この値が 0 に設定されているなら、古いスタイルのフックが使われます。もし 1 に設定されているなら、新しいスタイルのフックが使われます。
+ <!-- the version of the hooks. This
+ value is identical to the value of the container's
+ <option>lxc.hook.version</option> config item. If it is set to 0 then
+ old-style hooks are used. If it is set to 1 then new-style hooks are
+ used. --></para></listitem>
+ <listitem><para> LXC_LOG_LEVEL: コンテナのログレベル <!-- the container's log level. --></para></listitem>
+ <listitem><para> LXC_NAME: コンテナ名 <!-- is the container's name. --></para></listitem>
+ <listitem><para> LXC_[NAMESPACE IDENTIFIER]_NS: コンテナの名前空間が参照する /proc/PID/fd/ 以下のファイルディスクリプタのパス。それぞれの名前空間ごとに別々の環境変数になります。これらの環境変数は <option>lxc.hook.version</option> が 1 に設定されてる場合のみ設定されます。
+ <!-- path under
+ /proc/PID/fd/ to a file descriptor referring to the container's
+ namespace. For each preserved namespace type there will be a separate
+ environment variable. These environment variables will only be set if
+ <option>lxc.hook.version</option> is set to 1. --></para></listitem>
+ <listitem><para> LXC_ROOTFS_MOUNT: マウントされた root ファイルシステムへのパス <!-- the path to the mounted root filesystem. --></para></listitem>
+ <listitem><para> LXC_ROOTFS_PATH: コンテナの lxc.rootfs.path エントリ。これはマウントされた rootfs が存在する場所にはならないでしょう。それには LXC_ROOTFS_MOUNT を使用してください。 <!-- this is the lxc.rootfs.path entry
+ for the container. Note this is likely not where the mounted rootfs is
+ to be found, use LXC_ROOTFS_MOUNT for that. --></para></listitem>
+ <listitem><para> LXC_SRC_NAME: clone フックの場合、元のコンテナの名前 <!-- in the case of the clone hook, this is
+ the original container's name. --></para></listitem>
</itemizedlist>
</para>
<para>
Standard output from the hooks is logged at debug level.
Standard error is not logged, but can be captured by the
hook redirecting its standard error to standard output.
- -->
+ -->
スクリプトからの標準出力は debug レベルでロギングされます。
標準エラー出力はロギングされません。
しかし、フックの標準エラー出力を標準出力にリダイレクトすることにより保存することは可能です。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.hook.pre-start</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.hook.version</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ To pass the arguments in new style via environment variables set to
+ 1 otherwise set to 0 to pass them as arguments.
+ This setting affects all hooks arguments that were traditionally
+ passed as arguments to the script. Specifically, it affects the
+ container name, section (e.g. 'lxc', 'net') and hook type (e.g.
+ 'clone', 'mount', 'pre-mount') arguments. If new-style hooks are
+ used then the arguments will be available as environment variables.
+ The container name will be set in LXC_NAME. (This is set
+ independently of the value used for this config item.) The section
+ will be set in LXC_HOOK_SECTION and the hook type will be set in
+ LXC_HOOK_TYPE.
+ It also affects how the paths to file descriptors referring to the
+ container's namespaces are passed. If set to 1 then for each
+ namespace a separate environment variable LXC_[NAMESPACE
+ IDENTIFIER]_NS will be set. If set to 0 then the paths will be
+ passed as arguments to the stop hook.
+ -->
+ 環境変数経由の新しいスタイルで引数を渡すには 1 に設定します。そうでなく、引数として渡すには 0 に設定します。この設定は、古い方法でスクリプトに引数として渡されているすべてのフック引数に影響します。特に、コンテナ名のセクション (例: 'lxc', 'net') とフックタイプ (例: 'clone', 'mount', 'pre-mount') 引数に影響します。新しいスタイルのフックが使われる場合、引数は環境変数として利用できます。
+ コンテナ名は LXC_NAME に設定されます(これはこの設定項目に設定されている値とは関係なく設定されます)。セクションは LXC_HOOK_SECTION に設定されます。そしてフックタイプは LXC_HOOK_TYPE に設定されます。
+ この設定は、コンテナの名前空間を参照するファイルディスクリプタのパスをどのように渡すかにも影響します。1 に設定した場合、名前空間ごとに別の環境変数 LXC_[NAMESPACE IDENTIFIER]_NS に設定されます。0 に設定すると、パスは stop フックの引数として渡されます。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.hook.pre-start</option>
+ </term>
+ <listitem>
+ <para>
<!--
- A hook to be run in the host's namespace before the
- container ttys, consoles, or mounts are up.
+ A hook to be run in the host's namespace before the
+ container ttys, consoles, or mounts are up.
-->
コンテナの tty、コンソールの作成、マウントが実行される前に、ホストの名前空間内で実行するフック。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.hook.pre-mount</option>
- </term>
- <listitem>
- <para>
- <!--
- A hook to be run in the container's fs namespace but before
- the rootfs has been set up. This allows for manipulation
- of the rootfs, i.e. to mount an encrypted filesystem. Mounts
- done in this hook will not be reflected on the host (apart from
- mounts propagation), so they will be automatically cleaned up
- when the container shuts down.
+ <varlistentry>
+ <term>
+ <option>lxc.hook.pre-mount</option>
+ </term>
+ <listitem>
+ <!--
+ A hook to be run in the container's fs namespace but before
+ the rootfs has been set up. This allows for manipulation
+ of the rootfs, i.e. to mount an encrypted filesystem. Mounts
+ done in this hook will not be reflected on the host (apart from
+ mounts propagation), so they will be automatically cleaned up
+ when the container shuts down.
-->
コンテナのファイルシステムの名前空間で実行されますが、rootfs が設定される前に実行するフック。
これにより rootfs の操作が可能になります。
例えば、暗号化されたファイルシステムのマウントなどです。
このフック内でなされるマウントはホストには影響しません (mounts propagation を除いて)。
なので、それらはコンテナがシャットダウンする時に自動的にクリーンアップされます。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.hook.mount</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.hook.mount</option>
+ </term>
+ <listitem>
<!--
- A hook to be run in the container's namespace after
- mounting has been done, but before the pivot_root.
+ A hook to be run in the container's namespace after
+ mounting has been done, but before the pivot_root.
-->
マウントが完了した後ですが、pivot_root の前にコンテナの名前空間で実行されるフック。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.hook.autodev</option>
- </term>
- <listitem>
- <para>
- <!--
- A hook to be run in the container's namespace after
- mounting has been done and after any mount hooks have
- run, but before the pivot_root, if
- <option>lxc.autodev</option> == 1.
- The purpose of this hook is to assist in populating the
- /dev directory of the container when using the autodev
- option for systemd based containers. The container's /dev
- directory is relative to the
- ${<option>LXC_ROOTFS_MOUNT</option>} environment
- variable available when the hook is run.
+ <varlistentry>
+ <term>
+ <option>lxc.hook.autodev</option>
+ </term>
+ <listitem>
+ <!--
+ A hook to be run in the container's namespace after
+ mounting has been done and after any mount hooks have
+ run, but before the pivot_root, if
+ <option>lxc.autodev</option> == 1.
+ The purpose of this hook is to assist in populating the
+ /dev directory of the container when using the autodev
+ option for systemd based containers. The container's /dev
+ directory is relative to the
+ ${<option>LXC_ROOTFS_MOUNT</option>} environment
+ variable available when the hook is run.
-->
<option>lxc.autodev</option> == 1 が設定されている場合で、マウントが完了し、マウント時のフックも実行された後ですが、pivot_root の前にコンテナの名前空間で実行するフック。
このフックの目的は、systemd ベースのコンテナ向けの autodev オプションが設定されている時に、コンテナの /dev ディレクトリを設定するのを支援することです。コンテナの /dev ディレクトリは、このフックが実行される時有効な ${<option>LXC_ROOTFS_MOUNT</option>} 環境変数からの相対パスとなります。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.hook.start-host</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ A hook to be run in the host's namespace after the
+ container has been setup, and immediately before starting
+ the container init.
+ -->
+ コンテナのセットアップが済んだあと、コンテナの init を実行する直前に、ホストの名前空間で実行するためのフックです。
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.hook.start</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.hook.start</option>
+ </term>
+ <listitem>
<!--
- A hook to be run in the container's namespace immediately
- before executing the container's init. This requires the
- program to be available in the container.
+ A hook to be run in the container's namespace immediately
+ before executing the container's init. This requires the
+ program to be available in the container.
-->
コンテナの init が実行される直前にコンテナの名前空間で実行されるフック。
コンテナ内で利用可能なプログラムである必要があります。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.hook.post-stop</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.hook.stop</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ A hook to be run in the host's namespace with references
+ to the container's namespaces after the container has been shut
+ down. For each namespace an extra argument is passed to the hook
+ containing the namespace's type and a filename that can be used to
+ obtain a file descriptor to the corresponding namespace, separated
+ by a colon. The type is the name as it would appear in the
+ <filename>/proc/PID/ns</filename> directory.
+ For instance for the mount namespace the argument usually looks
+ like <filename>mnt:/proc/PID/fd/12</filename>.
+ -->
+ コンテナのシャットダウン後、コンテナの名前空間への参照とともに、ホストの名前空間で実行されるフックです。
+ それぞれの名前空間に対応する追加の引数がフックに渡されます。その引数にはコロンで区切られた名前空間のタイプ名とファイル名が含まれており、ファイル名は名前空間に対するファイルディスクリプタを取得するのに使えます。
+ タイプ名は <filename>/proc/PID/ns</filename> ディレクトリ内のファイル名です。
+ 例えば、マウント名前空間に対応する引数は通常は <filename>mnt:/proc/PID/fd/12</filename> のようになります。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>lxc.hook.post-stop</option>
+ </term>
+ <listitem>
+ <para>
<!--
- A hook to be run in the host's namespace after the
- container has been shut down.
+ A hook to be run in the host's namespace after the
+ container has been shut down.
-->
コンテナがシャットダウンされた後にホストの名前空間で実行するフック。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.hook.clone</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.hook.clone</option>
+ </term>
+ <listitem>
<!--
- A hook to be run when the container is cloned to a new one.
- See <citerefentry><refentrytitle><command>lxc-clone</command></refentrytitle>
- <manvolnum>1</manvolnum></citerefentry> for more information.
+ A hook to be run when the container is cloned to a new one.
+ See <citerefentry><refentrytitle><command>lxc-clone</command></refentrytitle>
+ <manvolnum>1</manvolnum></citerefentry> for more information.
-->
コンテナが新しいコンテナにクローンされる際に実行されるフック。詳しくは
<citerefentry><refentrytitle><command>lxc-clone</command></refentrytitle>
<manvolnum>1</manvolnum></citerefentry>
を参照してください。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
<varlistentry>
具体的には、全てのパスはホストシステム上のパスであり、そのため、<option>lxc.hook.start</option> フックの時点では使用できません。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>LXC_NAME</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>LXC_NAME</option>
+ </term>
+ <listitem>
<!--
- The LXC name of the container. Useful for logging messages
- in common log environments. [<option>-n</option>]
+ The LXC name of the container. Useful for logging messages
+ in common log environments. [<option>-n</option>]
-->
LXC コンテナの名前。共通のログ環境内でのログメッセージに使うときに便利です。[<option>-n</option>]
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
- <varlistentry>
- <term>
- <option>LXC_CONFIG_FILE</option>
- </term>
- <listitem>
- <para>
- <!--
- Host relative path to the container configuration file. This
- gives the container to reference the original, top level,
- configuration file for the container in order to locate any
- additional configuration information not otherwise made
- available. [<option>-f</option>]
+ <varlistentry>
+ <term>
+ <option>LXC_CONFIG_FILE</option>
+ </term>
+ <listitem>
+ <!--
+ Host relative path to the container configuration file. This
+ gives the container to reference the original, top level,
+ configuration file for the container in order to locate any
+ additional configuration information not otherwise made
+ available. [<option>-f</option>]
-->
コンテナの設定ファイルのホスト上でのパス。
これは、他の方法では得られない追加の設定情報を見つけるために、コンテナに、元の、トップレベルの設定ファイルの位置を与えるものです。 [<option>-f</option>]
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
- <varlistentry>
- <term>
- <option>LXC_CONSOLE</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>LXC_CONSOLE</option>
+ </term>
+ <listitem>
<!--
- The path to the console output of the container if not NULL.
- [<option>-c</option>] [<option>lxc.console</option>]
+ The path to the console output of the container if not NULL.
+ [<option>-c</option>] [<option>lxc.console.path</option>]
-->
設定されている場合のコンテナのコンソール出力のパス。
- [<option>-c</option>] [<option>lxc.console</option>]
- </para>
- </listitem>
- </varlistentry>
+ [<option>-c</option>] [<option>lxc.console.path</option>]
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
- <varlistentry>
- <term>
- <option>LXC_CONSOLE_LOGPATH</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>LXC_CONSOLE_LOGPATH</option>
+ </term>
+ <listitem>
<!--
- The path to the console log output of the container if not NULL.
- [<option>-L</option>]
+ The path to the console log output of the container if not NULL.
+ [<option>-L</option>]
-->
設定されている場合のコンテナのコンソールログ出力のパス。
- [<option>-L</option>]
- </para>
- </listitem>
- </varlistentry>
+ [<option>-L</option>]
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
- <varlistentry>
- <term>
- <option>LXC_ROOTFS_MOUNT</option>
- </term>
- <listitem>
- <para>
- <!--
- The mount location to which the container is initially bound.
- This will be the host relative path to the container rootfs
- for the container instance being started and is where changes
- should be made for that instance.
- [<option>lxc.rootfs.mount</option>]
+ <varlistentry>
+ <term>
+ <option>LXC_ROOTFS_MOUNT</option>
+ </term>
+ <listitem>
+ <!--
+ The mount location to which the container is initially bound.
+ This will be the host relative path to the container rootfs
+ for the container instance being started and is where changes
+ should be made for that instance.
+ [<option>lxc.rootfs.mount</option>]
-->
初期にコンテナがマウントされる場所。
これは、コンテナインスタンスが起動するためのコンテナの rootfs へのホスト上のパスであり、インスタンスのための移行が行われる場所です。
- [<option>lxc.rootfs.mount</option>]
- </para>
- </listitem>
- </varlistentry>
+ [<option>lxc.rootfs.mount</option>]
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
<variablelist>
- <varlistentry>
- <term>
- <option>LXC_ROOTFS_PATH</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>LXC_ROOTFS_PATH</option>
+ </term>
+ <listitem>
<!--
- The host relative path to the container root which has been
- mounted to the rootfs.mount location.
- [<option>lxc.rootfs</option>]
+ The host relative path to the container root which has been
+ mounted to the rootfs.mount location.
+ [<option>lxc.rootfs.path</option>]
-->
rootfs.mount へマウントされるコンテナのルートへのホスト上のパスです。
- </para>
- </listitem>
- </varlistentry>
+ [<option>lxc.rootfs.path</option>]
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>LXC_SRC_NAME</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Only for the clone hook. Is set to the original container name.
+ -->
+ clone フックの場合のみ使われます。クローン元のコンテナ名が設定されます。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>LXC_TARGET</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Only for the stop hook. Is set to "stop" for a container
+ shutdown or "reboot" for a container reboot.
+ -->
+ stop フックの場合のみ使われます。コンテナのシャットダウンの場合は "stop"、リブートの場合は "reboot" が設定されます。
+ </para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+ <variablelist>
+ <varlistentry>
+ <term>
+ <option>LXC_CGNS_AWARE</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ If unset, then this version of lxc is not aware of cgroup
+ namespaces. If set, it will be set to 1, and lxc is aware
+ of cgroup namespaces. Note this does not guarantee that
+ cgroup namespaces are enabled in the kernel. This is used
+ by the lxcfs mount hook.
+ -->
+ この変数が設定されていない場合、お使いのバージョンの LXC は cgroup 名前空間を扱えません。設定されている場合、この値は 1 に設定されています。そして、cgroup 名前空間を扱えます。
+ この変数はカーネルで cgroup 名前空間が有効であることは保証しません。この変数は lxcfs のマウントフックが使います。
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
-
</refsect2>
<refsect2>
同様に、設定ファイルのエントリは <command>lxc-start</command> のコマンドラインオプションで上書きすることも可能です。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.loglevel</option>
- </term>
- <listitem>
- <para>
- <!--
- The level at which to log. The log level is an integer in
- the range of 0..8 inclusive, where a lower number means more
- verbose debugging. In particular 0 = trace, 1 = debug, 2 =
- info, 3 = notice, 4 = warn, 5 = error, 6 = critical, 7 =
- alert, and 8 = fatal. If unspecified, the level defaults
- to 5 (error), so that only errors and above are logged.
+ <varlistentry>
+ <term>
+ <option>lxc.log.level</option>
+ </term>
+ <listitem>
+ <!--
+ The level at which to log. The log level is an integer in
+ the range of 0..8 inclusive, where a lower number means more
+ verbose debugging. In particular 0 = trace, 1 = debug, 2 =
+ info, 3 = notice, 4 = warn, 5 = error, 6 = critical, 7 =
+ alert, and 8 = fatal. If unspecified, the level defaults
+ to 5 (error), so that only errors and above are logged.
-->
ログを取得するレベル。
ログレベルは 0..8 の範囲の整数です。
数字が小さいほど冗長なデバッグを意味します。
具体的には、0 = trace, 1 = debug, 2 = info, 3 = notice, 4 = warn, 5 = error, 6 = critical, 7 = alert, and 8 = fatal です。
指定されない場合、レベルのデフォルトは 5 (error) で、それ以上のエラーがロギングされます。
- </para>
- <para>
+ </para>
<!--
- Note that when a script (such as either a hook script or a
- network interface up or down script) is called, the script's
- standard output is logged at level 1, debug.
+ Note that when a script (such as either a hook script or a
+ network interface up or down script) is called, the script's
+ standard output is logged at level 1, debug.
-->
(フックスクリプトやネットワークインターフェースの起動、停止時のスクリプトのような) スクリプトが呼ばれた時、スクリプトの標準出力は level 1 の debug でロギングされます。
- </para>
- </listitem>
- </varlistentry>
- <varlistentry>
- <term>
- <option>lxc.logfile</option>
- </term>
- <listitem>
- <para>
- <!--
- The file to which logging info should be written.
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>
+ <option>lxc.log.file</option>
+ </term>
+ <listitem>
+ <!--
+ The file to which logging info should be written.
-->
ログ情報を書き込むファイル。
- </para>
- </listitem>
- </varlistentry>
+ </para>
+ </listitem>
+ </varlistentry>
+ <varlistentry>
+ <term>
+ <option>lxc.log.syslog</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ Send logging info to syslog. It respects the log level defined in
+ <command>lxc.log.level</command>. The argument should be the syslog
+ facility to use, valid ones are: daemon, local0, local1, local2,
+ local3, local4, local5, local5, local7.
+ -->
+ ログ情報を syslog に送ります。ログレベルとして <command>lxc.log.level</command> の値を使用します。指定する値は使用する syslog の facility です。有効な値は daemon, local0, local1, local2, local3, local4, local5, local5, local6, local7 のいずれかです。
+ </para>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
</para>
</listitem>
</varlistentry>
+ <varlistentry>
+ <term>
+ <option>lxc.monitor.unshare</option>
+ </term>
+ <listitem>
+ <para>
+ <!--
+ If not zero the mount namespace will be unshared from the host
+ before initializing the container (before running any pre-start
+ hooks). This requires the CAP_SYS_ADMIN capability at startup.
+ Default is 0.
+ -->
+ この値が 0 でない場合、コンテナが初期化される前 (pre-start フックが実行される前) にマウント名前空間がホストから unshare されます。この機能を使う場合、スタート時に CAP_SYS_ADMIN ケーパビリティが必要です。デフォルト値は 0 です。
+ </para>
+ </listitem>
+ </varlistentry>
<varlistentry>
<term>
<option>lxc.group</option>
<title><!-- Container Environment -->コンテナの環境変数</title>
<para>
<!--
- If you want to pass environment variables into the container (that
- is, environment variables which will be available to init and all of
- its descendents), you can use <command>lxc.environment</command>
- parameters to do so. Be careful that you do not pass in anything
- sensitive; any process in the container which doesn't have its
- environment scrubbed will have these variables available to it, and
- environment variables are always available via
- <command>/proc/PID/environ</command>.
+ If you want to pass environment variables into the container (that
+ is, environment variables which will be available to init and all of
+ its descendents), you can use <command>lxc.environment</command>
+ parameters to do so. Be careful that you do not pass in anything
+ sensitive; any process in the container which doesn't have its
+ environment scrubbed will have these variables available to it, and
+ environment variables are always available via
+ <command>/proc/PID/environ</command>.
-->
コンテナに環境変数を渡したい場合 (環境変数はコンテナの init とその子孫全てで利用可能です)、<command>lxc.environment</command> パラメータがその用途に使えます。
機微 (センシティブ) な情報を渡さないように注意が必要です。そのような情報を持たないコンテナ内のプロセスでこれらの環境変数が利用可能になってしまいます。環境変数は常に <command>/proc/PID/environ</command> 経由で利用可能になります。
</para>
<variablelist>
- <varlistentry>
- <term>
- <option>lxc.environment</option>
- </term>
- <listitem>
- <para>
+ <varlistentry>
+ <term>
+ <option>lxc.environment</option>
+ </term>
+ <listitem>
<!--
- Specify an environment variable to pass into the container.
- Example:
+ Specify an environment variable to pass into the container.
+ Example:
-->
コンテナに渡したい環境変数を指定します。
例:
- </para>
- <programlisting>
- lxc.environment = APP_ENV=production
- lxc.environment = SYSLOG_SERVER=192.0.2.42
- </programlisting>
- </listitem>
- </varlistentry>
+ </para>
+ lxc.environment = APP_ENV=production
+ lxc.environment = SYSLOG_SERVER=192.0.2.42
+ </programlisting>
+ </listitem>
+ </varlistentry>
</variablelist>
</refsect2>
<title><!-- Examples -->例</title>
<para>
<!--
- In addition to the few examples given below, you will find
- some other examples of configuration file in @DOCDIR@/examples
+ In addition to the few examples given below, you will find
+ some other examples of configuration file in @DOCDIR@/examples
-->
以下に紹介するいくつかの例に加えて、他の設定例が @DOCDIR@/examples にあります。
</para>
<para>
<!--
This configuration sets up a container to use a veth pair
- device with one side plugged to a bridge br0 (which has been
- configured before on the system by the administrator). The
- virtual network device visible in the container is renamed to
- eth0.
+ device with one side plugged to a bridge br0 (which has been
+ configured before on the system by the administrator). The
+ virtual network device visible in the container is renamed to
+ eth0.
-->
この設定は、片方をブリッジである br0 と接続される veth ペアデバイスを使うコンテナを設定します (ブリッジは管理者によりあらかじめシステム上に設定済みである必要があります)。
仮想ネットワークデバイスは、コンテナ内では eth0 とリネームされます。
</para>
<programlisting>
- lxc.utsname = myhostname
- lxc.network.type = veth
- lxc.network.flags = up
- lxc.network.link = br0
- lxc.network.name = eth0
- lxc.network.hwaddr = 4a:49:43:49:79:bf
- lxc.network.ipv4 = 1.2.3.5/24 1.2.3.255
- lxc.network.ipv6 = 2003:db8:1:0:214:1234:fe0b:3597
+ lxc.uts.name = myhostname
+ lxc.net.0.type = veth
+ lxc.net.0.flags = up
+ lxc.net.0.link = br0
+ lxc.net.0.name = eth0
+ lxc.net.0.hwaddr = 4a:49:43:49:79:bf
+ lxc.net.0.ipv4.address = 1.2.3.5/24 1.2.3.255
+ lxc.net.0.ipv6.address = 2003:db8:1:0:214:1234:fe0b:3597
</programlisting>
</refsect2>
この設定は、コンテナ内のユーザとグループ両方の id 0-9999 の範囲を、ホスト上の 100000-109999 へマッピングします。
</para>
<programlisting>
- lxc.id_map = u 0 100000 10000
- lxc.id_map = g 0 100000 10000
+ lxc.idmap = u 0 100000 10000
+ lxc.idmap = g 0 100000 10000
</programlisting>
</refsect2>
devices.allow は、特定のデバイスを使用可能にします。
</para>
<programlisting>
- lxc.cgroup.cpuset.cpus = 0,1
- lxc.cgroup.cpu.shares = 1234
- lxc.cgroup.devices.deny = a
- lxc.cgroup.devices.allow = c 1:3 rw
- lxc.cgroup.devices.allow = b 8:0 rw
+ lxc.cgroup.cpuset.cpus = 0,1
+ lxc.cgroup.cpu.shares = 1234
+ lxc.cgroup.devices.deny = a
+ lxc.cgroup.devices.allow = c 1:3 rw
+ lxc.cgroup.devices.allow = b 8:0 rw
</programlisting>
</refsect2>
この例は、control group を使って、複雑なネットワークスタックを作成し、新しいホスト名を指定し、いくつかの場所をマウントし、ルートファイルシステムを変更するような複雑な設定を示します。
</para>
<programlisting>
- lxc.utsname = complex
- lxc.network.type = veth
- lxc.network.flags = up
- lxc.network.link = br0
- lxc.network.hwaddr = 4a:49:43:49:79:bf
- lxc.network.ipv4 = 10.2.3.5/24 10.2.3.255
- lxc.network.ipv6 = 2003:db8:1:0:214:1234:fe0b:3597
- lxc.network.ipv6 = 2003:db8:1:0:214:5432:feab:3588
- lxc.network.type = macvlan
- lxc.network.flags = up
- lxc.network.link = eth0
- lxc.network.hwaddr = 4a:49:43:49:79:bd
- lxc.network.ipv4 = 10.2.3.4/24
- lxc.network.ipv4 = 192.168.10.125/24
- lxc.network.ipv6 = 2003:db8:1:0:214:1234:fe0b:3596
- lxc.network.type = phys
- lxc.network.flags = up
- lxc.network.link = dummy0
- lxc.network.hwaddr = 4a:49:43:49:79:ff
- lxc.network.ipv4 = 10.2.3.6/24
- lxc.network.ipv6 = 2003:db8:1:0:214:1234:fe0b:3297
- lxc.cgroup.cpuset.cpus = 0,1
- lxc.cgroup.cpu.shares = 1234
- lxc.cgroup.devices.deny = a
- lxc.cgroup.devices.allow = c 1:3 rw
- lxc.cgroup.devices.allow = b 8:0 rw
- lxc.mount = /etc/fstab.complex
- lxc.mount.entry = /lib /root/myrootfs/lib none ro,bind 0 0
- lxc.rootfs = /mnt/rootfs.complex
- lxc.cap.drop = sys_module mknod setuid net_raw
- lxc.cap.drop = mac_override
+ lxc.uts.name = complex
+ lxc.net.0.type = veth
+ lxc.net.0.flags = up
+ lxc.net.0.link = br0
+ lxc.net.0.hwaddr = 4a:49:43:49:79:bf
+ lxc.net.0.ipv4.address = 10.2.3.5/24 10.2.3.255
+ lxc.net.0.ipv6.address = 2003:db8:1:0:214:1234:fe0b:3597
+ lxc.net.0.ipv6.address = 2003:db8:1:0:214:5432:feab:3588
+ lxc.net.1.type = macvlan
+ lxc.net.1.flags = up
+ lxc.net.1.link = eth0
+ lxc.net.1.hwaddr = 4a:49:43:49:79:bd
+ lxc.net.1.ipv4.address = 10.2.3.4/24
+ lxc.net.1.ipv4.address = 192.168.10.125/24
+ lxc.net.1.ipv6.address = 2003:db8:1:0:214:1234:fe0b:3596
+ lxc.net.2.type = phys
+ lxc.net.2.flags = up
+ lxc.net.2.link = dummy0
+ lxc.net.2.hwaddr = 4a:49:43:49:79:ff
+ lxc.net.2.ipv4.address = 10.2.3.6/24
+ lxc.net.2.ipv6.address = 2003:db8:1:0:214:1234:fe0b:3297
+ lxc.cgroup.cpuset.cpus = 0,1
+ lxc.cgroup.cpu.shares = 1234
+ lxc.cgroup.devices.deny = a
+ lxc.cgroup.devices.allow = c 1:3 rw
+ lxc.cgroup.devices.allow = b 8:0 rw
+ lxc.mount.fstab = /etc/fstab.complex
+ lxc.mount.entry = /lib /root/myrootfs/lib none ro,bind 0 0
+ lxc.rootfs.path = dir:/mnt/rootfs.complex
+ lxc.cap.drop = sys_module mknod setuid net_raw
+ lxc.cap.drop = mac_override
</programlisting>
</refsect2>
<title>See Also</title>
<simpara>
<citerefentry>
- <refentrytitle><command>chroot</command></refentrytitle>
- <manvolnum>1</manvolnum>
+ <refentrytitle><command>chroot</command></refentrytitle>
+ <manvolnum>1</manvolnum>
</citerefentry>,
<citerefentry>
- <refentrytitle><command>pivot_root</command></refentrytitle>
- <manvolnum>8</manvolnum>
+ <refentrytitle><command>pivot_root</command></refentrytitle>
+ <manvolnum>8</manvolnum>
</citerefentry>,
<citerefentry>
- <refentrytitle><filename>fstab</filename></refentrytitle>
- <manvolnum>5</manvolnum>
+ <refentrytitle><filename>fstab</filename></refentrytitle>
+ <manvolnum>5</manvolnum>
</citerefentry>
<citerefentry>
- <refentrytitle><filename>capabilities</filename></refentrytitle>
- <manvolnum>7</manvolnum>
+ <refentrytitle><filename>capabilities</filename></refentrytitle>
+ <manvolnum>7</manvolnum>
</citerefentry>
</simpara>
projects / mirror_lxc.git / blobdiff