Man page - lxc.container.conf(5)

Packages contains this manual

Package:  lxc
apt-get install lxc

Manuals in package:
• lxc-user-nic(1)
• lxc-config(1)
• lxc-checkconfig(1)
• pam_cgfs(8)
• lxc-update-config(1)
• lxc-freeze(1)
• lxc-autostart(1)
• lxc-device(1)
• lxc-destroy(1)
• lxc.conf(5)
• lxc-info(1)
• lxc-wait(1)
• lxc-checkpoint(1)
• lxc-stop(1)
• lxc-console(1)
• lxc-top(1)
• lxc(7)
• lxc.container.conf(5)
• lxc-attach(1)
• lxc.system.conf(5)
• lxc-create(1)
• lxc-unshare(1)
• lxc-copy(1)
• lxc-execute(1)
• lxc-monitor(1)
• lxc-snapshot(1)
• lxc-start(1)
• lxc-unpriv-attach(1)
• lxc-unpriv-start(1)
• lxc-usernsexec(1)
• lxc-usernet(5)
• lxc-ls(1)
• lxc-cgroup(1)
• lxc-unfreeze(1)
Documentations in package:
• lxc

Available languages:

en ko ja

Manual

lxc.container.conf

NAME
설 명
설 정
아 키 텍 처
호 스 트 이 름
종 료 시 그 널
재 부 팅 시 그 널
강 제 종 료 시 그 널
INIT 명 령 어
INIT이 사 용 할 ID
임 시 컨 테 이 너
네 트 워 크
새 로 운 PSEUDO TTY 인 스 턴 스 (DEVPTS)
컨 테 이 너 시 스 템 콘 솔
TTY를 통 한 콘 솔
콘 솔 장 치 위 치
/DEV 디 렉 토 리
KMSG 심 볼 릭 링 크 사 용
마 운 트 포 인 트
루 트 파 일 시 스 템
컨 트 롤 그 룹
CAPABILITIES
APPARMOR 프 로 파 일
SELINUX 컨 텍 스 트
SECCOMP 설 정
PR_SET_NO_NEW_PRIVS
UID 매 핑
컨 테 이 너 훅
컨 테 이 너 훅 환 경 변 수
로 그
자 동 시 작
자 동 시 작 과 시 스 템 부 팅
컨 테 이 너 환 경 변 수
예 제
네 트 워 크
UID/GID 매 핑
컨 트 롤 그 룹
복 잡 한 설 정
참 조
참 조

---

NAME

lxc.container.conf - LXC 컨 테 이 너 설 정 파 일

설 명

linux 컨 테 이 너 ( lxc )는 항 상 사 용 하 기 전 에 생 성 된 다 . 생 성 작 업 은 가 상 화 할 자 원 및 컨 테 이 너 내 에 서 실 행 되 는 프 로 세 스 로 부 터 고 립 할 시 스 템 자 원 들 을 정 의 하 는 것 이 다 . 기 본 적 으 로 pid, sysv ipc, 마 운 트 포 인 트 가 가 상 화 되 고 고 립 된 다 . 명 시 적 으 로 설 정 파 일 에 서 정 의 되 기 전 까 지 , 다 른 시 스 템 자 원 들 은 컨 테 이 너 간 에 공 유 된 다 . 예 를 들 어 , 네 트 워 크 설 정 이 되 어 있 지 않 다 면 , 컨 테 이 너 생 성 한 쪽 과 컨 테 이 너 간 에 네 트 워 크 를 서 로 공 유 할 것 이 다 . 그 러 나 네 트 워 크 가 지 정 이 되 었 다 면 , 컨 테 이 너 를 위 해 새 로 운 네 트 워 크 스 택 이 생 성 된 다 . 그 리 고 컨 테 이 너 는 더 이 상 그 를 생 성 한 쪽 과 네 트 워 크 를 공 유 하 지 않 는 다 .

설 정 파 일 은 컨 테 이 너 에 할 당 될 시 스 템 자 원 들 을 정 의 한 다 . 현 재 는 utsname, 네 트 워 크 , 마 운 트 포 인 트 , 루 트 파 일 시 스 템 , 사 용 자 네 임 스 페 이 스 그 리 고 컨 트 롤 그 룹 이 지 원 된 다 .

설 정 파 일 의 옵 션 은 key = value 의 한 줄 로 이 루 어 져 있 다 . ’#’ 문 자 를 앞 에 붙 여 주 석 임 을 나 타 낼 수 있 다 . capability와 cgroup 옵 션 과 같 은 리 스 트 옵 션 들 은 , 값 을 지 정 하 지 않 고 사 용 할 수 있 다 . 값 이 지 정 되 지 않 은 경 우 이 전 에 설 정 했 던 모 든 값 들 을 지 운 다 .

설 정

연 관 된 컨 테 이 너 들 을 쉽 게 관 리 하 기 위 해 서 , 컨 테 이 너 설 정 파 일 은 다 른 파 일 을 불 러 올 수 있 다 . 예 를 들 어 서 , 네 트 워 크 설 정 은 여 러 컨 테 이 너 들 을 위 해 공 통 된 하 나 의 파 일 로 정 의 될 수 있 다 . 그 리 고 만 약 컨 테 이 너 들 이 다 른 호 스 트 로 이 동 된 다 면 , 해 당 파 일 하 나 만 수 정 하 면 된 다 .
lxc.include

include할 파 일 을 지 정 한 다 . include할 파 일 은 lxc 설 정 파 일 의 형 식 에 부 합 하 여 야 한 다 .

아 키 텍 처

컨 테 이 너 에 아 키 텍 처 를 지 정 할 수 있 다 . 예 를 들 어 , 64비 트 호 스 트 에 서 32비 트 바 이 너 리 를 실 행 하 는 컨 테 이 너 라 면 32비 트 아 키 텍 처 로 지 정 할 수 있 다 . 패 키 지 를 다 운 로 드 받 는 등 의 작 업 을 수 행 하 는 아 키 텍 처 에 의 존 적 인 컨 테 이 너 스 크 립 트 가 잘 동 작 할 수 있 도 록 해 준 다 .
lxc.arch

컨 테 이 너 의 아 키 텍 처 를 지 정 한 다 .

가 능 한 옵 션 은 아 래 와 같 다 . x86 , i686 , x86_64 , amd64

호 스 트 이 름

utsname 섹 션 은 컨 테 이 너 내 에 서 설 정 할 호 스 트 이 름 을 정 의 한 다 . 컨 테 이 너 는 시 스 템 의 호 스 트 이 름 을 변 경 하 지 않 고 도 자 신 의 호 스 트 이 름 을 변 경 할 수 있 다 . 즉 , 컨 테 이 너 마 다 호 스 트 이 름 을 설 정 할 수 있 다 .
lxc.uts.name

컨 테 이 너 의 호 스 트 이 름 을 지 정 한 다 .

종 료 시 그 널

lxc-stop이 컨 테 이 너 를 깨 끗 이 종 료 를 시 키 기 위 해 서 보 낼 시 그 널 의 이 름 이 나 숫 자 를 지 정 할 수 있 다 . init 시 스 템 마 다 깨 끗 한 �\x85료 를 위 해 각 기 다 른 시 그 널 을 사 용 할 수 있 다 . 이 옵 션 은 kill(1)에 서 사 용 하 는 것 처 럼 시 그 널 을 지 정 할 수 있 다 . 예 를 들 어 SIGPWR, SIGRTMIN+14, SIGRTMAX-10 또 는 숫 자 를 지 정 할 수 있 다 . 기 본 시 그 널 은 SIGPWR이 다 .
lxc.signal.halt

컨 테 이 너 를 종 료 할 때 사 용 할 시 그 널 을 지 정 한 다 .

재 부 팅 시 그 널

lxc-stop이 컨 테 이 너 를 재 부 팅 하 기 위 해 보 낼 시 그 널 의 이 름 이 나 숫 자 를 지 정 할 수 있 다 . 이 옵 션 은 kill(1)에 서 사 용 하 는 것 처 럼 시 그 널 을 지 정 할 수 있 다 . 예 를 들 어 SIGINT, SIGRTMIN+14, SIGRTMAX-10 또 는 숫 자 를 지 정 할 수 있 다 . 기 본 시 그 널 은 SIGINT이 다 .
lxc.signal.reboot

컨 테 이 너 를 재 부 팅 할 때 사 용 할 시 그 널 을 지 정 한 다 .

강 제 종 료 시 그 널

lxc-stop이 컨 테 이 너 를 강 제 종 료 하 기 위 해 보 낼 시 그 널 의 이 름 이 나 숫 자 를 지 정 할 수 있 다 . 이 옵 션 은 kill(1)에 서 사 용 하 는 것 처 럼 시 그 널 을 지 정 할 수 있 다 . 예 를 들 >어 SIGKILL, SIGRTMIN+14, SIGRTMAX-10 또 는 숫 자 를 지 정 할 수 있 다 . 기 본 시 그 널 은 SIGKILL이 다 .
lxc.signal.stop

컨 테 이 너 를 강 제 종 료 할 때 사 용 할 시 그 널 을 지 정 한 다 .

INIT 명 령 어

컨 테 이 너 의 init으 로 사 용 할 명 령 어 를 설 정 한 다 . 이 옵 션 은 lxc-execute을 사 용 할 때 는 무 시 된 다 . 기 본 값 은 /sbin/init이 다 .
lxc.init.cmd

init으 로 사 용 할 바 이 저 리 의 컨 테 이 너 루 트 파 일 시 스 템 에 서 의 절 대 경 로 .

INIT이 사 용 할 ID

lxc-execute가 실 행 하 는 컨 테 이 너 의 init 및 명 령 어 가 사 용 할 UID/GID를 지 정 한 다 . 이 옵 션 들 은 lxc-execute가 사 용 자 네 임 스 페 이 스 안 에 서 실 행 될 때 만 적 용 된 다 . 기 본 값 : UID(0), GID(0)
lxc.init.uid

init이 사 용 자 네 임 스 페 이 스 안 에 서 사 용 할 UID.

lxc.init.gid

init이 사 용 자 네 임 스 페 이 스 안 에 서 사 용 할 GID.

임 시 컨 테 이 너

컨 테 이 너 가 종 료 될 때 , 해 당 컨 테 이 너 를 제 거 할 지 여 부 를 지 정 할 수 있 다 .
lxc.ephemeral

지 정 가 능 한 값 은 0 또 는 1이 다 . 1로 설 정 하 면 , 컨 테 이 너 를 종 료 할 때 해 당 컨 테 이 너 를 제 거 한 다 .

네 트 워 크

네 트 워 크 섹 션 은 어 떻 게 네 트 워 크 를 컨 테 이 너 내 에 서 가 상 화 할 지 를 정 의 한 다 . 네 트 워 크 가 상 화 는 2개 의 계 층 으 로 동 작 한 다 . 네 트 워 크 가 상 화 를 위 해 서 , 컨 테 이 너 의 네 트 워 크 인 터 페 이 스 가 인 수 로 지 정 되 어 야 한 다 . 시 스 템 이 하 나 의 물 리 적 인 네 트 워 크 인 터 페 이 스 를 갖 고 있 어 도 , 컨 테 이 너 내 에 서 여 러 개 의 가 상 화 인 터 페 이 스 들 을 사 용 할 수 있 다 .
lxc.net

값 을 지 정 하 지 않 고 사 용 하 여 이 전 에 설 정 했 던 모 든 네 트 워 크 옵 션 들 을 초 기 화 할 수 있 다 .

lxc.net.[i].type

컨 테 이 너 가 어 떤 종 류 의 네 트 워 크 가 상 화 를 사 용 할 지 지 정 한 다 . lxc.net.[i].type 필 드 부 터 새 로 운 네 트 워 크 설 정 이 시 작 된 다 . 이 방 법 으 로 여 러 개 의 네 트 워 크 가 상 화 형 태 를 같 은 컨 테 이 너 에 지 정 할 수 있 다 . 그 리 고 여 러 개 의 네 트 워 크 인 터 페 이 스 를 하 나 의 컨 테 이 너 에 지 정 할 수 도 있 다 . 지 정 가 능 한 형 태 는 아 래 와 같 다 .

empty: 는 루 프 백 인 터 페 이 스 만 생 성 한 다 .

veth: 한 쪽 은 컨 테 이 너 로 , 다 른 한 쪽 은 lxc.net.[i].link 옵 션 으 로 지 정 한 브 리 지 로 붙 은 가 상 이 더 넷 (veth) 장 치 쌍 을 생 성 한 다 . 만 약 브 리 지 가 지 정 되 지 않 았 다 면 , 어 떤 브 리 지 에 도 붙 지 않 은 veth 장 치 쌍 을 만 든 다 . 브 리 지 는 컨 테 이 너 시 작 전 에 시 스 템 에 서 생 성 해 야 한 다 . lxc 는 컨 테 이 너 이 외 의 설 정 에 대 해 서 는 다 루 지 않 는 다 . 기 본 값 으 로 lxc 는 컨 테 이 너 바 깥 에 속 할 네 트 워 크 디 바 이 스 의 이 름 을 정 해 준 다 . 이 름 을 변 경 하 기 원 한 다 면 , lxc 가 지 정 한 이 름 으 로 설 정 하 도 록 lxc.net.[i].veth.pair 옵 션 을 사 용 하 여 야 한 다 . (비 특 권 컨 테 이 너 는 불 가 능 하 다 . 이 옵 션 은 보 안 상 의 이 유 로 무 시 될 것 이 다 )

vlan: vlan 인 터 페 이 스 는 lxc.net.[i].link 로 지 정 한 인 터 페 이 스 에 연 결 되 고 , 컨 테 이 너 로 할 당 된 다 . vlan의 식 별 자 는 lxc.net.[i].vlan.id 옵 션 으 로 지 정 한 다 .

macvlan: macvlan 인 터 페 이 스 는 lxc.net.[i].link 로 지 정 한 인 터 페 이 스 에 연 결 되 고 , 컨 테 이 너 로 할 당 된 다 . lxc.net.[i].macvlan.mode 은 같 은 상 위 디 바 이 스 에 있 는 다 른 macvlan과 통 신 할 때 사 용 하 는 모 드 를 지 정 한 다 . 지 정 할 수 있 는 모 드 는 private 、 vepa 、 bridge 、 passthru 이 다 . private 모 드 는 디 바 이 스 가 같 은 상 위 디 바 이 스 의 어 떤 장 치 와 도 통 신 하 지 않 는 다 . (기 본 값 ) 새 로 운 가 상 이 더 넷 포 트 통 합 모 드 (Virtual Ethernet Port Aggregator), 즉 vepa 모 드 는 인 접 한 브 리 지 가 소 스 와 목 적 지 가 로 컬 인 모 든 프 레 임 들 을 macvlan 포 트 로 반 환 한 다 고 가 정 한 다 . 즉 , 브 리 지 가 reflective relay로 설 정 되 어 있 다 는 것 이 다 . 상 위 장 치 에 서 들 어 오 는 브 로 드 캐 스 트 프 레 임 들 은 모 든 macvlan 인 터 페 이 스 에 게 보 내 져 버 린 다 . 로 컬 프 레 임 들 은 로 컬 로 보 내 지 지 않 는 다 . bridge 모 드 는 같 은 포 트 의 다 른 macvlan 인 터 페 이 스 사 이 에 간 단 한 브 리 지 를 제 공 한 다 . 어 떤 인 터 페 이 스 에 서 다 른 인 터 페 이 스 로 프 레 임 은 직 접 전 달 된 다 . 하 지 만 외 부 로 는 보 내 지 지 않 는 다 . 브 로 드 캐 스 트 프 레 임 들 은 모 든 다 른 브 리 지 포 트 들 과 외 부 인 터 페 이 스 에 전 달 된 다 . 그 러 나 reflective relay로 다 시 돌 아 왔 을 때 는 , 그 것 들 을 다 시 전 송 하 지 않 는 다 . 모 든 MAC 주 소 를 알 기 때 문 에 , macvlan 브 리 지 모 드 는 브 리 지 모 듈 처 럼 학 습 이 나 STP를 요 구 하 지 않 는 다 . passthru 모 드 는 물 리 인 터 페 이 스 로 부 터 받 은 모 든 프 레 임 들 을 macvlan 인 터 페 이 스 로 포 워 딩 한 다 . passthru 모 드 만 이 하 나 의 물 리 인 터 페 이 스 를 설 정 하 는 게 가 능 하 다 .

phys: lxc.net.[i].link 로 지 정 한 이 미 존 재 하 는 인 터 페 이 스 를 컨 테 이 너 로 할 당 된 다 .

lxc.net.[i].flags

네 트 워 크 에 수 행 할 작 업 을 지 정 한 다 .

up: 인 터 페 이 스 를 활 성 화 시 킨 다 .

lxc.net.[i].link

실 제 네 트 워 크 트 래 픽 에 사 용 할 인 터 페 이 스 를 지 정 한 다 .

lxc.net.[i].mtu

해 당 인 터 페 이 스 의 최 대 전 송 단 위 (MTU)를 지 정 한 다 .

lxc.net.[i].name

인 터 페 이 스 이 름 은 동 적 으 로 할 당 된 다 . 그 러 나 , 컨 테 이 너 가 일 반 적 으 로 사 용 하 는 이 름 과 다 른 이 름 이 필 요 하 다 면 , (예 : eth0) 이 옵 션 은 컨 테 이 너 내 에 있 는 인 터 페 이 스 의 이 름 을 지 정 한 것 으 로 변 경 할 수 있 다 .

lxc.net.[i].hwaddr

가 상 인 터 페 이 스 의 MAC 주 소 는 기 본 적 으 로 동 적 할 당 된 다 . 그 러 나 몇 몇 가 지 이 유 로 MAC 주 소 충 돌 문 제 를 해 결 하 거 나 , 언 제 나 같 은 링 크 로 컬 IPv6 주 소 가 필 요 하 다 면 , 이 옵 션 이 필 요 하 다 . 주 소 의 "x"는 무 작 위 한 값 으 로 바 뀐 다 . 템 플 릿 에 서 하 드 웨 어 주 소 를 설 정 하 는 데 유 용 하 다 .

lxc.net.[i].ipv4.address

가 상 인 터 페 이 스 에 서 사 용 할 IPv4 주 소 를 지 정 한 다 . 여 러 행 으 로 여 러 개 의 IPv4 주 소 를 지 정 할 수 있 다 . 주 소 의 형 식 은 x.y.z.t/m으 로 , 예 를 들 어 192.168.1.123/24이 다 . 브 로 드 캐 스 트 주 소 는 같 은 행 의 주 소 바 로 오 른 쪽 에 지 정 하 면 된 다 .

lxc.net.[i].ipv4.gateway

컨 테 이 너 내 부 에 서 게 이 트 웨 이 로 사 용 할 IPv4 주 소 를 지 정 한 다 . 주 소 형 식 은 x.y.z.t로 , 예 를 들 면 192.168.1.123이 다 . auto 라 는 특 별 한 값 을 지 정 할 수 있 다 . 이 것 은 ( lxc.net.[i].link 에 서 지 정 된 ) 브 리 지 인 터 페 이 스 의 첫 번 째 주 소 를 가 져 와 게 이 트 주 소 로 사 용 한 다 . auto 는 네 트 워 크 형 태 가 veth 나 macvlan 일 때 만 지 정 가 능 하 다 .

lxc.net.[i].ipv6.address

가 상 인 터 페 이 스 에 서 사 용 할 IPv6 주 소 를 지 정 한 다 . 여 러 행 으 로 여 러 개 의 IPv6 주 소 를 지 정 할 수 있 다 . 주 소 의 형 식 은 x::y/m으 로 , 예 를 들 어 2003:db8:1:0:214:1234:fe0b:3596/64이 다 .

lxc.net.[i].ipv6.gateway

컨 테 이 너 내 부 에 서 게 이 트 웨 이 로 사 용 할 IPv4 주 소 를 지 정 한 다 . 주 소 형 식 은 x::y로 , 예 를 들 면 2003:db8:1:0::1이 다 . auto 라 는 특 별 한 값 을 지 정 할 수 있 다 . 이 것 은 ( lxc.net.[i].link 에 서 지 정 된 ) 브 리 지 인 터 페 이 스 의 첫 번 째 주 소 를 가 져 와 게 이 트 주 소 로 사 용 한 다 . auto 는 네 트 워 크 형 태 가 veth 나 macvlan 일 때 만 지 정 가 능 하 다 .

lxc.net.[i].script.up

네 트 워 크 를 설 정 하 고 생 성 한 후 에 호 스 트 쪽 에 서 실 행 되 는 스 크 립 트 를 지 정 한 다 . 다 음 인 수 들 이 스 크 립 트 에 넘 겨 진 다 : 컨 테 이 너 이 름 , 설 정 섹 션 이 름 (net). 그 후 인 수 는 훅 스 크 립 트 을 사 용 하 는 설 정 섹 션 에 달 려 있 다 . 다 음 인 수 들 은 네 트 워 크 시 스 템 에 의 해 사 용 되 어 진 다 : 실 행 컨 텍 스 트 (up), 네 트 워 크 형 태 (empty/veth/macvlan/phys). 네 트 워 크 형 태 에 따 라 서 다 음 인 수 들 이 넘 겨 진 다 : veth/macvlan/phys의 경 우 , (호 스 트 쪽 의 ) 장 치 이 름 .

스 크 립 트 의 표 준 출 력 은 debug 수 준 로 그 로 납 겨 진 다 . 표 준 에 러 는 로 그 로 남 겨 지 지 는 않 지 만 , 표 준 에 러 를 표 준 출 력 으 로 리 다 이 렉 션 하 여 로 그 로 남 길 수 있 다 .

lxc.net.[i].script.down

네 트 워 크 를 제 거 한 후 에 호 스 트 쪽 에 서 실 행 되 는 스 크 립 트 를 지 정 한 다 . 다 음 인 수 들 이 스 크 립 트 에 넘 겨 진 다 : 컨 테 이 너 이 름 , 설 정 섹 션 이 름 (net). 그 후 인 수 는 훅 스 크 립 트 을 사 용 하 는 설 정 섹 션 에 달 려 있 다 . 다 음 인 수 들 은 네 트 워 크 시 스 템 에 의 해 사 용 되 어 진 다 : 실 행 컨 텍 스 트 (down), 네 트 워 크 형 태 (empty/veth/macvlan/phys). 네 트 워 크 형 태 에 따 라 서 다 음 인 수 들 이 넘 겨 진 다 : veth/macvlan/phys의 경 우 , (호 스 트 쪽 의 ) 장 치 이 름 .

스 크 립 트 의 표 준 출 력 은 debug 수 준 로 그 로 납 겨 진 다 . 표 준 에 러 는 로 그 로 남 겨 지 지 는 않 지 만 , 표 준 에 러 를 표 준 출 력 으 로 리 다 이 렉 션 하 여 로 그 로 남 길 수 있 다 .

새 로 운 PSEUDO TTY 인 스 턴 스 (DEVPTS)

강 한 고 립 을 위 해 컨 테 이 너 는 자 기 자 신 만 의 pseudo tty를 가 질 수 있 다 .
lxc.pty.max

만 약 지 정 되 었 다 면 , 컨 테 이 너 는 새 pseudo tty 인 스 턴 스 를 갖 는 다 . 그 리 고 이 것 을 자 기 자 신 전 용 으 로 만 든 다 . 지 정 하 는 값 은 pseudo tty의 최 대 개 수 를 지 정 한 다 . (이 제 한 은 아 직 구 현 되 지 않 았 다 )

컨 테 이 너 시 스 템 콘 솔

컨 테 이 너 에 루 트 파 일 시 스 템 이 설 정 되 어 있 고 inittab 파 일 에 콘 솔 을 사 용 하 는 것 이 설 정 되 어 있 다 면 , 콘 솔 의 출 력 을 어 디 로 할 지 지 정 할 수 있 다 .
lxc.console.logfile

콘 솔 의 출 력 을 쓸 파 일 의 경 로 를 지 정 한 다 .

lxc.console.path

콘 솔 을 붙 일 장 치 의 경 로 를 지 정 한 다 . ’none’이 라 는 값 은 단 순 히 콘 솔 을 비 활 성 화 시 킨 다 . 만 약 응 용 프 로 그 램 이 쓸 수 있 는 콘 솔 장 치 파 일 이 루 트 파 일 시 스 템 에 있 으 면 , 메 시 지 가 호 스 트 쪽 에 출 력 되 므 로 이 설 정 은 위 험 할 수 있 다 .

TTY를 통 한 콘 솔

컨 테 이 너 에 루 트 파 일 시 스 템 이 설 정 되 어 있 고 inittab 파 일 에 tty에 서 getty를 실 행 하 는 것 이 설 정 되 어 있 다 면 , 이 옵 션 은 유 용 하 다 . 이 옵 션 은 컨 테 이 너 에 서 사 용 가 능 한 tty의 개 수 를 지 정 한 다 . 컨 테 이 너 의 inittab 파 일 에 설 정 된 getty의 개 수 는 이 옵 션 에 서 정 한 tty의 개 수 보 다 크 면 안 된 다 . 그 렇 지 않 으 면 초 과 된 getty 세 션 은 무 한 히 죽 고 다 시 살 아 나 기 를 반 복 하 며 콘 솔 이 나 /var/log/messages 에 계 속 메 시 지 를 띄 울 것 이 다 .
lxc.tty.max

컨 테 이 너 가 만 들 수 있 는 tty의 개 수 를 지 정 한 다 .

콘 솔 장 치 위 치

LXC 콘 솔 은 호 스 트 에 서 생 성 된 Unix98 PTY와 컨 테 이 너 내 에 바 인 드 마 운 트 될 장 치 들 을 통 해 제 공 된 다 . 기 본 적 으 로 /dev/console 와 /dev/ttyN 를 바 인 드 마 운 트 한 다 . 이 것 은 게 스 트 에 서 패 키 지 업 그 레 이 드 를 방 해 하 는 요 인 이 된 다 . 그 래 서 /dev 밑 에 LXC가 파 일 을 생 성 하 고 바 인 드 마 운 트 할 디 렉 토 리 의 위 치 를 따 로 지 정 해 줄 수 있 다 . 그 리 고 만 들 어 진 파 일 들 은 /dev/console 와 /dev/ttyN 에 심 볼 릭 링 크 된 다 . 심 볼 릭 링 크 들 은 삭 제 하 거 나 대 체 하 는 것 이 가 능 하 므 로 패 키 지 업 그 레 이 드 는 성 공 적 으 로 이 루 어 질 수 있 다 .
lxc.tty.dir

컨 테 이 너 콘 솔 장 치 를 생 성 할 /dev 밑 의 디 렉 토 리 를 지 정 한 다 .

/DEV 디 렉 토 리

기 본 적 으 로 lxc는 약 간 의 심 볼 릭 링 크 (fd, stdin, stdout, stderr)를 컨 테 이 너 의 /dev 디 렉 토 리 에 생 성 한 다 . 그 러 나 자 동 으 로 장 치 노 드 항 목 들 을 생 성 해 주 지 않 는 다 . 컨 테 이 너 의 루 트 파 일 시 스 템 에 서 필 요 로 하 는 /dev 를 생 성 할 수 있 게 하 는 것 이 다 . lxc.autodev가 1로 지 정 되 었 다 면 , 컨 테 이 너 루 트 파 일 시 스 템 을 마 운 트 한 후 , LXC가 /dev 밑 에 새 로 운 tmpfs(최 대 500k)를 마 운 트 해 준 다 . 그 리 고 최 소 한 의 장 치 만 을 채 워 준 다 . 이 것 은 "systemd" 기 반 의 "init" 환 경 의 컨 테 이 너 를 시 작 할 때 일 반 적 으 로 필 요 하 지 만 , 다 른 환 경 의 경 우 는 선 택 적 인 요 소 이 다 . 컨 테 이 너 의 부 가 적 인 장 치 들 은 lxc.hook.autodev 훅 스 크 립 트 를 사 용 하 여 /dev 디 렉 토 리 에 생 성 할 수 있 다 .
lxc.autodev

컨 테 이 너 시 작 시 /dev 을 마 운 트 하 고 최 소 한 으 로 /dev 를 구 성 할 지 지 정 한 다 . 0이 면 해 당 동 작 을 수 행 하 지 않 는 다 .

KMSG 심 볼 릭 링 크 사 용

/dev/console에 대 한 심 볼 릭 링 크 로 /dev/kmsg를 생 성 한 다 .
lxc.kmsg

이 것 을 1로 지 정 하 면 /dev/kmsg 심 볼 릭 링 크 를 사 용 한 다 .

마 운 트 포 인 트

마 운 트 포 인 트 섹 션 은 마 운 트 가 될 각 각 의 장 소 를 지 정 한 다 . 이 마 운 트 포 인 트 들 은 컨 테 이 너 에 서 만 보 이 고 외 부 에 서 실 행 하 는 프 로 세 스 들 에 겐 보 이 지 않 는 다 . 이 는 예 를 들 어 /etc, /var, /home을 마 운 트 할 때 유 용 하 다 .

주 의 - 보 통 LXC는 마 운 트 대 상 과 상 대 경 로 로 된 바 인 드 마 운 트 소 스 들 이 컨 테 이 너 의 루 트 아 래 에 있 도 록 보 장 할 것 이 다 . 이 는 호 스 트 디 렉 토 리 와 파 일 들 을 겹 쳐 서 마 운 트 하 는 유 형 의 공 격 을 피 하 기 위 한 것 이 다 . (절 대 경 로 로 된 마 운 트 소 스 내 에 존 재 하 는 심 볼 릭 링 크 들 은 무 시 될 것 이 다 .) 하 지 만 , 만 약 컨 테 이 너 설 정 에 서 컨 테 이 너 사 용 자 가 제 어 할 수 있 는 , 예 를 들 어 /home/joe와 같 은 디 렉 토 리 를 컨 테 이 너 내 의 path 에 먼 저 마 운 트 하 고 나 서 , path 내 에 또 마 운 트 를 하 는 경 우 가 있 다 면 , 컨 테 이 너 사 용 자 가 자 신 의 home 디 렉 토 리 에 있 는 심 볼 릭 링 크 를 정 확 한 시 간 에 조 작 하 여 , TOCTTOU (역 주 : Time of check to time of use) 공 격 이 가 능 할 것 이 다 .
lxc.mount.fstab

마 운 트 정 보 를 담 은 fstab 형 식 으 로 된 파 일 의 위 치 를 지 정 한 다 . 이 마 운 트 대 상 위 치 들 은 대 부 분 상 대 경 로 로 되 어 있 으 며 , 이 는 마 운 트 된 컨 테 이 너 루 트 에 서 의 상 대 경 로 를 의 미 한 다 .

proc proc proc nodev,noexec,nosuid 0 0
.fi

위 의 예 는 proc 파 일 시 스 템 을 컨 테 이 너 루 트 파 일 시 스 템 의 위 치 와 상 관 없 이 컨 테 이 너 의 /proc에 마 운 트 시 키 는 예 제 이 다 . 이 는 백 엔 드 파 일 시 스 템 블 록 장 치 뿐 만 아 니 라 컨 테 이 너 의 복 제 에 도 유 연 하 게 대 처 할 수 있 다 .

이 미 지 파 일 이 나 블 록 장 치 에 서 마 운 트 된 파 일 시 스 템 의 경 우 , 3번 째 필 드 (fs_vfstype)는
mount (8)
와 같 이 auto를 지 정 할 수 없 으 며 , 명 시 적 으 로 지 정 해 야 한 다 .

lxc.mount.entry

fstab의 형 식 으 로 , 한 줄 당 마 운 트 포 인 트 하 나 를 지 정 한 다 .
또 한 마 운 트 옵 션 에 아 래 2가 지 옵 션 을 추 가 적 으 로 사 용 할 수 있 다 . 이 는 LXC 자 체 적 으 로 사 용 하 는 옵 션 이 다 .
optional 은 마 운 트 를 못 하 더 라 도 , 실 패 로 처 리 하 지 않 게 한 다 .
create=dir 와 create=file 는 마 운 트 할 때 , 디 렉 토 리 (dir) 또 는 파 일 (file)을 생 성 한 다 .

lxc.mount.auto

일 반 적 인 커 널 의 파 일 시 스 템 을 자 동 으 로 마 운 트 할 지 지 정 한 다 .
이 옵 션 을 사 용 하 면 설 정 을 매 우 편 하 게 할 수 있 다 .
사 용 할 수 있 는 파 일 시 스 템 들 은 아 래 와 같 다 .

•

proc:mixed (or proc ):

/proc 을 읽 기 /쓰 기 가 능 으 로 마 운 트 , 그 러 나 /proc/sys 과 /proc/sysrq-trigger 는 읽 기 전 용 으 로 다 시 마 운 트 (보 안 상 의 이 유 및 컨 테 이 너 고 립 을 위 해 )

•

proc:rw :

/proc 전 체 를 읽 기 /쓰 기 가 능 으 로 마 운 트

•

sys:mixed (or sys ):

/sys/devices/virtual/net는 쓰 기 가 능 으 로 , /sys 는 읽 기 전 용 으 로 마 운 트 .

•

sys:ro :

/sys 를 읽 기 전 용 으 로 마 운 트 (보 안 상 의 이 유 및 컨 테 이 너 고 립 을 위 해 )

•

sys:rw :

/sys 를 읽 기 /쓰 기 가 능 으 로 마 운 트

•

cgroup:mixed :

/sys/fs/cgroup 를 tmpfs로 마 운 트 .
컨 테 이 너 가 추 가 될 모 든 계 층 의 디 렉 토 리 생 성 .
cgroup 이 름 의 하 위 디 렉 토 리 생 성 .
컨 테 이 너 자 신 의 cgroup을 해 당 디 렉 토 리 에 마 운 트 .
컨 테 이 너 는 자 신 의 cgroup 디 렉 토 리 에 는 쓰 기 가 가 능 하 지 만 부 모 의 디 렉 토 리 는 읽 기 전 용 으 로 마 운 트 하 므 로 쓰 기 가 불 가 능 하 다 .

•

cgroup:ro :

cgroup:mixed 와 유 사 , 단 , 전 부 읽 기 전 용 으 로 마 운 트

•

cgroup:rw :

cgroup:mixed 와 유 사 , 단 , 전 부 읽 기 /쓰 기 가 능 으 로 마 운 트 .
컨 테 이 너 자 신 의 cgroup에 이 르 기 까 지 의 경 로 가 모 두 쓰 기 가 능 이 되 지 만 , cgroup 파 일 시 스 템 이 아 닌 /sys/fs/cgroup 의 tmpfs의 일 부 로 써 존 재 하 게 되 는 것 에 주 의 해 야 한 다 .

•

cgroup (별 다 른 옵 션 없 이 ):

컨 테 이 너 가 CAP_SYS_ADMIN capability를 유 지 하 고 있 는 경 우 cgroup:rw 을 기 본 으 로 사 용 한 다 . 그 렇 지 않 다 면 cgroup:mixed 를 사 용 한 다 .

•

cgroup-full:mixed :

/sys/fs/cgroup 을 tmpfs로 마 운 트 .
컨 테 이 너 가 추 가 될 모 든 계 층 의 디 렉 토 리 생 성 .
호 스 트 의 디 렉 토 리 들 을 컨 테 이 너 로 바 인 드 마 운 트 하 고 컨 테 이 너 자 신 의 cgroup을 제 외 한 모 든 디 렉 토 리 는 읽 기 전 용 으 로 변 경 .
비 교 하 자 면 , cgroup 의 경 우 에 는 컨 테 이 너 자 신 의 cgroup에 이 르 기 까 지 모 든 경 로 는 단 순 하 게 tmpfs 아 래 에 있 는 디 렉 토 리 에 불 과 하 다 . 하 지 만 , 여 기 서 는 비 록 컨 테 이 너 자 신 의 cgroup 이 외 에 는 모 두 읽 기 전 용 이 긴 하 나 /sys/fs/cgroup/$hierarchy 이 호 스 트 의 모 든 cgroup 계 층 구 조 를 포 함 하 고 있 다 .
이 는 컨 테 이 너 에 게 너 무 많 은 정 보 를 노 출 시 킬 수 있 다 .

•

cgroup-full:ro :

cgroup-full:mixed 와 유 사 , 단 , 전 부 읽 기 전 용 으 로 마 운 트

•

cgroup-full:rw :

cgroup-full:mixed 와 유 사 , 단 , 전 부 읽 기 /쓰 기 가 능 으 로 마 운 트 .
이 경 우 는 컨 테 이 너 가 자 기 자 신 의 cgroup을 벗 어 날 수 있 다 . (만 약 컨 테 이 너 가 CAP_SYS_ADMIN을 갖 고 있 다 면 , cgroup 파 일 시 스 템 자 체 를 마 운 트 할 수 있 음 을 주 의 해 야 한 다 . 이 렇 게 하 면 같 은 결 과 를 가 져 올 수 있 다 )

•

cgroup-full (별 다 른 옵 션 없 이 ):

컨 테 이 너 가 CAP_SYS_ADMIN capability를 유 지 하 고 있 는 경 우 cgroup-full:rw 을 기 본 으 로 사 용 한 다 . 그 렇 지 않 다 면 cgroup-full:mixed 를 사 용 한 다 .

cgroup 네 임 스 페 이 스 가 사 용 가 능 한 경 우 , cgroup 마 운 트 옵 션 들 은 전 부 무 시 될 것 이 다 . 컨 테 이 너 가 직 접 파 일 시 스 템 을 마 운 트 하 기 때 문 이 며 , 컨 테 이 너 초 기 화 시 해 당 옵 션 이 혼 란 을 줄 수 있 기 때 문 이 다 .

cgroup 파 일 시 스 템 이 자 동 으 로 마 운 트 되 는 게 활 성 화 되 어 있 다 면 , /sys/fs/cgroup 밑 의 tmpfs는 언 제 나 읽 기 /쓰 기 가 능 으 로 마 운 트 된 다 .(단 , :mixed 과 :ro 의 경 우 에 는 각 각 계 층 /sys/fs/cgroup/$hierarchy 이 읽 기 전 용 이 될 수 는 있 다 )
아 래 의 Ubuntu 명 령 어 에 대 응 하 기 위 함 이 다 .
mountall (8)
해 당 명 령 어 는 컨 테 이 너 부 팅 시 에 /sys/fs/cgroup 가 읽 기 전 용 으 로 마 운 트 되 어 있 고 , 컨 테 이 너 가 CAP_SYS_ADMIN을 갖 고 있 지 않 아 이 를 읽 기 /쓰 기 전 용 으 로 다 시 마 운 트 못 할 경 우 , 부 팅 시 에 사 용 자 의 입 력 을 기 다 리 게 만 들 기 때 문 이 다 .

예 제 :

	lxc.mount.auto = proc sys cgroup
	lxc.mount.auto = proc:rw sys:rw cgroup-full:rw

루 트 파 일 시 스 템

컨 테 이 너 의 루 트 파 일 시 스 템 은 호 스 트 시 스 템 과 다 르 게 구 성 할 수 있 다 .
lxc.rootfs.path

컨 테 이 너 의 루 트 파 일 시 스 템 을 지 정 한 다 . 이 미 지 파 일 또 는 블 록 장 치 의 디 렉 토 리 가 될 수 도 있 다 . 만 약 지 정 되 지 않 으 면 컨 테 이 너 는 자 신 의 루 트 파 일 시 스 템 을 호 스 트 와 공 유 한 다 .

디 렉 토 리 또 는 간 단 한 블 록 장 치 로 구 성 된 컨 테 이 너 를 위 해 서 경 로 이 름 이 사 용 될 수 있 다 . 만 약 루 트 파 일 시 스 템 이 nbd 장 치 의 경 우 , nbd:file:1 는 file 을 nbd 장 치 로 사 용 하 고 1번 파 티 션 이 루 트 파 일 시 스 템 으 로 마 운 트 되 도 록 지 정 한 다 . nbd:file 는 nbd 장 치 자 체 가 마 운 트 되 어 야 한 다 고 지 정 한 다 . overlayfs:/lower:/upper 는 루 트 파 일 시 스 템 이 읽 기 전 용 으 로 마 운 트 된 /lower 를 /upper 가 읽 기 /쓰 기 가 능 으 로 오 버 레 이 마 운 트 되 도 록 지 정 한 다 . aufs:/lower:/upper 는 aufs에 서 위 와 같 이 지 정 한 다 . overlayfs 와 aufs 는 여 러 개 의 /lower 디 렉 토 리 를 지 정 할 수 있 다 . loop:/file 는 lxc가 /file 을 loop 장 치 로 사 용 하 고 loop 장 치 를 마 운 트 하 도 록 지 정 한 다 .

lxc.rootfs.mount

루 트 파 일 시 스 템 을 변 경 하 기 전 에 , lxc.rootfs.path 을 어 디 에 재 귀 적 으 로 바 인 드 할 지 정 한 다 . 이 는 pivot_root (8) 시 스 템 콜 의 성 공 을 보 장 한 다 . 어 떤 디 렉 토 리 도 좋 으 며 , 기 본 값 으 로 도 보 통 동 작 할 것 이 다 .

lxc.rootfs.options

루 트 파 일 시 스 템 을 마 운 트 할 때 사 용 할 부 가 적 인 마 운 트 옵 션 .

컨 트 롤 그 룹

컨 트 롤 그 룹 섹 션 은 (lxc와 는 ) 다 른 서 브 시 스 템 의 설 정 을 포 함 한 다 . lxc 는 서 브 시 스 템 의 이 름 을 정 확 히 체 크 하 지 않 는 다 . 이 는 컨 테 이 너 를 시 작 할 때 까 지 는 설 정 상 의 에 러 를 잡 아 내 기 힘 들 게 한 다 . 그 러 나 다 른 차 후 에 들 어 올 수 있 는 서 브 시 스 템 을 지 원 할 수 있 는 장 점 도 있 다 .
lxc.cgroup.[subsystem name]

지 정 한 컨 트 롤 그 룹 의 값 을 지 정 한 다 . 서 브 시 스 템 의 이 름 은 컨 트 롤 그 룹 에 서 의 이 름 이 다 . 사 용 가 능 한 이 름 이 나 값 의 문 법 에 대 해 서 는 LXC에 서 따 로 신 경 쓰 지 않 으 며 , 컨 테 이 너 가 시 작 하 는 시 점 에 리 눅 스 커 널 이 해 당 기 능 을 지 원 하 는 지 에 달 려 있 다 . 예 를 들 면 lxc.cgroup.cpuset.cpus 이 다 .

CAPABILITIES

컨 테 이 너 가 root로 실 행 된 다 면 , 컨 테 이 너 내 에 서 capability를 제 거 할 수 있 다 .
lxc.cap.drop

컨 테 이 너 에 서 제 거 할 capability를 지 정 한 다 . 한 줄 에 여 러 개 의 capability를 공 백 (space)으 로 구 분 하 여 정 의 할 수 있 다 . 형 식 은 capability 정 의 에 서 "CAP_" 접 두 사 를 빼 고 소 문 자 로 작 성 하 는 것 이 다 . 예 를 들 어 CAP_SYS_MODULE의 경 우 는 sys_module이 다 . 아 래 를 참 조 할 수 있 다 . capabilities (7) 값 을 공 백 으 로 지 정 하 면 , 해 당 설 정 이 전 에 지 정 했 던 capability를 모 두 취 소 한 다 . (lxc.cap.drop에 아 무 것 도 지 정 하 지 않 은 상 태 가 된 다 .)

lxc.cap.keep

컨 테 이 너 에 서 유 지 할 capability를 지 정 한 다 . 다 른 capability는 모 두 제 거 될 것 이 다 . "none"이 라 는 값 을 지 정 하 면 , lxc는 해 당 시 점 에 서 갖 고 있 던 모 든 capability를 제 거 한 다 . 모 든 capability를 제 거 하 기 위 해 서 는 "none" 하 나 만 사 용 하 면 된 다 .

APPARMOR 프 로 파 일

lxc가 apparmor를 지 원 하 도 록 컴 파 일 된 후 설 치 되 었 고 , 호 스 트 시 스 템 에 서 apparmor가 활 성 화 되 었 다 면 , 컨 테 이 너 에 서 따 라 야 할 apparmor 프 로 파 일 을 컨 테 이 너 설 정 에 서 지 정 할 수 있 다 . 기 본 값 은 호 스 트 커 널 이 cgroup 네 임 스 페 이 스 를 지 원 하 면 lxc-container-default-cgns 이 고 , 그 렇 지 않 다 면 lxc-container-default 이 다 .
lxc.apparmor.profile

컨 테 이 너 가 따 라 야 할 apparmor 프 로 파 일 을 지 정 한 다 . 컨 테 이 너 가 apparmor로 인 한 제 한 을 받 지 않 도 록 하 려 면 , 아 래 와 같 이 지 정 하 면 된 다 .

lxc.apparmor.profile = unconfined

apparmor 프 로 파 일 이 변 경 되 지 않 아 야 한 다 면 (중 첩 컨 테 이 너 안 에 있 고 , 이 미 confined된 경 우 ), 아 래 와 같 이 지 정 하 면 된 다 .

lxc.apparmor.profile = unchanged

lxc.apparmor.allow_incomplete

apparmor 프 로 파 일 은 경 로 이 름 기 반 이 므 로 , 공 격 자 로 부 터 효 과 적 으 로 파 일 제 한 을 하 기 위 해 서 는 마 운 트 제 한 이 요 구 된 다 . 하 지 만 이 마 운 트 제 한 들 은 upstream 커 널 에 서 는 구 현 되 어 있 지 않 다 . 마 운 트 제 한 없 이 도 , apparmor 프 로 파 일 은 우 연 한 손 상 에 대 해 서 보 호 가 가 능 하 다 .

만 약 이 플 래 그 가 0(기 본 값 )이 라 면 , 커 널 에 apparmor의 마 운 트 기 능 이 부 족 했 을 때 컨 테 이 너 가 시 작 되 지 않 는 다 . 커 널 을 업 그 레 이 드 한 후 에 해 당 기 능 이 빠 졌 는 지 여 부 를 검 사 하 기 위 함 이 다 . 부 분 적 인 apparmor 보 호 하 에 서 도 컨 테 이 너 를 시 작 하 려 면 , 플 래 그 를 1로 지 정 하 면 된 다 .

SELINUX 컨 텍 스 트

lxc가 SELinux를 지 원 하 도 록 컴 파 일 된 후 설 치 되 었 고 , 호 스 트 시 스 템 에 서 SELinux 컨 텍 스 트 가 활 성 화 되 었 다 면 , 컨 테 이 너 에 서 따 라 야 할 SELinux 컨 텍 스 트 를 컨 테 이 너 설 정 에 서 지 정 할 수 있 다 . 기 본 값 은 unconfined_t 이 다 . 이 는 lxc는 컨 텍 스 트 를 변 경 하 지 않 음 을 의 미 한 다 . 정 책 예 제 와 추 가 적 인 정 보 를 원 한 다 면 /usr/share/lxc/selinux/lxc.te를 참 고 하 면 된 다 .
lxc.selinux.context

컨 테 이 너 가 따 라 야 할 SELinux 컨 텍 스 트 를 지 정 하 거 나 , unconfined_t 를 지 정 할 수 있 다 . 예 를 들 어 아 래 와 같 이 지 정 가 능 하 다 .

lxc.selinux.context = system_u:system_r:lxc_t:s0:c22

SECCOMP 설 정

컨 테 이 너 는 seccomp 프 로 파 일 을 로 드 하 여 사 용 가 능 한 시 스 템 콜 의 수 를 줄 인 체 로 실 행 할 수 있 다 . seccomp 설 정 파 일 은 첫 번 째 행 이 버 전 번 호 , 두 번 째 행 이 정 책 타 입 , 시 작 하 며 그 이 후 에 설 정 사 항 들 이 포 함 되 어 야 한 다 .

현 재 는 버 전 1과 2만 지 원 된 다 . 버 전 1에 서 는 정 책 은 단 순 한 화 이 트 리 스 트 이 다 . 그 러 므 로 두 번 째 라 인 은 반 드 시 "allowlist"여 야 한 다 . 파 일 의 나 머 지 내 용 은 한 줄 에 하 나 의 시 스 템 콜 번 호 로 채 워 진 다 . 화 이 트 리 스 트 에 없 는 번 호 는 컨 테 이 너 에 서 블 랙 리 스 트 로 들 어 간 다 .

버 전 2에 서 는 폴 리 시 는 블 랙 리 스 트 또 는 화 이 트 리 스 트 가 될 수 있 다 . 그 리 고 각 규 칙 와 각 정 책 의 기 본 동 작 , 아 키 텍 쳐 별 시 스 템 콜 설 정 , 텍 스 트 로 된 이 름 을 지 원 한 다 .

아 래 는 블 랙 리 스 트 정 책 예 제 이 다 . 아 래 정 책 에 서 는 mknod를 제 외 한 모 든 시 스 템 콜 이 허 용 된 다 . mknod시 에 는 아 무 것 도 수 행 하 지 않 고 0(성 공 )을 반 환 한 다 .

2
denylist
mknod errno 0
.fi
lxc.seccomp.profile

컨 테 이 너 가 시 작 되 기 전 에 읽 어 올 seccomp 설 정 이 담 긴 파 일 을 지 정 한 다 .

PR_SET_NO_NEW_PRIVS

PR_SET_NO_NEW_PRIVS가 적 용 되 면 , execve()는 , execve()를 호 출 되 기 전 에 는 실 행 하 지 못 했 던 것 을 수 행 하 기 위 해 권 한 을 부 여 하 는 류 의 동 작 을 하 지 않 게 된 다 . (예 를 들 어 , set-user-ID와 set-group-ID 모 드 , 파 일 캐 퍼 빌 리 티 가 동 작 하 지 않 는 것 이 다 .) 일 단 적 용 되 면 이 비 트 는 해 제 할 수 없 다 . 이 비 트 는 fork()와 clone()으 로 생 성 된 자 식 에 게 도 상 속 되 며 , execve() 이 후 에 도 그 대 로 적 용 된 다 . PR_SET_NO_NEW_PRIVS는 컨 테 이 너 의 AppArmor 프 로 필 또 는 SELinux 문 맥 이 변 경 된 이 후 에 적 용 된 다 .
lxc.no_new_privs

PR_SET_NO_NEW_PRIVS가 컨 테 이 너 에 적 용 되 어 야 하 는 지 여 부 를 지 정 한 다 . 1을 지 정 하 면 적 용 된 다 .

UID 매 핑

컨 테 이 너 는 사 용 자 와 그 룹 ID 매 핑 을 통 해 자 신 만 의 사 용 자 네 임 스 페 이 스 내 에 서 실 행 될 수 있 다 . 예 를 들 어 서 컨 테 이 너 의 UID 0번 을 호 스 트 의 UID 200000으 로 매 핑 할 수 있 다 . 컨 테 이 너 의 루 트 사 용 자 는 컨 테 이 너 에 서 는 특 권 을 가 지 고 있 지 만 , 호 스 트 에 서 는 특 권 을 가 지 고 있 지 않 게 된 다 . 보 통 시 스 템 컨 테 이 너 는 ID들 의 범 위 를 지 정 하 려 할 텐 데 그 역 시 도 지 정 가 능 하 다 . 예 를 들 어 서 , 컨 테 이 너 의 UID와 GID를 0 ˜ 20,000를 호 스 트 의 200,000 ˜ 220,000로 설 정 가 능 하 다 .
lxc.idmap

4개 의 값 이 제 공 되 어 야 한 다 . 첫 번 째 는 ’u’, ’g’, ’b’ 문 자 로 각 각 UID, GID, 또 는 UID 및 GID 를 가 리 킨 다 . 그 다 음 은 사 용 자 네 임 스 페 이 스 내 에 서 의 UID, 그 다 음 은 호 스 트 의 UID, 그 리 고 마 지 막 으 로 매 핑 할 ID의 범 위 를 지 정 한 다 .

컨 테 이 너 훅

컨 테 이 너 훅 은 컨 테 이 너 의 생 명 주 기 내 에 서 다 양 한 상 황 에 실 행 되 는 프 로 그 램 또 는 스 크 립 트 이 다 .

컨 테 이 너 훅 이 실 행 될 때 , 정 보 는 명 령 어 인 수 나 환 경 변 수 를 통 해 넘 겨 진 다 . 인 수 :

	•		컨 테 이 너 이 름
	•		섹 션 (보 통 ’lxc’)
	•		훅 종 류 (’clone’, ’pre-mount’ 등 )
	•		추 가 인 수 . clone 훅 일 경 우 , lxc-clone에 게 넘 였 던 추 가 인 수 들 이 넘 어 온 다 . stop 훅 일 경 우 , 컨 테 이 너 의 네 임 스 페 이 스 각 각 에 대 한 이 름 과 파 일 디 스 크 립 터 의 경 로 가 넘 어 온 다 .

환 경 변 수 :

	•		LXC_NAME: 컨 테 이 너 이 름
	•		LXC_ROOTFS_MOUNT: 마 운 트 될 루 트 파 일 시 스 템 의 경 로
	•		LXC_CONFIG_FILE: 컨 테 이 너 설 정 파 일 의 경 로
	•		LXC_SRC_NAME: clone 훅 의 경 우 , 원 본 컨 테 이 너 의 이 름
	•		LXC_ROOTFS_PATH: 컨 테 이 너 의 lxc.rootfs.path 항 목 . 이 것 은 마 운 트 된 루 트 파 일 시 스 템 을 가 리 키 는 것 이 아 님 에 주 의 해 야 한 다 . 그 목 적 을 위 해 서 는 LXC_ROOTFS_MOUNT를 사 용 해 야 한 다 .

훅 의 표 준 출 력 은 debug 수 준 로 그 로 납 겨 진 다 . 표 준 에 러 는 로 그 로 남 겨 지 지 는 않 지 만 , 표 준 에 러 를 표 준 출 력 으 로 리 다 이 렉 션 하 여 로 그 로 남 길 수 있 다 .
lxc.hook.pre-start

컨 테 이 너 의 tty, 콘 솔 의 생 성 및 마 운 트 가 되 기 전 에 , 호 스 트 의 네 임 스 페 이 스 에 서 실 행 되 는 훅 .

lxc.hook.pre-mount

컨 테 이 너 의 마 운 트 네 임 스 페 이 스 안 에 서 루 트 파 일 시 스 템 이 세 팅 되 기 전 에 실 행 되 는 훅 . 예 를 들 어 암 호 화 파 일 시 스 템 을 마 운 트 하 는 등 의 루 트 파 일 시 스 템 을 조 작 할 수 있 게 해 준 다 . 이 훅 에 서 마 운 트 를 하 더 라 도 호 스 트 에 는 반 영 되 지 않 는 다 . (mounts propagation은 제 외 ) 그 래 서 컨 테 이 너 가 종 료 되 면 자 동 적 으 로 정 리 된 다 .

lxc.hook.mount

마 운 트 가 완 료 된 후 pivot_root 전 에 , 컨 테 이 너 의 마 운 트 네 임 스 페 이 스 에 서 실 행 되 는 훅 .

lxc.hook.autodev

lxc.autodev == 1가 지 정 되 어 있 는 경 우 에 마 운 트 완 료 시 마 운 트 훅 도 실 행 된 후 pivot_root전 에 , 컨 테 이 너 의 마 운 트 네 임 스 페 이 스 에 서 실 행 되 는 훅 . 이 훅 의 목 적 은 systemd 기 반 의 컨 테 이 너 에 서 autodev 옵 션 을 사 용 하 는 경 우 /dev 디 렉 토 리 를 구 성 할 때 도 움 을 주 기 위 한 것 이 다 . 훅 이 실 행 될 때 , 컨 테 이 너 의 /dev 경 로 는 ${ LXC_ROOTFS_MOUNT } 환 경 변 수 에 대 한 경 로 이 다 .

lxc.hook.start

컨 테 이 너 의 init이 실 행 되 기 직 전 에 컨 테 이 너 의 네 임 스 페 이 스 에 서 실 행 되 는 훅 . 컨 테 이 너 내 에 서 해 당 프 로 그 램 이 실 행 될 수 있 는 상 태 여 야 한 다 .

lxc.hook.stop

컨 테 이 너 가 종 료 된 후 컨 테 이 너 네 임 스 페 이 스 에 대 한 참 조 를 넘 겨 받 는 호 스 트 의 네 임 스 페 이 스 에 서 실 행 되 는 훅 . 각 각 의 네 임 스 페 이 스 들 은 훅 에 추 가 인 수 로 넘 겨 진 다 . 해 당 인 수 는 네 임 스 페 이 스 의 이 름 과 네 임 스 페 이 스 의 파 일 디 스 크 립 터 를 얻 어 올 수 있 는 파 일 이 름 을 가 지 고 있 으 며 , 콜 론 으 로 구 분 된 다 . 네 임 스 페 이 스 이 름 은 /proc/PID/ns 디 렉 토 리 내 의 파 일 이 름 이 다 . 예 를 들 어 마 운 트 네 임 스 페 이 스 에 대 응 하 는 인 수 는 일 반 적 으 로 mnt:/proc/PID/fd/12 와 같 이 된 다 .

lxc.hook.post-stop

컨 테 이 너 가 종 료 된 후 호 스 트 의 네 임 스 페 이 스 에 서 실 행 되 는 훅 .

lxc.hook.clone

컨 테 이 너 가 새 로 운 컨 테 이 너 로 복 제 되 었 을 경 우 실 행 되 는 훅 . 아 래 를 참 조 하 면 더 자 세 한 정 보 를 얻 을 수 있 다 . lxc-clone (1)

lxc.hook.destroy

컨 테 이 너 가 제 거 될 때 실 행 되 는 훅 .

컨 테 이 너 훅 환 경 변 수

훅 이 시 작 될 때 설 정 정 보 를 제 공 하 고 훅 의 기 능 을 돕 기 위 해 몇 가 지 환 경 변 수 가 사 용 가 능 하 다 . 모 든 컨 텍 스 트 에 서 모 든 변 수 가 사 용 가 능 하 진 않 다 . 특 히 , 모 든 경 로 는 호 스 트 시 스 템 에 서 의 경 로 이 며 , lxc.hook.start 훅 에 서 는 유 효 하 지 않 다 .
LXC_NAME

LXC 컨 테 이 너 의 이 름 . 일 반 적 인 로 그 환 경 에 서 로 그 메 시 지 에 유 용 하 게 사 용 할 수 있 다 . [ -n ]

LXC_CONFIG_FILE

컨 테 이 너 설 정 파 일 의 호 스 트 에 서 의 경 로 . 이 것 은 다 른 방 법 으 로 는 얻 을 수 없 는 추 가 적 인 정 보 룰 찾 을 수 있 도 록 , 컨 테 이 너 가 참 조 하 는 원 래 의 최 상 위 설 정 파 일 의 경 로 를 제 공 한 다 . [ -f ]

LXC_CONSOLE

NULL이 아 니 라 면 , 컨 테 이 너 의 콘 솔 의 출 력 이 저 장 될 경 로 . [ -c ] [ lxc.console.path ]

LXC_CONSOLE_LOGPATH

NULL이 아 니 라 면 , 컨 테 이 너 의 콘 솔 의 로 그 출 력 이 저 장 될 경 로 . [ -L ]

LXC_ROOTFS_MOUNT

처 음 에 컨 테 이 너 가 마 운 트 되 는 장 소 . 이 것 은 시 작 되 는 컨 테 이 너 인 스 턴 스 를 위 한 루 트 파 일 시 스 템 의 호 스 트 에 서 의 경 로 이 다 . 해 당 인 스 턴 스 에 대 한 변 경 이 이 루 어 져 야 하 는 장 소 이 다 . [ lxc.rootfs.mount ]

LXC_ROOTFS_PATH

rootfs.mount에 마 운 트 된 컨 테 이 너 루 트 의 호 스 트 에 서 의 경 로 이 다 . [ lxc.rootfs.path ]

LXC_SRC_NAME

clone 훅 에 서 만 사 용 된 다 . 원 본 컨 테 이 너 의 이 름 을 지 정 한 다 .

LXC_TARGET

stop 훅 에 서 만 사 용 된 다 . 값 이 "stop"이 면 컨 테 이 너 가 종 료 되 는 것 을 , "reboot"이 면 컨 테 이 너 가 재 부 팅 되 는 것 을 의 미 한 다 .

LXC_CGNS_AWARE

이 변 수 가 지 정 되 지 않 았 다 면 , 현 재 버 전 의 lxc는 cgroup 네 임 스 페 이 스 를 지 원 하 지 않 는 다 . 만 약 지 정 되 었 고 값 이 1이 라 면 , lxc는 cgroup 네 임 스 페 이 스 를 지 원 하 는 것 이 다 . 단 , kernel에 서 의 cgroup 네 임 스 페 이 스 지 원 을 보 장 하 는 것 이 아 님 에 주 의 해 야 한 다 . lxcfs 마 운 트 훅 에 서 사 용 된 다 .

로 그

로 그 는 각 컨 테 이 너 마 다 설 정 할 수 있 다 . 기 본 적 으 로 lxc 패 키 지 가 어 떻 게 컴 파 일 되 었 는 지 에 달 려 있 지 만 , 컨 테 이 너 시 작 시 에 는 error 수 준 로 그 만 기 록 된 다 . 컨 테 이 너 경 로 나 /var/log/lxc 밑 에 컨 테 이 너 의 이 름 을 따 서 (뒤 에 ’.log’를 붙 여 서 ) 로 그 파 일 을 생 성 한 다 .

기 본 로 그 수 준 과 로 그 파 일 은 컨 테 이 너 설 정 파 일 로 지 정 가 능 하 며 , 기 본 동 작 을 덮 어 버 린 다 . 마 찬 가 지 로 설 정 파 일 항 목 들 은 lxc-start 명 령 어 의 옵 션 으 로 덮 어 쓸 수 있 다 .
lxc.log.level

기 록 할 로 그 수 준 . 로 그 수 준 은 0 ˜ 8 사 이 의 정 수 이 다 . 숫 자 가 작 을 수 록 더 자 세 히 로 그 를 기 록 한 다 . 구 체 적 으 로 는 0 = trace, 1 = debug, 2 = info, 3 = notice, 4 = warn, 5 = error, 6 = critical, 7 = alert, 8 = fatal이 다 . 지 정 하 지 않 은 경 우 , 기 본 값 은 5 (error)로 , 에 러 이 거 나 그 보 다 심 각 한 상 황 의 로 그 를 기 록 한 다 .

(훅 스 크 립 트 및 네 트 워 크 인 터 페 이 스 up/down 스 크 립 트 같 은 ) 스 크 립 트 가 호 출 이 되 면 , 스 크 립 트 의 표 준 입 출 력 은 1 번 , debug 수 준 으 로 기 록 된 다 .

lxc.log

로 그 정 보 를 쓸 파 일 .

lxc.log.syslog

로 그 정 보 를 syslog에 보 낸 다 . 로 그 수 준 은 lxc.log.level 로 지 정 할 수 있 다 . 인 자 는 syslog에 정 의 된 값 으 로 만 지 정 할 수 있 다 . 사 용 가 능 한 값 은 다 음 과 같 다 : daemon, local0, local1, local2, local3, local4, local5, local5, local7

자 동 시 작

자 동 시 작 옵 션 들 은 자 동 시 작 할 컨 테 이 너 지 정 및 순 서 설 정 이 가 능 하 다 . 이 옵 션 들 은 LXC 도 구 로 직 접 사 용 하 거 나 배 포 판 들 이 제 공 하 는 외 부 도 구 에 의 해 사 용 될 수 도 있 다 .
lxc.start.auto

컨 테 이 너 가 자 동 으 로 시 작 될 지 여 부 . 유 효 한 값 은 0 (off) 또 는 1 (on)이 다 .

lxc.start.delay

컨 테 이 너 가 시 작 된 후 다 음 컨 테 이 너 가 시 작 되 기 전 까 지 기 다 릴 시 간 (초 ).

lxc.start.order

다 수 의 컨 테 이 너 를 한 번 에 자 동 시 작 할 때 , 컨 테 이 너 의 부 팅 순 서 를 결 정 할 때 사 용 하 는 정 수 를 지 정 한 다 .

lxc.monitor.unshare

값 이 0이 아 니 라 면 , 컨 테 이 너 가 초 기 화 되 기 전 (pre-start 훅 이 실 행 되 기 전 ) 호 스 트 로 부 터 마 운 트 네 임 스 페 이 스 를 unshare 한 다 . 시 작 시 에 CAP_SYS_ADMIN 캐 퍼 빌 리 티 가 요 구 된 다 . 기 본 값 은 0이 다 .

lxc.group

컨 테 이 너 를 추 가 할 컨 테 이 너 그 룹 을 지 정 한 다 . 여 러 값 을 설 정 할 수 있 으 며 , 여 러 번 지 정 가 능 하 다 . 설 정 된 그 룹 은 연 관 된 컨 테 이 너 들 을 시 작 할 때 사 용 된 다 .

자 동 시 작 과 시 스 템 부 팅

각 각 의 컨 테 이 너 는 여 러 그 룹 에 속 할 수 도 있 고 아 무 그 룹 에 도 속 하 지 않 을 수 있 다 . 두 개 의 그 룹 은 특 수 한 데 , 하 나 는 NULL 그 룹 이 고 컨 테 이 너 가 아 무 그 룹 에 도 속 하 지 않 을 때 사 용 된 다 . 그 리 고 나 머 지 하 나 는 "onboot" 그 룹 이 다 .

LXC 서 비 스 가 활 성 화 된 상 태 로 시 스 템 이 부 팅 될 때 , 먼 저 lxc.start.auto == 1이 고 "onboot" 그 룹 인 컨 테 이 너 들 을 시 작 하 려 고 시 도 한 다 . 시 작 과 정 은 lxc.start.order의 순 서 대 로 이 루 어 진 다 . 만 약 lxc.start.delay가 지 정 되 었 다 면 , 다 음 컨 테 이 너 를 시 작 하 려 고 시 도 >하 기 전 , 현 재 컨 테 이 너 의 초 기 화 및 호 스 트 시 스 템 의 부 하 를 줄 이 기 위 해 서 지 연 시 간 을 준 다 . "onboot" 그 룹 의 멤 버 들 을 시 작 시 킨 후 , LXC 시 스 템 은 lxc.start.auto == 1이 고 어 떤 그 룹 에 도 속 하 지 않 은 (NULL 그 룹 ) 컨 테 이 너 들 을 시 작 한 다 .

컨 테 이 너 환 경 변 수

컨 테 이 너 에 환 경 변 수 를 념 겨 주 고 싶 다 면 (환 경 변 수 를 컨 테 이 너 의 init과 그 자 손 전 체 가 사 용 할 수 있 다 ), lxc.environment 를 사 용 할 수 있 다 . 민 감 한 정 보 를 넘 기 지 않 도 록 주 의 해 야 한 다 . 왜 냐 면 컨 테 이 너 의 모 든 프 로 세 스 가 이 환 경 변 수 를 획 득 할 수 있 기 때 문 이 다 . 환 경 변 수 는 항 상 /proc/PID/environ 를 통 해 획 득 할 수 있 다 .

이 설 정 항 목 은 여 러 번 을 지 정 할 수 있 으 며 , 설 정 하 려 는 환 경 변 수 마 다 한 번 씩 지 정 한 다 .
lxc.environment

컨 테 이 너 로 전 달 될 환 경 변 수 를 지 정 한 다 . 예 제 :

lxc.environment = APP_ENV=production

lxc.environment = SYSLOG_SERVER=192.0.2.42

예 제

아 래 에 소 개 하 는 몇 가 지 예 제 말 고 도 다 른 예 제 들 이 /usr/share/doc/lxc/examples에 위 치 하 고 있 다 .

네 트 워 크

이 설 정 은 컨 테 이 너 가 한 쪽 은 (이 전 에 시 스 템 에 이 미 생 성 된 ) br0 브 리 지 에 연 결 되 어 있 는 veth 장 치 쌍 을 사 용 하 도 록 세 팅 한 다 . 가 상 네 트 워 크 장 치 는 컨 테 이 너 내 에 서 eth0라 는 이 름 을 갖 는 다 .

lxc.uts.name = myhostname

	lxc.net.0.type = veth
	lxc.net.0.flags = up
	lxc.net.0.link = br0
	lxc.net.0.name = eth0
	lxc.net.0.hwaddr = 4a:49:43:49:79:bf
	lxc.net.0.ipv4.address = 1.2.3.5/24 1.2.3.255
	lxc.net.0.ipv6.address = 2003:db8:1:0:214:1234:fe0b:3597

UID/GID 매 핑

이 설 정 은 UID와 GID 둘 다 를 컨 테 이 너 의 0 ˜ 9999를 호 스 트 의 100000 ˜ 109999로 매 핑 한 다 .

	lxc.idmap = u 0 100000 10000
	lxc.idmap = g 0 100000 10000

컨 트 롤 그 룹

이 설 정 은 어 플 리 케 이 션 을 위 해 몇 가 지 컨 트 롤 그 룹 을 설 정 한 다 . cpuset.cpus는 정 의 된 cpu만 사 용 하 도 록 제 한 한 다 . cpus.share은 컨 트 롤 그 룹 (cpu) 우 선 순 위 를 지 정 한 다 . devices.allow는 특 정 장 치 를 사 용 가 능 하 게 한 다 .

	lxc.cgroup.cpuset.cpus = 0,1
	lxc.cgroup.cpu.shares = 1234
	lxc.cgroup.devices.deny = a
	lxc.cgroup.devices.allow = c 1:3 rw
	lxc.cgroup.devices.allow = b 8:0 rw

복 잡 한 설 정

아 래 의 예 제 는 복 잡 한 네 트 워 크 스 택 , 컨 트 롤 그 룹 사 용 , 호 스 트 이 름 설 정 , 몇 몇 장 소 마 운 트 , 루 트 파 일 시 스 템 변 경 등 의 복 잡 한 설 정 을 보 여 준 다 .

	lxc.uts.name = complex
	lxc.net.0.type = veth
	lxc.net.0.flags = up
	lxc.net.0.link = br0
	lxc.net.0.hwaddr = 4a:49:43:49:79:bf
	lxc.net.0.ipv4.address = 10.2.3.5/24 10.2.3.255
	lxc.net.0.ipv6.address = 2003:db8:1:0:214:1234:fe0b:3597
	lxc.net.0.ipv6.address = 2003:db8:1:0:214:5432:feab:3588
	lxc.net.1.type = macvlan
	lxc.net.1.flags = up
	lxc.net.1.link = eth0
	lxc.net.1.hwaddr = 4a:49:43:49:79:bd
	lxc.net.1.ipv4.address = 10.2.3.4/24
	lxc.net.1.ipv4.address = 192.168.10.125/24
	lxc.net.1.ipv6.address = 2003:db8:1:0:214:1234:fe0b:3596
	lxc.net.2.type = phys
	lxc.net.2.flags = up
	lxc.net.2.link = random0
	lxc.net.2.hwaddr = 4a:49:43:49:79:ff
	lxc.net.2.ipv4.address = 10.2.3.6/24
	lxc.net.2.ipv6.address = 2003:db8:1:0:214:1234:fe0b:3297
	lxc.cgroup.cpuset.cpus = 0,1
	lxc.cgroup.cpu.shares = 1234
	lxc.cgroup.devices.deny = a
	lxc.cgroup.devices.allow = c 1:3 rw
	lxc.cgroup.devices.allow = b 8:0 rw
	lxc.mount.fstab = /etc/fstab.complex
	lxc.mount.entry = /lib /root/myrootfs/lib none ro,bind 0 0
	lxc.rootfs.path = dir:/mnt/rootfs.complex
	lxc.cap.drop = sys_module mknod setuid net_raw
	lxc.cap.drop = mac_override

참 조

chroot (1), pivot_root (8), fstab (5) capabilities (7)

참 조

lxc (7), lxc-create (1), lxc-copy (1), lxc-destroy (1), lxc-start (1), lxc-stop (1), lxc-execute (1), lxc-console (1), lxc-monitor (1), lxc-wait (1), lxc-cgroup (1), lxc-ls (1), lxc-info (1), lxc-freeze (1), lxc-unfreeze (1), lxc-attach (1), lxc.conf (5)

---