Real chroot trên một máy systemd


7

Tôi đang cố gắng làm quen systemd, bởi vì dường như đó là cách mà Debian đang đi.

Tôi muốn chạy Xorg chroottrên phần cứng, thay vì sử dụng mạng ( dường như là cách làm kinh điển trong systemdcontainer), vì tôi không muốn cài đặt máy chủ X trên hệ thống máy chủ của mình. Tôi muốn máy chủ lưu trữ là một hệ điều hành mỏng, bảo trì thấp.

Theo hiểu biết của tôi là systemd-nspawnảo hóa /dev, và do đó không cho phép truy cập vào phần cứng.

Chạy một tiêu chuẩn chrootdường như hoạt động tốt trong thực tế, mặc dù tôi không chắc liệu sẽ có bất kỳ vấn đề tinh tế nào với điều này.

Ngoài việc khách có quyền truy cập trực tiếp vào phần cứng, việc chạy một chroot "thực" trên máy systemd có phải là một ý tưởng tồi ? Nếu vậy, nó sẽ gây ra vấn đề gì?

Nếu đó thực hành xấu, có cách nào để làm điều này với systemd-nspawn; chẳng hạn như một số cờ "không an toàn"? Tôi không tìm thấy một cái trên mantrang, nhưng theo trang này , có một --share-systemlá cờ; mà không làm việc cho tôi.


Không. Nó giống như trên một máy không có hệ thống.
CameronNemo

@CameronNemo cảm ơn. Poettering nói về cách systemd thực hiện một số cách ly PID, vì vậy tôi tự hỏi liệu điều đó có thể gây ra bất kỳ vấn đề nào với một chiếc chroot truyền thống hay không.
bóng bán

Câu trả lời:


4

Các nhà phát triển systemd khá chống lại việc cho phép nspawntruy cập phần cứng thực như trích dẫn này từ Poettering nói:

Chà, cách chúng ta thấy nó chứa thực sự là về việc chỉ truy cập vào các môi trường ảo hóa, tức là / dev nên hầu như trống rỗng (modulo / dev / null, / dev / ngẫu nhiên và bạn bè), và container thực sự không bao giờ nên truy cập vào vật lý phần cứng. Điều này sau đó tất nhiên sẽ không cho phép bạn chạy một máy chủ X bên trong container.

Các giải pháp container khác hỗ trợ chuyển qua phần cứng từ máy chủ đến container, chúng tôi chỉ tin rằng nó hơi mất tập trung cho công cụ đơn giản là nên và nên ở lại.

Một cài đặt "tiêu chuẩn" Arch Linux dựa trên systemd và wiki không nói gì về truyền thống chrootlà xấu cả. Giả sử rằng một truyền thống chrootđáp ứng nhu cầu của bạn trên một systemdhệ thống, thì nó sẽ ổn trên một systemdhệ thống. Có thể có những tình huống trong đó "ảo hóa" bổ sung nspawnlà hữu ích, nhưng có thể có những trường hợp hạn chế.


1
Cảm ơn. Đó là một ấn tượng mà tôi có-- Tôi cũng không thấy bất cứ điều gì về một truyền thống chroottồi tệ, nhưng tôi cũng không thấy bất cứ điều gì về nó cũng ổn cả. Ở đây , Poettering nói về cách thức systemdmột số cách ly PID, vì vậy tôi tự hỏi liệu điều đó có thể gây ra bất kỳ vấn đề nào với một chroot ba bên. Trọng tâm của bài viết là làm thế nào chrootbị phá vỡ, và nspawntốt hơn, nhưng tôi không rõ liệu anh ta có nói "không làm gì cả".
bóng bán

... cũng có, thực tế là gói thích schrootkhông được liệt kê như mâu thuẫn với systemdlẽ một chỉ báo rằng nó là ổn, nhưng chỉ muốn nhận được một số xác nhận vững chắc hơn.
bóng bán
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.