memo

思いついたこと、やってみたことをテキトウに残していく。

HEAD / archives / 2011-04 / 2011-04-03.rst

systemd-nspawn

systemd の source tree のぞいてたら見つかった。 man systemd-nspawn によると、

chroot と似たようなもんだけど、もうちょっと強いよ。

みたいなヤツらしい。

普通の chroot と違い、以下のようなことをしてくれる。

  • file system や process tree や IPC subsystem の namespace をホストから分離
  • hostname を chroot するディレクトリ名に設定
  • /proc, /sys, /dev 辺りの用意
  • /sys やら /proc/sys やら /selinux への書き込みを禁止
  • ネットワークインターフェスや時計の設定変更を禁止
  • device node 作成を禁止
  • 再起動の禁止
  • kernel module の読み込み禁止

ネットワークの設定は分離されず、ホストの物がそのまま引き継がれる。

LXC よりは弱いみたいだけど、その分設定ファイルの用意なんかはいらないみたい。 そもそも systemd 環境下だと LXC が動かない しな。

パッケージのテストなんかで chroot 使ってたけど、 これからはこっち使ってみることにする。

http://0pointer.de/public/systemd-man/systemd-nspawn.html

powered by blikit