systemd-nspawn
systemd の source tree のぞいてたら見つかった。 man systemd-nspawn によると、
chrootと似たようなもんだけど、もうちょっと強いよ。
みたいなヤツらしい。
普通の chroot と違い、以下のようなことをしてくれる。
file system や process tree や IPC subsystem の namespace をホストから分離
hostname を
chrootするディレクトリ名に設定/proc,/sys,/dev辺りの用意/sysやら/proc/sysやら/selinuxへの書き込みを禁止ネットワークインターフェスや時計の設定変更を禁止
device node 作成を禁止
再起動の禁止
kernel module の読み込み禁止
ネットワークの設定は分離されず、ホストの物がそのまま引き継がれる。
LXC よりは弱いみたいだけど、その分設定ファイルの用意なんかはいらないみたい。 そもそも systemd 環境下だと LXC が動かない しな。
パッケージのテストなんかで chroot 使ってたけど、 これからはこっち使ってみることにする。