https://wiki.itcollege.ee/api.php?action=feedcontributions&feedformat=atom&user=MmartinsICO wiki - User contributions [en]2026-05-05T13:23:28ZUser contributionsMediaWiki 1.45.1https://wiki.itcollege.ee/index.php?title=Skriptimine_2017&diff=121969Skriptimine 20172017-05-10T20:50:05Z<p>Mmartins: /* Pythoni kodutöö */</p>
<hr />
<div>__toc__<br />
<br />
=Hindamiskriteeriumid=<br />
Arvestuse saamiseks peab tudeng esitama järgmised tööd:<br />
2 kodutööd<br />
3 hinnangut teiste pythoni kodutöödele<br />
2 kontrolltööd<br />
<br />
Lisapunkte on võimalik teenida esitades tähtaegselt praktikumide töid<br />
<br />
<br />
Kodutööd saata aadressile martin.rajur@itcollege.ee<br />
<br />
=Labori keskkond=<br />
<br />
https://elab.itcollege.ee/users/sign_in<br />
<br />
Labs -> Skriptimine 2017<br />
Kasutaja: student<br />
Parool: student<br />
<br />
=Praktikumide ülesanded=<br />
<br />
==Ülesanne 1 ==<br />
Looge skript, mis jagaks etteantud grupile uue kausta<br />
<pre><br />
[sudo] ./jaga.sh KAUST GRUPP <JAGATUD KAUST><br />
</pre><br />
Skript teeb järgnevat:<br />
<br />
*paigaldab samba (kui vaja)<br />
<br />
*loob kausta KAUST (kui vaja)<br />
<br />
*loob grupi GRUPP (kui vaja)<br />
<br />
*lisab grupile sobivad read smb.conf faili ja teeb failiserveri teenusele reload'i<br />
<br />
*abimaterjal: [[Failiserveri labor v.2]]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.pdf Failiserveri loeng ]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.pdf Veebiserveri loeng ]<br />
<br />
Mõistlik on konfiguratsioonist eelnevalt koopia teha ja muudatused koopiasse sisse viia. Koopiat testitakse testparm korraldusega ja kopeeritakse alles seejäral fail üle.<br />
<br />
==Ülesanne 2==<br />
<br />
Looge skript mille abil uude serverisse/tööjaama paigaldatakse vajadusel GIT<br />
Luuakse kodukataloogi kaust kuhu giti repositooriumit hakatakse sünkroniseerima(kasutajalt küsitakse kausta nime)<br />
Seadistatakse ühendus rühmatöö git'i<br />
git remote add origin git@bitbucket.org:Martinra_itk/skriptimine_2017.git<br />
Tehakse esimene git pull<br />
<br />
Sisselogimiseks võib kasutada nii parooli küsimist kui ssh võtit, vastavalt valikule ka see osa seadistada<br />
<br />
==Ülesanne 3==<br />
<br />
Ülesandeks on luua lihtsam kalkulaator. Kasutajalt küsitakse muutujad ja tehe ning kuvatakse ekraanile tehe koos vastusega<br />
<br />
==Ülesanne 4==<br />
Looge skript mis arvutab kokku sisendiks antud kasutajale allokeeritud mälukoguse(VSZ) ja kasutuses oleva mälukoguse(RSS) suurima täiskohalise ühikuna(K,M,G,T)<br />
Kasutaja tuleb küsida kasutajaliidese kaudu<br />
<br />
==Ülesanne 5==<br />
Looge skript mis arvutab kõikide /etc kaustas ja alamkaustades olevate .conf laiendiga failide md5sum väärtused ja salvestab need faili selliselt et esimesena on failinimi ja teisena hash<br />
Ülesannet on võimalik lahendada ka one-linerina!<br />
<br />
=Pythoni praktikumid=<br />
<br />
==Ülesanne 1==<br />
Looge kalkulaatori skript mis küsib käsurealt sisendit ja liidab, lahutab, korrutab, jagab, astendab ja juurib.<br />
<br />
==Ülesanne 2==<br />
Looge programm mis küsib kasutajalt sisendiks numbrit ja selle järgi tekitab korrutustabeli. Number on siis tabli X ja Y telje maksimaalseks väärtuseks.<br />
<br />
==Ülesanne 3==<br />
Looge numbri arvutamise mäng. Number peab olema naturaalarv ja kasutajalt küsitakse vastuseid seni kuni saadakse õige vastus.<br />
Vale vastuse puhul öeldakse kas otsitav number on suurem või väiksem.<br />
<br />
==Ülesanne 4==<br />
Tekitage XML parser mille abil on võimalik XML sõnumist otsida erinevaid elemente nii päisest kui kehast. <br />
Failinimi tuleb anda sisendiks igal käivitamisel, elementide nimed tuleb võtta seadistuse failist, sõnumid võivad olla nii Eesti kui Inglise keelsed.<br />
Näidis XML sõnumid mille lugemine peab õnnestuma saab aaderssilt http://enos.itcollege.ee/~mrajur/<br />
<br />
==Ülesanne 5==<br />
Tekitage süsteemi jõudluse testimise skript.<br />
Testima peaks <br />
a) võrguühenduse kiirust<br />
b) andmesalvestuslahenduse kiirust(lugemine/kirjutamine)<br />
c) Protsessori kiirust(võite ise välja mõelda mingisuguse testi)<br />
d) Midagi muud?<br />
<br />
<br />
=Linuxi käsud=<br />
{| class="wikitable"<br />
!Käsk<br />
!Funktsioon<br />
!Man link<br />
!Näidis<br />
|-<br />
|cd<br />
|Change Directory<br />
|http://www.skrenta.com/rt/man/cd.1.html<br />
|cd /var/log<br />
|-<br />
|ls<br />
|list directory contents <br />
|http://www.skrenta.com/rt/man/ls.1.html<br />
|ls -lah /var/log<br />
|-<br />
|ps<br />
|report process status <br />
|http://www.skrenta.com/rt/man/ps.1.html<br />
|ps -ef<br />
|-<br />
|grep<br />
|print lines matching a pattern<br />
|http://www.skrenta.com/rt/man/grep.1.html<br />
|grep -R 'error' /var/log/*<br />
|-<br />
|tail<br />
|output the last parts of file<br />
|http://www.skrenta.com/rt/man/tail.1.html<br />
|tail -f /var/log/syslog<br />
|-<br />
|cat<br />
|concatenate files and print on the standard output<br />
|http://www.skrenta.com/rt/man/cat.1.html<br />
|cat /var/log/syslog<br />
|-<br />
|man<br />
|format and display the on-line manual pages <br />
|http://www.skrenta.com/rt/man/man.1.html<br />
|man man<br />
|-<br />
|su<br />
|run a shell with substitute user and group IDs<br />
|http://www.skrenta.com/rt/man/su.1.html<br />
|su - root<br />
|-<br />
|cp<br />
|copy files and directories<br />
|http://www.skrenta.com/rt/man/cp.1.html<br />
|cp /var/log/syslog /tmp/tmp_syslog<br />
|-<br />
|mv<br />
|move (rename) files/directories<br />
|http://www.skrenta.com/rt/man/mv.1.html<br />
|mv /var/log/syslog.5 /arhiiv<br />
|-<br />
|rm<br />
|remove files or directories<br />
|http://www.skrenta.com/rt/man/rm.1.html<br />
|rm /tmp/tmp_syslog<br />
|-<br />
|sed<br />
|Stream editor<br />
|http://www.skrenta.com/rt/man/sed.1.html<br />
|sed -ie 's/mida/millega/g' /tmp/tmp_syslog<br />
|-<br />
|mkdir<br />
|make directories <br />
|http://www.skrenta.com/rt/man/mkdir.1.html<br />
|mkdir /tmp/skript<br />
|-<br />
|chmod<br />
|change file access premissions<br />
|http://www.skrenta.com/rt/man/chmod.1.html<br />
|chmod 700 /tmp/skript/myscript.sh<br />
|-<br />
|chown<br />
|change file owner or group<br />
|http://www.skrenta.com/rt/man/chown.1.html<br />
|chown student:student /tmp/skript/myscript.sh<br />
|-<br />
|chgrp<br />
|Change group ownership<br />
|http://www.skrenta.com/rt/man/chgrp.1.html<br />
|chgrp root /tmp/skript/myscript.sh<br />
|-<br />
|whoami<br />
|print effective userID<br />
|http://www.skrenta.com/rt/man/whoami.1.html<br />
|whoami<br />
|-<br />
|pwd<br />
|print name of current/working directory<br />
|http://www.skrenta.com/rt/man/pwd.1.html<br />
|pwd<br />
|-<br />
|awk<br />
|pattern scanning and processing language<br />
|http://www.skrenta.com/rt/man/awk.1.html<br />
|Echo one two <nowiki>|</nowiki> awk ‘{print $1}’<br />
|-<br />
|find<br />
|search for files in a directory hierarchy<br />
|http://www.skrenta.com/rt/man/find.1.html<br />
|find / -name passwd<br />
|-<br />
|cut<br />
|remove sections from each line of files<br />
|http://www.skrenta.com/rt/man/cut.1.html<br />
|http://www.thegeekstuff.com/2013/06/cut-command-examples<br />
|-<br />
|sort<br />
|sort lines of text files<br />
|http://www.skrenta.com/rt/man/sort.1.html<br />
|ls -la /var/log <nowiki>|</nowiki> sort -k5 -n<br />
|-<br />
|bc<br />
|An arbitrary precision calculator language<br />
|http://www.skrenta.com/rt/man/bc.1.html<br />
|echo 5+5 <nowiki>|</nowiki> bc<br />
|}<br />
<br />
=Bash-i info=<br />
<br />
==If lause moodustamine==<br />
<br />
'''if''' [ Funktsioon ] '''then'''<br />
tee midagi<br />
'''fi'''<br />
http://tldp.org/LDP/Bash-Beginners-Guide/html/sect_07_01.html<br />
<br />
==Debug mode==<br />
<br />
bash -x /skripti/path.sh<br />
<br />
==Exit koodid==<br />
<br />
Viimase käivitatud käsu exit koodi leiate muutujast $?<br />
Juhul kui käsk õnnestus on exitkood 0<br />
Juhul kui käsu käivitamisel tekkis tõrke on exit kood 0'ist erinev<br />
<br />
==Sisendi lugemine==<br />
<br />
read muutujanimi<br />
read -p "tekst" muutujanimi<br />
<br />
==Bash tsüklid==<br />
<br />
https://www.cyberciti.biz/faq/bash-for-loop/<br />
<br />
=Kodutööd=<br />
==Bashi kodutöö==<br />
Kodutöö ülesandeks on luua skript mille abil lisada bind9 DNS serverisse kirjeid.<br />
Kirjete lisamisel tuleb kontrollida kas lisatav ip aadress või hostinimi on juba olemas, juhul kui see leitakse tuleb anda adminnile võimalus täiendava lisamiseks või asendamiseks(nii hostinime kui ip).<br />
Kirjete sisend võib olla käsurealt käsitsi või failiga sisendiks.<br />
Olenemata sisendist tuleb iga rea kohta kontrollida kirje olemasolu. <br />
Skript peab kontrollima reverse resolution zone filet ning seda täiendama.<br />
Peale muudatuste tegemist tuleb dns serverile teha ka reload.<br />
<br />
Loengus tutvustatud näidis(puudustega) protsessivoog on saadaval http://enos.itcollege.ee/~mrajur<br />
<br />
Täiendavad kitsendused mis peaks tööd lihtsustama:<br />
Skripti abil peab saama ainult lisada ja muuta A ja PTR kirjeid, kustutamine ei ole vajalik<br />
Reverse tsooni faili lisamisel tuleb ka named.conf'i uuendada.<br />
<br />
NB! Ärge unustage seriali muuta<br />
<br />
Abiks materjal:<br />
https://wiki.itcollege.ee/index.php/Nimeserveri_seadistamine_BIND9_n%C3%A4itel<br />
http://askubuntu.com/questions/330148/how-do-i-do-a-complete-bind9-dns-server-configuration-with-a-hostname<br />
https://help.ubuntu.com/community/BIND9ServerHowto<br />
http://www.bashoneliners.com<br />
<br />
==Pythoni kodutöö==<br />
<br />
{| class="wikitable"<br />
!Nimi<br />
!Teema<br />
|Link<br />
|-<br />
|Erik Sõlg<br />
|Rotten Tomatoes otsiagent (filmid, vastavalt kriteeriumile)<br />
|http://enos.itcollege.ee/~mrajur/python/esolg.zip<br />
|-<br />
|Margus Sumla<br />
|ÕIS'i hinnete automaatne kontroll ja e-maili saatmine hinde muutumisel<br />
|http://enos.itcollege.ee/~mrajur/python/msumla.zip<br />
|-<br />
|Karel Laid<br />
|Oracle alertlogi jälgimine, alertide saatmine e-mailina<br />
|http://enos.itcollege.ee/~mrajur/python/klaid.zip<br />
|-<br />
|Richard Rõngelep<br />
|Piltide masstöötlus (muuta saab resolutsiooni(kuni X KB), formaati(jpg,png) ja suurust(kuni X KB)<br />
|http://enos.itcollege.ee/~mrajur/python/rrongelep.zip<br />
|-<br />
|Ott Pärnoja<br />
|apache2 vhosti lisamine/muutmine(SSL lisamise võimalus, ID kaardi tugi)<br />
|http://enos.itcollege.ee/~mrajur/python/oparnoja.zip<br />
|-<br />
|Siim Saar<br />
|Tail -f kloon üle HTTP/Websocketi, kus kasutaja annab ette failid mida ta tahab pollida ning seejärel käivitatakse veebiserver ( näiteks 192.168.0.1:3000 ), kust teised läbi brauseri näevad kuidas logidesse lisanduvad read.<br />
|http://enos.itcollege.ee/~mrajur/python/ssaar.zip<br />
|-<br />
|Jevgeni Kuzmin<br />
|Piltide masstöötlus (muuta saab resolutsiooni(kuni X KB), formaati(jpg,png) ja suurust(kuni X KB)<br />
|http://enos.itcollege.ee/~mrajur/python/jkuzmin.zip<br />
|-<br />
|Kadri Karatšev<br />
|yahtzee<br />
|http://enos.itcollege.ee/~mrajur/python/kkaratsev.zip<br />
|-<br />
|Margit Kont<br />
|Portscanner<br />
|http://enos.itcollege.ee/~mrajur/python/mkont.zip<br />
|-<br />
|Veiko Villo<br />
|HV toote hinna jälgimine.<br />
|http://enos.itcollege.ee/~mrajur/python/vvillo.zip<br />
|-<br />
|Marta-Heliise Tuur<br />
|Hangman välise sõnadebaasiga ja mehe joonistamisega<br />
|http://enos.itcollege.ee/~mrajur/python/mtuur.zip<br />
|-<br />
|Karl Oskar V. Kukke<br />
|Texas hold 'em pokker<br />
|http://enos.itcollege.ee/~mrajur/python/kkukke.zip<br />
|-<br />
|Raigo Laanemets<br />
|Isikukoodi elementide analüüsija kasutades väliseid andmeallikaid<br />
|http://enos.itcollege.ee/~mrajur/python/rlaanemets.zip<br />
|-<br />
|Marvin Martinson<br />
|Skript mis käib üle mp3 muusika failide ja võtab sealt info ja laeb selle andmebaasi <br />
|http://enos.itcollege.ee/~mrajur/python/mmartinson.zip<br />
|-<br />
|Katariina Purru<br />
|Failide/kaustade korrastaja<br />
|http://enos.itcollege.ee/~mrajur/python/kpurru.zip<br />
|-<br />
|Triinu Tamm<br />
|Duplikaatide eemaldaja<br />
|http://enos.itcollege.ee/~mrajur/python/ttamm.zip<br />
|-<br />
|Kaspar Kannik<br />
|MP3 Mängija<br />
|http://enos.itcollege.ee/~mrajur/python/kkannik.zip<br />
|-<br />
|Aleksandr Laada<br />
|Kataloogide sünkroniseerija koos logimisega<br />
|http://enos.itcollege.ee/~mrajur/python/alaada.zip<br />
|-<br />
|Priit Saar<br />
|Failinimede muutja<br />
|http://enos.itcollege.ee/~mrajur/python/psaar.zip<br />
|-<br />
|Aleksandr Pikalo<br />
|Udp chat serveriga<br />
|http://enos.itcollege.ee/~mrajur/python/apikalo.zip<br />
|-<br />
|}<br />
<br />
==Retsensiooni sisu==<br />
Retsensioon tuleb kirjutada endast kolme järgneva töö kohta.<br />
Iga töö kohta kirjutatav retsensioon peab sisaldama järgmiseid punkte:<br />
Kas loodud skript/programm vastab lähteülesandele?<br />
Teiepoolsed soovitused koodiparandusteks.<br />
Teiepoolne hinnang kirjutatud koodile(tekstiline + number 1-5ni).<br />
<br />
==Tähtajad==<br />
Kodutöö 1<br />
Tähtaeg 19.03 kell 23:59<br />
Hinnangute tähtaeg 26.03 kell 23:59<br />
<br />
Kodutöö 2<br />
Tähtaeg 07.05 kell 23:59<br />
Hinnangute tähtaeg 19.05 23:59<br />
<br />
Loengu slaide saab vaadata aadressilt http://enos.itcollege.ee/~mrajur</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Category:I805_Authentication_and_Authorization&diff=117986Category:I805 Authentication and Authorization2017-02-21T07:19:42Z<p>Mmartins: /* Responsibilities */</p>
<hr />
<div>=Authentication and Authorization=<br />
<br />
==General information==<br />
<br />
In this course we continue where we left off with [https://wiki.itcollege.ee/index.php/Category:I802_Firewalls_and_VPN_IPSec#Firewalls_and_VPN.2FIPSec Firewalls and VPN/IPsec] course.<br />
<br />
Relevant topics for research and implementation in the lab.<br />
Lectures coming up for most of the topics:<br />
<br />
* File based password stores eg. /etc/shadow, .htaccess<br />
* Signing and encrypting e-mail using GPG<br />
* Active Directory protocols: LM, NTLM, Kerberos, GSSAPI, SPNEGO, LDAP<br />
* More TLS and client side authentication in particular<br />
* Filesystem permissions: access control lists, selinux, apparmor<br />
* RADIUS<br />
* Multi-factor authentication: smartcards, Yubikey, Mobile-ID, etc<br />
* Contactless cards<br />
* On the web: Cookies, OAuth, OpenID, iPizza, <br />
<br />
Intro slides & video recording:<br />
<br />
https://docs.google.com/presentation/d/1NzY8AspqZwrYxoJ3Qi-pBWsMDdiIUeA4lgZnwZGTMVg/edit?usp=sharing<br />
<br />
https://echo360.e-ope.ee/ess/echo/presentation/54eb478c-f6ae-4629-b1e3-c43f5a2f6842?ec=true<br />
<br />
=Equipment=<br />
<br />
* 3pcs Sun server in the college server room<br />
* TP-Link WDR3600 wireless router routed to 172.16.*.*<br />
* HP Probook dual-boot laptop<br />
* iMac in 412, use admin/admin to log in with local account<br />
* Robotics Club (wireless) network, routed to to 172.16.*.*<br />
<br />
If you forget (local) Windows password use System Rescue CD to reset the password:<br />
http://www.howtogeek.com/howto/windows-vista/change-your-forgotten-windows-password-with-the-linux-system-rescue-cd/<br />
<br />
=Requirements=<br />
<br />
Every service should use accounts from Active Directory.<br />
To achieve that try to use LDAP protocol first.<br />
Via LDAP you can retreieve the data about accounts.<br />
If the service machine is not joined to domain create<br />
a service account in AD to access LDAP interface first.<br />
It really depends on the software how you need to configure it.<br />
<br />
For fileserver/SSH/FTP/mail server first join to domain using winbind: https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto#Join_AD_domain<br />
For NextCloud, rocket.chat, OwnCloud and most web services configure<br />
LDAP plugin to retrieve accounts from AD and LDAP bind authentication.<br />
<br />
<br />
=Responsibilities=<br />
<br />
Everybody should have a task, prepare a howto on the college wiki and have a topic for presentation:<br />
<br />
* Mohanad - AD up and running, routing, howto for setting up Active Directory on Windows Server; nagios accounts from AD, possibly with Kerberos SSO<br />
* Etienne - NextCloud server set up, howto for configuring client/app<br />
* Taavi - Wiki accounts from AD, possibly using Kerberos SSO<br />
* Madis Lugus - Gogs accounts from AD, possibly using Kerberos SSO and also SSH public keys from AD<br />
* Joosep - enos.itcollege.ee clone, web server and MySQL with accoutns from AD<br />
* Meelis - rocket.chat with accounts from AD via LDAP, possibly with Kerberos SSO, howto for configuring apps<br />
* Sheela - mailserver with accounts from AD via LDAP, with GSSAPI authentication, howto for configuring Thunderbird/Evolution<br />
* Artur - e-mail encryption with GPG, howto for average users<br />
* Ardi - OpenVPN with ID-card auth, isikukood from AD attribute, howto for configuring client<br />
* Marvin - secondary AD, routing, Samba backup DC?<insert topic of your interest><br />
* Arti - Samba as third DC, setting up fileserver on ZFS with SSD-s as journal/cache<br />
* Kustas - pentest<br />
* Ender - pentest<br />
* Mikus - pentest<br />
* Keijo - how are you going to pass the course?<br />
* Anton - how are you going to pass the course?<br />
* Tarvo - how are you going to pass the course?<br />
* Ats - how are you going to pass the course?<br />
* Nazmul - how are you going to pass the course?<br />
<br />
=Presentations=<br />
<br />
Presentation of up to 45min should cover what you did in order to get the service running in the desired state, what problems you had, how others can use your service and what can be done to improve the setup.<br />
<br />
This should be more or less in logical order:<br />
<br />
* 28. feb - Mohanad, Etienne<br />
* 7. mar - Taavi, Madis, Artur<br />
* 14. mar - backup slot<br />
* 21. mar - Joosep, Meelis<br />
* 5. apr - Sheela, Ardi<br />
* 12. apr - backup slot<br />
* 19. apr - Marvin, Arti<br />
* 26. apr - Kustas & Ender<br />
<br />
=Milestones=<br />
<br />
This is just to keep activities in sync<br />
<br />
==Milestone 1==<br />
<br />
Domain controller is working.<br />
In the internal network and over VPN connection blah.office.lan DNS requests work as expected.<br />
<br />
On a Linux box command line users can authenticate with kerberos client utils:<br />
<br />
kinit username@OFFICE.LAN<br />
<br />
On a Linux box command line users can fetch stuff via LDAP:<br />
<br />
ldapsearch -b dc=office,dc=lan -H ldap://dc-hq.office.lan -D lauri@office.lan -W<br />
<br />
Also authenitcation with Kerberos should work:<br />
<br />
ldapsearch -b dc=office,dc=lan -H ldap://dc-hq.office.lan -Y GSSAPI<br />
<br />
To make life easier configure /etc/ldap/ldap.conf, if properly configured short commands work:<br />
<br />
ldapsearch<br />
<br />
<br />
==Milestone 2==<br />
<br />
Deadline 21. Feb<br />
<br />
Some services are using accounts from AD<br />
<br />
==Milestone 3==<br />
<br />
Deadline 28. Feb<br />
<br />
Service owner has client application configured and knows how to configure them<br />
<br />
==Milestone 4==<br />
<br />
Deadline 7. Mar<br />
<br />
Preliminary manual page created on college wiki for configuring the client application(s).<br />
Other students are using your service.<br />
<br />
==Milestone 5==<br />
<br />
Keep services up and running, respond to incidents until 5th of June.<br />
Server teardown on 5th of May. Wipe harddisks.<br />
<br />
Everybody who has completed howto, presented their topic, co-operated with other students and not left all the responsibilities to the last minute will get a passing grade. Slackers have an opportunity to do a (hard) quiz about the topics presented to get a passing grade.</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116252Lxc2016-12-21T01:48:40Z<p>Mmartins: </p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi ''host'' masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled ''host'' masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood<br />
<br />
Et näha milliseid seadistusi mall toetab, kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi. Seda on mugav kasutada siis, kui konteinereid tehakse juurkasutajaga, sest siis võetakse konteineris kohe juurkasutaja konsool ette. Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse(näiteks juhul, kui tahad, et konteiner läheb automaatselt tööle.<br />
lxc.start.auto = 1<br />
Konteiner läheb automaatselt tööle, kui ''host'' masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis:<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega veth******.<br />
<br />
Dhcp seadete fail asub:<br />
<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis neid saab muuta siit.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu IP, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama ning silmas pidama elementaarseid turvareegleid.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja otsast pihta aluastada. Muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116251Lxc2016-12-21T01:47:44Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi ''host'' masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood<br />
<br />
Et näha milliseid seadistusi mall toetab, kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi. Seda on mugav kasutada siis, kui konteinereid tehakse juurkasutajaga, sest siis võetakse konteineris kohe juurkasutaja konsool ette. Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse(näiteks juhul, kui tahad, et konteiner läheb automaatselt tööle.<br />
lxc.start.auto = 1<br />
Konteiner läheb automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis:<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse host masinast. Iga konteineri kohta tekib ka uus võrguliides nimega veth******.<br />
<br />
Dhcp seadete fail asub:<br />
<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis neid saab muuta siit.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu IP, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama ning silmas pidama elementaarseid turvareegleid.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja otsast pihta aluastada. Muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116250Lxc2016-12-21T01:46:43Z<p>Mmartins: /* Kokkuvõte */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood<br />
<br />
Et näha milliseid seadistusi mall toetab, kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi. Seda on mugav kasutada siis, kui konteinereid tehakse juurkasutajaga, sest siis võetakse konteineris kohe juurkasutaja konsool ette. Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse(näiteks juhul, kui tahad, et konteiner läheb automaatselt tööle.<br />
lxc.start.auto = 1<br />
Konteiner läheb automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis:<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse host masinast. Iga konteineri kohta tekib ka uus võrguliides nimega veth******.<br />
<br />
Dhcp seadete fail asub:<br />
<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis neid saab muuta siit.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu IP, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama ning silmas pidama elementaarseid turvareegleid.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja otsast pihta aluastada. Muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116249Lxc2016-12-21T01:45:53Z<p>Mmartins: /* Turvalisus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood<br />
<br />
Et näha milliseid seadistusi mall toetab, kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi. Seda on mugav kasutada siis, kui konteinereid tehakse juurkasutajaga, sest siis võetakse konteineris kohe juurkasutaja konsool ette. Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse(näiteks juhul, kui tahad, et konteiner läheb automaatselt tööle.<br />
lxc.start.auto = 1<br />
Konteiner läheb automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis:<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse host masinast. Iga konteineri kohta tekib ka uus võrguliides nimega veth******.<br />
<br />
Dhcp seadete fail asub:<br />
<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis neid saab muuta siit.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu IP, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama ning silmas pidama elementaarseid turvareegleid.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116248Lxc2016-12-21T01:42:21Z<p>Mmartins: /* Võrgu seadistamine */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood<br />
<br />
Et näha milliseid seadistusi mall toetab, kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi. Seda on mugav kasutada siis, kui konteinereid tehakse juurkasutajaga, sest siis võetakse konteineris kohe juurkasutaja konsool ette. Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse(näiteks juhul, kui tahad, et konteiner läheb automaatselt tööle.<br />
lxc.start.auto = 1<br />
Konteiner läheb automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis:<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse host masinast. Iga konteineri kohta tekib ka uus võrguliides nimega veth******.<br />
<br />
Dhcp seadete fail asub:<br />
<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis neid saab muuta siit.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu IP, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116247Lxc2016-12-21T01:40:49Z<p>Mmartins: /* Võrgu seadistamine */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood<br />
<br />
Et näha milliseid seadistusi mall toetab, kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi. Seda on mugav kasutada siis, kui konteinereid tehakse juurkasutajaga, sest siis võetakse konteineris kohe juurkasutaja konsool ette. Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse(näiteks juhul, kui tahad, et konteiner läheb automaatselt tööle.<br />
lxc.start.auto = 1<br />
Konteiner läheb automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis:<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse host masinast. Iga konteineri kohta tekib ka uus võrguliides nimega veth******.<br />
<br />
Dhcp seadete fail asub:<br />
<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis neid saab muuta siit.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116246Lxc2016-12-21T01:40:15Z<p>Mmartins: /* Võrgu seadistamine */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood<br />
<br />
Et näha milliseid seadistusi mall toetab, kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi. Seda on mugav kasutada siis, kui konteinereid tehakse juurkasutajaga, sest siis võetakse konteineris kohe juurkasutaja konsool ette. Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse(näiteks juhul, kui tahad, et konteiner läheb automaatselt tööle.<br />
lxc.start.auto = 1<br />
Konteiner läheb automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis:<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse host masinast. Iga konteineri kohta tekib ka uus võrguliides nimega veth******.<br />
<br />
Dhcp seadete fail asub:<br />
<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116245Lxc2016-12-21T01:38:57Z<p>Mmartins: /* Malli seaded */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood<br />
<br />
Et näha milliseid seadistusi mall toetab, kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi. Seda on mugav kasutada siis, kui konteinereid tehakse juurkasutajaga, sest siis võetakse konteineris kohe juurkasutaja konsool ette. Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse(näiteks juhul, kui tahad, et konteiner läheb automaatselt tööle.<br />
lxc.start.auto = 1<br />
Konteiner läheb automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis:<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116244Lxc2016-12-21T01:37:33Z<p>Mmartins: /* Malli seaded */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood<br />
<br />
Et näha milliseid seadistusi mall toetab, kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi. Seda on mugav kasutada siis, kui konteinereid tehakse juurkasutajaga, sest siis võetakse konteineris kohe juurkasutaja konsool ette. Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse(näiteks juhul, kui tahad, et konteiner läheb automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116243Lxc2016-12-21T01:36:10Z<p>Mmartins: /* Haldamine ja seadistamine */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood<br />
<br />
Et näha milliseid seadistusi mall toetab, kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi. Seda on mugav kasutada siis, kui konteinereid tehakse juurkasutajaga, sest siis võetakse konteineris kohe juurkasutaja konsool ette. Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116242Lxc2016-12-21T01:34:45Z<p>Mmartins: /* Konteinerite tegemine */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood<br />
<br />
Et näha milliseid seadistusi mall toetab, kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116240Lxc2016-12-21T01:03:06Z<p>Mmartins: /* Seadistamine */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on loomulikult ka ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116239Lxc2016-12-21T00:58:15Z<p>Mmartins: /* Vajalikumad käsud */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse host masina konsool ja ühendatakse see<br />
konteineriga. Näitena: kui oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116238Lxc2016-12-21T00:56:27Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''SSH server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116234Lxc2016-12-21T00:53:49Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada test-keskkonnana, kui tahetakse proovida erinevaid rakendusi ja asjade omavahelist ühilduvust, sest uusi masinaid on väga lihtne luua ja kustutada. Turvalisuse kohapealt on positiivne see, et teenused saab ehitada üles erinevate konteinerite sisse, mis on üksteisest eraldatud.<br />
<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116233Lxc2016-12-21T00:53:09Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt on see hea, et teenused saab panna erinvate konteinerite peal tööle.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116232Lxc2016-12-21T00:52:49Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt on see hea, et teenused saab panna erinvate konteinerite peal tööle.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116231Lxc2016-12-21T00:51:20Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma control groups(cgroups) funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt on see hea, et teenused saab panna erinvate konteinerite peal tööle.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116230Lxc2016-12-21T00:50:24Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma control groups(cgroups) funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (Namespace isolation) vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.'''<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt on see hea, et teenused saab panna erinvate konteinerite peal tööle.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116229Lxc2016-12-21T00:47:40Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine. Linuxi konteinerid ehk Linux Conteiners(LXC) on tehnoloogia mis kasutab Linuxi tuuma control groups(cgroups) funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi host masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagatakse ühe arvuti ressursse mitme konteineri vahel ja konteinerid kasutavad sama kernelit, mida kasutab füüsiline masin. Ressursside jagamise eest vastutabki control groupsi funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (Namespace isolation) vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.[1] NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna pole eraldi rõhku pandud turvalisusele. Õpetus on mõeldud juurkasutaja alt käivitamiseks ja pigem mõeldud konteinerite tutvustamiseks.<br />
<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt on see hea, et teenused saab panna erinvate konteinerite peal tööle.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Talk:Lxc&diff=116227Talk:Lxc2016-12-20T21:24:13Z<p>Mmartins: Created page with "{| class="wikitable" border="1" |- ! KRITEERIUM ! KAAL ! HINNANG ! SELGITUS |- |- | Skoop | 0,5 | | |- |- | Artikli tutvustus ja versioon | 0,5 | | |- |- | Sissejuhatus |..."</p>
<hr />
<div>{| class="wikitable" border="1"<br />
|-<br />
! KRITEERIUM<br />
! KAAL<br />
! HINNANG<br />
! SELGITUS<br />
|-<br />
<br />
<br />
|-<br />
| Skoop<br />
| 0,5<br />
|<br />
|<br />
|-<br />
<br />
|-<br />
| Artikli tutvustus ja versioon<br />
| 0,5<br />
|<br />
|<br />
|-<br />
<br />
|-<br />
| Sissejuhatus<br />
| 0,5<br />
|<br />
|<br />
|-<br />
<br />
<br />
|-<br />
| Tehniliselt korrektne<br />
| 1<br />
|<br />
|<br />
|-<br />
<br />
<br />
|-<br />
| Kasutatud kirjandus<br />
| 0,5<br />
| 5<br />
|<br />
|-<br />
<br />
|-<br />
| Näited kasutamiseks/käsud<br />
| 1<br />
|<br />
|<br />
|-<br />
<br />
|-<br />
| Sisu<br />
| 4<br />
|<br />
| <br />
|-<br />
<br />
<br />
|-<br />
| Ülesehitus<br />
| 1<br />
|<br />
|<br />
|-<br />
<br />
|-<br />
| Kirjavead ja õigekiri<br />
| 1<br />
|<br />
|<br />
|<br />
<br />
|-<br />
| Kokku<br />
| 10<br />
|<br />
|<br />
|-<br />
|}</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116226Lxc2016-12-20T20:26:28Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud [https://en.wikipedia.org/wiki/Kernel_(operating_system) kerneli] peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt on see hea, et teenused saab panna erinvate konteinerite peal tööle.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116209Lxc2016-12-20T18:18:50Z<p>Mmartins: /* Võrgu seadistamine */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt on see hea, et teenused saab panna erinvate konteinerite peal tööle.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue [https://en.wikipedia.org/wiki/Bridging_(networking) võrgusilla] mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116206Lxc2016-12-20T18:15:21Z<p>Mmartins: /* Malli seaded */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt on see hea, et teenused saab panna erinvate konteinerite peal tööle.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116201Lxc2016-12-20T18:12:51Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt on see hea, et teenused saab panna erinvate konteinerite peal tööle.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
Lisad rea:<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116200Lxc2016-12-20T18:11:51Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab teenuseid üksteisest eraldada<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Konteinerite juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
Lisad rea:<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116196Lxc2016-12-20T18:06:05Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab teenuseid üksteisest eraldada<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
Lisad rea:<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116195Lxc2016-12-20T18:05:10Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea kasutada testimise keskonnas, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab teenuseid üksteisest eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
Lisad rea:<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116194Lxc2016-12-20T17:58:54Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonisüsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab teenuseid üksteisest eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
Lisad rea:<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116193Lxc2016-12-20T17:57:32Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonispsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon (''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'') vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab teenuseid üksteisest eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
Lisad rea:<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116192Lxc2016-12-20T17:56:52Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linux konteinerid on oma olemuselt operatsioonispsteemi tasemel virtualiseerimine.<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust. Võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja konteinerid kasutavad füüsilise masinaga samat kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. Omavahel jagatakse, mälu, protsessorit, võrku jne. Nimeruumi isolatsioon''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace isolation]'' vastutab selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab teenuseid üksteisest eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
Lisad rea:<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116182Lxc2016-12-20T16:49:02Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, et ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab teenuseid üksteisest eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
Lisad rea:<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116158Lxc2016-12-20T10:39:14Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab teenuseid üksteisest eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
Lisad rea:<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116157Lxc2016-12-20T10:37:15Z<p>Mmartins: /* Turvalisus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
Lisad rea:<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine, et mul asjad jooksevad konteineris, las murravad sisse on väga vale.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116156Lxc2016-12-20T10:34:30Z<p>Mmartins: /* Malli seaded */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad /etc/lxc/default.conf. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et konteiner lähe automaatselt tööle.<br />
Lisad rea:<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine et mul asjad jooksevad konteineris, las murravad sisse on väga vale suhtumine.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116155Lxc2016-12-20T10:32:38Z<p>Mmartins: /* Haldamine ja seadistamine */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Ilma parameetriteta käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad failis. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et masin kasutaks vaikimis teist võrguliidest, siis muudad liidese ära.<br />
/etc/lxc/default.conf<br />
Lisades rea<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine et mul asjad jooksevad konteineris, las murravad sisse on väga vale suhtumine.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116154Lxc2016-12-20T10:28:20Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid kopeeritakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Kui parameetried pole kaasa antud siis käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad failis. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et masin kasutaks vaikimis teist võrguliidest, siis muudad liidese ära.<br />
/etc/lxc/default.conf<br />
Lisades rea<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine et mul asjad jooksevad konteineris, las murravad sisse on väga vale suhtumine.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116153Lxc2016-12-20T10:27:09Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada, vaid tõmmatakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Kui parameetried pole kaasa antud siis käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad failis. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et masin kasutaks vaikimis teist võrguliidest, siis muudad liidese ära.<br />
/etc/lxc/default.conf<br />
Lisades rea<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine et mul asjad jooksevad konteineris, las murravad sisse on väga vale suhtumine.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116152Lxc2016-12-20T10:25:33Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/. Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada vaid tõmmatakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Kui parameetried pole kaasa antud siis käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad failis. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et masin kasutaks vaikimis teist võrguliidest, siis muudad liidese ära.<br />
/etc/lxc/default.conf<br />
Lisades rea<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine et mul asjad jooksevad konteineris, las murravad sisse on väga vale suhtumine.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116151Lxc2016-12-20T10:24:57Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimisi kaustas:<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/ Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada vaid tõmmatakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Kui parameetried pole kaasa antud siis käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad failis. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et masin kasutaks vaikimis teist võrguliidest, siis muudad liidese ära.<br />
/etc/lxc/default.conf<br />
Lisades rea<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine et mul asjad jooksevad konteineris, las murravad sisse on väga vale suhtumine.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116150Lxc2016-12-20T10:23:53Z<p>Mmartins: /* Taust */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testimise keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimis kaustas.<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/ Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada vaid tõmmatakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Kui parameetried pole kaasa antud siis käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad failis. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et masin kasutaks vaikimis teist võrguliidest, siis muudad liidese ära.<br />
/etc/lxc/default.conf<br />
Lisades rea<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine et mul asjad jooksevad konteineris, las murravad sisse on väga vale suhtumine.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116149Lxc2016-12-20T10:23:00Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks.'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testmisi keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimis kaustas.<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/ Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada vaid tõmmatakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Kui parameetried pole kaasa antud siis käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad failis. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et masin kasutaks vaikimis teist võrguliidest, siis muudad liidese ära.<br />
/etc/lxc/default.conf<br />
Lisades rea<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine et mul asjad jooksevad konteineris, las murravad sisse on väga vale suhtumine.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116148Lxc2016-12-20T10:22:39Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõeldud juur kasutaja alt käivitamiseks ja rohkem konteinerite tutvustamiseks'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testmisi keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimis kaustas.<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/ Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada vaid tõmmatakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Kui parameetried pole kaasa antud siis käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad failis. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et masin kasutaks vaikimis teist võrguliidest, siis muudad liidese ära.<br />
/etc/lxc/default.conf<br />
Lisades rea<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine et mul asjad jooksevad konteineris, las murravad sisse on väga vale suhtumine.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116147Lxc2016-12-20T10:21:37Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid üksteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõledud juur kasutaja alt käivitamiseks ja rohkem konteinerite turvustamiseks'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testmisi keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimis kaustas.<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/ Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada vaid tõmmatakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Kui parameetried pole kaasa antud siis käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad failis. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et masin kasutaks vaikimis teist võrguliidest, siis muudad liidese ära.<br />
/etc/lxc/default.conf<br />
Lisades rea<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine et mul asjad jooksevad konteineris, las murravad sisse on väga vale suhtumine.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Lxc&diff=116146Lxc2016-12-20T10:20:44Z<p>Mmartins: /* Sissejuhatus */</p>
<hr />
<div>=Autor=<br />
Marvin Martinson A21<br />
<br />
19.12.2016<br />
<br />
Versioon 1.0<br />
<br />
=Sissejuhatus=<br />
Linuxi konteinerid ehk ''[https://linuxcontainers.org/ Linux Conteiners(LXC)]'' on tehnoloogia mis kasutab Linuxi tuuma ''[https://en.wikipedia.org/wiki/Cgroups control groups(cgroups)]'' funktsionaalsust, mis võimaldab jooksutada mitut isoleeritut Linuxi operatsioonisüsteemi, ''host'' masinas ühe jagatud kerneli peal. Lihtsamalt seletades jagab ühe arvuti resursi mitme konteineri vahel ja kasutatakse ühist kernelit. Resursside jagamise eest vastutabki ''control groupsi'' funktsionaalsus kernelis. ''[https://en.wikipedia.org/wiki/Linux_namespaces Namespace]'' selle eest, et konteinerid oleksid ükteisest eraldatud, ühe konteineri seest ei saaks ligi teise teenustele. LXC on kasutatav alates kernelist 2.6.24.<ref>https://en.wikipedia.org/wiki/LXC</ref> '''NB! selle juhendi järgi mitte installida tähtsaid teenuseid ja masinaid, kuna ei ole turvalisusele palju rõhku pandud, õpetus on mõledud juur kasutaja alt käivitamiseks ja rohkem konteinerite turvustamiseks'''<br />
<br />
==Taust==<br />
Linuxi konteinereid on väga hea testmisi keskonnas kasutada, kui tahetakse proovida erinevaid rakendusi ja kuidas asjad omavahel ühilduvad, sest masinaid on väga lihtne teha. Turvalisuse kohapealt saab asju üksteisest ka eraldada.<br />
Näide, kus masinas jookseb mitu konteinerit ja neis on erinevad teenused. Teenused on ära jagatud konteinerite peale nt: wiki, git, pastebin, proxy server.<br />
|-lvmetad<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dhclient<br />
| |-mysqld---27*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | `-{rs:main Q:Reg}<br />
| `-systemd-journal<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gogs---9*[{gogs}]<br />
| |-nginx---2*[nginx]<br />
| |-postgres---7*[postgres]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd---sshd---sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---6*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-mysqld---34*[{mysqld}]<br />
| |-php-fpm7.0---2*[php-fpm7.0]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-apache2---5*[apache2]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-logger<br />
| |-mysqld_safe-+-logger<br />
| | `-mysqld---23*[{mysqld}]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-gunicorn---gunicorn<br />
| |-nginx---2*[nginx]<br />
| |-nrpe<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 10 qu}<br />
| | `-{rs:main Q:Reg}<br />
| |-sshd<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxc-autostart---systemd-+-5*[agetty]<br />
| |-cron<br />
| |-dbus-daemon<br />
| |-dhclient<br />
| |-nginx---2*[nginx]<br />
| |-rsyslogd-+-{in:imklog}<br />
| | |-{in:imuxsock}<br />
| | |-{rs:action 0 que}<br />
| | `-{rs:main Q:Reg}<br />
| |-systemd-journal<br />
| `-systemd-logind<br />
|-lxcfs---10*[{lxcfs}]<br />
|-mdadm<br />
<br />
Kindlasti tähelepanu tõmmata sellele, et mis teenused juba vaikimisi töötavad nagu näiteks '''ssh server'''.<br />
<br />
Masinate juurfailisüsteem asub vaikimis kaustas.<br />
/var/lib/lxc/'''masinanini'''<br />
<br />
Installitud masinate puhver asub kaustas /var/chache/lxc/ Seda kasutatakse siis, kui luuakse sama distributsiooniga konteinerid, siis pole vaja uuesti uut konteinerit seadistada vaid tõmmatakse vajalikud failid puhvrist.<br />
<br />
=Vajalikumad käsud=<br />
lxc-create - tehakse uus konteiner<br />
lxc-start - käivitatakse konteiner<br />
lxc-console - ühendab konteineris oleva masina terminaliga.<br />
lxc-attach - alustab protsessi konteiner masinas, kui ühtegi parameetrit juurde ei anta, siis võetakse ''host'' masina konsool ja ühendatakse see<br />
konteineriga. Näiteks oled host masinas juurkasutajaga sisse logitud, siis tuleb ette juurkasutaja konsool ka konteineris.<br />
lxc-stop - sulgeb masina<br />
<br />
=Seadistamine=<br />
Väga suureks abiks on ametlikud kasutusjuhendid<ref>https://linuxcontainers.org/lxc/manpages//</ref><br />
==Paigaldamine==<br />
Installime linux konteineri ja mallid millega teha konteinereid.<br />
apt-get install lxc lxc-templates bridge-utils<br />
<br />
==Konteinerite tegemine==<br />
lxc-create -n test -t ubuntu -- -r xenial<br />
<br />
-n masina nimi<br />
-t Millise malli põhjal tahad teha<br />
-- malli seadistused<br />
-r väljalaske kood nimetus<br />
<br />
Näha milliseid seadistusi mall toetab kasutada käsku<br />
lxc-create -t MALL -h<br />
<br />
==Haldamine ja seadistamine==<br />
Konteineri kävitaimnine<br />
lxc-start -n test -d<br />
Konteineriga on võimalik ühendada kahte moodi.<br />
Seda on mugav kasutada siis, kui konteinereid tehakse juur kasutajaga, sest siis võetakse konteineris kohe juur kasutaja konsool ette.<br />
Kui parameetried pole kaasa antud siis käivitatakse hetke konsool konteineris. Näiteks, kui kasutada käsku lxc-attach -n test nano, siis käivitatakse konteineris nano ja fail salvestatakse konteinerisse.<br />
lxc-attach -n test<br />
või, kus võetakse ette konteineri konsool ja tuleb kasutajaga sisselogida.<br />
lxc-console -n test<br />
<br />
Nimekiri konteineritest ja mis seisus konteinerid on. Võtmega f saab ilusa tabeli.<br />
lxc-ls -f<br />
<br />
LibreNms RUNNING 1 - 172.16.2.106 fd43:5a19:3963:0:216:3eff:fed0:db66 <br />
git-service RUNNING 1 - 172.16.2.171 fd43:5a19:3963:0:216:3eff:fe7f:1d7b <br />
mediaWiki RUNNING 1 - 172.16.2.30 fd43:5a19:3963:0:216:3eff:feaa:49d7 <br />
ownCloud RUNNING 1 - 172.16.2.240 fd43:5a19:3963:0:216:3eff:fe4e:ea58 <br />
pasteBun RUNNING 1 - 172.16.2.20 fd43:5a19:3963:0:216:3eff:fe56:cd2f <br />
proxy RUNNING 1 - 172.16.2.100 fd43:5a19:3963:0:216:3eff:feb5:4e8b <br />
test STOPPED 1 - - - <br />
<br />
Masinate sulgemiseks kasutada käsku.<br />
lxc-stop -n test<br />
-r,--reboot teeb restardi.<br />
-k,--kill masin suletakse jõuga, ei tehta korraliku sulgemist. <br />
<br />
===Malli seaded===<br />
Vaikimisi malli seaded asuvad failis. Need seadistused rakenduvad uutele konteineritele mis tehakse, näiteks kui tahad, et masin kasutaks vaikimis teist võrguliidest, siis muudad liidese ära.<br />
/etc/lxc/default.conf<br />
Lisades rea<br />
lxc.start.auto = 1<br />
Läheb konteiner automaatselt tööle, kui host masin on ka tööle läinud.<br />
<br />
Iga masina seaded asuvad eraldi failis<br />
/var/lib/lxc/'''masinanimi'''/config<br />
<br />
Mallid asuvad kaustas:<br />
/usr/share/lxc/templates/<br />
<br />
Vaikimis tuleb kaasa erinevate linuxite mallid.<br />
lxc-alpine lxc-centos lxc-fedora lxc-oracle lxc-sshd<br />
lxc-altlinux lxc-cirros lxc-gentoo lxc-plamo lxc-ubuntu<br />
lxc-archlinux lxc-debian lxc-openmandriva lxc-slackware lxc-ubuntu-cloud<br />
lxc-busybox lxc-download lxc-opensuse lxc-sparclinux<br />
<br />
==Võrgu seadistamine==<br />
Vaikimisi tehakse uus sild nimega lxcbr0, kuhu külge tulevad konteinerite liidesed. Kus töötab oma dhcp server ja dns kirjed saadakse ''host'' masinast. Iga konteineri kohta tekib ka uus võrguliides nimega '''veth******'''.<br />
<br />
Dhcp seadete fail asub:<br />
/etc/default/lxc-net<br />
Siin on vaikimisi faili sisu, kui tahate muuta dhcp seadeid, siis siit saab muuta.<br />
# This file is auto-generated by lxc.postinst if it does not<br />
# exist. Customizations will not be overridden.<br />
# Leave USE_LXC_BRIDGE as "true" if you want to use lxcbr0 for your<br />
# containers. Set to "false" if you'll use virbr0 or another existing<br />
# bridge, or mavlan to your host's NIC.<br />
USE_LXC_BRIDGE="true"<br />
<br />
# If you change the LXC_BRIDGE to something other than lxcbr0, then<br />
# you will also need to update your /etc/lxc/default.conf as well as the<br />
# configuration (/var/lib/lxc/<container>/config) for any containers<br />
# already created using the default config to reflect the new bridge<br />
# name.<br />
# If you have the dnsmasq daemon installed, you'll also have to update<br />
# /etc/dnsmasq.d/lxc and restart the system wide dnsmasq daemon.<br />
LXC_BRIDGE="lxcbr0"<br />
LXC_ADDR="10.0.3.1"<br />
LXC_NETMASK="255.255.255.0"<br />
LXC_NETWORK="10.0.3.0/24"<br />
LXC_DHCP_RANGE="10.0.3.2,10.0.3.254"<br />
LXC_DHCP_MAX="253"<br />
<br />
<br />
Selleks, et saaksime konteineritele anda ka sisevõrgu ip, teeme ''host'' masina uue võrgusilla mis on kokku sillatud füüsilise võrgu liidesega.<br />
<br />
Selleks on vaja kindlasti installida järgnev pakett.<br />
apt install bridge-utils<br />
Teeme vajalikud muudatused failis /etc/network/interfaces<ref>https://lauri.võsandi.com/cfgmgmt/linux-containers.html</ref><br />
auto lo<br />
iface lo inet loopback<br />
#Kindlasti tähelepanu pöörata eth0 liidesele, neid nimesid enam ei kasutata.<br />
auto br0<br />
iface br0 inet dhcp<br />
# Lisa füüsiline eth0 silla koosseisu<br />
bridge_ports eth0<br />
<br />
# Eemalda võrguliidese definitsioon füüsilise võrguliidese jaoks:<br />
<br />
#auto eth0<br />
#iface eth0 inet ...<br />
<br />
Kui uus võrgusild on valmis, siis tuleb olemasolevad konteinerid sinna ühendada, selleks muuta faili /var/lib/lxc/'''masinanimi'''/config.<br />
lxc.network.link=br0<br />
ja kui tahame, et uued masinad ka saaksid ühendatud, siis failis /etc/lxc/default.conf muudame järgneva rea:<br />
lxc.network.link=br0<br />
<br />
Selleks, et muutused jõustuksid tuleb teha konteinteritele restart.<br />
Tulemuste kontrollimiseks saab kasutada käsku:<br />
brctl show<br />
väljundist näeme, et masinad on uue silla küljes ja ka füüsiline liides(ens3) ka:<br />
bridge name bridge id STP enabled interfaces<br />
br0 8000.525400c464f5 no ens3<br />
vethH0QBCN<br />
vethH42CB7<br />
vethK8N248<br />
vethS2KUOK<br />
vethX0K05X<br />
vethY7QYSW<br />
lxcbr0 8000.000000000000 no<br />
<br />
lxc-ls -f käsuga saab kiiresti üle vaadata ka ip aadressid.<br />
<br />
=Turvalisus=<br />
Väga oluline on meeles pidada, et konteineri turvalisusele peab sama palju tähelepanu pöörama, kui eraldiseisvale füüsilisele masinale. Konteineris olevat tarkvara peab ka uuendama, suhtumine et mul asjad jooksevad konteineris, las murravad sisse on väga vale suhtumine.<br />
<br />
=Kokkuvõte=<br />
Puutusin sellega kokku aines VPN, tulemüürid ja ipsec kus oli sellega väga mugav installida erinevaid teenuseid. Tavaliselt kui midagi teenuse installimisel väga katki läks, oli väga kerge uus masin teha ja alustada otsast pihta, muidugi tuleb siin suurt tähelepanu pöörata turvalisusele, sest masinat jagavad ju ikkagi ühist kernelit. Linuxi konteinerites on mul väga palju veel juurde õppida. Millest kindasti tuleks rääkida on privileegidega(''privileged'') ja privileegideta(''unprivileged'') konteinerid.<br />
<br />
=Huvtavad lingid, videod=<br />
<br />
Postitan siia lehed kust veel infot saab<br />
<br />
https://www.stgraber.org/ - Stéphane Graber's blog, kes on Linuxi konteinerite põhi tegijaid.<br />
<br />
https://linuxcontainers.org/<br />
<br />
https://linuxcontainers.org/lxc/getting-started/ kuidas teha konteinereid tava kasutaja alla, ehk ''unprivileged conteiners'' ja kuidas on need turvalisemad.<br />
<br />
https://www.youtube.com/watch?v=2EwFkOrZ7I8 - Videod kuidas seadistada lXC võrku.<br />
<br />
=Kasutatud allikad=<br />
<references/><br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Talk:ID-kaarditarkvara_Ubuntu_guest_kasutajaga&diff=116145Talk:ID-kaarditarkvara Ubuntu guest kasutajaga2016-12-20T10:18:26Z<p>Mmartins: </p>
<hr />
<div>{| class="wikitable" border="1"<br />
|-<br />
! KRITEERIUM<br />
! KAAL<br />
! HINNANG<br />
! SELGITUS<br />
|-<br />
<br />
<br />
|-<br />
| Skoop<br />
| 0,5<br />
| 0,5<br />
| Probleem on olemas.<br />
|-<br />
<br />
|-<br />
| Artikli tutvustus ja versioon<br />
| 0,5<br />
| 0,5<br />
| Autor ja grupp on olemas<br />
|-<br />
<br />
|-<br />
| Sissejuhatus<br />
| 0,5<br />
| 0,5<br />
| Hästi on kirjeldatud probleemi.<br />
|-<br />
<br />
<br />
|-<br />
| Tehniliselt korrektne<br />
| 1<br />
| 1<br />
| Asi töötas väga hästi, alguses ei saanud id-kaarti kasutada ja peale seda fixi asi töötas.<br />
|-<br />
<br />
<br />
|-<br />
| Kasutatud kirjandus<br />
| 0,5<br />
| 0,5<br />
| Kasutatud kirjandus on välja toodud<br />
|-<br />
<br />
|-<br />
| Näited kasutamiseks/käsud<br />
| 1<br />
| 1<br />
| Koodid on ilusti olemas, lausa skripti failidenda<br />
|-<br />
<br />
|-<br />
| Sisu<br />
| 4<br />
| 4<br />
| <br />
|-<br />
<br />
<br />
|-<br />
| Ülesehitus<br />
| 1<br />
| 1<br />
| Ülesehitus on arusaadav <br />
|-<br />
<br />
|-<br />
| Kirjavead ja õigekiri<br />
| 1<br />
| 1<br />
| Ei leidnud vigu<br />
|<br />
<br />
|-<br />
| Kokku<br />
| 10<br />
| 10<br />
| Kasulik töö.<br />
|-<br />
|}<br />
<br />
Hindaja: Marvin Martinson A21</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Talk:ID-kaarditarkvara_Ubuntu_guest_kasutajaga&diff=116144Talk:ID-kaarditarkvara Ubuntu guest kasutajaga2016-12-20T10:17:31Z<p>Mmartins: </p>
<hr />
<div>{| class="wikitable" border="1"<br />
|-<br />
! KRITEERIUM<br />
! KAAL<br />
! HINNANG<br />
! SELGITUS<br />
|-<br />
<br />
<br />
|-<br />
| Skoop<br />
| 0,5<br />
| 0,5<br />
| Probleem on olemas.<br />
|-<br />
<br />
|-<br />
| Artikli tutvustus ja versioon<br />
| 0,5<br />
| 0,5<br />
| Autor ja grupp on olemas<br />
|-<br />
<br />
|-<br />
| Sissejuhatus<br />
| 0,5<br />
| 0,5<br />
| Hästi on kirjeldatud probleemi.<br />
|-<br />
<br />
<br />
|-<br />
| Tehniliselt korrektne<br />
| 1<br />
| 1<br />
| Asi töötas väga hästi, alguses ei saanud id-kaarti kasutada ja peale seda fixi asi töötas.<br />
|-<br />
<br />
<br />
|-<br />
| Kasutatud kirjandus<br />
| 0,5<br />
| 0,5<br />
| Kasutatud kirjandus on välja toodud<br />
|-<br />
<br />
|-<br />
| Näited kasutamiseks/käsud<br />
| 1<br />
| 1<br />
| Koodid on ilusti olemas, lausa skripti failidenda<br />
|-<br />
<br />
|-<br />
| Sisu<br />
| 4<br />
| 4<br />
| <br />
|-<br />
<br />
<br />
|-<br />
| Ülesehitus<br />
| 1<br />
| 1<br />
| Ülesehitus on arusaadav <br />
|-<br />
<br />
|-<br />
| Kirjavead ja õigekiri<br />
| 1<br />
| 1<br />
| Ei leidnud vigu<br />
|<br />
<br />
|-<br />
| Kokku<br />
| 10<br />
| 10<br />
| Kaslik töö.<br />
|-<br />
|}<br />
<br />
Hindaja: Marvin Martinson A21</div>Mmartinshttps://wiki.itcollege.ee/index.php?title=Talk:ID-kaarditarkvara_Ubuntu_guest_kasutajaga&diff=116143Talk:ID-kaarditarkvara Ubuntu guest kasutajaga2016-12-20T10:17:22Z<p>Mmartins: </p>
<hr />
<div>{| class="wikitable" border="1"<br />
|-<br />
! KRITEERIUM<br />
! KAAL<br />
! HINNANG<br />
! SELGITUS<br />
|-<br />
<br />
<br />
|-<br />
| Skoop<br />
| 0,5<br />
| 0,5<br />
| Probleem on olemas.<br />
|-<br />
<br />
|-<br />
| Artikli tutvustus ja versioon<br />
| 0,5<br />
| 0,5<br />
| Autor ja grupp on olemas<br />
|-<br />
<br />
|-<br />
| Sissejuhatus<br />
| 0,5<br />
| 0,5<br />
| Hästi on kirjeldatud probleemi.<br />
|-<br />
<br />
<br />
|-<br />
| Tehniliselt korrektne<br />
| 1<br />
| 1<br />
| Asi töötas väga hästi, alguses ei saanud id-kaarti kasutada ja peale seda fixi asi töötas.<br />
|-<br />
<br />
<br />
|-<br />
| Kasutatud kirjandus<br />
| 0,5<br />
| 0,5<br />
| Kasutatud kirjandus on välja toodud<br />
|-<br />
<br />
|-<br />
| Näited kasutamiseks/käsud<br />
| 1<br />
| 1<br />
| Koodid on ilusti olemas, lausa skripti failidenda<br />
|-<br />
<br />
|-<br />
| Sisu<br />
| 4<br />
| 4<br />
| <br />
|-<br />
<br />
<br />
|-<br />
| Ülesehitus<br />
| 1<br />
| 1<br />
| Ülesehitus on arusaadav <br />
|-<br />
<br />
|-<br />
| Kirjavead ja õigekiri<br />
| 1<br />
| 1<br />
| Ei leidnud vigu<br />
|<br />
<br />
|-<br />
| Kokku<br />
| 10<br />
| 10<br />
| Kaslik töö.<br />
|-<br />
|}<br />
<br />
Hindaja: Marvin Martinson A21 (hindamine on pooleli)</div>Mmartins