Conteneurs - systemd

De Wiki doc

Révision datée du 18 avril 2020 à 17:56 par Ycharbi (discussion | contributions) (Ajout d'une précision concernant la liste blanche des TTY + ajout des commandes d'import/export + ajout d'une source + correction de fautes.)

Systemd permet d'exécuter des conteneurs système à la manière de LXC. L'avantage de cette solution est qu'elle est extrêmement simple et rapide à mettre en œuvre, ce qui en fait une option de choix pour faire des tests sans prises de tête (waw j'ai vraiment écrit ça au sujet d'un composant Systemd ! Comme quoi tout est possible...).

Il existe deux façons de procéder:

  1. Systemd-nspawn, réalise une exécution éphémère et sans possibilité de quitter le conteneur (il ne rend pas la main et doit être terminé pour cela). Le principal intérêt est selon moi, le test rapide et l'expérimentation de paramètres.
  2. Machinectl, s'apparente plus à LXC avec un démarrage automatique possible des conteneurs avec le système (non testé). La production est envisageable avec cette méthode.

INFORMATION

Une grande partie de cette page est issue de cet article source que je vous encourage à consulter.

Systemd-nspawn

Installation des paquets

apt install --no-install-recommends debootstrap systemd-container debian-archive-keyring

Note: seul systemd-container est nécessaire.

Création d'un répertoire d'accueil

mkdir -p ~/tmp/conteneur && cd $_

Importation d'une racine Debian pour le système du conteneur

debootstrap --arch amd64 --include=systemd-container buster modèle.buster http://deb.debian.org/debian/

le paramètre --include=systemd-container permet d'installer ledit paquet dans le système invité. Vous pouvez en préciser plusieurs en les séparent par des virgules.

ATTENTION

Si la commande vous renvoie:
/usr/sbin/debootstrap: 1578: /usr/sbin/debootstrap: cannot create /tmp/conteneur/modèle.buster/test-dev-null: Permission denied
E: Cannot install into target '/tmp/conteneur/modèle.buster' mounted with noexec or nodev

c'est que le système de fichiers cible ne supporte pas l'exécution de binaires (ce serai le cas de certains d'entre eux dans un volume Luks non root). Là en l'occurence c'est par ce que mon /tmp est un tmpfs (mais on va partir du principe qu'il s'agit d'un /home/toto). Pour corriger cela, il faut remonter le système de fichier avec les bons paramètres: mount -i -o remount,exec,dev /home/toto.

Note: Vous pouvez utiliser ce système comme un modèle que vous copierez afin de faire un nouveau conteneur. Cette pratique est plus rapide si vous n'avez pas de miroir de dépôt local mais n'oubliez pas de mettre à jour le système après la copie (si votre modèle est vieux).

Copie du modèle

cp -a modèle.buster buster1

Se connecter au conteneur sans le démarrer (identique à un chroot)

systemd-nspawn -D buster1

Si vous rencontrez une impossibilité de vous connecter au shell de votre conteneur par la suite (ça n'a pas été mon cas), il faudra supprimer le fichier de liste blanche des TTY autorisés pour la connexion (/etc/securetty) afin de permettre l'authentification comme suit.

rm /etc/securetty

On assignera enfin un mot de passe root avant de quitter le conteneur.

passwd
exit

Démarrer le conteneur et s'y connecter

systemd-nspawn -bD buster1

Il n'est pas possible de se détacher du conteneur avec cette méthode. Pour sortir, il faut soir éteindre le conteneur (via les commandes habituelles), soit le terminer par la force via la répétition successive de trois fois la combinaison de touches suivante: <ctrl> + ].

Machinectl

Cet outil ressemble plus à la gestion traditionnelle d'un LXC. Il travail exclusivement dans le répertoire /var/lib/machines là où Systemd-nspawn s'adaptait au paramètre passé

Mise en œuvre

Création d'un conteneur Debian Sid en amd64 avec les branches de dépôt main, contrib et non-free s'appelant "sid1" et comportant le paquet supplémentaire systemd-container:

apt install --no-install-recommends debootstrap systemd-container debian-archive-keyring
debootstrap --arch amd64 --include=systemd-container --components=main,contrib,non-free sid /var/lib/machines/sid http://deb.debian.org/debian/
machinectl clone sid sid1
machinectl start sid1
machinectl shell sid1

Commandes utiles

Voici les commandes utiles:

Argument Signification
machinectl ou machinectl list Liste les conteneurs actifs
machinectl list-images Liste les conteneurs sans distinctions
machinectl start sid1 Démarre le conteneur et rend la main (il se comporte comme un service)
machinectl poweroff sid1 ou machinectl stop sid1 Éteint le conteneur sid1 proprement, stop est un alias de poweroff
machinectl terminate sid1 Tue le conteneur (force l'arrêt)
machinectl clone sid sid1 Copie le conteneur (un cp -a /var/lib/machines/conteneur_source /var/lib/machines/conteneur_destination fait la même chose)
machinectl remove sid1 Supprime le conteneur (un rm -rf /var/lib/machines/conteneur_source conteneur_destination fait la même chose si tant est qu'il est bien arrêté)
machinectl clean --all Supprime tout les conteneurs
machinectl login sid1 Attache un conteneur en passant par l'outil de connexion du système (pour sortir, il faut utiliser la répétition successive de trois fois la combinaison de touches suivante: <ctrl> + ])
machinectl shell sid1 Se connecte automatiquement au conteneur sans demander de mot de passe (identique à un chroot ou un su - utilisateur depuis root). Pour sortir, il faut faire un exit ou <ctrl> + d
machinectl copy-to sid1 ~/Documents/proc.jpeg /root/image.jpg Copie un fichier dans le conteneur (la syntaxe pour un dossier est identique sans paramètres supplémentaires). Est identique à une copie standard mais part de la racine du conteneur
machinectl copy-from sid1 /root/xyz abc Même chose dans l'autre sens. Permet de récupérer un fichier/dossier
machinectl export-tar sid1 /tmp/sid1.tar.gz Réalise une sauvegarde du conteneur sous forme d'archive compressée (tar.gz)
machinectl import-tar /tmp/sid1.tar.gz sid2 Importe un conteneur précedemment sauvegardé. En dehors des deux dernières commandes, ces opérations sont réalisables manuellements via les commandes standards.

Sources