Systemd permet d'exécuter des conteneurs système à la manière de LXC. L'avantage de cette solution est qu'elle est extrêmement simple et rapide à mettre en œuvre, ce qui en fait une option de choix pour faire des tests sans prises de tête (waw j'ai vraiment écrit ça au sujet d'un composant Systemd ! Comme quoi tout est possible...).

Il existe deux façons de procéder:

1. Systemd-nspawn, réalise une exécution éphémère et sans possibilité de quitter le conteneur (il ne rend pas la main et doit être terminé pour cela). Le principal intérêt est selon moi, le test rapide et l'expérimentation de paramètres.
2. Machinectl, s'apparente plus à LXC avec un démarrage automatique possible des conteneurs avec le système (non testé). La production est envisageable avec cette méthode.

Installation des paquets

apt install --no-install-recommends debootstrap systemd-container debian-archive-keyring

Note: seul <source lang="bash" inline>systemd-container</source> est nécessaire.

Création d'un répertoire d'accueil

mkdir -p ~/tmp/conteneur && cd $_

Importation d'une racine Debian pour le système du conteneur

debootstrap --arch amd64 --include=systemd-container buster modèle.buster http://deb.debian.org/debian/

le paramètre <source lang="bash" inline>--include=systemd-container</source> permet d'installer ledit paquet dans le système invité. Vous pouvez en préciser plusieurs en les séparent par des virgules.

Note: Vous pouvez utiliser ce système comme un modèle que vous copierez afin de faire un nouveau conteneur. Cette pratique est plus rapide si vous n'avez pas de miroir de dépôt local mais n'oubliez pas de mettre à jour le système après la copie (si votre modèle est vieux).

Copie du modèle

cp -a modèle.buster buster1

Se connecter au conteneur sans le démarrer (identique à un chroot)

systemd-nspawn -D buster1

Si vous rencontrez une impossibilité de vous connecter au shell de votre conteneur par la suite (ça n'a pas été mon cas), il faudra supprimer le fichier de liste blanche des TTY autorisés pour la connexion (/etc/securetty) afin de permettre l'authentification comme suit.

rm /etc/securetty

On assignera enfin un mot de passe root avant de quitter le conteneur.

passwd
exit

Démarrer le conteneur et s'y connecter

systemd-nspawn -bD buster1

Il n'est pas possible de se détacher du conteneur avec cette méthode. Pour sortir, il faut soir éteindre le conteneur (via les commandes habituelles), soit le terminer par la force via la répétition successive de trois fois la combinaison de touches suivante: <source lang="bash" inline><ctrl> + ]</source>.

Cet outil ressemble plus à la gestion traditionnelle d'un LXC. Il travail exclusivement dans le répertoire <source lang="bash" inline>/var/lib/machines</source> là où Systemd-nspawn s'adaptait au paramètre passé

Création d'un conteneur Debian Sid en amd64 avec les branches de dépôt main, contrib et non-free s'appelant "sid1" et comportant le paquet supplémentaire <source lang="bash" inline>systemd-container</source>:

apt install --no-install-recommends debootstrap systemd-container debian-archive-keyring
debootstrap --arch amd64 --include=systemd-container --components=main,contrib,non-free sid /var/lib/machines/sid http://deb.debian.org/debian/
machinectl clone sid sid1
machinectl start sid1
machinectl shell sid1

Voici les commandes utiles:

• Très largement inspirée: https://www.blog-libre.org/2020/04/17/une-presentation-de-systemd-nspawn/
• Complémentaires:
  • https://wiki.archlinux.org/index.php/Systemd-nspawn
  • https://cmdref.net/middleware/container/systemd-nspawn/index.html
• Pages de manuels:
  • https://www.freedesktop.org/software/systemd/man/systemd-nspawn.html
  • https://www.freedesktop.org/software/systemd/man/machinectl.html