Đây là lệnh systemd-nspawn có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
systemd-nspawn - Tạo ra một vùng chứa không gian tên để gỡ lỗi, thử nghiệm và xây dựng
SYNOPSIS
systemd-nspawn [TÙY CHỌN...] [COMMAND [ARGS ...]]
systemd-nspawn -b [TÙY CHỌN ...] [ARGS ...]
MÔ TẢ
systemd-nspawn có thể được sử dụng để chạy một lệnh hoặc HĐH trong vùng chứa không gian tên có dung lượng nhẹ.
Theo nhiều cách, nó tương tự như chroot(1), nhưng mạnh hơn vì nó ảo hóa hoàn toàn
phân cấp hệ thống tệp, cũng như cây quy trình, các hệ thống con IPC khác nhau và
máy chủ và tên miền.
systemd-nspawn giới hạn quyền truy cập vào các giao diện nhân khác nhau trong vùng chứa ở chế độ chỉ đọc,
như là / sys, / proc / sys hoặc / sys / fs / selinux. Giao diện mạng và đồng hồ hệ thống có thể
không bị thay đổi từ bên trong thùng chứa. Các nút thiết bị có thể không được tạo. Hệ thống máy chủ
không thể khởi động lại và các mô-đun hạt nhân có thể không được tải từ bên trong vùng chứa.
Lưu ý rằng mặc dù các biện pháp phòng ngừa bảo mật này được thực hiện systemd-nspawn không phù hợp
để thiết lập vùng chứa hoàn toàn an toàn. Nhiều tính năng bảo mật có thể bị phá vỡ và
do đó chủ yếu hữu ích để tránh những thay đổi ngẫu nhiên đối với hệ thống máy chủ từ
thùng đựng hàng.
Trái ngược với chroot(1) systemd-nspawn có thể được sử dụng để khởi động hệ điều hành dựa trên Linux đầy đủ
hệ thống trong một thùng chứa.
Sử dụng một công cụ như dnf(8) gỡ lỗi(8), hoặc pacman(8) để thiết lập cây thư mục hệ điều hành
thích hợp làm hệ thống phân cấp tệp cho systemd-nspawn hộp đựng.
Lưu ý rằng systemd-nspawn sẽ gắn kết các hệ thống tệp riêng tư vào vùng chứa để / dev, / chạy
và tương tự. Chúng sẽ không hiển thị bên ngoài vùng chứa và nội dung của chúng sẽ
bị mất khi container thoát ra ngoài.
Lưu ý rằng chạy hai systemd-nspawn các vùng chứa từ cùng một cây thư mục sẽ không tạo ra
các quy trình trong chúng nhìn thấy nhau. Khoảng cách không gian tên PID của hai vùng chứa là
hoàn thành và các vùng chứa sẽ chia sẻ rất ít đối tượng thời gian chạy ngoại trừ
hệ thống tập tin. Sử dụng máy móc(1) của đăng nhập lệnh để yêu cầu một lời nhắc đăng nhập bổ sung trong một
container đang chạy.
systemd-nspawn thực hiện Container Giao thức[1] đặc điểm kỹ thuật.
Như một sự kiểm tra an toàn systemd-nspawn sẽ xác minh sự tồn tại của / usr / lib / os-release or
/ etc / os-release trong cây chứa trước khi bắt đầu vùng chứa (xem phát hành hệ điều hành(5)).
Có thể cần thêm tệp này vào cây vùng chứa theo cách thủ công nếu Hệ điều hành của
vùng chứa quá cũ để chứa tệp này ngoài hộp.
LỰA CHỌN
Nếu tùy chọn -b được chỉ định, các đối số được sử dụng làm đối số cho nhị phân init.
Nếu không thì, COMMAND chỉ định chương trình sẽ khởi chạy trong vùng chứa và phần còn lại
các đối số được sử dụng làm đối số cho chương trình này. Nếu như -b không được sử dụng và không có đối số
đã chỉ định, một trình bao được khởi chạy trong vùng chứa.
Các tùy chọn sau được hiểu:
-D, --directory =
Thư mục để sử dụng làm gốc hệ thống tệp cho vùng chứa.
Nếu không --directory =, cũng không --image = được chỉ định thư mục được xác định bởi
tìm kiếm một thư mục có tên giống với tên máy được chỉ định với
--machine =. Thấy máy móc(1) phần "Tệp và Thư mục" để tìm kiếm chính xác
con đường.
Nếu không --directory =, --image =, cũng không --machine = được chỉ định, thư mục hiện tại
sẽ được sử dụng. Có thể không được chỉ định cùng với --image =.
--template =
Thư mục hoặc tập tin con "btrfs" để sử dụng làm mẫu cho thư mục gốc của vùng chứa.
Nếu điều này được chỉ định và thư mục gốc của vùng chứa (như được định cấu hình bởi
--directory =) chưa tồn tại, nó được tạo dưới dạng subvolume "btrfs" và được điền từ
cây mẫu này. Lý tưởng nhất, đường dẫn mẫu được chỉ định tham chiếu đến gốc của một
"btrfs" subvolume, trong trường hợp đó, một ảnh chụp nhanh sao chép và ghi đơn giản được thực hiện và
việc điền vào thư mục gốc là tức thì. Nếu đường dẫn mẫu được chỉ định không
tham chiếu đến thư mục gốc của hệ thống tệp "btrfs" (hoặc thậm chí không phải hệ thống tệp "btrfs" tại
tất cả), cây được sao chép, về cơ bản có thể tốn nhiều thời gian hơn. Lưu ý rằng nếu
tùy chọn này được sử dụng thư mục gốc của vùng chứa (trái ngược với mẫu
thư mục!) phải được đặt trên hệ thống tệp "btrfs", để hệ thống con "btrfs"
có thể được tạo ra. Có thể không được chỉ định cùng với --image = or --không lâu.
Lưu ý rằng công tắc này để lại tên máy chủ, ID máy và tất cả các cài đặt khác có thể
xác định trường hợp chưa được sửa đổi.
-x, --không lâu
Nếu được chỉ định, vùng chứa sẽ được chạy với ảnh chụp nhanh "btrfs" tạm thời về gốc của nó
thư mục (như được định cấu hình với --directory =), được xóa ngay lập tức khi
container kết thúc. Tùy chọn này chỉ được hỗ trợ nếu hệ thống tệp gốc
"btrfs". Có thể không được chỉ định cùng với --image = or --template =.
Lưu ý rằng công tắc này để lại tên máy chủ, ID máy và tất cả các cài đặt khác có thể
xác định trường hợp chưa được sửa đổi.
-i, --image =
Hình ảnh đĩa để gắn kết thư mục gốc cho vùng chứa. Đưa ra một con đường dẫn đến một
tệp thông thường hoặc đến một nút thiết bị khối. Tệp hoặc thiết bị khối phải chứa:
· Một bảng phân vùng MBR với một phân vùng duy nhất thuộc loại 0x83 được đánh dấu
khả năng khởi động.
· Một bảng phân vùng GUID (GPT) với một phân vùng duy nhất cùng loại
0fc63daf-8483-4772-8e79-3d69d8477de4.
· Bảng phân vùng GUID (GPT) với phân vùng gốc được đánh dấu được gắn kết dưới dạng
thư mục gốc của vùng chứa. Theo tùy chọn, hình ảnh GPT có thể chứa một ngôi nhà và / hoặc
phân vùng dữ liệu máy chủ được gắn vào các vị trí thích hợp trong
thùng đựng hàng. Tất cả các phân vùng này phải được xác định bằng các loại phân vùng được xác định
bởi Phát hiện Phân vùng Đặc điểm kỹ thuật[2.
Bất kỳ phân vùng nào khác, chẳng hạn như phân vùng nước ngoài, phân vùng hoán đổi hoặc hệ thống EFI
phân vùng không được gắn kết. Có thể không được chỉ định cùng với --directory =,
--template = or --không lâu.
-a, --as-pid2
Gọi trình bao hoặc chương trình được chỉ định làm ID quy trình (PID) 2 thay vì PID 1 (init).
Theo mặc định, nếu không có tùy chọn này hoặc --khởi động được sử dụng, tệp nhị phân đã chọn được chạy dưới dạng
xử lý với PID 1, một chế độ chỉ thích hợp cho các chương trình nhận biết được sự đặc biệt
ngữ nghĩa mà quy trình với PID 1 có trên UNIX. Ví dụ, nó cần phải gặt hái tất cả
các quy trình có liên quan đến nó và nên triển khai sysvinit xử lý tín hiệu tương thích
(cụ thể: nó cần khởi động lại trên SIGINT, thực thi lại trên SIGTERM, tải lại
cấu hình trên SIGHUP, v.v.). Với --as-pid2 một quá trình init sơ khai tối thiểu được chạy
như PID 1 và nhị phân đã chọn được thực thi dưới dạng PID 2 (và do đó không cần
triển khai bất kỳ ngữ nghĩa đặc biệt nào). Quá trình init sơ khai sẽ thu thập các quá trình như
cần thiết và phản ứng thích hợp với các tín hiệu. Bạn nên sử dụng chế độ này để
gọi các lệnh tùy ý trong vùng chứa, trừ khi chúng đã được sửa đổi để chạy
chính xác là PID 1. Hay nói cách khác: công tắc này nên được sử dụng cho khá nhiều
các lệnh, ngoại trừ khi lệnh đề cập đến việc triển khai init hoặc shell, vì những
thường có khả năng chạy chính xác như PID 1). Tùy chọn này có thể không được kết hợp
với --khởi động or - chia sẻ hệ thống.
-b, --khởi động
Tự động tìm kiếm một nhị phân init và gọi nó là PID 1, thay vì một shell hoặc
một chương trình do người dùng cung cấp. Nếu tùy chọn này được sử dụng, các đối số được chỉ định trên lệnh
dòng được sử dụng làm đối số cho nhị phân init. Tùy chọn này có thể không được kết hợp với
--as-pid2 or - chia sẻ hệ thống.
Bảng sau giải thích các chế độ gọi khác nhau và mối quan hệ với
--as-pid2 (xem ở trên):
Bàn 1. sự thỉnh nguyện Chế độ
┌─────────────────────────────── ────────────────┐
│Công tắc điện │ Giải thích │
├─────────────────────────────── ────────────────┤
│Không --as-pid2 cũng không --khởi động │ Các tham số được truyền là │
│specified │ được hiểu là dòng lệnh, │
│ │ được thực thi dưới dạng PID 1 trong │
│ │ thùng chứa. │
├─────────────────────────────── ────────────────┤
│--as-pid2 được chỉ định │ Các tham số được truyền là │
│ │ được hiểu là dòng lệnh, │
│ │ được thực thi dưới dạng PID 2 trong │
│ │ thùng chứa. Sơ khai │
Quá trình │ │ được chạy dưới dạng PID 1. │
├─────────────────────────────── ────────────────┤
│--khởi động được chỉ định │ Một nhị phân init là tự động │
│ │ đã tìm kiếm và chạy dưới dạng PID 1 trong │
│ │ thùng chứa. Các tham số đã truyền │
│ │ được sử dụng như một lời kêu gọi │
│ │ tham số cho quá trình này. │
└─────────────────────────────── ────────────────┘
--chdir =
Thay đổi thư mục làm việc được chỉ định trước khi gọi quy trình trong
thùng đựng hàng. Mong đợi một đường dẫn tuyệt đối trong không gian tên hệ thống tệp của vùng chứa.
-u, - người dùng =
Sau khi chuyển đổi sang vùng chứa, hãy thay đổi thành người dùng được chỉ định do người dùng xác định trong
cơ sở dữ liệu người dùng của vùng chứa. Giống như tất cả các tính năng systemd-nspawn khác, đây không phải là một
tính năng bảo mật và cung cấp khả năng bảo vệ chống lại các hoạt động phá hoại ngẫu nhiên
chỉ
-M, --machine =
Đặt tên máy cho vùng chứa này. Tên này có thể được sử dụng để xác định điều này
vùng chứa trong thời gian chạy của nó (ví dụ: trong các công cụ như máy móc(1) và tương tự),
và được sử dụng để khởi tạo tên máy chủ của vùng chứa (mà vùng chứa có thể chọn
ghi đè, tuy nhiên). Nếu không được chỉ định, thành phần cuối cùng của đường dẫn thư mục gốc của
vùng chứa được sử dụng, có thể đi kèm với một số nhận dạng ngẫu nhiên trong trường hợp --không lâu
chế độ được chọn. Nếu thư mục gốc được chọn là thư mục gốc của máy chủ lưu trữ
tên máy chủ của máy chủ được sử dụng làm mặc định thay thế.
--uuid =
Đặt UUID được chỉ định cho vùng chứa. Hệ thống init sẽ khởi tạo
/ etc / machine-id từ điều này nếu tệp này chưa được thiết lập.
--slice =
Đặt vùng chứa là một phần của lát được chỉ định, thay vì machine.slice mặc định.
Điều này chỉ áp dụng nếu máy được chạy trong đơn vị phạm vi của chính nó, tức là nếu - đơn vị bảo trì
Không được sử dụng.
--property =
Đặt thuộc tính đơn vị trên đơn vị phạm vi để đăng ký cho máy. Điều này chỉ áp dụng
nếu máy được chạy trong đơn vị phạm vi của riêng nó, tức là nếu - đơn vị bảo trì Không được sử dụng. Nhận
các phép gán thuộc tính đơn vị ở cùng một định dạng như hệ thống thiết lập thuộc tính. Cái này hữu ích
để đặt giới hạn bộ nhớ và tương tự cho máy.
--private-users =
Cho phép không gian tên người dùng. Nếu được bật, vùng chứa sẽ chạy với tập hợp riêng tư của chính nó
của id nhóm và người dùng Unix (UID và GID). Không sử dụng, được phân tách bằng một hoặc hai dấu hai chấm
tham số: tham số đầu tiên chỉ định UID máy chủ đầu tiên để gán cho
vùng chứa, tham số thứ hai chỉ định số lượng UID máy chủ để gán cho
thùng đựng hàng. Nếu tham số thứ hai bị bỏ qua, 65536 UID sẽ được gán. Nếu người đầu tiên
tham số cũng bị bỏ qua (và do đó không có tham số nào được truyền), UID đầu tiên
được gán cho vùng chứa được đọc từ chủ sở hữu của thư mục gốc của
cây thư mục của container. Theo mặc định, không có vùng chứa tên người dùng nào được áp dụng.
Lưu ý rằng không gian tên người dùng hiện yêu cầu cây hệ điều hành được chuẩn bị cho UID
sự thay đổi đang được áp dụng: UID và GID được sử dụng cho quyền sở hữu tệp hoặc trong ACL tệp
các mục nhập phải được chuyển sang cơ sở UID vùng chứa được sử dụng trong vùng chứa
thời gian chạy.
Bạn nên chỉ định ít nhất 65536 UID cho mỗi vùng chứa để có thể sử dụng được
Dải UID trong vùng chứa bao gồm 16 bit. Để bảo mật tốt nhất, không chỉ định chồng chéo
Phạm vi UID cho nhiều vùng chứa. Do đó, bạn nên sử dụng 16 bit phía trên của
máy chủ lưu trữ 32-bit UID làm định danh vùng chứa, trong khi 16 bit thấp hơn mã hóa
UID vùng chứa được sử dụng.
Khi không gian tên người dùng được sử dụng, phạm vi GID được chỉ định cho mỗi vùng chứa luôn
được chọn giống với phạm vi UID.
--Mạng riêng tư
Ngắt kết nối mạng của vùng chứa khỏi máy chủ. Điều này làm cho tất cả mạng
giao diện không khả dụng trong vùng chứa, ngoại trừ thiết bị lặp lại và
những người được chỉ định với --network-interface = và được định cấu hình với --mạng-veth. Nếu điều này
tùy chọn được chỉ định, khả năng CAP_NET_ADMIN sẽ được thêm vào tập hợp
khả năng mà vùng chứa giữ lại. Cái sau có thể bị vô hiệu hóa bằng cách sử dụng
--drop-Khả năng =.
--network-interface =
Gán giao diện mạng đã chỉ định cho vùng chứa. Điều này sẽ loại bỏ
giao diện được chỉ định từ không gian tên đang gọi và đặt nó vào vùng chứa. Khi mà
vùng chứa kết thúc, nó được chuyển trở lại không gian tên máy chủ. Lưu ý rằng
--network-interface = ngụ ý --Mạng riêng tư. Tùy chọn này có thể được sử dụng nhiều lần
để thêm nhiều giao diện mạng vào vùng chứa.
--network-macvlan =
Tạo giao diện "macvlan" của giao diện mạng Ethernet được chỉ định và thêm nó vào
thùng chứa. Giao diện "macvlan" là một giao diện ảo có thêm MAC thứ hai
địa chỉ đến một liên kết Ethernet vật lý hiện có. Giao diện trong vùng chứa sẽ là
được đặt tên theo giao diện trên máy chủ, có tiền tố là "mv-". Lưu ý rằng
--network-macvlan = ngụ ý --Mạng riêng tư. Tùy chọn này có thể được sử dụng nhiều lần
để thêm nhiều giao diện mạng vào vùng chứa.
--network-ipvlan =
Tạo giao diện "ipvlan" của giao diện mạng Ethernet được chỉ định và thêm nó vào
thùng chứa. Giao diện "ipvlan" là giao diện ảo, tương tự như "macvlan"
giao diện sử dụng địa chỉ MAC giống như giao diện bên dưới. Giao diện
trong vùng chứa sẽ được đặt tên theo giao diện trên máy chủ lưu trữ, có tiền tố là "iv-".
Lưu ý rằng --network-ipvlan = ngụ ý --Mạng riêng tư. Tùy chọn này có thể được sử dụng nhiều hơn
nhiều lần để thêm nhiều giao diện mạng vào vùng chứa.
-n, --mạng-veth
Tạo một liên kết Ethernet ảo ("veth") giữa máy chủ và vùng chứa. Phía chủ nhà của
liên kết Ethernet sẽ khả dụng dưới dạng giao diện mạng được đặt tên theo vùng chứa
tên (như được chỉ định với --machine =), có tiền tố là "ve-". Mặt chứa của
Liên kết Ethernet sẽ được đặt tên là "host0". Lưu ý rằng --mạng-veth ngụ ý
--Mạng riêng tư.
--network-veth-extra =
Thêm một liên kết Ethernet ảo bổ sung giữa máy chủ và vùng chứa. Mất một
cặp tên giao diện máy chủ lưu trữ và tên giao diện vùng chứa được phân tách bằng dấu hai chấm. Cái sau
có thể bị bỏ qua trong trường hợp đó bên chứa và bên chủ sẽ được chỉ định giống nhau
Tên. Công tắc này độc lập với --mạng-veth, và - ngược lại - có thể được sử dụng
nhiều lần, và cho phép cấu hình tên giao diện mạng. Lưu ý rằng
--network-bridge = không ảnh hưởng đến các giao diện được tạo bằng --network-veth-extra =.
--network-bridge =
Thêm phía máy chủ của liên kết Ethernet được tạo bằng --mạng-veth với quy định
cầu. Lưu ý rằng --network-bridge = ngụ ý --mạng-veth. Nếu tùy chọn này được sử dụng,
phía máy chủ của liên kết Ethernet sẽ sử dụng tiền tố "vb-" thay vì "ve-".
-p, --port =
Nếu mạng riêng được bật, ánh xạ một cổng IP trên máy chủ lưu trữ vào một cổng IP trên
thùng đựng hàng. Sử dụng công cụ chỉ định giao thức ("tcp" hoặc "udp"), được phân tách bằng dấu hai chấm
từ số cổng máy chủ trong phạm vi 1 đến 65535, được phân tách bằng dấu hai chấm từ vùng chứa
số cổng trong phạm vi từ 1 đến 65535. Mã định nghĩa giao thức và sự phân tách của nó
dấu hai chấm có thể bị bỏ qua, trong trường hợp đó, "tcp" được giả định. Số cảng container và
Dấu hai chấm của nó có thể bị bỏ qua, trong trường hợp đó, cổng giống như cổng máy chủ được ngụ ý.
Tùy chọn này chỉ được hỗ trợ nếu sử dụng mạng riêng, chẳng hạn như với
--mạng-veth or --network-bridge =.
-Z, --selinux-context =
Đặt ngữ cảnh bảo mật SELinux được sử dụng để gắn nhãn các quy trình trong vùng chứa.
-L, --selinux-apifs-context =
Đặt ngữ cảnh bảo mật SELinux được sử dụng để gắn nhãn các tệp trong tệp API ảo
hệ thống trong container.
- khả năng =
Liệt kê một hoặc nhiều khả năng bổ sung để cấp vùng chứa. Mất một
danh sách tên khả năng được phân tách bằng dấu phẩy, xem khả năng(7) để biết thêm thông tin.
Lưu ý rằng các khả năng sau sẽ được cấp theo bất kỳ cách nào: CAP_CHOWN,
CAP_DAC_OVERRIDE, CAP_DAC_READ_SEARCH, CAP_FOWNER, CAP_FSETID, CAP_IPC_OWNER,
CAP_KILL, CAP_LEASE, CAP_LINUX_IMMUTABLE, CAP_NET_BIND_SERVICE, CAP_NET_BROADCAST,
CAP_NET_RAW, CAP_SETGID, CAP_SETFCAP, CAP_SETPCAP, CAP_SETUID, CAP_SYS_ADMIN,
CAP_SYS_CHROOT, CAP_SYS_NICE, CAP_SYS_PTRACE, CAP_SYS_TTY_CONFIG, CAP_SYS_RESOURCE,
CAP_SYS_BOOT, CAP_AUDIT_WRITE, CAP_AUDIT_CONTROL. Ngoài ra CAP_NET_ADMIN được giữ lại nếu
--Mạng riêng tư được quy định. Nếu giá trị đặc biệt "tất cả" được chuyển, tất cả các khả năng
được giữ lại.
--drop-Khả năng =
Chỉ định một hoặc nhiều khả năng bổ sung để loại bỏ cho vùng chứa. Điều này cho phép
chạy vùng chứa với ít khả năng hơn mặc định (xem ở trên).
--kill-signal =
Chỉ định tín hiệu quá trình để gửi đến PID 1 của vùng chứa khi chính nó nspawn
nhận được SIGTERM, để kích hoạt quá trình ngừng hoạt động của vùng chứa có trật tự. Mặc định
sang SIGRTMIN + 3 nếu --khởi động được sử dụng (trên hệ thống init tương thích với systemd SIGRTMIN + 3
kích hoạt tắt máy có trật tự). Lấy tên tín hiệu như "SIGHUP", "SIGTERM" hoặc tương tự
như đối số.
--link-journal =
Kiểm soát xem nhật ký của vật chứa có được hiển thị cho hệ thống chủ hay không. Nếu như
được bật, cho phép xem các tệp nhật ký của vùng chứa từ máy chủ lưu trữ (nhưng không
ngược lại). Lấy một trong các "không", "máy chủ", "thử máy chủ", "khách", "thử khách", "tự động". Nếu không",
tạp chí không được liên kết. Nếu là "máy chủ lưu trữ", các tệp tạp chí được lưu trữ trên tệp máy chủ lưu trữ
hệ thống (bên dưới / var / log / journal /máy id) và thư mục con được gắn kết vào
thùng chứa ở cùng một vị trí. Nếu "khách", các tệp tạp chí được lưu trữ trên
hệ thống tệp khách (bên dưới / var / log / journal /máy id) và thư mục con là
được liên kết tượng trưng vào máy chủ lưu trữ tại cùng một vị trí. "try-host" và "try-guest" cũng làm như vậy
nhưng không thất bại nếu máy chủ lưu trữ không bật chức năng liên tục. Nếu "tự động"
(mặc định) và thư mục con bên phải của / var / log / journal tồn tại, nó sẽ bị ràng buộc
được gắn vào thùng chứa. Nếu thư mục con không tồn tại, không có liên kết nào
đã thực hiện. Hiệu quả, việc khởi động vùng chứa một lần với "khách" hoặc "máy chủ" sẽ liên kết
nhật ký liên tục nếu tiếp tục sử dụng mặc định "tự động".
-j
Tương đương với --link-journal = try-guest.
--chỉ đọc
Gắn kết hệ thống tệp gốc chỉ đọc cho vùng chứa.
--bind =, --bind-ro =
Liên kết gắn kết một tệp hoặc thư mục từ máy chủ lưu trữ vào vùng chứa. Đi một trong: một con đường
đối số - trong trường hợp đó, đường dẫn được chỉ định sẽ được gắn kết từ máy chủ đến cùng một
đường dẫn trong vùng chứa - hoặc một cặp đường dẫn được phân tách bằng dấu hai chấm - trong trường hợp đó đường dẫn đầu tiên
đường dẫn được chỉ định là nguồn trong máy chủ và đường dẫn thứ hai là đích trong
vùng chứa - hoặc bộ ba đường dẫn nguồn, đường dẫn đích và
các tùy chọn gắn kết. Các tùy chọn gắn kết được phân tách bằng dấu phẩy và hiện tại, chỉ có "rbind" và
"norbind" được cho phép. Mặc định là "rbind". Các dấu gạch chéo ngược được diễn giải, vì vậy "\:"
có thể được sử dụng để nhúng dấu hai chấm vào một trong hai đường dẫn. Tùy chọn này có thể được chỉ định nhiều
thời gian để tạo nhiều điểm gắn kết ràng buộc độc lập. Các --bind-ro = tùy chọn
tạo gắn kết ràng buộc chỉ đọc.
--tmpfs =
Gắn hệ thống tệp tmpfs vào vùng chứa. Sử dụng một đối số đường dẫn tuyệt đối duy nhất
chỉ định nơi gắn thể hiện tmpfs vào (trong trường hợp đó là thư mục
chế độ truy cập sẽ được chọn là 0755, thuộc sở hữu của root / root), hoặc tùy chọn
cặp đường dẫn được phân tách bằng dấu hai chấm và chuỗi tùy chọn mount được sử dụng để gắn (trong
trường hợp nào thì hạt nhân mặc định cho chế độ truy cập và chủ sở hữu sẽ được chọn, trừ khi
quy định khác). Tùy chọn này đặc biệt hữu ích để gắn các thư mục như
as / var dưới dạng tmpfs, để cho phép các hệ thống ít trạng thái, đặc biệt là khi kết hợp với
--chỉ đọc. Các lối thoát dấu gạch chéo ngược được diễn giải trong đường dẫn, vì vậy "\:" có thể được sử dụng để
nhúng dấu hai chấm vào đường dẫn.
- lớp phủ =, --overlay-ro =
Kết hợp nhiều cây thư mục thành một hệ thống tệp lớp phủ và gắn nó vào
thùng đựng hàng. Đưa danh sách các đường dẫn được phân tách bằng dấu hai chấm đến cây thư mục để kết hợp và
điểm gắn kết đích.
Các dấu gạch chéo ngược thoát ra được diễn giải trong các đường dẫn, vì vậy "\:" có thể được sử dụng để nhúng dấu hai chấm vào
những con đường.
Nếu ba hoặc nhiều đường dẫn được chỉ định, thì đường dẫn được chỉ định cuối cùng là đích
điểm gắn kết trong vùng chứa, tất cả các đường dẫn được chỉ định trước khi tham chiếu đến cây thư mục trên
máy chủ lưu trữ và được kết hợp theo thứ tự đã chỉ định thành một hệ thống tệp lớp phủ. Các
đường dẫn ngoài cùng bên trái do đó là cây thư mục thấp nhất, đường dẫn từ thứ hai đến cuối cùng là đường dẫn cao nhất
cây thư mục theo thứ tự xếp chồng. Nếu như --overlay-ro = được sử dụng thay - lớp phủ =,
một hệ thống tệp lớp phủ chỉ đọc được tạo. Nếu một hệ thống tệp lớp phủ có thể ghi là
được tạo, tất cả các thay đổi được thực hiện đối với nó được ghi vào cây thư mục cao nhất trong
thứ tự xếp chồng, tức là thứ hai đến cuối cùng được chỉ định.
Nếu chỉ có hai đường dẫn được chỉ định, thì đường dẫn được chỉ định thứ hai được sử dụng làm
cây thư mục cấp cao nhất theo thứ tự xếp chồng như được nhìn thấy từ máy chủ lưu trữ, cũng như
điểm gắn kết cho hệ thống tệp lớp phủ trong vùng chứa. Ít nhất hai con đường phải
được chỉ định.
Để biết chi tiết về hệ thống tệp lớp phủ, hãy xem lớp phủfs.txt[3]. Lưu ý rằng ngữ nghĩa
của hệ thống tệp lớp phủ về cơ bản khác với hệ thống tệp bình thường, trong
đặc biệt liên quan đến thông tin thiết bị và inode được báo cáo. Thiết bị và inode
thông tin có thể thay đổi đối với một tệp trong khi nó đang được ghi vào và các quá trình có thể
đôi khi xem các phiên bản lỗi thời của tệp. Lưu ý rằng chuyển đổi này tự động
dẫn xuất tùy chọn mount "workdir =" cho hệ thống tệp lớp phủ từ cấp cao nhất
cây thư mục, làm cho nó trở thành anh chị em của nó. Do đó, điều cần thiết là cấp cao nhất
cây thư mục không phải là điểm gắn kết (vì thư mục làm việc phải nằm trên
cùng hệ thống tệp với cây thư mục trên cùng). Cũng lưu ý rằng mount "lowdir ="
tùy chọn nhận các đường dẫn để xếp chồng theo thứ tự ngược lại của công tắc này.
--setenv =
Chỉ định một phép gán biến môi trường để chuyển cho quá trình init trong
vùng chứa, ở định dạng "NAME = VALUE". Điều này có thể được sử dụng để ghi đè mặc định
hoặc để thiết lập các biến bổ sung. Tham số này có thể được sử dụng nhiều hơn một lần.
- chia sẻ hệ thống
Cho phép vùng chứa chia sẻ các cơ sở hệ thống nhất định với máy chủ. Hơn
cụ thể, điều này sẽ tắt vùng chứa tên PID, vùng chứa tên UTS và vùng chứa tên IPC, và
do đó cho phép khách xem và tương tác dễ dàng hơn với các quy trình bên ngoài
thùng đựng hàng. Lưu ý rằng việc sử dụng tùy chọn này sẽ không thể khởi động đầy đủ
Hệ điều hành trong vùng chứa, vì hệ thống init không thể hoạt động ở chế độ này. Nó
chỉ hữu ích để chạy các chương trình hoặc ứng dụng cụ thể theo cách này, mà không liên quan đến
init system trong container. Tùy chọn này ngụ ý - đăng ký = không. Tùy chọn này có thể không
được kết hợp với --khởi động.
- đăng ký =
Kiểm soát xem vùng chứa có được đăng ký với systemd-gia công(số 8). Lấy boolean
đối số, mặc định là "có". Tùy chọn này sẽ được bật khi vùng chứa
chạy Hệ điều hành đầy đủ (cụ thể hơn: hệ thống init) và rất hữu ích để
đảm bảo rằng vùng chứa có thể truy cập được qua máy móc(1) và được hiển thị bằng các công cụ như
ps(1). Nếu vùng chứa không chạy hệ thống init, bạn nên đặt điều này
tùy chọn "không". Lưu ý rằng - chia sẻ hệ thống ngụ ý - đăng ký = không.
- đơn vị bảo trì
Thay vì tạo một đơn vị phạm vi tạm thời để chạy vùng chứa, chỉ cần đăng ký
dịch vụ hoặc đơn vị phạm vi systemd-nspawn đã được mời vào với systemd-gia công(8).
Điều này không có hiệu lực nếu - đăng ký = không Được sử dụng. Công tắc này nên được sử dụng nếu
systemd-nspawn được gọi từ bên trong một đơn vị dịch vụ và duy nhất của đơn vị dịch vụ
mục đích là để chạy một systemd-nspawn thùng đựng hàng. Tùy chọn này không khả dụng nếu
chạy từ một phiên người dùng.
- cá nhân =
Kiểm soát kiến trúc ("nhân cách") được báo cáo bởi uname(2) trong thùng chứa.
Hiện tại, chỉ "x86" và "x86-64" được hỗ trợ. Điều này rất hữu ích khi chạy 32-bit
vùng chứa trên máy chủ lưu trữ 64-bit. Nếu cài đặt này không được sử dụng, tính cách được báo cáo trong
vùng chứa giống với vùng được báo cáo trên máy chủ.
-q, --Yên lặng
Tắt bất kỳ đầu ra trạng thái nào của chính công cụ. Khi công tắc này được sử dụng, chỉ
đầu ra từ nspawn sẽ là đầu ra bảng điều khiển của chính hệ điều hành vùng chứa.
--bay hơi, - dễ bay hơi =PHƯƠNG THỨC
Khởi động thùng chứa ở chế độ dễ bay hơi. Khi không có thông số chế độ nào được chuyển hoặc khi chế độ được
được chỉ định như Vâng, chế độ biến động đầy đủ được kích hoạt. Điều này có nghĩa là thư mục gốc là
được gắn dưới dạng một phiên bản "tmpfs" hầu như không được phổ biến và / usr từ cây hệ điều hành được gắn kết
vào nó ở chế độ chỉ đọc (do đó hệ thống khởi động với tài nguyên hệ điều hành chỉ đọc, nhưng
trạng thái và cấu hình nguyên sơ, bất kỳ thay đổi nào đối với một trong hai đều bị mất khi tắt máy).
Khi tham số chế độ được chỉ định là nhà nước, cây hệ điều hành được gắn kết chỉ đọc, nhưng
/ var được gắn kết dưới dạng một cá thể "tmpfs" vào nó (hệ thống do đó khởi động với
tài nguyên và cấu hình hệ điều hành chỉ đọc, nhưng trạng thái nguyên sơ và bất kỳ thay đổi nào đối với
sau này bị mất khi tắt máy). Khi tham số chế độ được chỉ định là Không (Các
mặc định), toàn bộ cây hệ điều hành được tạo sẵn có thể ghi.
Lưu ý rằng cài đặt này thành Vâng or nhà nước sẽ chỉ hoạt động chính xác với hệ điều hành
trong vùng chứa chỉ có thể khởi động với / usr được gắn kết và có thể cư trú
/ var tự động, nếu cần.
--settings =PHƯƠNG THỨC
Kiểm soát liệu systemd-nspawn sẽ tìm kiếm và sử dụng bổ sung cho mỗi thùng chứa
cài đặt từ tệp .nspawn. Lấy boolean hoặc các giá trị đặc biệt ghi đè or
đáng tin cậy.
Nếu được bật (mặc định), một tệp cài đặt được đặt tên theo máy (như được chỉ định với
các --machine = hoặc bắt nguồn từ thư mục hoặc tên tệp hình ảnh) với
hậu tố .nspawn được tìm kiếm trong / etc / systemd / nspawn / và / run / systemd / nspawn /. Nếu nó là
được tìm thấy ở đó, cài đặt của nó được đọc và sử dụng. Nếu nó không được tìm thấy ở đó, nó là
sau đó được tìm kiếm trong cùng một thư mục với tệp hình ảnh hoặc ngay lập tức
cha của thư mục gốc của vùng chứa. Trong trường hợp này, nếu tệp được tìm thấy,
các cài đặt cũng sẽ được đọc và sử dụng, nhưng các cài đặt có khả năng không an toàn sẽ bị bỏ qua. Ghi chú
rằng trong cả hai trường hợp này, cài đặt trên dòng lệnh được ưu tiên hơn
cài đặt tương ứng từ các tệp .nspawn đã tải, nếu cả hai đều được chỉ định. Không an toàn
cài đặt được coi là tất cả các cài đặt nâng cao đặc quyền của vùng chứa hoặc cấp
truy cập vào các tài nguyên bổ sung như tệp hoặc thư mục của máy chủ lưu trữ. Để biết chi tiết
về định dạng và nội dung của tệp .nspawn, hãy tham khảo systemd.nspawn(5).
Nếu tùy chọn này được đặt thành ghi đè, tệp được tìm kiếm, đọc và sử dụng theo cùng một cách,
tuy nhiên, thứ tự ưu tiên bị đảo ngược: cài đặt đọc từ tệp .nspawn sẽ
được ưu tiên hơn các tùy chọn dòng lệnh tương ứng, nếu cả hai đều được chỉ định.
Nếu tùy chọn này được đặt thành đáng tin cậy, tệp được tìm kiếm, đọc và sử dụng theo cùng một cách,
nhưng bất kể được tìm thấy trong / etc / systemd / nspawn /, / run / systemd / nspawn / hoặc bên cạnh
tệp hình ảnh hoặc thư mục gốc vùng chứa, tuy nhiên, tất cả các cài đặt sẽ có hiệu lực,
các đối số dòng lệnh vẫn được ưu tiên hơn các cài đặt tương ứng.
Nếu bị vô hiệu hóa, không có tệp .nspawn nào được đọc và không có cài đặt nào ngoại trừ những cài đặt trên lệnh
dòng đang có hiệu lực.
-h, --Cứu giúp
In một văn bản trợ giúp ngắn và thoát.
--phiên bản
In một chuỗi phiên bản ngắn và thoát.
VÍ DỤ
Ví dụ 1. Tải về a Fedora hình ảnh và Bắt đầu a shell in it
# machinectl pull-raw --verify = no http://ftp.halifax.rwth-aachen.de/fedora/linux/releases/21/Cloud/Images/x86_64/Fedora-Cloud-Base-20141203-21.x86_64.raw.xz
# systemd-nspawn -M Fedora-Cloud-Base-20141203-21
Điều này tải xuống một hình ảnh bằng cách sử dụng máy móc(1) và mở một vỏ trong đó.
Ví dụ 2. Xây dựng và khởi động a tối thiểu Fedora phân phối in a chứa
# dnf -y --releasever = 23 --installroot = / srv / mycontainer --disablerepo = '*' --enablerepo = fedora --enablerepo = update install systemd passwd dnf fedora-release vim-Minim
# systemd-nspawn -bD / srv / mycontainer
Điều này cài đặt một bản phân phối Fedora tối thiểu vào thư mục / srv / mycontainer / và sau đó
khởi động một hệ điều hành trong một vùng chứa không gian tên trong đó.
Ví dụ 3. Đẻ trứng a shell in a chứa of a tối thiểu Debian không ổn định phân phối
# debootstrap --arch = amd64 không ổn định ~ / debian-tree /
# systemd-nspawn -D ~ / debian-tree /
Điều này cài đặt một bản phân phối không ổn định Debian tối thiểu vào thư mục ~ / debian-tree / và
sau đó sinh ra một trình bao trong một vùng chứa không gian tên trong đó.
Ví dụ 4. Khởi động a tối thiểu Arch Linux phân phối in a chứa
# pacstrap -c -d ~ / cây vòm / cơ sở
# systemd-nspawn -bD ~ / cây vòm /
Điều này cài đặt một bản phân phối Arch Linux tối thiểu vào thư mục ~ / cây vòm / và sau đó
khởi động một hệ điều hành trong một vùng chứa không gian tên trong đó.
Ví dụ 5. Khởi động trong an không lâu "btrfs" ảnh chụp of các chủ nhà hệ thống
# systemd-nspawn -D / -xb
Thao tác này chạy một bản sao của hệ thống máy chủ lưu trữ dưới dạng ảnh chụp nhanh "btrfs" sẽ bị xóa ngay lập tức
khi container thoát ra ngoài. Tất cả các thay đổi hệ thống tệp được thực hiện trong thời gian chạy sẽ bị mất vào
do đó, tắt máy.
Ví dụ 6. chạy a chứa với SELinux sandbox an ninh bối cảnh
# chcon system_u: object_r: svirt_sandbox_file_t: s0: c0, c1 -R / srv / container
# systemd-nspawn -L system_u: object_r: svirt_sandbox_file_t: s0: c0, c1 -Z system_u: system_r: svirt_lxc_net_t: s0: c0, c1 -D / srv / container / Bin / sh
EXIT TÌNH TRẠNG
Mã thoát của chương trình được thực thi trong vùng chứa được trả về.
Sử dụng systemd-nspawn trực tuyến bằng các dịch vụ onworks.net
