構築

lxd/README.md at master · lxc/lxd · GitHub の通りです。

$ mkdir -p ~/go
$ export GOPATH=~/go
$ go get github.com/lxc/lxd
$ cd $GOPATH/src/github.com/lxc/lxd
$ go get -v -d ./...
$ make

これで ~/go/bin 以下にコマンドができました。

$ ls ~/go/bin
fuidshift*  lxc*  lxd*

デーモン起動

これも書いてある通り。

$ sudo mkdir -p /var/lib/lxd
$ sudo chown karma:users /var/lib/lxd

subuid, subgid は設定済みです

$ cat /etc/subuid
karma:100000:65536
$ cat /etc/subgid
karma:100000:65536

とりあえず verbose モードで起動してみました。

$ ~/go/bin/lxd --help
Usage: lxd [options]

Options:
    --debug  (= false)
        Enables debug mode.
    --group (= "")
        Group which owns the shared socket
    --help  (= false)
        Print this help message.
    --tcp (= "")
        TCP address <addr:port> to listen on in addition to the unix socket (e.g., 127.0.0.1:8443)
    -v  (= false)
        Enables verbose mode.
    --version  (= false)
        Print LXD's version number and exit.

非特権コンテナのようですから、Plamo の場合、lxd コマンドを動かすシェルを読み書きできる cgroup に登録しないといけません(Ubuntuだとsystemd-logind辺りが作ったグループがあるのでそれを使いますのでこれは不要)。その後おもむろに lxd 起動

$ for d in /sys/fs/cgroup/*
> do
> echo $$ > $d/karma/tasks
> done
$ ~/go/bin/lxd -v

コマンド

$ cd ~/go/bin
$ ./lxc help
Usage: lxc [subcommand] [options]
Available commands:

	config     - Manage configuration.
	delete     - lxc delete <resource>
	exec       - exec specified command in a container.
	file       - Manage files on a container.
	finger     - Fingers the lxd instance to check if it is up and working.
	help       - Presents details on how to use lxd.
	list       - Lists the available resources.
	remote     - Manage remote lxc servers.
	restart    - Changes a containers state to restart.
	snapshot   - Create a read-only snapshot of a container.
	start      - Changes a containers state to start.
	stop       - Changes a containers state to stop.
	version    - Prints the version number of lxd.

$ ./lxc init ubuntu test01
$ ./lxc list 
test01

$ ./lxc start test01
$

$ ./lxc info test01
error: unknown command: info
  :(snip)

$ pstree -p
  :(snip)
        |                      |-bash(24780)---lxd(17197)-+-{lxd}(17198)
        |                      |                          |-{lxd}(17199)
        |                      |                          |-{lxd}(17202)
        |                      |                          `-{lxd}(17203)
  :(snip)
        |-lxd(17207)---init(17218)-+-cron(18639)
        |                          |-getty(18626)
        |                          |-getty(18628)
        |                          |-getty(18629)
        |                          |-getty(18670)
        |                          |-getty(18673)
        |                          |-rsyslogd(17673)-+-{rsyslogd}(17684)
        |                          |                 `-{rsyslogd}(17685)
        |                          |-systemd-udevd(17564)
        |                          |-upstart-file-br(17670)
        |                          |-upstart-socket-(17669)
        |                          `-upstart-udev-br(17540)

$ lxc-ls -P /var/lib/lxd/lxc -f
NAME    STATE    IPV4  IPV6  GROUPS  AUTOSTART  
----------------------------------------------
test01  RUNNING  -     -     -       NO         
$ lxc-info -P /var/lib/lxd/lxc -n test01
Name:           test01
State:          RUNNING
PID:            17218
CPU use:        1.17 seconds
BlkIO use:      248.00 KiB
Memory use:     3.94 MiB
KMem use:       0 bytes

コマンド実行

$ ./lxc exec test01 -- /bin/uname -a
Linux test01 3.19.0-plamo64-karma #2 SMP PREEMPT Mon Feb 9 16:13:40 JST 2015 x86_64 x86_64 x86_64 GNU/Linux

lxc-attach コマンドも使えます。

$ lxc-attach -P /var/lib/lxd/lxc -n test01 -- uname -a
Linux test01 3.19.0-plamo64-karma #2 SMP PREEMPT Mon Feb 9 16:13:40 JST 2015 x86_64 x86_64 x86_64 GNU/Linux

$ ./lxc stop test01
$ lxc-ls -P /var/lib/lxd/lxc -fNAME    STATE    IPV4  IPV6  GROUPS  AUTOSTART  
----------------------------------------------
test01  STOPPED  -     -     -       NO         

Linux カーネルに実装されているコンテナ関連の機能

Linux カーネルに実装されているコンテナ関連の機能の主要なものは大きく 2 つあると言えるでしょう。もちろん Cgroup はその一つです。しかし Cgroup だけではコンテナは実現できません。

ここでその 2 つの機能のおさらいです。

Cgroup

コンピュータに備わる物理的なリソース(cpu, memory, etc)を隔離/制限するための機能

Namespace(名前空間)

カーネル/OSが扱うリソース(ホスト名、ネットワークスタック、PID、etc)を隔離するための機能

そう、この 2 つです。なんで Cgroup だけが取り上げられるん? (もちろんこの2つの他にも使っている技術は様々あります)

そもそも前述の流れだと FreeBSD jail からの流れになっており、FreeBSD jail 相当の機能として Cgroup となっています。FreeBSD jail ってディレクトリツリーとかプロセスとかネットワークスタックとか (これは Vimage か) の隔離ですよね?

この流れからいくと取り上げるべきは Cgroup ではなく Namespace じゃないですか? 今の所 6 つある Namespace のうち、最初にカーネルにマージされたのは Mount Namespace で、なんと 2.4.19 でのマージです (2002 年)。*1

jail 相当とも言える PID Namespace が導入されたのは 2.6.24 で 2008 年なので、前述の年表で「Linuxのコンテナ機能がとりあえず実装されたとき」として 2008 年を取り上げるのは問題ないと思いますが、jail に対応する機能としては Namespace を取り上げるべきなのです。

歴史を語るのは重要なんですが、ちゃんと機能を理解して書いてほしいなあというわりとどうでもよい愚痴でした。

ああ、Linux Advent Calendar 2014 の他のに比べて著しくレベル低いですね… (^^;)

コンテナの作成と設定ファイル

1. ホストで fuse モジュールが読み込まれているとダメなのでロードされないようにしました。
2. まずは通常通りコンテナを作成します。Ubuntu Trusty (amd64) のコンテナにしました。私の環境は /var/lib/lxc は btrfs なので一応 btrfs を指定しています。

   # lxc-create -n ct01 -t download -B btrfs -- -d ubuntu -r trusty -a amd64

3. まずはコンテナを起動させて、動作確認のためにコンテナに nginx をインストールしておきました。
4. 設定ファイルを書き換えます。デフォルトだと ubuntu.common.conf と common.conf を include しているので include をやめて全部直に書きます。

   # cd /var/lib/lxc/ct01
   # mv config config.tmp
   # cp /usr/share/lxc/config/common.conf > config
   # cat /usr/share/lxc/config/ubuntu.common.conf >> config
   # cat config.tmp >> config

   ここでのキモは

   lxc.tty = 0
   lxc.console = none
   lxc.cgroup.devices.deny = c 5:1 rwm

   です。この 3 つは LXC - CRIU で指定されている設定で、lxc-checkpoint でも criu コマンドを実行する前にチェックされます。必要な設定がないと LXC のチェックでひっかかります。

   # lxc-checkpoint -v -n ct01 -s -D /root/criu
   lxc_container: couldn't find devices.deny = c 5:1 rwm
   Checkpointing ct01 failed.

5. /sys 以下の bind mount があるとダメだったのでコメントアウトしました。

最終的にこんな設定ファイルになってます。

lxc.tty = 0
lxc.console = none
lxc.cgroup.devices.deny = c 5:1 rwm

lxc.pts = 1024

lxc.cap.drop = mac_admin mac_override sys_time sys_module

lxc.pivotdir = lxc_putold

lxc.hook.clone = /usr/share/lxc/hooks/clonehostname

lxc.cgroup.devices.deny = a
lxc.cgroup.devices.allow = c *:* m
lxc.cgroup.devices.allow = b *:* m
lxc.cgroup.devices.allow = c 1:3 rwm
lxc.cgroup.devices.allow = c 1:5 rwm
lxc.cgroup.devices.allow = c 1:7 rwm
lxc.cgroup.devices.allow = c 5:0 rwm
lxc.cgroup.devices.allow = c 5:2 rwm
lxc.cgroup.devices.allow = c 1:8 rwm
lxc.cgroup.devices.allow = c 1:9 rwm
lxc.cgroup.devices.allow = c 136:* rwm

lxc.seccomp = /usr/share/lxc/config/common.seccomp

lxc.mount.entry = proc proc proc nodev,noexec,nosuid 0 0
lxc.mount.entry = sysfs sys sysfs defaults 0 0
lxc.mount.entry = /sys/fs/fuse/connections sys/fs/fuse/connections none bind,optional 0 0
#lxc.mount.entry = /sys/kernel/debug sys/kernel/debug none bind,optional 0 0
#lxc.mount.entry = /sys/kernel/security sys/kernel/security none bind,optional 0 0
lxc.mount.entry = /sys/fs/pstore sys/fs/pstore none bind,optional 0 0

lxc.cgroup.devices.allow = c 254:0 rm
lxc.cgroup.devices.allow = c 10:229 rwm
lxc.cgroup.devices.allow = c 10:200 rwm
lxc.cgroup.devices.allow = c 10:228 rwm
lxc.cgroup.devices.allow = c 10:232 rwm
lxc.arch = x86_64

lxc.rootfs = /var/lib/lxc/ct01/rootfs
lxc.utsname = ct01

lxc.network.type=veth
lxc.network.link=lxcbr0
lxc.network.flags=up

コンテナイメージ内

コンテナの rootfs 以下のファイルも少し調整します。

1. udev は起動させないように、と CRIU ページにあったので /etc/init/udev.conf を削除

   # rm /var/lib/lxc/ct01/rootfs/etc/init/udev.conf

2. console, tty は無効にしてますので、その関係も一応 /etc/init 以下から削除しました。まあこれは削除しなくてもエラーで起動しないだけかも。

checkpoint 処理

ではコンテナを起動させます。きちんと動作しています。

# lxc-start -n ct01
# lxc-ls --fancy
NAME  STATE    IPV4          IPV6  GROUPS  AUTOSTART  
----------------------------------------------------
ct01  RUNNING  10.0.100.119  -     -       NO         

nginx を入れたのでその動作確認。

# curl -I http://10.0.100.119/
HTTP/1.1 200 OK
Server: nginx/1.4.6 (Ubuntu)
Date: Fri, 29 Aug 2014 09:00:59 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Tue, 04 Mar 2014 11:46:45 GMT
Connection: keep-alive
ETag: "5315bd25-264"
Accept-Ranges: bytes

lxc-checkpoint を実行します。lxc-checkpoint は必要なチェックや準備をしてからインストールされている criu コマンドを実行します。criu をデーモンで動かしておく必要はありません。

• 指定オプション
  • -v : criu のログの verbose モード指定
  • -s : checkpoint が終わったらコンテナを停止させる
  • -D : dump ファイルの置き場所

# lxc-checkpoint -v -n ct01 -s -D /root/criu 
# lxc-ls --fancy
NAME  STATE    IPV4  IPV6  GROUPS  AUTOSTART  
--------------------------------------------
ct01  STOPPED  -     -     -       NO         

エラーなく終わると黙って lxc-checkpoint は終了します。-s を指定したのでコンテナも停止しています。

# curl -I http://10.0.100.119/
^C

コンテナが止まってるから当然 nginx とか反応しません。

ダンプファイル指定した場所にたくさんの dump ファイルができています。

# ls /root/criu/
bridge0            fs-151.img          pagemap-257.img
cgroup.img         fs-248.img          pagemap-289.img
core-1.img         fs-254.img          pagemap-373.img
core-141.img       fs-257.img          pagemap-374.img
core-151.img       fs-289.img          pagemap-389.img
core-248.img       fs-373.img          pagemap-390.img
core-249.img       fs-374.img          pagemap-391.img
core-250.img       fs-389.img          pagemap-393.img
core-252.img       fs-390.img          pagemap-394.img
core-254.img       fs-391.img          pagemap-566.img
core-257.img       fs-393.img          pagemap-568.img
core-289.img       fs-394.img          pagemap-570.img
core-373.img       fs-566.img          pagemap-572.img
core-374.img       fs-568.img          pagemap-574.img
core-389.img       fs-570.img          pagemap-shmem-60541.img
  : (snip)

たくさんすぎるので省略。

restore 処理

では dump ファイルから restore 処理を行って、コンテナを起動させましょう。

• 指定したオプション
  • -r : restore 処理を行う
  • -d : restore 後、コンテナをデーモンモードで起動

# lxc-checkpoint -v -n ct01 -r -d -D /root/criu 
# lxc-ls --fancy
NAME  STATE    IPV4          IPV6  GROUPS  AUTOSTART  
----------------------------------------------------
ct01  RUNNING  10.0.100.119  -     -       NO         

起動しました。nginx の起動を確認してみましょう。

# curl -I http://10.0.100.119/
HTTP/1.1 200 OK
Server: nginx/1.4.6 (Ubuntu)
Date: Fri, 29 Aug 2014 09:02:21 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Tue, 04 Mar 2014 11:46:45 GMT
Connection: keep-alive
ETag: "5315bd25-264"
Accept-Ranges: bytes

問題なく起動しており、コンテナ内のプロセスも無事復帰しているのがわかります。

チェックポイント機能として働いているかまではチェックしてないけど、とりあえずこんなところで。

(続くかも)