如何进行Linux 容器的建立和简单管理

如何进行linux 容器的建立和简单管理，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

cgroups 简介

LXC 项目由一个 Linux 内核补丁和一些用户空间（userspace） 工具组成。这些工具使用由补丁增加的内核新特性，提供一套简化的工具来维护容器。2.6.29 版本后的 Linux 内核版本已经包含该补丁提供的大部分功能。所以强烈建议使用***的内核源代码。LXC 在资源管理方面依赖 Linux 内核的 cgroups (Control Groups) 系统，cgroups 系统是 Linux 内核提供的一个基于进程组的资源管理的框架，可以为特定的进程组限定可以使用的资源。它最初由 Google 的工程师提出，后来被整合进 Linux 内核。cgroups 也是 LXC 为实现虚拟化所使用的资源管理手段，可以说没有 cgroups 就没有 LXC。cgroups 文件系统结构见图 1 。

图 1.cgroups 文件系统结构

相关名词解释

控制族群（control group）：控制族群就是一组按照某种标准划分的进程。cgroups 中的资源控制都是以控制族群为单位实现。一个进程可以加入到一个控制族群，也可以迁移到另一个控制族群。

层级（hierarchy）。控制族群可以组织成 hierarchical 的形式，既一颗控制族群树。控制族群树上的子节点控制族群是父节点控制族群的孩子，继承父控制族群的特定的属性。

子系统（subsytem）。一个子系统就是一个资源控制器，比如中央处理器子系统就是控制中央处理器时间分配的一个控制器。子系统必须附加（attach）到一个层级上才能起作用，一个子系统附加到某个层级以后，这个层级上的所有控制族群都受到这个子系统的控制。主要包括如下 9 个子系统：

• blkio ： 这个子系统为块设备设定输入/输出限制，比如物理设备（磁盘，固态硬盘，USB 等）。

• cpu ： 这个子系统使用调度程序提供对 中央处理器的 cgroup 任务访问。

• cpuacct ： 这个子系统自动生成 cgroup 中任务所使用的中央处理器报告。

• cpuset ： 这个子系统为 cgroup 中的任务分配独立中央处理器（在多核系统）和内存节点。

• devices ： 这个子系统可允许或者拒绝 cgroup 中的任务访问设备。

• freezer ： 这个子系统挂起或者恢复 cgroup 中的任务。

• memory ： 这个子系统设定 cgroup 中任务使用的内存限制，并自动生成由那些任务使用的内存资源报告。

• net_cls ： 这个子系统使用等级识别符（classid）标记网络数据包，可允许 Linux 流量控制程序（tc）识别从具体 cgroup 中生成的数据包。

• ns ：ns 子系统提供了一个将进程分组到不同名称空间的方法。在具体名称空间中，进程可彼此互动，但会与在其它名称空间中运行的进程隔绝。这些分开的名称空间在用于操作系统级别的虚拟化时，有时也称之为容器。

搭建***个 LXC 虚拟计算机

本文使用的 Linux 发行版是 ubuntu 12.10 ，首先安装软件包：

#apt-get install lxc

安装软件包后要检查 Linux 发行版的内核对 LXC 的支持情况，可以使用下面命令 lxc-checkconfig 查看，见图 2 。

图 2.lxc-checkconfig 命令

lxc-checkconfig 命令检查之后如果所有项目显示“enabled”表示可以直接使用 LXC。

建立一个 Ubuntu Server LXC 虚拟计算机系统

使用如下命令构建（执行过程见图）3：

#lxc-create  -t  ubuntu -n cjhlxc1

说明这里使用的是 ubuntu 模板，模板文件保存在/usr/lib/lxc/templates/目录下，这个目录下还有其他模板，可以使用如下命令查看，命令输出如下：

# tree /usr/lib/lxc/templates/ /usr/lib/lxc/templates/ ├── lxc-busybox ├── lxc-debian ├── lxc-fedora ├── lxc-opensuse ├── lxc-sshd ├── lxc-ubuntu └── lxc-ubuntu-cloud

图 3.建立一个 Ubuntu Server LXC 系统

说明：安装过程要持续一段时间，另外安装过程要保证互联网连接。

上面命令完成后, 会在 /var/lib/lxc 目录中, 产生虚拟计算机 cjhlxc1 ，它的目录结构见图 4 。

图 4.虚拟计算机 cjhlxc1 目录结构

LXC 虚拟计算机的基本管理——了解 LXC 虚拟计算机的管理命令

LXC 常见命令说明见表 1：

表 1 LXC 常见命令说明

说明：更加详细的 lxc 命令列表和使用方法请读者参考官方网站文档。

图 5 是主要 LXC 命令执行过程的示意图

图 5.LXC 命令执行过程的示意图

LXC 常见命令说明举例

启动 LXC 虚拟计算机

# lxc-start  -n  cjhlxc1

确实的账号和密码都是 ubuntu 然后登录虚拟计算机见图 6：

图 6.登录虚拟计算机

列出当前系统所有的容器

检查目前有哪几个容器启动(若没有任何结果，则目前都没有容器启动)：

# lxc-ls cjhlxc1 foo

使用 console 登入容器第 3 个控制台：

$ lxc-console -n cjhlxc1 –t 3

说明：如果没有指定 -t N 选项，则一个没有被使用的控制台将自动选择。要退出控制台，使用快捷键 Ctrl-a q 。

停止运行一个容器：

# lxc-stop -n cjhlxc1

获取一个容器的状态：

# lxc-info -n ol6ctr1

把一个容器销毁：

# lxc-destroy -n cjhlxc11

复制一个容器：

# lxc-clone -o cjhlxc1 -n ol6ctr2

暂停或恢复一个容器：

# lxc-freeze -n cjhlxc1 # lxc-unfreeze -n cjhlxc1

LXC 虚拟网络接口设置

了解 LXC 内置的网络架构

不管是哪套虚拟系统，只要是运作在 Linux 系统架构之内，所使用的虚拟网络都是 Linux 系统缺省的虚拟网络架构（即 TAP/TUP, Bridge）图 7 是示意图 。

图 7.LXC 虚拟网络接口示意图

图 7 这个结构中两个容器使用 Veth Bridge，因为默认情况下，LXC 的模板脚本设置网络都是基于 Veth Bridge。在这种模式下，容器从 dnsmasq 服务器获取其 IP 地址。主机允许的容器连接到网络的其余部分（使用 iptables 的 NAT 规则 ，但这些规则不允许传入的连接到容器）。

除了 Veth Bridge 外，LXC 虚拟计算机还支持 Macvlan Bridge 和 Macvlan VEPA。有时我们可能需要一块物理网卡绑定多个 IP 以及多个 MAC 地址，虽然绑定多个 IP 很容易，但是这些 IP 会共享物理网卡的 MAC 地址，可能无法满足我们的设计需求，所以有了 MACVLAN 设备，其工作

MACVLAN 会根据收到包的目的 MAC 地址判断这个包需要交给哪个虚拟网卡。限于篇幅这里介绍 Macvlan Bridge 和 Macvlan VEPA，感兴趣的用户可以参考参考文献中的介绍。

与 KVM 相同 LXC 安装完成，缺省就会产生一个网络接口（包含以下功能：交换机（Switch Hub） + DHCP 服务器 + NAT + Cache DNS 服务器），网络接口名称也就是 lxcbr0，可以通过如下命令验证：

# brctl show bridge name bridge id    STP enabled    interfaces lxcbr0   8000.3eef2e882ac9  no   vetheCYpw4

由上面的命令输出图就可以明显看到 lxcbr0 的相关信息，而这个网络接口，除了扮演交换机的功能之外，缺省也提供了 NAT 与 DHCP 的功能，简单来说就是 lxcbr0 除了提供交换机的功能之外，也提供了 DHCP 服务与 DNS 缓存服务 ， 再通过 iptables 启动 NAT 的功能，由以下命令可以来证明，命令输出如下：

# iptables -t nat -L -n Chain PREROUTING (policy ACCEPT) target     prot opt source               destination Chain INPUT (policy ACCEPT) target     prot opt source               destination Chain OUTPUT (policy ACCEPT) target     prot opt source               destination Chain POSTROUTING (policy ACCEPT) target     prot opt source               destination MASQUERADE  all  --  10.0.3.0/24         !10.0.3.0/24

DHCP 服务与 DNS 缓存服务的功能，可以通过如下命令验证：

#ps aux | grep lxc

命令输出见图 8：

图 8.查看 DHCP 服务与 DNS 缓存服务

修改 LXC 网络接口的方法

一般我们是通过修改 lxcbr0 的设置文件的方法来实现的。通过〝ifconfig lxcbr0〞的命令，可以得知 lxcbr0 本身的 IP 地址，而由〝ps aux | grep dnsmasq〞的命令，也可以清楚看到 DHCP Server 分配的 IP 范围，因此可以知道 LXC 缺省虚拟网络预设的 IP 区段为 10.0.3.0/24，那么，这些信息，可以修改吗？当然可以，以上这些网络信息，是 LXC 缺省预设的网络设置，所以可以通过修改配置文件的方式，来修改相关信息，以符合实际应用的状况，可以利用编辑器来修改 LXC 的网络配置文件：

# vi /etc/default/lxc

清单 1./etc/default/lxc 文件内容：

LXC_BRIDGE="lxcbr0" LXC_ADDR="10.0.3.1" LXC_NETMASK="255.255.255.0" LXC_NETWORK="10.0.3.0/24" LXC_DHCP_RANGE="10.0.3.2,10.0.3.254" LXC_DHCP_MAX="253" LXC_SHUTDOWN_TIMEOUT=120

用户修改后要重新启动网络服务，使用如下命令：

#service lxc-net restart

设置 LXC 使用物理网络接口

相比 KVM 来说，LXC 可以直接使用物理网络接口（比如在本文中物理网卡是 eth0、eth2，笔者准备把 eth0 分配给 LXC 虚拟网络 ）。首先使用“ ifconfig –a”命令查看一下，其中而 eth2 为实体计算机实际对外联机所使用的网络接口，所 eth0 ，就可以拿来设定给 LXC 虚拟计算机来使用。然后修改修改 LXC 虚拟计算机的配置文件：/var/lib/lxc/cjhlxc1/config。

#vi /var/lib/lxc/cjhlxc1/config

清单 2 /var/lib/lxc/cjhlxc1/config 文件内容：

lxc.network.type=phys lxc.network.link=eth0 lxc.network.flags=up lxc.utsname = cjhlxc1 #lxc.network.hwaddr = 00:16:3e:f9:ad:be #此行要注释掉# lxclxc.devttydir = lxc lxc.tty = 4 lxc.pts = 1024 lxc.rootfs = /var/lib/lxc/myt2/rootfs lxc.mount  = /var/lib/lxc/myt2/fstab lxc.arch = amd64 lxc.cap.drop = sys_module mac_admin lxc.pivotdir = lxc_putold

修改完成后存盘退出。简单说明一下以上参数：

lxc.network.type 指定用于容器的网络类型，包括四种类型：

• empty：建立一个没有使用的网络接口

• veth：容器将链接到 lxc.network.link 定义的网桥上，从而与外部通信。之前网桥必须在预先建立。

• macvlan：一个 macvlan 的接口会链接到 lxc.network.link 上。

• phys： lxc.network.link 指定的物理接口分配给容器。

lxc.network.flags 用于指定网络的状态，up 表示网络处于可用状态。

lxc.network.link 用于指定用于和容器接口通信的真实接口，比如一个网桥 br0 。

lxc.network.hwaddr 用于指定容器的网络接口的 mac 地址。

下面修改主机网络配置文件：

#vim /etc/network/interface

注意此时配置文件是空文件，没有内容。通常可以设置为固定 IP 地址模式（见清单 3）或者通过 DHCP 服务器获取 IP 地址模式（见清单 4）

清单 3.固定 IP 地址模式：

auto lo iface lo inet loopback auto eth0 iface eth0 inet dhcp dns-nameservers 10.0.0.4

清单 4.通过 DHCP 服务器获取 IP 地址模式：

auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 10.0.0.3 netmask 255.255.255.0 dns-nameservers 10.0.0.4

修改完成后存盘退出。然后重新启动网络服务：

#/etc/init.d/networking restart

下面启动 LXC 虚拟计算机：

# lxc-start  -n  cjhlxc1

注意一旦 LXC 虚拟计算机启动成功，在宿主计算机上使用〝ifconfig -a〞查看主机网络接口，用户会发现此时网络接口 eth0 消失了，只有 eth2 。这是因为 eth0 已经让 LXC 虚拟计算机给使用了。然后我们使用如下命令“ lxc-console -n cjhlxc1”登录 LXC 虚拟计算机发现此时 LXC 虚拟计算机的网络接口是 eth0。然后我们可以使用 ping 命令测试一下 LXC 虚拟计算机和互联网是否联通。

LXC 中文名称就是 Linux 容器工具，容器可以提供轻量级的虚拟化，以便隔离进程和资源，使用 LXC 的优点就是不需要安装太多的软件包，使用过程也不会占用太多的资源，本文循序渐进地介绍在 Linux 容器的建立和管理方法以及虚拟网络接口的设置方法。

看完上述内容是否对您有帮助呢？如果还想对相关知识有进一步的了解或阅读更多相关文章，请关注编程网操作系统频道，感谢您对编程网的支持。