翻译整理：土豆丝

转载说明出处，谢谢。

Container运行在虚拟机上和在裸机OS上运行是一样的。Container托管在虚拟实例上几乎没有开销。在2008年第一次引入container技术的时候，Linux 采用了之前Solaris Container和FreeBSD jails大部分的功能。LXC使用自己的进程和网络空间创建了一个虚拟的运行环境，而不是创建了整个虚拟机。它使用namespaces来实现进程隔离并且充分利用内核的cgroups功能限制，统计和隔离一个或多个进程的CPU，内存，磁盘I/O和网络的使用情况。可以把它想象为一种比chroot高级的用户空间框架

所以Container到底是什么呢？简而言之就是container实现了应用程序和操作系统的解耦，在一个或多个隔离的容器中运行其他所有内容的同时，给用户提供了一个干净的最小的Linux运行环境。Container的目的就是启动一组有限的应用程序或服务（通常是微服务），并使它们在独立的沙盒环境中运行。

运行在container中和传统环境的对比

这种隔离可以阻止运行在Container中的进程去监控或隔离运行在另一个Container的进程。所以，这个容器化的服务不会影响或干扰主机。能够将分散在多个物理服务器上的许多服务整合为一个的想法是数据中心选择采用该技术的众多原因之一。

Container的特性包括

Security：网络服务运行在container中，可以限制安全漏洞或违法安全规则造成的伤害。黑客利用应用程序的安全漏洞成功入侵，也仅限于在该Container中采取一系列操作。

隔离：Container允许在同一个物理机器上部署一个或多个应用程序，即使这些应用程序必须在不同的域进行操作，并且每一个应用程序都要求独占访问相应的资源。比如，运行在不同容器的多个应用程序可以通过关联到每一个Container的不同的IP地址绑定同一个的物理网卡。

虚拟化和透明性: Container提供给系统提供一个虚拟的运行环境可以隐藏或限制物理设别或系统配置的可见性。Container的原则是避免改变应用程序的运行环境的同时解决Security或隔离的问题。

使用LXC工具

配置环境

以下所有的命令我都在ubuntu 18.04 x86 64 上运行过。运行这些命令初步体验一下Container.

现在大部分的Linux发行包，内核都支持cgroups。但是很多时候我们依然需要安装LXC工具。

安装LXC工具

在尝试使用工具前，需要先配置环境。首先要先检查在/etc/subgid和/etc/subuid中，当前用户都有gid和uid。

查看uid和gid

如果没有~/.config/lxc文件，先创建这个文件夹。然后把 /etc/lxc/default.conf拷贝到~/.config/lxc/ 目录下，并重命名为default.conf. 把下面两行加入到default.conf文件夹下。

lxc.id_map = u 0 100000 65536

lxc.id_map = g 0 100000 65536

创建default.conf文件

结果如下

添加用户

把下面这一行加入到/etc/lxc/lxc-usernet文件中。第一列替换成你自己的用户名。Lxc-usernet是 非特权用户网络管理文件

hongyan veth lxcbr0 10

打开lxc-usernet

添加网络驱动

设置成功后，reboot或者退出重新登录，使设置生效。

使用下面命令检查veth网络驱动设置是否成功

$ lsmod|grep veth

如果没有成功，使用下面的命令

$ sudo modprobe veth

添加veth 网络驱动成功

到这一步结束之后，就可以使用LXC工具下载，运行和管理Linux Container了。

下载Container

接下来，下载一个Container并命名为“example-container“。运行下面的命令，会看到很多Linux发行版本支持的Container.

下载container

支持的Container列表

会提示选择发行版本，发行商和架构，因为是在x86平台，所以选择ubuntu, bionic 和i386

选择发行版 本发行商 架构

填写完成后回车，rootfs就开始下载并配置。由于安全原因，每个用户都没有使用openSSH或用户账户，也没有提供默认的root 密码。

下载成功

启动Container

启动Container

会提示要求输入用户名和密码

会提示要求输入用户名和密码

保持现在的终端，后面会用到。这里再打开一个新的终端，可以查看Container的运行状况

查看Container的运行状况

查看所有已经安装的Container的状况

查看所有已经安装的Container的状况

现在开始解决不能登录的问题。使用lxc-attach命令来修改所有相关的密码

使用lxc-attach命令来修改所有相关的密码

密码修改成功后，切到第一个打开的终端，输入密码，Container登录成功。

登录Container

查看Container的IP地址

查看Container的IP地址

也可以通过SSH网络访问这个Container，会发现被拒绝

通过SSH网络访问Container

首先要在Container环境中安装OpenSSH server

安装OpenSSH server

再次尝试用ssh远程连接container，连接成功

用ssh远程连接container

不要再Container 内部，新开一个终端，使用ps命令查看启动了哪些LXC进程

使用ps命令查看启动了哪些LXC进程

停止Container 运行

停止Container 运行

查看是否真的停止运行了

查看Container状态

删除Container

删除Container

删除成功

高级配置

使用管理员权限可以在/var/lib/lxc/example-container目录下修改container的配置。

Container目录下包含两个文件

1.  配置文件

2.  Container的roofs

Container 内容

配置系统启动的时候自动启动Container，在配置文件中/var/lib/lxc/example-container/config中增加下面一行

自动启动

将Container的启动路径设置为本地路径

将Container的启动路径设置为本地路径

配置结束，查看Container状态，检查是否配置成功

配置成功

参考链接：

https://linuxcontainers.org/lxc/manpages/man5/lxc-usernet.5.html

https://www.linuxjournal.com/content/everything-you-need-know-about-linux-containers-part-ii-working-linux-containers-lxc

https://linuxcontainers.org/lxc/getting-started/