Exécuter GNOME dans un conteneur – Bien choisir son serveur d impression

La conteneurisation de l'interface graphique sépare votre travail et vos loisirs. La virtualisation a toujours été le jeu d'un homme riche, et plus frugal passionnés – incapables de se payer des composants de classe serveur sophistiqués – souvent lutter pour suivre. Linux fournit des hyperviseurs gratuits de haute qualité, mais quand vous commencez à lancer de véritables charges de travail sur l'hôte, ses ressources deviennent saturé rapidement. Aucune quantité de RAM disponible insérée dans un ancien ordinateur de bureau Dell va remédier à cette situation. Si un hôte correctement décoré est hors de votre portée, vous voudrez peut-être envisager des conteneurs à la place.

Au lieu de virtualiser un ordinateur entier, les conteneurs permettent à des parties de Linux le noyau doit être divisé en plusieurs morceaux. Cela se produit sans surcharge de matériel émulé ou d'exécution de plusieurs noyaux identiques. Plein Un environnement graphique, tel que GNOME Shell, peut être lancé dans un conteneur, avec un peu de bon sens.

Vous pouvez y parvenir grâce aux espaces de noms, une fonctionnalité intégrée à Linux noyau. Un examen approfondi de cette fonctionnalité dépasse le cadre de cette article, mais un bref exemple met en lumière la manière dont ces fonctionnalités peuvent créer conteneurs. Chaque type d’espace de noms segmente une partie différente du noyau. L'espace de noms PID, par exemple, empêche les processus à l'intérieur de l'espace de noms de voir d'autres processus en cours d'exécution dans le noyau. En conséquence, ces les processus croient qu’ils sont les seuls à fonctionner sur l’ordinateur. Chaque namespace fait la même chose pour les autres zones du noyau. le mount namespace isole le système de fichiers des processus qu'il contient. le l'espace de noms réseau fournit une pile réseau unique aux processus en cours d'exécution à l'intérieur d'eux. Les espaces de noms IPC, utilisateur, UTS et cgroup font la même chose pour ces zones du noyau aussi. Lorsque les sept espaces de noms sont combinés, le résultat est un conteneur: un environnement suffisamment isolé pour le croire un système Linux autonome.

Les frameworks de conteneur vont résumer les détails de la configuration des espaces de noms loin de l'utilisateur, mais chaque cadre a une emphase différente. Docker est le plus populaire et est conçu pour exécuter plusieurs copies identiques conteneurs à l'échelle. LXC / LXD est conçu pour créer facilement des conteneurs qui imiter des distributions Linux particulières. En fait, les versions antérieures de LXC inclus une collection de scripts qui ont créé les systèmes de fichiers de populaires distributions. Une troisième option est le pilote lxc de libvirt. Contrairement à comment cela peut paraître, libvirt-lxc n’utilise pas du tout LXC / LXD. Au lieu de cela, le Le pilote libvirt-lxc manipule directement les espaces de noms du noyau. libvirt-lxc s'intègre également à d'autres outils de la suite libvirt, de sorte que le la configuration des conteneurs libvirt-lxc ressemble à celle des machines virtuelles exécuter dans d’autres pilotes libvirt au lieu d’un conteneur natif LXC / LXD. Il est facile à apprendre, même si l’image de marque est déroutante.

J'ai choisi libvirt-lxc pour ce tutoriel pour plusieurs raisons. dans le En première place, Docker et LXC / LXD ont déjà publié des guides pour GNOME Shell dans un conteneur. Je suis incapable de localiser similaire documentation pour libvirt-lxc. Deuxièmement, libvirt est le cadre idéal pour les conteneurs en cours à côté des machines virtuelles traditionnelles, car ils sont à la fois géré par le même ensemble d'outils. Troisièmement, configurer un conteneur en libvirt-lxc fournit une bonne leçon sur les compromis impliqués dans la conteneurisation.

La plus grande décision à prendre est de savoir si vous voulez exécuter un programme privilégié ou non privilégié. récipient. Un conteneur privilégié utilise l’espace de noms d’utilisateur, et il a UIDS identiques à l'intérieur du conteneur comme à l'extérieur. Comme un En conséquence, les applications conteneurisées exécutées par un utilisateur avec des tâches administratives. privilèges pourraient causer des dommages importants si une faille de sécurité le permettait. sortir du conteneur. Compte tenu de cela, exécuter un conteneur non privilégié peut sembler un choix évident. Cependant, un conteneur non privilégié ne sera pas pouvoir accéder aux fonctions d'accélération du GPU. En fonction de la le but du conteneur – retouche photo, par exemple – qui peut ne pas être utile. Il y a un argument à faire pour ne lancer que les logiciels de confiance dans un conteneur, tout en laissant un logiciel non fiable pour l’isolation plus lourde d’un bonne machine virtuelle. Bien que je considère le bureau GNOME comme étant digne de confiance, je démontre la création d’un conteneur non privilégié ici de sorte que le processus peut être appliqué en cas de besoin.

La prochaine chose à décider est d'utiliser ou non un protocole d'affichage à distance, comme les épices ou VNC, ou de laisser le conteneur rendre son contenu dans l'un des les terminaux virtuels de l'hôte. L'utilisation d'un protocole d'affichage permet d'accéder à le conteneur de n'importe où et augmente son isolation. D'autre part, le conteneur accédant à l'hôte ne présente probablement aucun risque supplémentaire matériel que de deux processus différents s'exécutant en dehors d'un espace de noms. Encore une fois, si le logiciel que vous utilisez n’est pas digne de confiance, utilisez un logiciel virtuel complet. machine à la place. J'utilise la dernière option de libvirt-lxc pour accéder à l'hôte matériel dans cet article.

La dernière considération est un peu plus petite. Tout d'abord, libvirt-lxc ne sera pas share / run / udev / data jusqu'au conteneur, ce qui empêche libinput de en cours d'exécution à l'intérieur (il est possible de monter / exécuter, mais cela cause d'autres problèmes). Vous devrez écrire un bref xorg.conf pour utiliser les périphériques d’entrée. Par conséquent. La disposition des nœuds sous l'hôte Le répertoire / dev / input change constamment, la configuration du conteneur et xorg.conf fichier devra être ajusté en conséquence. Avec tout cela réglé, commencer.

Préparer l'hôte conteneur Une installation de base de Fedora 29 Workstation inclut libvirt, mais quelques des composants supplémentaires sont nécessaires. Le pilote libvirt-lxc lui-même doit être installée. Utilisons le virt-manager et outils virt-bootstrap pour accélérer la création du conteneur. Il y a aussi quelques auxiliaires utilitaires dont vous aurez besoin pour plus tard. Ils ne sont pas nécessaires, mais ils aideront vous surveillez l'utilisation des ressources du conteneur. Reportez-vous à votre colis la documentation du gestionnaire, mais j'ai couru ceci:

sudo dnf installer libvirt-daemon-driver-lxc virt-manager  ↪virt-bootstrap virt-top evtest iotop

Remarque: libvirt-lxc était obsolète en tant que conteneur de Red Hat Enterprise Linux. cadre dans la version 7.1. Il est encore en cours de développement en amont et disponible pour être installé dans la famille de distributions RHEL / Fedora.

Avant de créer le conteneur, vous devez également modifier /etc/systemd/logind.conf pour s’assurer que getty ne démarre pas sur le serveur virtuel terminal que vous souhaitez transmettre au conteneur. Ne commentez pas le NautoVTs ligne et mettez-le à 3, de sorte qu'il ne démarre que ttys sur les trois premiers terminaux. Ensemble ReserveVT à 3 pour qu'il réserve le troisième vt au lieu du sixième. Vous devrez redémarrer l'ordinateur après avoir modifié ce fichier. Après le redémarrage, vérifiez que getty n’est actif que sur ttys 1 à 3. Modifiez ces paramètres selon les besoins de votre configuration. Le modifié Les lignes de mon fichier logind.conf ressemblent à ceci:

AutoVT = 3 ReserveVT = 3

Préparer le système de fichiers conteneur Vous pouvez créer le système de fichiers du conteneur directement via virt-manager, mais quelques ajustements sur la ligne de commande sont nécessaires, alors, exécutons virt-bootstrap également. virt-bootstrap est un excellent outil libvirt qui télécharge des images de base à partir de Docker. Ça te donne un puits système de fichiers maintenu pour la distribution que vous souhaitez exécuter dans le récipient. J'ai trouvé que sur Fedora 29, je devais éteindre SELinux pour obtenir virt-bootstrap pour fonctionner correctement. Des paquets supplémentaires devront être ajoutés à l’image de base de Docker (telle que x.org et gnome-shell) et à certains fichiers systemd. les services devront être démasqués:

sudo setenforce 0 conteneur mkdir docker virt-bootstrap: // fedora / chemin / vers / conteneur sudo dnf --installroot / path / to / container install xorg-x11-server-Xorg xorg-x11-drv-evdev xorg-x11-drv-fbdev gnome-session-xsession xterm net-tools iputils dhcp-client mot de passe sudo sudo chroot / chemin / vers / conteneur passwd root #unmask les services getty et logind cd / etc / systemd / service rm getty.target rm systemd-logind.service rm console-getty.service sortie # assurez-vous que tous les fichiers du conteneur sont accessibles sudo chown -R utilisateur: utilisateur / chemin / vers / conteneur sudo setenforce 1

Remarque: il existe plusieurs manières de créer le système de fichiers du système d'exploitation. De nombreux gestionnaires de paquets ont des options permettant aux paquets d'être installé dans un répertoire local. Dans DNF, c'est le installer option. Dans apt-get, c'est le -o Racine = option. Il existe également un autre outil qui fonctionne comme virt-bootstrap appelé distrobuilder.

Créer le conteneur Lorsque vous ouvrez virt-manager, vous verrez que l'hyperviseur lxc est manquant. Vous ajoutez en sélectionnant Fichier dans le menu puis Ajouter une connexion. Sélectionnez "LXC (Conteneurs Linux) "dans la liste déroulante, puis cliquez sur Connecter. Ensuite, retournez au menu Fichier et cliquez sur Nouvel ordinateur virtuel.

Figure 1. Ajoutez le pilote libvirt-lxc à virt-manager.

La première étape pour créer un nouveau conteneur / machine virtuelle dans virt-manager est la suivante: pour sélectionner l'hyperviseur sous lequel il sera exécuté. Sélectionnez "LXC" et l'option pour un conteneur de système d'exploitation. Cliquez sur Suivant.

Figure 2. Assurez-vous d'avoir sélectionné Conteneur du système d'exploitation.

virt-bootstrap a déjà été exécuté, alors donnez à virt-manager l'emplacement de le système de fichiers du conteneur. Cliquez sur Suivant.

Donnez au conteneur la quantité de CPU et de mémoire nécessaire à son utilisation. Pour ce conteneur, laissez les valeurs par défaut. Cliquez sur Suivant.

À la dernière étape, cliquez sur "Personnaliser la configuration avant l’installation", et cliquez sur Terminer.

Une fenêtre s'ouvrira vous permettant de personnaliser le conteneur configuration. Avec l'option Aperçu sélectionnée, développez la zone qui dit "Espace de noms d'utilisateur". Cliquez sur "Activer l'espace de noms d'utilisateur" et tapez 65336 dans le champ Nombre pour l'ID utilisateur et l'ID groupe. Cliquez sur Appliquer, puis cliquez sur "Commencer l'installation". virt-manager lancera le conteneur. Vous ne sont pas tout à fait prêts à partir, fermez le conteneur et sortez-le. de libvirt.

Figure 3. L'activation de l'espace de noms d'utilisateur permet au conteneur être exécuté sans privilèges.

Vous devez modifier la configuration du conteneur afin de partager le les périphériques de l'hôte. Plus précisément, le tty cible (tty6), le tty de bouclage (tty0), la souris, le clavier et le framebuffer (/ dev / fb0) ont besoin d’entrées créé dans la configuration. Identifiez rapidement quels éléments sous / dev / input sont la souris et le clavier en exécutant sudo evtest et en appuyant sur Ctrl-c après il a énuméré les périphériques. De la sortie, je pouvais voir que ma souris est à / dev / input / event3, et mon clavier est / dev / input / event6.

Figure 4. Liste des périphériques d'entrée sur mon poste de travail

Vous ne pouvez pas accéder au dossier / etc / libvirt simplement en utilisant le sudo commander. Entrez une session root bash en exécutant sudo bashet changez le répertoire en / etc / libvirt / lxc. Ouvrez la configuration du conteneur et faites défiler jusqu'à la section de l'appareil. Vous devez ajouter hostdev étiquettes pour chaque appareil que vous venez identifiés. Utilisez la disposition suivante:

/ dev / mydevice

Pour mon conteneur, j'ai ajouté les tags suivants:

/ dev / tty0

/ dev / tty6

/ dev / input / event3

/ dev / input / event6

/ dev / fb0

Exécuter le conteneur Il est temps de commencer le conteneur! Ouvrez-le dans virt-manger et cliquez sur le bouton Bouton Start. Une fois qu'un conteneur a la possibilité d'utiliser le terminal de l'hôte, il n’est pas rare qu’il présente l’invite de connexion uniquement sur ce terminal. Alors appuyez sur Ctrl-Alt-F6 pour basculer sur tty6 et vous connecter au conteneur. Comme je mentionné ci-dessus, vous devez écrire un xorg.conf avec une section d’entrée. Pour votre référence, voici celle que j'ai écrite:

Section "ServerFlags" Option "AutoAddDevices" "False" EndSection Section "InputDevice" Identifiant "event3" Option "Périphérique" "/ dev / input / event3" Option "AutoServerLayout" "true" Pilote "evdev" EndSection Section "InputDevice" Identifiant "event6" Option "Périphérique" "/ dev / input / event6" Option "AutoServerLayout" "true" Pilote "evdev" EndSection

Ne négligez pas d’effectuer l’entretien courant d’un nouveau système Linux nécessite avec le conteneur. Les étapes que vous suivrez dépendront de la la distribution que vous exécutez à l'intérieur du conteneur, mais à tout le moins, assurez-vous vous créez un utilisateur distinct et l'ajoutez au groupe de roues et configurez le interface réseau du conteneur. Avec cela en dehors, courez début à lancez GNOME Shell.

Figure 5. Shell GNOME en cours d'exécution dans le conteneur

Maintenant que GNOME est en cours d’exécution, vérifiez si le conteneur utilise le système Ressources. Des outils comme Haut ne sont pas sensibles au conteneur. Afin d'obtenir un vrai impression de l'utilisation de la mémoire du conteneur, utilisation virt-top au lieu. Relier virt-top au pilote libvirt-lxc en lançant virt-top -c lxc: /// à l'extérieur du conteneur. Ensuite, lancez machinectl pour obtenir l'interne nom du conteneur:

[adam@localhost ~]$ machinectl

ADRESSES DE VERSION OS DE CLASSES MACHINES

conteneur contenant nom libvirt-lxc - - -

Courir statut machinectl -l nom de contenu pour imprimer le processus du conteneur arbre. Au tout début de la sortie de la commande, remarquez le PID du processus racine est répertorié en tant que leader. Pour voir combien de mémoire le conteneur consomme au total, vous pouvez passer le PID du leader dans Haut par fonctionnement top -p leaderpid:

[adam@localhost ~]$ top -p leaderpid lxc-5016-fedora (c198368a58c54ab5990df62d6cbcffed)

Depuis: lun. 2018-12-17 22:03:24 HNE; Il y a 19min

Leader: 5017 (systemd)

Service: libvirt-lxc; conteneur de classe

Unité: machine-lxc x2d5016 x2dfedora.scope

[adam@localhost ~]$ top -p 5017

top - 22:43:11 jusqu'à 1:11, 1 utilisateur, charge moyenne: 1.57, 1.26, 0.95

Tâches: 1 total, 0 en cours d'exécution, 1 en sommeil, 0 arrêté, 0 zombie

% Cpu (s): 1.4 us, 0.3 sy, 0.0 ni, id 98.2, 0.0 wa, 0.1 hi,  0.0 si, 0.0 st

Mémoire MiB: 15853.3 au total, 11622.5 gratuit, 2363.5 utilisé, 1867.4  Uffbuff / cache

MiB Swap: 7992.0 total, 7992.0 gratuit, 0.0 utilisé. 12906.4 disponible Mem

UTILISATEUR PID NI VIRT RES SHR S% CPU% MEM TIME + COMMAND

5017 racine 20 0 163,9 m 10,5 m 8,5 m S 0,0 0,1 0: 00,22 système

Le conteneur utilise 163 Mo de mémoire virtuelle, ce qui est plutôt maigre par rapport à les ressources utilisées par une machine virtuelle complète! Vous pouvez surveiller les E / S dans un manière similaire en exécutant sudo iotop -p leaderpid. Vous pouvez calculer la taille du disque du conteneur avec du -h / chemin / vers / conteneur. Mon pleinement conteneur approvisionné pesait à 1,4 Go.

Ces chiffres augmenteront évidemment à mesure que des logiciels et des charges de travail supplémentaires sont donnés au conteneur. J'aime avoir un environnement séparé à installer construire des dépendances, et mon utilisation la plus courante pour ces conteneurs est en cours d'exécution gnome-builder. J'ai aussi parfois mis en place un conteneur privilégié pour Exécuter darktable pour la retouche photo. J'édite des photos assez rarement pour que n'a pas de sens de garder darktable installé à l'extérieur d'un conteneur, et je trouve la notion que je pourrais tarer le système de fichiers conteneur et recréez-le sur un autre ordinateur si je voulais être rassurant. Si tu trouves vous êtes à court d'argent et avez besoin de tirer le meilleur parti de votre hôte, Pensez à utiliser un conteneur au lieu d'une machine virtuelle.

Ressources

Click to rate this post! [Total: 0 Average: 0]