このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
テンプレート・スクリプトを修正すると、それ以降そのスクリプトから作成するすべてのコンテナの構成ファイルが変更されます。 コンテナのconfig
ファイルを修正すると、そのコンテナに加えて、それ以降にクローニングを行うすべてのコンテナの構成が変更されます。
lxc-oracle
テンプレート・スクリプトでは、次のように、実行中のコンテナに割り当てられるシステム設定とリソースが定義されています。
oracle
ユーザーとroot
ユーザーのデフォルト・パスワード(それぞれoracle
およびroot
に設定されています)ホスト名(
lxc.utsname
、コンテナの名前に設定されています)利用できるターミナルの数(
lxc.tty
、4に設定されています)ホスト上のコンテナのルート・ファイル・システムの場所(
lxc.rootfs
)fstab
マウント構成ファイルの場所(lxc.mount
)コンテナで利用できないすべてのシステム機能(
lxc.cap.drop
)ローカル・ネットワーク・インタフェース構成(
lxc.network
)ホワイトリストに記載されているすべてのcgroupデバイス(
lxc.cgroup.devices.allow
)
テンプレート・スクリプトは、仮想ネットワーク・タイプ(lxc.network.type
)とブリッジ(lxc.network.link
)を、veth
とvirbr0
に設定します。 外部システムがネットワークを介してコンテナにアクセスできるようにするmacvlanブリッジまたは仮想イーサネット・ポート・アグリゲータを使用する場合、コンテナの構成ファイルを変更する必要があります。 8.2.5項「vethとmacvlanについて」および8.2.6項「macvlanを使用するためのコンテナの変更」を参照してください。
セキュリティを強化するには、lxc.cap.drop
機能を非コメント化して、コンテナでroot
が特定のアクションを実行しないようにします。 たとえば、sys_admin
機能を削除すると、root
がコンテナのfstab
エントリを書込み可能として再マウントすることを防げます。 ただし、sys_admin
を削除すると、コンテナですべてのファイル・システムをマウントできず、hostnameコマンドが無効になります。 デフォルトで、テンプレート・スクリプトでは、次の機能が削除されます: mac_admin
、mac_override
、setfcap
、setpcap
、sys_module
、sys_nice
、sys_pacct
、sys_rawio
およびsys_time
。
詳細は、第7章、「制御グループ」およびcapabilities(7)
とlxc.conf(5)
の各マニュアル・ページを参照してください。
コンテナを作成すると、テンプレート・スクリプトにより、コンテナの構成設定とマウント構成が/container/
およびname
/config/container/
に書き込まれ、コンテナのルート・ファイル・システムがname
/fstab/container/
配下に設定されます。
name
/rootfs
既存のルート・ファイル・システムのクローンを作成するように指定しないかぎり、テンプレート・スクリプトにより、rootfs
の下に(デフォルトでは、https://yum.oracle.com
のOracle Linux Yumサーバーから)次のパッケージがインストールされます:
パッケージ | 説明 |
---|---|
|
|
|
DHCPクライアント・デーモン( |
|
|
|
オープン・ソースのSSHサーバー・デーモン( |
| Oracle Linux 6のリリースと情報ファイル。 |
| PAMを使用してパスワードを設定または変更するためのpasswdユーティリティ。 |
| SELinuxポリシー・コア・ユーティリティ。 |
|
|
| 強化されたシステム・ロギング・デーモンおよびカーネル・メッセージ・トラップ・デーモン。 |
| VIMエディタの最小バージョン。 |
| RPMパッケージをインストール、更新および管理するためのyumユーティリティ。 |
テンプレート・スクリプトは、コンテナのネットワークを設定し、ボリューム管理(LVM)、デバイス管理(udev
)、ハードウェア・クロック、readahead
およびPlymouthブート・システムなどの不必要なサービスを無効にするための、rootfs
配下のシステム構成ファイルを編集します。