このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。

機械翻訳について

8.2.4 lxc-oracleテンプレート・スクリプトについて

ノート

テンプレート・スクリプトを修正すると、それ以降そのスクリプトから作成するすべてのコンテナの構成ファイルが変更されます。 コンテナのconfigファイルを修正すると、そのコンテナに加えて、それ以降にクローニングを行うすべてのコンテナの構成が変更されます。

lxc-oracleテンプレート・スクリプトでは、次のように、実行中のコンテナに割り当てられるシステム設定とリソースが定義されています。

  • oracleユーザーとrootユーザーのデフォルト・パスワード(それぞれoracleおよびrootに設定されています)

  • ホスト名(lxc.utsname、コンテナの名前に設定されています)

  • 利用できるターミナルの数(lxc.tty、4に設定されています)

  • ホスト上のコンテナのルート・ファイル・システムの場所(lxc.rootfs)

  • fstabマウント構成ファイルの場所(lxc.mount)

  • コンテナで利用できないすべてのシステム機能(lxc.cap.drop)

  • ローカル・ネットワーク・インタフェース構成(lxc.network)

  • ホワイトリストに記載されているすべてのcgroupデバイス(lxc.cgroup.devices.allow)

テンプレート・スクリプトは、仮想ネットワーク・タイプ(lxc.network.type)とブリッジ(lxc.network.link)を、vethvirbr0に設定します。 外部システムがネットワークを介してコンテナにアクセスできるようにするmacvlanブリッジまたは仮想イーサネット・ポート・アグリゲータを使用する場合、コンテナの構成ファイルを変更する必要があります。 8.2.5項「vethとmacvlanについて」および8.2.6項「macvlanを使用するためのコンテナの変更」を参照してください。

セキュリティを強化するには、lxc.cap.drop機能を非コメント化して、コンテナでrootが特定のアクションを実行しないようにします。 たとえば、sys_admin機能を削除すると、rootがコンテナのfstabエントリを書込み可能として再マウントすることを防げます。 ただし、sys_adminを削除すると、コンテナですべてのファイル・システムをマウントできず、hostnameコマンドが無効になります。 デフォルトで、テンプレート・スクリプトでは、次の機能が削除されます: mac_adminmac_overridesetfcapsetpcapsys_modulesys_nicesys_pacctsys_rawioおよびsys_time

詳細は、第7章、「制御グループ」およびcapabilities(7)lxc.conf(5)の各マニュアル・ページを参照してください。

コンテナを作成すると、テンプレート・スクリプトにより、コンテナの構成設定とマウント構成が/container/name/configおよび/container/name/fstabに書き込まれ、コンテナのルート・ファイル・システムが/container/name/rootfs配下に設定されます。

既存のルート・ファイル・システムのクローンを作成するように指定しないかぎり、テンプレート・スクリプトにより、rootfsの下に(デフォルトでは、https://yum.oracle.comのOracle Linux Yumサーバーから)次のパッケージがインストールされます:

パッケージ

説明

chkconfig

/etc/rc*.d階層を維持するためのchkconfigユーティリティ。

dhclient

DHCPクライアント・デーモン(dhclient)とdhclient-script

initscripts

/etc/inittabファイルと/etc/init.dスクリプト。

openssh-server

オープン・ソースのSSHサーバー・デーモン(/usr/sbin/sshd)。

oraclelinux-release

Oracle Linux 6のリリースと情報ファイル。

passwd

PAMを使用してパスワードを設定または変更するためのpasswdユーティリティ。

policycoreutils

SELinuxポリシー・コア・ユーティリティ。

rootfiles

rootユーザーが必要とする基本ファイル。

rsyslog

強化されたシステム・ロギング・デーモンおよびカーネル・メッセージ・トラップ・デーモン。

vim-minimal

VIMエディタの最小バージョン。

yum

RPMパッケージをインストール、更新および管理するためのyumユーティリティ。

テンプレート・スクリプトは、コンテナのネットワークを設定し、ボリューム管理(LVM)、デバイス管理(udev)、ハードウェア・クロック、readaheadおよびPlymouthブート・システムなどの不必要なサービスを無効にするための、rootfs配下のシステム構成ファイルを編集します。

Copyright © 2012, 2021, Oracle and/or its affiliates. 法律上の注意点