linux系統LXC技術講解

　　1. lxcbr0

　　當/etc/default/lxc中的USE_LXC_BRIDGE="true"的時候，橋lxcbr0會在lxc啟動的時候自動創建，並 且被賦予10.0.3.1的ip地址，使用這個橋的lxc實例可以從10.0.3.0/24中分配ip.一個dnsmasq實例在後台運行用來監聽 lxcbr0,用來實現dns和dhcp的功能。

　　2. 使用隔離的文件系統作為lxc實例的存儲

　　lxc實例的配置信息以及根文件系統都存放在/var/lib/lxc目錄下，另外，沒創建一個實例也會將其cache到/var/lib/lxc目錄下。如果你想使用除/var之外的其他文件系統的話，也可以通過以下兩種方式來實現：

　　sudo mkdir /srv/lxclib /srv/lxccache

　　sudo rm -rf /var/lib/lxc /var/cache/lxc

　　sudo ln -s /srv/lxclib /var/lib/lxc

　　sudo ln -s /srv/lxccache /var/cache/lxc

　　或者：

　　sudo mkdir /srv/lxclib /srv/lxccache

　　sudo sed -i '$a \

　　/srv/lxclib /var/lib/lxc none defaults,bind 0 0 \

　　/srv/lxccache /var/cache/lxc none defaults,bind 0 0' /etc/fstab

　　sudo mount -a

　　3. LXC的安全性 -- apparmor（應用程序訪問控制系統）

　　Apparmor 是一個類似於selinux 的東東，主要的作用是設置某個可執行程序的訪問控制權限，可以限制程序 讀/寫某個目錄/文件，打開/讀/寫網絡端口等等。

　　默認情況下AppArmor已安裝並載入。它使用每個程序的profiles來確定這個程序需要什麼文件和權限。有些包會安裝它們自己的profiles,額外的profiles可以在apparmor-profiles包裡找到。

　　下面簡單介紹下Apparmor的使用：

　　（1）apparmor_status是用來查看Apparmor配置文件的當前狀態的

　　sudo apparmor_status

　　（2）aa-complain將一個程序置入complain模式。

　　sudo aa-complain /path/to/bin   //可執行程序的路徑

　　（3）aa-enforce將一個程序置入enforce模式

　　sudo aa-enforce /path/to/bin    //可執行程序的路徑

　　/etc/apparmor.d目錄是Apparmor配置文件的所在之處。可用來操作所有配置文件的模式mode.

　　（4）要將所有配置文件置入complain模式，輸入：

　　sudo aa-complain /etc/apparmor.d/*

　　（5）要將所有配置文件置入enforce模式：

　　sudo aa-enforce /etc/apparmor.d/*

　　（6）apparmor_parser用來將一個配置文件載入內核。它也可以通過使用-r選項來重新載入當前已載入的配置文件。要載入一個配置文件：

　　cat /etc/apparmor.d/profile.name | sudo apparmor_parser -a

　　（7）要重新載入一個配置文件：

　　cat /etc/apparmor.d/profile.name | sudo apparmor_parser -r

　　（8）/etc/init.d/apparmor可用來重新載入所有配置文件：