Systemd-nspawn - 版の履歴

Kusanaginoturugi: リンクを強調に変更

2025-03-14T02:27:06Z

リンクを強調に変更

← 古い版		2025年3月14日 (金) 11:27時点における版
14行目:		14行目:
	''systemd-nspawn'' は [[chroot]] コマンドに似ていますが、''chroot を強化したもの''です。		''systemd-nspawn'' は [[chroot]] コマンドに似ていますが、''chroot を強化したもの''です。

	''systemd-nspawn'' を使えば軽量な名前空間コンテナでコマンドや OS を実行することができます。ファイルシステム階層だけでなく、プロセスツリーや様々な IPC サブシステム、ホスト・ドメイン名も完全に仮想化するため [[chroot]] よりも強力です。		''systemd-nspawn'' を使えば軽量な名前空間コンテナでコマンドや OS を実行することができます。ファイルシステム階層だけでなく、プロセスツリーや様々な IPC サブシステム、ホスト・ドメイン名も完全に仮想化するため ''chroot'' よりも強力です。

	''systemd-nspawn'' は {{ic\|/sys}}, {{ic\|/proc/sys}}, {{ic\|/sys/fs/selinux}} などのコンテナの様々なカーネルインターフェイスへのアクセスを読み取り専用に制限します。コンテナの中からネットワークインターフェイスやシステムクロックを変更することはできません。デバイスノードの作成はできません。コンテナの中からホスト環境を再起動することはできず、カーネルモジュールのロードもできません。		''systemd-nspawn'' は {{ic\|/sys}}, {{ic\|/proc/sys}}, {{ic\|/sys/fs/selinux}} などのコンテナの様々なカーネルインターフェイスへのアクセスを読み取り専用に制限します。コンテナの中からネットワークインターフェイスやシステムクロックを変更することはできません。デバイスノードの作成はできません。コンテナの中からホスト環境を再起動することはできず、カーネルモジュールのロードもできません。

Kusanaginoturugi: リンクを修正

2025-03-13T07:18:47Z

リンクを修正

← 古い版		2025年3月13日 (木) 16:18時点における版
7行目:		7行目:
	{{Related articles start}}		{{Related articles start}}
	{{Related\|systemd}}		{{Related\|systemd}}
	{{Related\|Linux ~~Containers~~}}		{{Related\|Linux コンテナ}}
	{{Related\|systemd-networkd}}		{{Related\|systemd-networkd}}
	{{Related\|Docker}}		{{Related\|Docker}}

Kusanaginoturugi: /* ネットワークブリッジを使用する */ リンクを修正

2025-03-04T01:31:36Z

ネットワークブリッジを使用する: リンクを修正

← 古い版		2025年3月4日 (火) 10:31時点における版
284行目:		284行目:
	ホストシステムに[[ネットワークブリッジ]]を構成している場合は、コンテナの仮想イーサネットリンクを作成し、そのホスト側をネットワークブリッジに追加できます。これは、{{ic\|1=--network-bridge=''bridge-name''}} オプションを使用して実行されます。{{ic\|--network-bridge}} は {{ic\|--network-veth}} を意味することに注意してください。つまり、仮想イーサネットリンクは自動的に作成されます。ただし、リンクのホスト側は {{ic\|ve-}} ではなく {{ic\|vb-}} プリフィックスを使用するため、DHCP サーバーと IP マスカレードを起動するための systemd-networkd オプションは適用されません。		ホストシステムに[[ネットワークブリッジ]]を構成している場合は、コンテナの仮想イーサネットリンクを作成し、そのホスト側をネットワークブリッジに追加できます。これは、{{ic\|1=--network-bridge=''bridge-name''}} オプションを使用して実行されます。{{ic\|--network-bridge}} は {{ic\|--network-veth}} を意味することに注意してください。つまり、仮想イーサネットリンクは自動的に作成されます。ただし、リンクのホスト側は {{ic\|ve-}} ではなく {{ic\|vb-}} プリフィックスを使用するため、DHCP サーバーと IP マスカレードを起動するための systemd-networkd オプションは適用されません。

	ブリッジの管理は管理者に任されています。例えば、ブリッジは物理インターフェースと仮想インターフェースを接続したり、複数のコンテナの仮想インターフェースのみを接続したりすることができます。[[systemd-networkd]] を使用した設定例については、[[systemd-networkd#DHCP を用いたネットワークブリッジ]] と [[systemd-networkd#静的 IP アドレスを持つネットワークブリッジ		ブリッジの管理は管理者に任されています。例えば、ブリッジは物理インターフェースと仮想インターフェースを接続したり、複数のコンテナの仮想インターフェースのみを接続したりすることができます。[[systemd-networkd]] を使用した設定例については、[[systemd-networkd#DHCP を用いたネットワークブリッジ]] と [[systemd-networkd#静的 IP アドレスを持つネットワークブリッジ]] を参照してください。
	静的 IP アドレスを持つネットワークブリッジ]] を参照してください。

	また、{{ic\|1=--network-zone=zone-name}} オプションは {{ic\|--network-bridge}} と似ていますが、ネットワークブリッジは ''systemd-nspawn'' と ''systemd-networkd'' によって自動的に管理されます。{{ic\|vz-zone-name}} という名前のブリッジインターフェースは、{{ic\|1=--network-zone=zone-name}} を設定した最初のコンテナが起動したときに自動的に作成され、{{ic\|1=--network-zone=zone-name}} を設定した最後のコンテナが終了したときに自動的に削除されます。したがって、このオプションを使用すると、複数の関連するコンテナを共通の仮想ネットワーク上に簡単に配置することができます。{{ic\|vz-}} インターフェースは、{{ic\|/usr/lib/systemd/network/80-container-vz.network}} ファイルのオプションを使って、{{ic\|ve-}} インターフェースと同じように [[systemd-networkd]] によって管理されることに注意してください。		また、{{ic\|1=--network-zone=zone-name}} オプションは {{ic\|--network-bridge}} と似ていますが、ネットワークブリッジは ''systemd-nspawn'' と ''systemd-networkd'' によって自動的に管理されます。{{ic\|vz-zone-name}} という名前のブリッジインターフェースは、{{ic\|1=--network-zone=zone-name}} を設定した最初のコンテナが起動したときに自動的に作成され、{{ic\|1=--network-zone=zone-name}} を設定した最後のコンテナが終了したときに自動的に削除されます。したがって、このオプションを使用すると、複数の関連するコンテナを共通の仮想ネットワーク上に簡単に配置することができます。{{ic\|vz-}} インターフェースは、{{ic\|/usr/lib/systemd/network/80-container-vz.network}} ファイルのオプションを使って、{{ic\|ve-}} インターフェースと同じように [[systemd-networkd]] によって管理されることに注意してください。

Kusanaginoturugi: /* ネットワークブリッジを使用する */ リンクを修正

2025-03-04T01:31:02Z

ネットワークブリッジを使用する: リンクを修正

← 古い版		2025年3月4日 (火) 10:31時点における版
284行目:		284行目:
	ホストシステムに[[ネットワークブリッジ]]を構成している場合は、コンテナの仮想イーサネットリンクを作成し、そのホスト側をネットワークブリッジに追加できます。これは、{{ic\|1=--network-bridge=''bridge-name''}} オプションを使用して実行されます。{{ic\|--network-bridge}} は {{ic\|--network-veth}} を意味することに注意してください。つまり、仮想イーサネットリンクは自動的に作成されます。ただし、リンクのホスト側は {{ic\|ve-}} ではなく {{ic\|vb-}} プリフィックスを使用するため、DHCP サーバーと IP マスカレードを起動するための systemd-networkd オプションは適用されません。		ホストシステムに[[ネットワークブリッジ]]を構成している場合は、コンテナの仮想イーサネットリンクを作成し、そのホスト側をネットワークブリッジに追加できます。これは、{{ic\|1=--network-bridge=''bridge-name''}} オプションを使用して実行されます。{{ic\|--network-bridge}} は {{ic\|--network-veth}} を意味することに注意してください。つまり、仮想イーサネットリンクは自動的に作成されます。ただし、リンクのホスト側は {{ic\|ve-}} ではなく {{ic\|vb-}} プリフィックスを使用するため、DHCP サーバーと IP マスカレードを起動するための systemd-networkd オプションは適用されません。

	ブリッジの管理は管理者に任されています。例えば、ブリッジは物理インターフェースと仮想インターフェースを接続したり、複数のコンテナの仮想インターフェースのみを接続したりすることができます。[[systemd-networkd]] を使用した設定例については、[[systemd-networkd#~~Network~~ ~~bridge with DHCP~~]] と [[systemd-networkd#~~Network bridge with static~~ IP ~~addresses]]~~ を~~参照してください。~~		ブリッジの管理は管理者に任されています。例えば、ブリッジは物理インターフェースと仮想インターフェースを接続したり、複数のコンテナの仮想インターフェースのみを接続したりすることができます。[[systemd-networkd]] を使用した設定例については、[[systemd-networkd#DHCP を用いたネットワークブリッジ]] と [[systemd-networkd#静的 IP アドレスを持つネットワークブリッジ
			静的 IP アドレスを持つネットワークブリッジ]] を参照してください。

	また、{{ic\|1=--network-zone=zone-name}} オプションは {{ic\|--network-bridge}} と似ていますが、ネットワークブリッジは ''systemd-nspawn'' と ''systemd-networkd'' によって自動的に管理されます。{{ic\|vz-zone-name}} という名前のブリッジインターフェースは、{{ic\|1=--network-zone=zone-name}} を設定した最初のコンテナが起動したときに自動的に作成され、{{ic\|1=--network-zone=zone-name}} を設定した最後のコンテナが終了したときに自動的に削除されます。したがって、このオプションを使用すると、複数の関連するコンテナを共通の仮想ネットワーク上に簡単に配置することができます。{{ic\|vz-}} インターフェースは、{{ic\|/usr/lib/systemd/network/80-container-vz.network}} ファイルのオプションを使って、{{ic\|ve-}} インターフェースと同じように [[systemd-networkd]] によって管理されることに注意してください。		また、{{ic\|1=--network-zone=zone-name}} オプションは {{ic\|--network-bridge}} と似ていますが、ネットワークブリッジは ''systemd-nspawn'' と ''systemd-networkd'' によって自動的に管理されます。{{ic\|vz-zone-name}} という名前のブリッジインターフェースは、{{ic\|1=--network-zone=zone-name}} を設定した最初のコンテナが起動したときに自動的に作成され、{{ic\|1=--network-zone=zone-name}} を設定した最後のコンテナが終了したときに自動的に削除されます。したがって、このオプションを使用すると、複数の関連するコンテナを共通の仮想ネットワーク上に簡単に配置することができます。{{ic\|vz-}} インターフェースは、{{ic\|/usr/lib/systemd/network/80-container-vz.network}} ファイルのオプションを使って、{{ic\|ve-}} インターフェースと同じように [[systemd-networkd]] によって管理されることに注意してください。

Kusanaginoturugi: 校正（でき・出来）

2024-07-10T11:16:33Z

校正（でき・出来）

← 古い版		2024年7月10日 (水) 20:16時点における版
16行目:		16行目:
	''systemd-nspawn'' を使えば軽量な名前空間コンテナでコマンドや OS を実行することができます。ファイルシステム階層だけでなく、プロセスツリーや様々な IPC サブシステム、ホスト・ドメイン名も完全に仮想化するため [[chroot]] よりも強力です。		''systemd-nspawn'' を使えば軽量な名前空間コンテナでコマンドや OS を実行することができます。ファイルシステム階層だけでなく、プロセスツリーや様々な IPC サブシステム、ホスト・ドメイン名も完全に仮想化するため [[chroot]] よりも強力です。

	''systemd-nspawn'' は {{ic\|/sys}}, {{ic\|/proc/sys}}, {{ic\|/sys/fs/selinux}} などのコンテナの様々なカーネルインターフェイスへのアクセスを読み取り専用に制限します。コンテナの中からネットワークインターフェイスやシステムクロックを変更することは出来ません。デバイスノードの作成はできません。コンテナの中からホスト環境を再起動することはできず、カーネルモジュールのロードもできません。		''systemd-nspawn'' は {{ic\|/sys}}, {{ic\|/proc/sys}}, {{ic\|/sys/fs/selinux}} などのコンテナの様々なカーネルインターフェイスへのアクセスを読み取り専用に制限します。コンテナの中からネットワークインターフェイスやシステムクロックを変更することはできません。デバイスノードの作成はできません。コンテナの中からホスト環境を再起動することはできず、カーネルモジュールのロードもできません。

	''systemd-nspawn'' は [[Linux コンテナ]]や [[Libvirt]] よりも設定が簡単なツールです。		''systemd-nspawn'' は [[Linux コンテナ]]や [[Libvirt]] よりも設定が簡単なツールです。
56行目:		56行目:
	{{Note\|"Login incorrect" でログインが失敗する場合、問題は、{{ic\|securetty}} TTY デバイスのホワイトリストである可能性があります。[[#root ログインが失敗する]] をご確認ください。}}		{{Note\|"Login incorrect" でログインが失敗する場合、問題は、{{ic\|securetty}} TTY デバイスのホワイトリストである可能性があります。[[#root ログインが失敗する]] をご確認ください。}}

	コンテナの電源を切りたいときはコンテナの中から {{ic\|poweroff}} を実行することで出来ます。ホストからは、[[#machinectl\|machinectl]] ツールでコンテナを制御できます。		コンテナの電源を切りたいときはコンテナの中から {{ic\|poweroff}} を実行することでできます。ホストからは、[[#machinectl\|machinectl]] ツールでコンテナを制御できます。

	{{Note\|コンテナの中からセッションを終了するには {{ic\|Ctrl}} を押しながら {{ic\|]}} を素早く3回押してください。US キーボード以外の場合は {{ic\|]}} の代わりに {{ic\|%}} を使用します。}}		{{Note\|コンテナの中からセッションを終了するには {{ic\|Ctrl}} を押しながら {{ic\|]}} を素早く3回押してください。US キーボード以外の場合は {{ic\|]}} の代わりに {{ic\|%}} を使用します。}}

Kusanaginoturugi: リンクを修正

2024-07-10T10:08:54Z

リンクを修正

← 古い版		2024年7月10日 (水) 19:08時点における版
18行目:		18行目:
	''systemd-nspawn'' は {{ic\|/sys}}, {{ic\|/proc/sys}}, {{ic\|/sys/fs/selinux}} などのコンテナの様々なカーネルインターフェイスへのアクセスを読み取り専用に制限します。コンテナの中からネットワークインターフェイスやシステムクロックを変更することは出来ません。デバイスノードの作成はできません。コンテナの中からホスト環境を再起動することはできず、カーネルモジュールのロードもできません。		''systemd-nspawn'' は {{ic\|/sys}}, {{ic\|/proc/sys}}, {{ic\|/sys/fs/selinux}} などのコンテナの様々なカーネルインターフェイスへのアクセスを読み取り専用に制限します。コンテナの中からネットワークインターフェイスやシステムクロックを変更することは出来ません。デバイスノードの作成はできません。コンテナの中からホスト環境を再起動することはできず、カーネルモジュールのロードもできません。

	''systemd-nspawn'' は [[~~LXC~~]] や [[Libvirt]] よりも設定が簡単なツールです。		''systemd-nspawn'' は [[Linux コンテナ]]や [[Libvirt]] よりも設定が簡単なツールです。

	== インストール ==		== インストール ==

Kusanaginoturugi: 校正

2024-07-10T10:05:52Z

校正

← 古い版		2024年7月10日 (水) 19:05時点における版
16行目:		16行目:
	''systemd-nspawn'' を使えば軽量な名前空間コンテナでコマンドや OS を実行することができます。ファイルシステム階層だけでなく、プロセスツリーや様々な IPC サブシステム、ホスト・ドメイン名も完全に仮想化するため [[chroot]] よりも強力です。		''systemd-nspawn'' を使えば軽量な名前空間コンテナでコマンドや OS を実行することができます。ファイルシステム階層だけでなく、プロセスツリーや様々な IPC サブシステム、ホスト・ドメイン名も完全に仮想化するため [[chroot]] よりも強力です。

	''systemd-nspawn'' は {{ic\|/sys}}, {{ic\|/proc/sys}}, {{ic\|/sys/fs/selinux}} などのコンテナの様々なカーネルインターフェイスへのアクセスを読み取り専用に制限します。コンテナの中からネットワークインターフェイスやシステムクロックを変更することは出来ません。デバイスノードが作成はできません。コンテナの中からホスト環境を再起動することはできず、カーネルモジュールのロードもできません。		''systemd-nspawn'' は {{ic\|/sys}}, {{ic\|/proc/sys}}, {{ic\|/sys/fs/selinux}} などのコンテナの様々なカーネルインターフェイスへのアクセスを読み取り専用に制限します。コンテナの中からネットワークインターフェイスやシステムクロックを変更することは出来ません。デバイスノードの作成はできません。コンテナの中からホスト環境を再起動することはできず、カーネルモジュールのロードもできません。

	''systemd-nspawn'' は [[LXC]] や [[Libvirt]] よりも設定が簡単なツールです。		''systemd-nspawn'' は [[LXC]] や [[Libvirt]] よりも設定が簡単なツールです。

Kusanaginoturugi: /* machinectl */ 校正

2024-04-24T01:23:16Z

machinectl: 校正

← 古い版		2024年4月24日 (水) 10:23時点における版
154行目:		154行目:
	$ machinectl start ''container-name''		$ machinectl start ''container-name''

	{{Note\|''machinectl'' は、コンテナ名が有効な[[ホスト名]]であるように、ASCII 文字、数字、ハイフンのみで構成されていることを要求します。例えば、コンテナ名にアンダースコアが含まれている場合、それは単に認識されず、 {{ic\|machinectl start container_name}} を実行すると、エラー {{ic\|Invalid machine name container_name}} となる。詳しくは[https://github.com/systemd/systemd/issues/11765]と[https://github.com/systemd/systemd/commit/d65652f1f21a4b0c59711320f34266c635393c89]を参照してください。}}		{{Note\|''machinectl'' は、コンテナ名が有効な[[ホスト名]]であるように、ASCII 文字、数字、ハイフンのみで構成されていることを要求します。例えば、コンテナ名にアンダースコアが含まれている場合、それは単に認識されず、 {{ic\|machinectl start container_name}} を実行すると、エラー {{ic\|Invalid machine name container_name}} となります。詳しくは[https://github.com/systemd/systemd/issues/11765]と[https://github.com/systemd/systemd/commit/d65652f1f21a4b0c59711320f34266c635393c89]を参照してください。}}

	同様に、{{ic\|poweroff}}, {{ic\|reboot}}, {{ic\|status}}, {{ic\|show}} などのサブコマンドがあります。詳細な説明については、{{man\|1\|machinectl\|Machine Commands}} を参照してください。		同様に、{{ic\|poweroff}}, {{ic\|reboot}}, {{ic\|status}}, {{ic\|show}} などのサブコマンドがあります。詳細な説明については、{{man\|1\|machinectl\|Machine Commands}} を参照してください。

Kusanaginoturugi: /* 非特権コンテナ */ リンクを修正

2024-04-18T11:25:13Z

非特権コンテナ: リンクを修正

← 古い版		2024年4月18日 (木) 20:25時点における版
352行目:		352行目:
	''systemd-nspawn'' は非特権コンテナをサポートしますが、コンテナは root として起動する必要があります。		''systemd-nspawn'' は非特権コンテナをサポートしますが、コンテナは root として起動する必要があります。

	{{Note\|この機能には {{man\|7\|user_namespaces}} が必要です。詳細については、[[Linux Containers#~~Enable support to run unprivileged containers~~ (~~optional~~)]] を参照してください。}}		{{Note\|この機能には {{man\|7\|user_namespaces}} が必要です。詳細については、[[Linux Containers#非特権コンテナのサポートを有効化 (任意)]] を参照してください。}}

	これを行う最も簡単な方法は、{{ic\|-U}} オプションを使用して ''systemd-nspawn'' が自動的に未使用の UIDs/GIDs の範囲を選択させることです:		これを行う最も簡単な方法は、{{ic\|-U}} オプションを使用して ''systemd-nspawn'' が自動的に未使用の UIDs/GIDs の範囲を選択させることです:

Kusanaginoturugi: /* ポートマッピング */ リンクを修正

2024-04-18T11:22:34Z

ポートマッピング: リンクを修正

← 古い版		2024年4月18日 (木) 20:22時点における版
317行目:		317行目:
	}}		}}

	これは、{{ic\|nat}} テーブルに [[iptables]] ルールを発行することで機能しますが、{{ic\|filter}} テーブルの {{ic\|FORWARD}} チェインは、[[#~~Use a virtual Ethernet link~~]] に示されているように手動で設定する必要があります。さらに、[[シンプルなステートフルファイアウォール]]に従った場合、ホストの {{ic\|''wan_interface''}} で転送されたポートへの新しい接続を許可するには、次のコマンドを実行してください：		これは、{{ic\|nat}} テーブルに [[iptables]] ルールを発行することで機能しますが、{{ic\|filter}} テーブルの {{ic\|FORWARD}} チェインは、[[#仮想イーサネットリンクを使用する]]に示されているように手動で設定する必要があります。さらに、[[シンプルなステートフルファイアウォール]]に従った場合、ホストの {{ic\|''wan_interface''}} で転送されたポートへの新しい接続を許可するには、次のコマンドを実行してください：

	# iptables -A FORWARD -i ''wan_interface'' -o ve-+ -p tcp --syn --dport 8000 -m conntrack --ctstate NEW -j ACCEPT		# iptables -A FORWARD -i ''wan_interface'' -o ve-+ -p tcp --syn --dport 8000 -m conntrack --ctstate NEW -j ACCEPT

← 古い版		2025年3月13日 (木) 16:18時点における版
7行目:		7行目:
	{{Related articles start}}		{{Related articles start}}
	{{Related\|systemd}}		{{Related\|systemd}}
	{{Related\|Linux ~~Containers~~}}		{{Related\|Linux コンテナ}}
	{{Related\|systemd-networkd}}		{{Related\|systemd-networkd}}
	{{Related\|Docker}}		{{Related\|Docker}}