<itemizedlist>
<listitem>
<!--
- <option>proc:mixed</option> (or <option>proc</option>):
- mount <filename>/proc</filename> as read-write, but
- remount <filename>/proc/sys</filename> and
- <filename>/proc/sysrq-trigger</filename> read-only
- for security / container isolation purposes.
+ <para>
+ <option>proc:mixed</option> (or <option>proc</option>):
+ mount <filename>/proc</filename> as read-write, but
+ remount <filename>/proc/sys</filename> and
+ <filename>/proc/sysrq-trigger</filename> read-only
+ for security / container isolation purposes.
+ </para>
-->
- <option>proc:mixed</option> (or <option>proc</option>):
- <filename>/proc</filename> を読み書き可能でマウントします.ただし,<filename>/proc/sys</filename> と <filename>/proc/sysrq-trigger</filename> は,セキュリティとコンテナの隔離の目的でリードオンリーで再マウントされます.
+ <para>
+ <option>proc:mixed</option> (or <option>proc</option>):
+ <filename>/proc</filename> を読み書き可能でマウントします.ただし,<filename>/proc/sys</filename> と <filename>/proc/sysrq-trigger</filename> は,セキュリティとコンテナの隔離の目的でリードオンリーで再マウントされます.
+ </para>
</listitem>
<listitem>
<!--
- <option>proc:rw</option>: mount
- <filename>/proc</filename> as read-write
+ <para>
+ <option>proc:rw</option>: mount
+ <filename>/proc</filename> as read-write
+ </para>
-->
- <option>proc:rw</option>:
- <filename>/proc</filename> を読み書き可能でマウントします.
+ <para>
+ <option>proc:rw</option>:
+ <filename>/proc</filename> を読み書き可能でマウントします.
+ </para>
</listitem>
<listitem>
<!--
- <option>sys:ro</option> (or <option>sys</option>):
- mount <filename>/sys</filename> as read-only
- for security / container isolation purposes.
+ <para>
+ <option>sys:ro</option> (or <option>sys</option>):
+ mount <filename>/sys</filename> as read-only
+ for security / container isolation purposes.
+ </para>
-->
- <option>sys:ro</option> (or <option>sys</option>):
- <filename>/sys</filename> を,セキュリティとコンテナの隔離の目的でリードオンリーでマウントします.
+ <para>
+ <option>sys:ro</option> (or <option>sys</option>):
+ <filename>/sys</filename> を,セキュリティとコンテナの隔離の目的でリードオンリーでマウントします.
+ </para>
</listitem>
<listitem>
<!--
- <option>sys:rw</option>: mount
- <filename>/sys</filename> as read-write
+ <para>
+ <option>sys:rw</option>: mount
+ <filename>/sys</filename> as read-write
+ </para>
-->
- <option>sys:rw</option>:
- <filename>/sys</filename> を読み書き可能でマウントします.
+ <para>
+ <option>sys:rw</option>:
+ <filename>/sys</filename> を読み書き可能でマウントします.
+ </para>
</listitem>
<listitem>
<!--
- <option>cgroup:mixed</option> (or
- <option>cgroup</option>):
- mount a tmpfs to <filename>/sys/fs/cgroup</filename>,
- create directories for all hierarchies to which
- the container is added, create subdirectories
- there with the name of the cgroup, and bind-mount
- the container's own cgroup into that directory.
- The container will be able to write to its own
- cgroup directory, but not the parents, since they
- will be remounted read-only
+ <para>
+ <option>cgroup:mixed</option> (or
+ <option>cgroup</option>):
+ mount a tmpfs to <filename>/sys/fs/cgroup</filename>,
+ create directories for all hierarchies to which
+ the container is added, create subdirectories
+ there with the name of the cgroup, and bind-mount
+ the container's own cgroup into that directory.
+ The container will be able to write to its own
+ cgroup directory, but not the parents, since they
+ will be remounted read-only
+ </para>
-->
- <option>cgroup:mixed</option> (or
- <option>cgroup</option>):
- <filename>/sys/fs/cgroup</filename> を tmpfs でマウントし,そのコンテナの追加が行われた全ての階層構造に対するディレクトリを作製し,その cgroup の名前でその中にサブディレクトリを作製し,そのコンテナ自身の cgroup をそのディレクトリにバインドマウントします.コンテナは自身の cgroup ディレクトリに書き込みが可能ですが,親ディレクトリはリードオンリーで再マウントされているため書き込めません.
+ <para>
+ <option>cgroup:mixed</option> (or
+ <option>cgroup</option>):
+ <filename>/sys/fs/cgroup</filename> を tmpfs でマウントし,そのコンテナの追加が行われた全ての階層構造に対するディレクトリを作製し,その cgroup の名前でその中にサブディレクトリを作製し,そのコンテナ自身の cgroup をそのディレクトリにバインドマウントします.コンテナは自身の cgroup ディレクトリに書き込みが可能ですが,親ディレクトリはリードオンリーで再マウントされているため書き込めません.
+ </para>
</listitem>
<listitem>
<!--
- <option>cgroup:ro</option>: similar to
- <option>cgroup:mixed</option>, but everything will
+ <para>
+ <option>cgroup:ro</option>: similar to
+ <option>cgroup:mixed</option>, but everything will
be mounted read-only.
+ </para>
-->
- <option>cgroup:ro</option>:
- <option>cgroup:mixed</option> と同様にマウントされますが,全てリードオンリーでマウントされます.
+ <para>
+ <option>cgroup:ro</option>:
+ <option>cgroup:mixed</option> と同様にマウントされますが,全てリードオンリーでマウントされます.
+ </para>
</listitem>
<listitem>
<!--
- <option>cgroup:rw</option>: similar to
- <option>cgroup:mixed</option>, but everything will
- be mounted read-write. Note that the paths leading
- up to the container's own cgroup will be writable,
- but will not be a cgroup filesystem but just part
- of the tmpfs of <filename>/sys/fs/cgroup</filename>
+ <para>
+ <option>cgroup:rw</option>: similar to
+ <option>cgroup:mixed</option>, but everything will
+ be mounted read-write. Note that the paths leading
+ up to the container's own cgroup will be writable,
+ but will not be a cgroup filesystem but just part
+ of the tmpfs of <filename>/sys/fs/cgroup</filename>
+ </para>
-->
- <option>cgroup:rw</option>:
- <option>cgroup:mixed</option> と同様にマウントされますが,全て読み書き可能でマウントされます.コンテナ自身の cgroup に至るまでのパスも書き込み可能になることに注意が必要ですが,cgroup ファイルシステムにはならず,<filename>/sys/fs/cgroup</filename> の tmpfs の一部分になるでしょう.
+ <para>
+ <option>cgroup:rw</option>:
+ <option>cgroup:mixed</option> と同様にマウントされますが,全て読み書き可能でマウントされます.コンテナ自身の cgroup に至るまでのパスも書き込み可能になることに注意が必要ですが,cgroup ファイルシステムにはならず,<filename>/sys/fs/cgroup</filename> の tmpfs の一部分になるでしょう.
+ </para>
</listitem>
<listitem>
<!--
- <option>cgroup-full:mixed</option> (or
- <option>cgroup-full</option>):
- mount a tmpfs to <filename>/sys/fs/cgroup</filename>,
- create directories for all hierarchies to which
- the container is added, bind-mount the hierarchies
- from the host to the container and make everything
- read-only except the container's own cgroup. Note
- that compared to <option>cgroup</option>, where
- all paths leading up to the container's own cgroup
- are just simple directories in the underlying
- tmpfs, here
- <filename>/sys/fs/cgroup/$hierarchy</filename>
- will contain the host's full cgroup hierarchy,
- albeit read-only outside the container's own cgroup.
- This may leak quite a bit of information into the
- container.
+ <para>
+ <option>cgroup-full:mixed</option> (or
+ <option>cgroup-full</option>):
+ mount a tmpfs to <filename>/sys/fs/cgroup</filename>,
+ create directories for all hierarchies to which
+ the container is added, bind-mount the hierarchies
+ from the host to the container and make everything
+ read-only except the container's own cgroup. Note
+ that compared to <option>cgroup</option>, where
+ all paths leading up to the container's own cgroup
+ are just simple directories in the underlying
+ tmpfs, here
+ <filename>/sys/fs/cgroup/$hierarchy</filename>
+ will contain the host's full cgroup hierarchy,
+ albeit read-only outside the container's own cgroup.
+ This may leak quite a bit of information into the
+ container.
+ </para>
-->
- <option>cgroup-full:mixed</option> (or
- <option>cgroup-full</option>):
- <filename>/sys/fs/cgroup</filename> を tmpfs でマウントし,そのコンテナの追加が行われた全ての階層構造に対するディレクトリを作製し,ホストからコンテナまでの階層構造を全てバインドマウントし,コンテナ自身の cgroup を除いてリードオンリーにします.<option>cgroup</option> と比べると,コンテナ自身の cgroup に至るまでの全てのパスが tmpfs の下層のシンプルなディレクトリとなり,コンテナ自身の cgroup の外ではリードオンリーになりますが,<filename>/sys/fs/cgroup/$hierarchy</filename> はホストの全ての cgroup 階層構造を含みます.これにより,コンテナにはかなりの情報が漏洩します.
+ <para>
+ <option>cgroup-full:mixed</option> (or
+ <option>cgroup-full</option>):
+ <filename>/sys/fs/cgroup</filename> を tmpfs でマウントし,そのコンテナの追加が行われた全ての階層構造に対するディレクトリを作製し,ホストからコンテナまでの階層構造を全てバインドマウントし,コンテナ自身の cgroup を除いてリードオンリーにします.<option>cgroup</option> と比べると,コンテナ自身の cgroup に至るまでの全てのパスが tmpfs の下層のシンプルなディレクトリとなり,コンテナ自身の cgroup の外ではリードオンリーになりますが,<filename>/sys/fs/cgroup/$hierarchy</filename> はホストの全ての cgroup 階層構造を含みます.これにより,コンテナにはかなりの情報が漏洩します.
+ </para>
</listitem>
<listitem>
<!--
- <option>cgroup-full:ro</option>: similar to
- <option>cgroup-full:mixed</option>, but everything
- will be mounted read-only.
+ <para>
+ <option>cgroup-full:ro</option>: similar to
+ <option>cgroup-full:mixed</option>, but everything
+ will be mounted read-only.
+ </para>
-->
- <option>cgroup-full:ro</option>:
- <option>cgroup-full:mixed</option> と同様にマウントされますが,全てリードオンリーでマウントされます.
+ <para>
+ <option>cgroup-full:ro</option>:
+ <option>cgroup-full:mixed</option> と同様にマウントされますが,全てリードオンリーでマウントされます.
+ </para>
</listitem>
<listitem>
<!--
- <option>cgroup-full:rw</option>: similar to
- <option>cgroup-full:mixed</option>, but everything
- will be mounted read-write. Note that in this case,
- the container may escape its own cgroup. (Note also
- that if the container has CAP_SYS_ADMIN support
- and can mount the cgroup filesystem itself, it may
- do so anyway.)
+ <para>
+ <option>cgroup-full:rw</option>: similar to
+ <option>cgroup-full:mixed</option>, but everything
+ will be mounted read-write. Note that in this case,
+ the container may escape its own cgroup. (Note also
+ that if the container has CAP_SYS_ADMIN support
+ and can mount the cgroup filesystem itself, it may
+ do so anyway.)
+ </para>
-->
- <option>cgroup-full:rw</option>:
- <option>cgroup-full:mixed</option>と同様にマウントされますが,全て読み書き可能でマウントされます.この場合,コンテナは自身の cgroup から脱出する可能性があることに注意してください (コンテナが CAP_SYS_ADMIN を持ち,自身で cgroup ファイルシステムをマウント可能なら,いずれにせよそのようにするかもしれないことにも注意してください).
+ <para>
+ <option>cgroup-full:rw</option>:
+ <option>cgroup-full:mixed</option>と同様にマウントされますが,全て読み書き可能でマウントされます.この場合,コンテナは自身の cgroup から脱出する可能性があることに注意してください (コンテナが CAP_SYS_ADMIN を持ち,自身で cgroup ファイルシステムをマウント可能なら,いずれにせよそのようにするかもしれないことにも注意してください).
+ </para>
</listitem>
</itemizedlist>
<para>
as command line arguments and through environment variables.
The arguments are:
<itemizedlist>
- <listitem> Container name. </listitem>
- <listitem> Section (always 'lxc'). </listitem>
- <listitem> The hook type (i.e. 'clone' or 'pre-mount'). </listitem>
- <listitem> Additional arguments In the
+ <listitem><para> Container name. </para></listitem>
+ <listitem><para> Section (always 'lxc'). </para></listitem>
+ <listitem><para> The hook type (i.e. 'clone' or 'pre-mount'). </para></listitem>
+ <listitem><para> Additional arguments In the
case of the clone hook, any extra arguments passed to
- lxc-clone will appear as further arguments to the hook. </listitem>
+ lxc-clone will appear as further arguments to the hook. </para></listitem>
</itemizedlist>
The following environment variables are set:
<itemizedlist>
- <listitem> LXC_NAME: is the container's name. </listitem>
- <listitem> LXC_ROOTFS_MOUNT: the path to the mounted root filesystem. </listitem>
- <listitem> LXC_CONFIG_FILE: the path to the container configuration file. </listitem>
- <listitem> LXC_SRC_NAME: in the case of the clone hook, this is the original container's name. </listitem>
- <listitem> LXC_ROOTFS_PATH: this is the lxc.rootfs entry for the container. Note this is likely not where the mounted rootfs is to be found, use LXC_ROOTFS_MOUNT for that. </listitem>
+ <listitem><para> LXC_NAME: is the container's name. </para></listitem>
+ <listitem><para> LXC_ROOTFS_MOUNT: the path to the mounted root filesystem. </para></listitem>
+ <listitem><para> LXC_CONFIG_FILE: the path to the container configuration file. </para></listitem>
+ <listitem><para> LXC_SRC_NAME: in the case of the clone hook, this is the original container's name. </para></listitem>
+ <listitem><para> LXC_ROOTFS_PATH: this is the lxc.rootfs entry for the container. Note this is likely not where the mounted rootfs is to be found, use LXC_ROOTFS_MOUNT for that. </para></listitem>
</itemizedlist>
-->
コンテナのフックが実行されるとき,情報がコマンドライン引数と環境変数の両方を通して渡されます.引数は:
<itemizedlist>
- <listitem>コンテナ名</listitem>
- <listitem>セクション (常に 'lxc')</listitem>
- <listitem>フックのタイプ ('clone' や 'pre-mount' など)</listitem>
- <listitem>追加の引数.clone フックの場合,lxc-clone に渡される追加の引数は,フックへの引数として追加されます.</listitem>
+ <listitem><para>コンテナ名</para></listitem>
+ <listitem><para>セクション (常に 'lxc')</para></listitem>
+ <listitem><para>フックのタイプ ('clone' や 'pre-mount' など)</para></listitem>
+ <listitem><para>追加の引数.clone フックの場合,lxc-clone に渡される追加の引数は,フックへの引数として追加されます.</para></listitem>
</itemizedlist>
以下の環境変数がセットされます.
<itemizedlist>
- <listitem> LXC_NAME: コンテナ名</listitem>
- <listitem> LXC_ROOTFS_MOUNT: マウントされた root ファイルシステムへのパス</listitem>
- <listitem> LXC_CONFIG_FILE: コンテナの設定ファイルのパス </listitem>
- <listitem> LXC_SRC_NAME: clone フックの場合,元のコンテナの名前</listitem>
- <listitem> LXC_ROOTFS_PATH: コンテナの lxc.rootfs エントリ.これはマウントされた rootfs が存在する場所にはならないでしょう.それには LXC_ROOTFS_MOUNT を使用してください.</listitem>
+ <listitem><para> LXC_NAME: コンテナ名</para></listitem>
+ <listitem><para> LXC_ROOTFS_MOUNT: マウントされた root ファイルシステムへのパス</para></listitem>
+ <listitem><para> LXC_CONFIG_FILE: コンテナの設定ファイルのパス </para></listitem>
+ <listitem><para> LXC_SRC_NAME: clone フックの場合,元のコンテナの名前</para></listitem>
+ <listitem><para> LXC_ROOTFS_PATH: コンテナの lxc.rootfs エントリ.これはマウントされた rootfs が存在する場所にはならないでしょう.それには LXC_ROOTFS_MOUNT を使用してください.</para></listitem>
</itemizedlist>
</para>
<para>
<para>
<!--
A hook to be run when the container is cloned to a new one.
- See <refentrytitle><command>lxc-clone</command></refentrytitle>
- <manvolnum>1</manvolnum> for more information.
+ See <citerefentry><refentrytitle><command>lxc-clone</command></refentrytitle>
+ <manvolnum>1</manvolnum></citerefentry> for more information.
-->
コンテナが新しいコンテナにクローンされる際に実行されるフック.詳しくは
- <refentrytitle><command>lxc-clone</command></refentrytitle>
- <manvolnum>1</manvolnum>
+ <citerefentry><refentrytitle><command>lxc-clone</command></refentrytitle>
+ <manvolnum>1</manvolnum></citerefentry>
を参照してください.
</para>
</listitem>
projects / thirdparty / lxc.git / commitdiff
