LXC 容器常用命令与核心配置参数详解摘要LXCLinux Containers是 Linux 原生容器技术之一常用于创建轻量级系统容器。相比 Docker 更偏应用容器的使用方式LXC 更接近一台完整 Linux 系统的运行环境适合需要 systemd、完整网络栈、资源隔离和宿主机目录挂载的场景。本文整理 LXC 的常用命令、创建参数、网络配置、资源限制、安全隔离、启动运行、文件系统挂载、日志监控以及完整配置示例方便快速查阅和落地使用。目录Docker 与 LXC 常用命令对照容器创建核心参数存储相关配置网络配置CPU、内存与磁盘 IO 限制安全与隔离配置启动与运行配置挂载与文件系统配置日志、环境变量与用户映射常用命令参数速查完整配置示例总结1. Docker 与 LXC 常用命令对照如果你熟悉 Docker可以先通过下面的对照表快速理解 LXC 的基本操作。Docker 命令LXC 等价命令说明docker runlxc-createlxc-start创建并启动容器docker pslxc-ls -f查看容器列表和状态docker exec -itlxc-attach进入容器执行命令docker stoplxc-stop停止容器docker rmlxc-destroy删除容器docker inspectlxc-info查看容器详细信息docker logslxc-console -n NAME查看容器控制台输出LXC 的操作通常会更显式。例如 Docker 的docker run会同时完成镜像拉取、容器创建和启动而 LXC 中一般拆成lxc-create和lxc-start两步。2. 容器创建核心参数2.1 指定容器名称-n或--name用于指定容器名称。sudolxc-create-nmy-container-tubuntu容器名称建议满足以下规则在当前宿主机上保持唯一只使用字母、数字、下划线和连字符避免过长通常控制在 64 个字符以内名称会影响容器目录、配置文件路径和网络接口标识2.2 指定模板-t或--template用于指定创建容器时使用的模板。sudolxc-create-nmy-container-tubuntu常见模板包括模板说明ubuntu创建 Ubuntu 容器debian创建 Debian 容器centos创建 CentOS 容器fedora创建 Fedora 容器busybox创建最小化系统容器alpine创建 Alpine Linux 容器download从镜像仓库下载系统镜像模板脚本通常位于/usr/share/lxc/templates/2.3 模板参数传递--是 LXC 命令参数和模板参数之间的分隔符。--后面的内容会传给模板脚本处理。sudolxc-create-nmy-container-tubuntu ---r22.04--archamd64Ubuntu 模板常用参数示例sudolxc-create-nubuntu-container-tubuntu --\-r22.04\--archamd64\--packagesnginx\--releasejammy常见模板参数说明参数说明-r,--release指定 Ubuntu 版本例如18.04、20.04、22.04--arch指定系统架构例如amd64、i386、arm64--packages创建容器时预安装软件包--mirror指定软件包镜像源--security-mirror指定安全更新镜像源3. 存储相关配置3.1 指定容器存储路径-P或--path用于指定容器存储路径。sudolxc-create-nmy-container-tubuntu-P/custom/path默认路径通常为/var/lib/lxc/容器名适用场景使用独立磁盘分区存储容器将容器数据放在分布式存储中按业务或环境规划磁盘空间3.2 指定后端存储类型-B或--backingstore用于指定后端存储类型。sudolxc-create-nmy-container-tubuntu-Bbtrfs常见存储类型对比存储类型特点优势劣势dir普通目录简单、兼容性好占用空间大不支持快照btrfsBtrfs 文件系统支持快照和写时复制依赖 Btrfs 文件系统zfsZFS 文件系统企业级特性丰富快照能力强资源占用较高学习成本高lvmLVM 逻辑卷卷管理灵活配置相对复杂overlayfs分层存储节省空间启动较快部分场景性能略低示例# 使用 Btrfs 创建容器sudolxc-create-nmy-container-tubuntu-Bbtrfs# 创建快照sudolxc-snapshot-nmy-container# 使用 OverlayFS 节省空间sudolxc-create-nmy-container-tubuntu-Boverlayfs4. 网络配置LXC 的网络通常在容器配置文件中设置配置文件路径一般为/var/lib/lxc/容器名/config4.1 常见网络类型# 虚拟以太网最常用lxc.net.0.typeveth# 无网络lxc.net.0.typenone# 空网络lxc.net.0.typeempty# 物理网络接口lxc.net.0.typephys# VLAN 网络lxc.net.0.typevlan# MAC 地址虚拟化lxc.net.0.typemacvlan# 网桥模式lxc.net.0.typebridge4.2 网桥与接口配置# 连接到 lxcbr0 网桥lxc.net.0.linklxcbr0# 连接到 virbr0 网桥lxc.net.0.linkvirbr0# 直接连接物理接口lxc.net.0.linketh0# 启动网络接口lxc.net.0.flagsup# 指定 MAC 地址lxc.net.0.hwaddr00:16:3e:xx:xx:xx4.3 IP 与网关配置# IPv4 地址lxc.net.0.ipv4.address192.168.1.100/24# IPv6 地址lxc.net.0.ipv6.address2001:db8::100/64# IPv4 网关lxc.net.0.ipv4.gateway192.168.1.1# IPv6 网关lxc.net.0.ipv6.gateway2001:db8::14.4 多网卡配置lxc.net.0.typeveth lxc.net.0.linklxcbr0 lxc.net.1.typeveth lxc.net.1.linkdocker05. CPU、内存与磁盘 IO 限制资源限制通常通过 cgroup 完成。需要注意的是不同发行版、内核版本和 LXC 版本对 cgroup v1、cgroup v2 的配置项支持存在差异实际使用时应以当前系统支持的配置项为准。5.1 CPU 限制# 绑定 CPU 核心使用 CPU 0-3lxc.cgroup.cpuset.cpus0-3# 使用指定核心lxc.cgroup.cpuset.cpus0,2,4,6# CPU 份额默认通常为 1024lxc.cgroup.cpu.shares512# CPU 时间周期单位微秒lxc.cgroup.cpu.cfs_period_us100000# CPU 配额50000/100000 表示约 0.5 个 CPU 核心lxc.cgroup.cpu.cfs_quota_us50000运行中调整示例# 限制容器使用 CPU 0 和 CPU 1sudolxc-cgroup-nmy-container cpuset.cpus0,1# 限制容器使用约 25% CPUsudolxc-cgroup-nmy-container cpu.cfs_quota_us25000sudolxc-cgroup-nmy-container cpu.cfs_period_us1000005.2 内存限制# 限制内存为 1GBlxc.cgroup.memory.limit_in_bytes1G# 限制内存为 512MBlxc.cgroup.memory.limit_in_bytes512M# 内存 Swap 总限制为 2GBlxc.cgroup.memory.memsw.limit_in_bytes2G# 内存软限制lxc.cgroup.memory.soft_limit_in_bytes512M# 内存预留lxc.cgroup.memory.reservation256M# 交换倾向范围 0-100lxc.cgroup.memory.swappiness60运行中调整示例# 设置 1GB 内存限制sudolxc-cgroup-nmy-container memory.limit_in_bytes 1G# 限制内存 Swap 总量为 1GBsudolxc-cgroup-nmy-container memory.memsw.limit_in_bytes 1G5.3 磁盘 IO 限制# 磁盘 IO 权重默认通常为 1000lxc.cgroup.blkio.weight500# 指定设备 IO 权重lxc.cgroup.blkio.weight_device8:0500# 限制读取速度为 1MB/slxc.cgroup.blkio.throttle.read_bps_device8:01048576# 限制写入速度为 1MB/slxc.cgroup.blkio.throttle.write_bps_device8:01048576# 限制读取 IOPSlxc.cgroup.blkio.throttle.read_iops_device8:01000# 限制写入 IOPSlxc.cgroup.blkio.throttle.write_iops_device8:010006. 安全与隔离配置6.1 Capabilities 控制Linux Capabilities 用于细分 root 权限。通过删除不必要的能力可以降低容器逃逸或误操作风险。# 删除特定能力lxc.cap.dropsys_admin net_rawmknod# 只保留特定能力lxc.cap.keepnet_admin sys_chroot常见能力说明能力说明sys_admin系统管理相关权限能力范围很大通常建议谨慎授予net_admin网络管理权限net_raw原始套接字访问权限mknod创建设备文件权限6.2 Namespace 配置# 保留网络命名空间lxc.namespace.keepNET# 创建新的 UTS 命名空间lxc.namespace.cloneNEWUTS# 设置容器主机名lxc.uts.namemy-container lxc.uts.hostnamemy-container6.3 AppArmor 与 SELinux# 使用默认 AppArmor 配置lxc.apparmor.profilelxc-container-default# 不使用 AppArmor生产环境需谨慎lxc.apparmor.profileunconfined# SELinux 上下文示例lxc.selinux.contextsystem_u:system_r:lxc_t:s0:c0,c10236.4 设备访问控制# 允许访问所有设备风险较高lxc.cgroup.devices.allowa# 允许访问 /dev/nulllxc.cgroup.devices.allowc1:3 rwm# 允许访问 /dev/sdalxc.cgroup.devices.allowb8:0 rwm# 默认拒绝所有设备再按需放行lxc.cgroup.devices.denya * lxc.cgroup.devices.allowc1:3 rwm7. 启动与运行配置7.1 启动容器# 前台启动sudolxc-start-nmy-container# 后台启动sudolxc-start-nmy-container-d# 前台启动不分离sudolxc-start-nmy-container-F# 使用指定配置文件启动sudolxc-start-nmy-container--rcfile/custom/config7.2 自动启动与停止信号# 开机自动启动lxc.start.auto1# 启动延迟单位秒lxc.start.delay5# 启动顺序lxc.start.order10# 容器 init 命令lxc.init.cmd/sbin/init# 启动用户和用户组lxc.init.uid0lxc.init.gid0# 停止、重启和关机信号lxc.signal.haltSIGPWR lxc.signal.rebootSIGINT lxc.signal.stopSIGTERM8. 挂载与文件系统配置8.1 挂载宿主机目录或文件# 挂载宿主机目录到容器lxc.mount.entry/opt/data /var/lib/data none bind,createdir00# 只读挂载 hosts 文件lxc.mount.entry/etc/hosts /etc/hosts none bind,ro00# 只读挂载 DNS 配置lxc.mount.entry/etc/resolv.conf /etc/resolv.conf none bind,ro00# 挂载 proclxc.mount.entryproc proc proc nodev,noexec,nosuid00# 挂载 sysfslxc.mount.entrysysfs sys sysfs ro00# 挂载 tmpfslxc.mount.entrytmpfs /run tmpfs nodev,nosuid,size512m,mode177700常见挂载选项选项说明bind绑定挂载宿主机路径ro只读rw读写默认行为createdir目标目录不存在时创建目录createfile目标文件不存在时创建文件8.2 文件系统限制# 文件描述符限制格式为软限制:硬限制lxc.prlimit.nofile65536:65536# 进程数限制lxc.prlimit.nproc4096:8192# 内存锁定限制lxc.prlimit.memlock134217728:134217728# 核心转储大小限制lxc.prlimit.core0:unlimited9. 日志、环境变量与用户映射9.1 日志配置# 日志级别DEBUG、INFO、WARN、ERRORlxc.log.levelINFO# 日志文件lxc.log.file/var/log/lxc/my-container.log# 日志大小限制lxc.log.size1M# 控制台日志lxc.console.logfile/var/log/lxc/my-container-console.log lxc.console.size1M# 启用内核消息lxc.kmsg19.2 环境变量lxc.environmenthttp_proxyhttp://proxy.example.com:8080 lxc.environmenthttps_proxyhttp://proxy.example.com:8080 lxc.environmentno_proxylocalhost,127.0.0.1 lxc.environmentPATH/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin lxc.environmentLANGen_US.UTF-8 lxc.environmentLC_ALLen_US.UTF-89.3 用户映射与无特权容器# 容器内用户 ID 映射lxc.idmapu010000065536# 容器内用户组 ID 映射lxc.idmapg010000065536# 无特权容器相关配置lxc.include/usr/share/lxc/config/common.conf lxc.include/usr/share/lxc/config/userns.conf10. 常用命令参数速查10.1 lxc-createsudolxc-create[OPTIONS]-nNAME-tTEMPLATE[-- TEMPLATE_OPTIONS]常用参数参数说明-n,--name NAME容器名称-t,--template TEMPLATE模板名称-P,--path PATH存储路径-B,--backingstore TYPE后端存储类型-f,--config FILE配置文件-r,--release RELEASE发行版本--arch ARCH系统架构--packages PKGS预安装软件包--help查看帮助信息--version查看版本信息10.2 lxc-startsudolxc-start[OPTIONS]-nNAME常用参数参数说明-n,--name NAME容器名称-d,--daemon后台运行-F,--foreground前台运行-p,--pidfile FILE指定 PID 文件-f,--rcfile FILE指定配置文件-s,--define KEYVAL临时设置配置参数--share-net NAME共享网络命名空间--share-ipc NAME共享 IPC 命名空间--share-uts NAME共享 UTS 命名空间10.3 lxc-stopsudolxc-stop[OPTIONS]-nNAME常用参数参数说明-n,--name NAME容器名称-r,--reboot重启容器-w,--nowait不等待容器停止-t,--timeout SECONDS指定超时时间-f,--force强制停止-k,--kill直接杀死容器进程11. 完整配置示例下面是一个较完整的 LXC 容器配置文件示例可作为实际配置时的参考。配置文件路径/var/lib/lxc/my-container/config示例配置# 容器标识lxc.uts.namemy-container lxc.uts.hostnamemy-container# 网络配置lxc.net.0.typeveth lxc.net.0.linklxcbr0 lxc.net.0.flagsup lxc.net.0.hwaddr00:16:3e:xx:xx:xx lxc.net.0.ipv4.address192.168.1.100/24 lxc.net.0.ipv4.gateway192.168.1.1# 存储配置lxc.rootfs.pathdir:/var/lib/lxc/my-container/rootfs lxc.rootfs.optionsrw# 启动配置lxc.init.cmd/sbin/init lxc.start.auto1lxc.start.delay5lxc.start.order10# 资源限制lxc.cgroup.cpuset.cpus0-3 lxc.cgroup.cpu.shares512lxc.cgroup.cpu.cfs_quota_us50000lxc.cgroup.memory.limit_in_bytes1G lxc.cgroup.memory.memsw.limit_in_bytes2G lxc.cgroup.blkio.weight500# 安全配置lxc.cap.dropsys_admin net_raw lxc.apparmor.profilelxc-container-default lxc.cgroup.devices.allowc1:3 rwm lxc.cgroup.devices.allowc1:5 rwm lxc.cgroup.devices.allowc1:7 rwm lxc.cgroup.devices.allowc5:0 rwm lxc.cgroup.devices.allowc5:1 rwm lxc.cgroup.devices.allowc5:2 rwm lxc.cgroup.devices.denya# 挂载配置lxc.mount.entry/opt/data /var/lib/data none bind,createdir00lxc.mount.entry/etc/hosts /etc/hosts none bind,ro00lxc.mount.entry/etc/resolv.conf /etc/resolv.conf none bind,ro00lxc.mount.entryproc proc proc nodev,noexec,nosuid00lxc.mount.entrysysfs sys sysfs ro00# 日志配置lxc.log.levelINFO lxc.log.file/var/log/lxc/my-container.log lxc.log.size1M# 环境变量lxc.environmentLANGen_US.UTF-8 lxc.environmentPATH/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin# 系统配置lxc.tty.max4lxc.pts.max1024lxc.mount.autoproc:mixed sys:mixed cgroup:mixed12. 总结LXC 的配置项覆盖了容器生命周期的多个方面包括创建模板、存储路径、网络接入、资源限制、安全隔离、目录挂载、日志记录和用户映射等。实际使用时建议遵循以下原则开发测试环境可以先使用默认模板和默认存储方式快速创建容器生产环境应明确配置 CPU、内存、磁盘 IO 和日志路径尽量使用无特权容器并限制不必要的 Capabilities 和设备访问挂载宿主机目录时优先使用只读模式按需放开写权限cgroup 配置项需要结合当前系统的 LXC 版本和内核版本验证合理配置这些参数可以让 LXC 容器在安全性、可维护性和资源可控性之间取得更好的平衡。
LXC 容器常用命令与核心配置参数详解
发布时间:2026/6/10 8:02:59
LXC 容器常用命令与核心配置参数详解摘要LXCLinux Containers是 Linux 原生容器技术之一常用于创建轻量级系统容器。相比 Docker 更偏应用容器的使用方式LXC 更接近一台完整 Linux 系统的运行环境适合需要 systemd、完整网络栈、资源隔离和宿主机目录挂载的场景。本文整理 LXC 的常用命令、创建参数、网络配置、资源限制、安全隔离、启动运行、文件系统挂载、日志监控以及完整配置示例方便快速查阅和落地使用。目录Docker 与 LXC 常用命令对照容器创建核心参数存储相关配置网络配置CPU、内存与磁盘 IO 限制安全与隔离配置启动与运行配置挂载与文件系统配置日志、环境变量与用户映射常用命令参数速查完整配置示例总结1. Docker 与 LXC 常用命令对照如果你熟悉 Docker可以先通过下面的对照表快速理解 LXC 的基本操作。Docker 命令LXC 等价命令说明docker runlxc-createlxc-start创建并启动容器docker pslxc-ls -f查看容器列表和状态docker exec -itlxc-attach进入容器执行命令docker stoplxc-stop停止容器docker rmlxc-destroy删除容器docker inspectlxc-info查看容器详细信息docker logslxc-console -n NAME查看容器控制台输出LXC 的操作通常会更显式。例如 Docker 的docker run会同时完成镜像拉取、容器创建和启动而 LXC 中一般拆成lxc-create和lxc-start两步。2. 容器创建核心参数2.1 指定容器名称-n或--name用于指定容器名称。sudolxc-create-nmy-container-tubuntu容器名称建议满足以下规则在当前宿主机上保持唯一只使用字母、数字、下划线和连字符避免过长通常控制在 64 个字符以内名称会影响容器目录、配置文件路径和网络接口标识2.2 指定模板-t或--template用于指定创建容器时使用的模板。sudolxc-create-nmy-container-tubuntu常见模板包括模板说明ubuntu创建 Ubuntu 容器debian创建 Debian 容器centos创建 CentOS 容器fedora创建 Fedora 容器busybox创建最小化系统容器alpine创建 Alpine Linux 容器download从镜像仓库下载系统镜像模板脚本通常位于/usr/share/lxc/templates/2.3 模板参数传递--是 LXC 命令参数和模板参数之间的分隔符。--后面的内容会传给模板脚本处理。sudolxc-create-nmy-container-tubuntu ---r22.04--archamd64Ubuntu 模板常用参数示例sudolxc-create-nubuntu-container-tubuntu --\-r22.04\--archamd64\--packagesnginx\--releasejammy常见模板参数说明参数说明-r,--release指定 Ubuntu 版本例如18.04、20.04、22.04--arch指定系统架构例如amd64、i386、arm64--packages创建容器时预安装软件包--mirror指定软件包镜像源--security-mirror指定安全更新镜像源3. 存储相关配置3.1 指定容器存储路径-P或--path用于指定容器存储路径。sudolxc-create-nmy-container-tubuntu-P/custom/path默认路径通常为/var/lib/lxc/容器名适用场景使用独立磁盘分区存储容器将容器数据放在分布式存储中按业务或环境规划磁盘空间3.2 指定后端存储类型-B或--backingstore用于指定后端存储类型。sudolxc-create-nmy-container-tubuntu-Bbtrfs常见存储类型对比存储类型特点优势劣势dir普通目录简单、兼容性好占用空间大不支持快照btrfsBtrfs 文件系统支持快照和写时复制依赖 Btrfs 文件系统zfsZFS 文件系统企业级特性丰富快照能力强资源占用较高学习成本高lvmLVM 逻辑卷卷管理灵活配置相对复杂overlayfs分层存储节省空间启动较快部分场景性能略低示例# 使用 Btrfs 创建容器sudolxc-create-nmy-container-tubuntu-Bbtrfs# 创建快照sudolxc-snapshot-nmy-container# 使用 OverlayFS 节省空间sudolxc-create-nmy-container-tubuntu-Boverlayfs4. 网络配置LXC 的网络通常在容器配置文件中设置配置文件路径一般为/var/lib/lxc/容器名/config4.1 常见网络类型# 虚拟以太网最常用lxc.net.0.typeveth# 无网络lxc.net.0.typenone# 空网络lxc.net.0.typeempty# 物理网络接口lxc.net.0.typephys# VLAN 网络lxc.net.0.typevlan# MAC 地址虚拟化lxc.net.0.typemacvlan# 网桥模式lxc.net.0.typebridge4.2 网桥与接口配置# 连接到 lxcbr0 网桥lxc.net.0.linklxcbr0# 连接到 virbr0 网桥lxc.net.0.linkvirbr0# 直接连接物理接口lxc.net.0.linketh0# 启动网络接口lxc.net.0.flagsup# 指定 MAC 地址lxc.net.0.hwaddr00:16:3e:xx:xx:xx4.3 IP 与网关配置# IPv4 地址lxc.net.0.ipv4.address192.168.1.100/24# IPv6 地址lxc.net.0.ipv6.address2001:db8::100/64# IPv4 网关lxc.net.0.ipv4.gateway192.168.1.1# IPv6 网关lxc.net.0.ipv6.gateway2001:db8::14.4 多网卡配置lxc.net.0.typeveth lxc.net.0.linklxcbr0 lxc.net.1.typeveth lxc.net.1.linkdocker05. CPU、内存与磁盘 IO 限制资源限制通常通过 cgroup 完成。需要注意的是不同发行版、内核版本和 LXC 版本对 cgroup v1、cgroup v2 的配置项支持存在差异实际使用时应以当前系统支持的配置项为准。5.1 CPU 限制# 绑定 CPU 核心使用 CPU 0-3lxc.cgroup.cpuset.cpus0-3# 使用指定核心lxc.cgroup.cpuset.cpus0,2,4,6# CPU 份额默认通常为 1024lxc.cgroup.cpu.shares512# CPU 时间周期单位微秒lxc.cgroup.cpu.cfs_period_us100000# CPU 配额50000/100000 表示约 0.5 个 CPU 核心lxc.cgroup.cpu.cfs_quota_us50000运行中调整示例# 限制容器使用 CPU 0 和 CPU 1sudolxc-cgroup-nmy-container cpuset.cpus0,1# 限制容器使用约 25% CPUsudolxc-cgroup-nmy-container cpu.cfs_quota_us25000sudolxc-cgroup-nmy-container cpu.cfs_period_us1000005.2 内存限制# 限制内存为 1GBlxc.cgroup.memory.limit_in_bytes1G# 限制内存为 512MBlxc.cgroup.memory.limit_in_bytes512M# 内存 Swap 总限制为 2GBlxc.cgroup.memory.memsw.limit_in_bytes2G# 内存软限制lxc.cgroup.memory.soft_limit_in_bytes512M# 内存预留lxc.cgroup.memory.reservation256M# 交换倾向范围 0-100lxc.cgroup.memory.swappiness60运行中调整示例# 设置 1GB 内存限制sudolxc-cgroup-nmy-container memory.limit_in_bytes 1G# 限制内存 Swap 总量为 1GBsudolxc-cgroup-nmy-container memory.memsw.limit_in_bytes 1G5.3 磁盘 IO 限制# 磁盘 IO 权重默认通常为 1000lxc.cgroup.blkio.weight500# 指定设备 IO 权重lxc.cgroup.blkio.weight_device8:0500# 限制读取速度为 1MB/slxc.cgroup.blkio.throttle.read_bps_device8:01048576# 限制写入速度为 1MB/slxc.cgroup.blkio.throttle.write_bps_device8:01048576# 限制读取 IOPSlxc.cgroup.blkio.throttle.read_iops_device8:01000# 限制写入 IOPSlxc.cgroup.blkio.throttle.write_iops_device8:010006. 安全与隔离配置6.1 Capabilities 控制Linux Capabilities 用于细分 root 权限。通过删除不必要的能力可以降低容器逃逸或误操作风险。# 删除特定能力lxc.cap.dropsys_admin net_rawmknod# 只保留特定能力lxc.cap.keepnet_admin sys_chroot常见能力说明能力说明sys_admin系统管理相关权限能力范围很大通常建议谨慎授予net_admin网络管理权限net_raw原始套接字访问权限mknod创建设备文件权限6.2 Namespace 配置# 保留网络命名空间lxc.namespace.keepNET# 创建新的 UTS 命名空间lxc.namespace.cloneNEWUTS# 设置容器主机名lxc.uts.namemy-container lxc.uts.hostnamemy-container6.3 AppArmor 与 SELinux# 使用默认 AppArmor 配置lxc.apparmor.profilelxc-container-default# 不使用 AppArmor生产环境需谨慎lxc.apparmor.profileunconfined# SELinux 上下文示例lxc.selinux.contextsystem_u:system_r:lxc_t:s0:c0,c10236.4 设备访问控制# 允许访问所有设备风险较高lxc.cgroup.devices.allowa# 允许访问 /dev/nulllxc.cgroup.devices.allowc1:3 rwm# 允许访问 /dev/sdalxc.cgroup.devices.allowb8:0 rwm# 默认拒绝所有设备再按需放行lxc.cgroup.devices.denya * lxc.cgroup.devices.allowc1:3 rwm7. 启动与运行配置7.1 启动容器# 前台启动sudolxc-start-nmy-container# 后台启动sudolxc-start-nmy-container-d# 前台启动不分离sudolxc-start-nmy-container-F# 使用指定配置文件启动sudolxc-start-nmy-container--rcfile/custom/config7.2 自动启动与停止信号# 开机自动启动lxc.start.auto1# 启动延迟单位秒lxc.start.delay5# 启动顺序lxc.start.order10# 容器 init 命令lxc.init.cmd/sbin/init# 启动用户和用户组lxc.init.uid0lxc.init.gid0# 停止、重启和关机信号lxc.signal.haltSIGPWR lxc.signal.rebootSIGINT lxc.signal.stopSIGTERM8. 挂载与文件系统配置8.1 挂载宿主机目录或文件# 挂载宿主机目录到容器lxc.mount.entry/opt/data /var/lib/data none bind,createdir00# 只读挂载 hosts 文件lxc.mount.entry/etc/hosts /etc/hosts none bind,ro00# 只读挂载 DNS 配置lxc.mount.entry/etc/resolv.conf /etc/resolv.conf none bind,ro00# 挂载 proclxc.mount.entryproc proc proc nodev,noexec,nosuid00# 挂载 sysfslxc.mount.entrysysfs sys sysfs ro00# 挂载 tmpfslxc.mount.entrytmpfs /run tmpfs nodev,nosuid,size512m,mode177700常见挂载选项选项说明bind绑定挂载宿主机路径ro只读rw读写默认行为createdir目标目录不存在时创建目录createfile目标文件不存在时创建文件8.2 文件系统限制# 文件描述符限制格式为软限制:硬限制lxc.prlimit.nofile65536:65536# 进程数限制lxc.prlimit.nproc4096:8192# 内存锁定限制lxc.prlimit.memlock134217728:134217728# 核心转储大小限制lxc.prlimit.core0:unlimited9. 日志、环境变量与用户映射9.1 日志配置# 日志级别DEBUG、INFO、WARN、ERRORlxc.log.levelINFO# 日志文件lxc.log.file/var/log/lxc/my-container.log# 日志大小限制lxc.log.size1M# 控制台日志lxc.console.logfile/var/log/lxc/my-container-console.log lxc.console.size1M# 启用内核消息lxc.kmsg19.2 环境变量lxc.environmenthttp_proxyhttp://proxy.example.com:8080 lxc.environmenthttps_proxyhttp://proxy.example.com:8080 lxc.environmentno_proxylocalhost,127.0.0.1 lxc.environmentPATH/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin lxc.environmentLANGen_US.UTF-8 lxc.environmentLC_ALLen_US.UTF-89.3 用户映射与无特权容器# 容器内用户 ID 映射lxc.idmapu010000065536# 容器内用户组 ID 映射lxc.idmapg010000065536# 无特权容器相关配置lxc.include/usr/share/lxc/config/common.conf lxc.include/usr/share/lxc/config/userns.conf10. 常用命令参数速查10.1 lxc-createsudolxc-create[OPTIONS]-nNAME-tTEMPLATE[-- TEMPLATE_OPTIONS]常用参数参数说明-n,--name NAME容器名称-t,--template TEMPLATE模板名称-P,--path PATH存储路径-B,--backingstore TYPE后端存储类型-f,--config FILE配置文件-r,--release RELEASE发行版本--arch ARCH系统架构--packages PKGS预安装软件包--help查看帮助信息--version查看版本信息10.2 lxc-startsudolxc-start[OPTIONS]-nNAME常用参数参数说明-n,--name NAME容器名称-d,--daemon后台运行-F,--foreground前台运行-p,--pidfile FILE指定 PID 文件-f,--rcfile FILE指定配置文件-s,--define KEYVAL临时设置配置参数--share-net NAME共享网络命名空间--share-ipc NAME共享 IPC 命名空间--share-uts NAME共享 UTS 命名空间10.3 lxc-stopsudolxc-stop[OPTIONS]-nNAME常用参数参数说明-n,--name NAME容器名称-r,--reboot重启容器-w,--nowait不等待容器停止-t,--timeout SECONDS指定超时时间-f,--force强制停止-k,--kill直接杀死容器进程11. 完整配置示例下面是一个较完整的 LXC 容器配置文件示例可作为实际配置时的参考。配置文件路径/var/lib/lxc/my-container/config示例配置# 容器标识lxc.uts.namemy-container lxc.uts.hostnamemy-container# 网络配置lxc.net.0.typeveth lxc.net.0.linklxcbr0 lxc.net.0.flagsup lxc.net.0.hwaddr00:16:3e:xx:xx:xx lxc.net.0.ipv4.address192.168.1.100/24 lxc.net.0.ipv4.gateway192.168.1.1# 存储配置lxc.rootfs.pathdir:/var/lib/lxc/my-container/rootfs lxc.rootfs.optionsrw# 启动配置lxc.init.cmd/sbin/init lxc.start.auto1lxc.start.delay5lxc.start.order10# 资源限制lxc.cgroup.cpuset.cpus0-3 lxc.cgroup.cpu.shares512lxc.cgroup.cpu.cfs_quota_us50000lxc.cgroup.memory.limit_in_bytes1G lxc.cgroup.memory.memsw.limit_in_bytes2G lxc.cgroup.blkio.weight500# 安全配置lxc.cap.dropsys_admin net_raw lxc.apparmor.profilelxc-container-default lxc.cgroup.devices.allowc1:3 rwm lxc.cgroup.devices.allowc1:5 rwm lxc.cgroup.devices.allowc1:7 rwm lxc.cgroup.devices.allowc5:0 rwm lxc.cgroup.devices.allowc5:1 rwm lxc.cgroup.devices.allowc5:2 rwm lxc.cgroup.devices.denya# 挂载配置lxc.mount.entry/opt/data /var/lib/data none bind,createdir00lxc.mount.entry/etc/hosts /etc/hosts none bind,ro00lxc.mount.entry/etc/resolv.conf /etc/resolv.conf none bind,ro00lxc.mount.entryproc proc proc nodev,noexec,nosuid00lxc.mount.entrysysfs sys sysfs ro00# 日志配置lxc.log.levelINFO lxc.log.file/var/log/lxc/my-container.log lxc.log.size1M# 环境变量lxc.environmentLANGen_US.UTF-8 lxc.environmentPATH/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin# 系统配置lxc.tty.max4lxc.pts.max1024lxc.mount.autoproc:mixed sys:mixed cgroup:mixed12. 总结LXC 的配置项覆盖了容器生命周期的多个方面包括创建模板、存储路径、网络接入、资源限制、安全隔离、目录挂载、日志记录和用户映射等。实际使用时建议遵循以下原则开发测试环境可以先使用默认模板和默认存储方式快速创建容器生产环境应明确配置 CPU、内存、磁盘 IO 和日志路径尽量使用无特权容器并限制不必要的 Capabilities 和设备访问挂载宿主机目录时优先使用只读模式按需放开写权限cgroup 配置项需要结合当前系统的 LXC 版本和内核版本验证合理配置这些参数可以让 LXC 容器在安全性、可维护性和资源可控性之间取得更好的平衡。
:final 篇)
)
