nesting...Verständnis

[lenny30]

Hi,
ich verstehe das Nesting nicht so richtig.
In der Doku ist es genannt, um einen Hypervisor zu virtualisieren.

In der Praxis brauch ich es jedoch auch für Container, weil manche Dienste ohne Nesting nicht die nötigen Rechte haben um zu starten...

Kann mir das mal jemand erörtern

 

[oguz]

hi,

nesting heisst verschiedene sachen fuer VM und CT.

fuer CT [0]:

nesting=<boolean> (default = 0)
Allow nesting. Best used with unprivileged containers with additional id mapping. Note that this will expose procfs and sysfs contents of the host to the guest.

d.h. mann kan z.b. docker in lxc laufen lassen, oder verschiedene containers (systemd-nspawn, usw.)
du musst aber beachten dass es ein sicherheitsrisiko sein kann (weil die /proc und /sys vom host mit readwrite permissions gemounted wird!)


fuer VM [1], kann man dann andere VM drinnen laufen lassen, so quasi qemu in qemu oder qemu in vmware usw.

weil manche Dienste ohne Nesting nicht die nötigen Rechte haben um zu starten...

inwiefern?

[0]: https://pve.proxmox.com/wiki/Linux_Container
[1]: https://pve.proxmox.com/wiki/Nested_Virtualization#Proxmox_VE_and_nesting

 

[lenny30]

Hi, Danke für die ausführliche Erklärung

Zum zweiten:
Einmal hier:
https://forum.proxmox.com/threads/a...up-mount-namespacing-permission-denied.56871/
bei Apache hatte ich es genauso.
In einem weiteren Container nun auch bei NTP.
Jeweils NAMESPACE

 

[oguz]

es gibt bei diesem thread auch eine loesung ohne nesting [0]

hast du das mal ausprobiert?

[0]: https://forum.proxmox.com/threads/a...espacing-permission-denied.56871/#post-280885

 

[lenny30]

Nein, habe ich noch nicht. Aber das ist der Punkt, den ich am Nesting dann nicht mehr richtig verstehe

 

[oguz]

schau dann mal hier [0], suche nach PrivateTmp

[0]: https://www.freedesktop.org/software/systemd/man/systemd.exec.html