运行具有状态的 Linux 容器在 Docker 中

⚠️ 这是一个完整的重写，仅使用 LXC，不使用 vagrant。它可以运行使用 v0.1 创建的 LXC 容器，但配置和使用方式不同。使用标签 v0.1 获取旧版本。

Docker Hub: micwy/lxc

我非常惊讶，这个镜像的拉取次数有多少。请告诉我你是如何使用它的（只需在 github 上创建一个问题），我会将其添加到“用例”部分。

为什么？

在某些情况下，在具有“状态”的 docker 环境中运行完整的操作系统可能很有用，这主要意味着拥有一个持久的根卷。仅使用 docker 是不可能的，因为 docker 不允许/成为一个卷。这就是 LXC 发挥作用的地方。LXC 提供与 docker 类似的过程隔离，但具有状态化的根文件系统。不幸的是，随着 docker 的兴起，docker 的管理工具比 LXC 的管理工具更为广泛和复杂。

这个项目允许在 docker 容器内使用单个 LXC 容器，以获得两者的最佳效果。

功能

在 docker 中运行单个 LXC 容器，具有完整的操作系统和持久的根
使用 docker 特有的功能为您的 LXC 容器（例如：docker-compose、暴露端口、traefik 用于入口、Kubernetes 作为平台）
LXC 容器使用与 docker 容器相同的限制和网络堆栈，因此像暴露端口这样的功能按预期工作
双向正确的信号处理（正确关闭 docker 容器可以正确关闭 LXC 容器。在 LXC 中关机可以关闭 docker 容器）
LXCFS 支持：在容器内，显示正确的运行时间和限制
Shell-Wrapper：如果使用“docker exec”调用/bin/sh，则会在 LXC 容器中启动一个 shell。因此，大多数管理工具中的控制台会直接在 LXC 容器内打开，而不是在周围的 docker 容器中
创建初始根文件系统：对于某些发行版，可以通过环境变量简单地设置初始根文件系统
通过环境变量添加初始 SSH 密钥以实现即时登录

一些用例

为您的用户提供“家庭容器”，每个容器都有自己的 ssh 访问权限和持久状态
在 Kubernetes 上运行 Linux 远程桌面服务器
轻松在 Docker/Kubernetes 上运行有状态软件（如 froxlor 控制面板或 plesk）

想法 / 待办事项

支持更多分发根文件系统
从 vagrant-lxc 盒子导入 rootfs

如何运行

docker run -d \
  --name lxc \
  --privileged  \
  --hostname lxctest1 \
  -v /path/to/data:/data \
  -v /path/to/somedir:/vol/somedir \
  -e DISTRIBUTION=alpine \
  -e INITIAL_SSH_KEY="ssh-rsa AAAA...Q== my-initial-ssh-key" \
  micwy/lxc

目前运行 LXC 在容器中需要"privileged"权限
主机名传递到 lxc 容器
卷/data 包含根文件系统（位于/data/rootfs）和一些附加文件（系统创建期间的临时根文件系统，lxc 配置）

运行于 Kubernetes

以下是一个在 Kubernetes 上运行的 yaml 示例。如果有兴趣，我也可以提供 helm 图表。

---
# Source: lxc/templates/deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: mylxcbox
  labels:
    app.kubernetes.io/name: lxc
    app.kubernetes.io/instance: mylxcbox
spec:
  replicas: 
  selector:
    matchLabels:
      app.kubernetes.io/name: lxc
      app.kubernetes.io/instance: mylxcbox
  template:
    metadata:
      labels:
        app.kubernetes.io/name: lxc
        app.kubernetes.io/instance: mylxcbox
    spec:
      containers:
        - name: lxc
          image: "micwy/lxc:latest"
          imagePullPolicy: Always
          # Required to launch lxc containers in the docker container
          securityContext:
            privileged: true
          # Required to make LXC console work
          stdin: true
          tty: true
          ports:
            - name: ssh
              containerPort: 22
              protocol: TCP
              hostPort: 2201
          env:
            - name: "DISTRIBUTION"
              value: "archlinux"
            - name: "INITIAL_SSH_KEY"
              value: "ssh-rsa ...DVs= my-ssh-key"
          volumeMounts:
            - mountPath: /data
              name: data
      # Will be passed into the lxc container
      hostname: mylxcbox
      volumes:
      - name: data
        hostPath:
          path: /data/mylxcbox
  # Strategy must be recreate if hostPort is used
  strategy:
    type: Recreate

环境变量

DISTRIBUTION：如果/data/rootfs 不存在，则触发特定分布的设置脚本（见下文）
INITIAL_SSH_KEY：如果设置，则在启动时将其复制到/root/.ssh/authorized_keys，如果该文件尚不存在
USE_LXCFS（默认为 false）：如果为 true，则将 LXCFS 挂载到 LXC 容器中
- ⚠️ 可能与 systemd 不兼容！
COPY_RESOLV_CONF（默认为 true）：如果为 true，则将 docker 容器中的 resolv.conf 复制到 LXC 容器中

附加卷

docker 容器的目录/vol 使用“rbind”挂载到 LXC 容器的/vol 上
每个挂载到/vol/something 的 docker-volume 将显示为/vol/something 在 LXC 上

可用的分发设置脚本

DISTRIBUTION: alpine

如果 rootfs 不存在，则安装 alpine。

特性：

非常简约的 bash、nano 和 openssh 图像

支持的环镜变量：

ALPINE_ARCH:（默认 x86_64）：rootfs 的架构
ALPINE_VERSION: (默认最新稳定版): 安装的 alpine 版本
ALPINE_EXTRA_PACKAGES: 伴随 rootfs 一起安装的额外软件包

分发：archlinux

如果 rootfs 不存在，则安装 archlinux。

特性：

基本系统镜像，包含常用工具和 openssh