[原创] 移植LXC容器到高通MDM9607设备上的测试过程

1 沙盒介绍


沙盒是用来隔离运行中程序的一种安全机制,通常是为了缓解系统的故障或者软件缺陷的传递。比如可以用来执行未测试或者不信任的程序/代码,这样就可以把对操作系统的危害隔离开来。从提供一个高度控制环境角度来说,可以把沙盒看作是一种虚拟化的特殊例子。沙盒的实现方式有很多实现,如:

  • 类似jail,主要实现网络访问控制, 文件系统命名空间限制。
  • 虚拟机来仿真一个完整的主机,在虚拟机上常规的操作系统可以从真实的硬件上启动和运行。
  • seccomp是linux内核自带的一个沙盒。如果启用 seccomp 将只允许调用 write(), read(), exit(), sigreturn() 系统调用。
  • 还有很多其他实现具体可以参考
    维基百科上的介绍

2 沙盒选型


本次基于虚拟化来实现沙盒机制,可供选择的项目有下面这些:

image.png

具体可以参考维基百科上的介绍
下面简要介绍一些项目:

2.1 chroot

可以改变当前运行进程和他的子进程显示的目录。运行在这个环境的程序只能访问它自己的目录,不能访问外面的目录。但是他的功能很简单,如上图所示,除了对文件系统的部分隔离之外,其他的特性都是不能用的(红色)。

2.2 docker

是Docker公司开发的的一个软件容器,可以运行在多种操作系统上,linux/MAC/windows等。它是操作系统层级的虚拟化,在操作系统层提供了抽象和自动化的一个虚拟化。Docker功能很丰富如上图所示,很多特性可用(绿色)。Docker很强大被集成到很多商业的基础工具中比如:
Amazon Web Services, Ansible,CFEngine,Chef,Google Cloud Platform, IBM Bluemix,HPE Helion Stackato, Jelastic,Jenkins,Kubernetes,Microsoft Azure,OpenStack Nova,OpenSVC,Oracle Container Cloud Service,Puppet,Salt,Vagrant,and VMware vSphere Integrated Containers.

2.3 LXC

LXC是Linux containers的简称,是一种基于容器的操作系统层级的虚拟化技术。LXC功能很丰富如上图所示,很多特性可用(绿色)。LXC是利用Linux内核安全特性而设计的一个用户层接口,他是一个完全开源的项目。通过提供强大的API接口和一些简单的工具,它使linux用户很容易创建和管理系统/应用级的容器。lxc有这些特点:

  • 虚拟化开销小(LXC的诸多特性基本由内核提供,而内核实现这些特性只有极少的花费)。
  • 快速部署。利用LXC来隔离特定应用,只需要安装LXC,即可使用LXC相关命令来创建并启动容器来为应用提供虚拟执行环境。传统的虚拟化技术则需要先创建虚拟机,然后安装系统,再部署应用。

具体介绍可以参考官网

2.4 方案确定

根据chroot,docker,lxc技术特点,功能,开发难度,最终选择lxc容器作为沙盒进行移植开发(Chroot太简单,docker又比较复杂。LXC开发难度适中,系统开销低等,功能基本能满足安全需求)。

3 lxc开发介绍


开发调试环境
1)硬件使用搭载高通MDM9607 MCU的设备
2)交叉编译工具:oecore-x86_64-armv7a-vfp-neon-toolchain-nodistro.0.sh

Lxc包含内核层和用户层(用户层包括工具和库)。在用户层工具可以直接通过命令行来实现容器,也可以使用对应的库自己编码对容器相关操作进行使用(提供了函数调用接口)。

3.1 内核配置

LXC需要内核一些模块的支持,需要把相关的内核选型选上,具体可以参考
官网man手册

  • 内核版本要求:Linux kernel >= 2.6.32
$bitbake -c menuconfig linux-quic

image.png

Control Group support
全部选上
image.png

Checkpoint/restore support
选上
image.png

Namespaces support
全部选上
image.png

Support multiple instances of devpts
选上
image.png

MAC-VLAN support
Virtual ethernet pair device
选上
image.png

802.1d Ethernet Bridging
选上

  • 我在我的编译环境下只能通过下面的方式才能编译成功,其他方法试过都不行。完成相关操作之后把.config保存起来,比如我这边是
$cp apps_proc/poky/build/tmp-glibc/work/mdm9607-oe-linux-gnueabi/linux-quic/git-r5/build/.config ~/.
$bitbake linux-quic  -c cleanall 
$cp ~/.config  kernel/msm-3.18/arch/arm/configs/L170YX_defconfig
$./buildL170YXSHIP app

3.2 lxc源码库编译

重新开一个终端,不然和之前bitbake的编译环境会有冲突。
Lxc项目最新的源码可以到https://github.com/lxc/lxc下载
1)下载源码:

$git clone https://github.com/lxc/lxc.git

2)配置交叉编译的环境,我的是:

$source ~/local/environment-setup-armv7a-vfp-neon-oe-linux-gnueabi 

3)配置编译
我的编译目录是/home/zgk/lxc/lxc

$cd /home/zgk/lxc/lxc
$make maintainer-clean
$./autogen.sh
$./configure --prefix=/home/zgk/lxc/test --host=arm-oe-linux-gnueabi --target=arm-oe-linux-gnueabi --build=x86_64-linux
$make
$sudo make install

备注:

  • configure的命令行变量--prefix指定最终编译结果的输出,需要指定一下方便打包下载到设备;--host指定编译后的源码运行的环境;--target目标类型;--build编译的环境。
  • Git直接clone现在下载下来的是stable-2.1的分支版本,我有checkout到stable-1.1分支版本进行编译并下载到设备上进行测试无法测试成功,从出错结果查看可能是我们交叉编译环境配置参数有些问题不适合该版本,有尝试调整了一些编译参数,无果最终放弃测试。

4)编译结果打包

 $tar cf test.tar test

3.3 设备上环境配置

把编译好的内核镜像mdm9607-boot.img烧录到设备上之后。可以对设备使用容器环境进行配置。
1)安装路径配置
我在主机编译环境中是把相关的编译结果放在/home/zgk/lxc/test位置。如果你使用lxc工具默认配置的话最好,也把test.tar放到该目录下。

#mkdir -p /home/zgk/lxc
#adb push test.tar /home/zkg/lxc
#tar xf test.tar

结果会自动解压到test目录

  • 备注:如果根目录被挂载成只读的,需要重新挂载为可读写的,才能在上面操作
#mount -o rw,remount /

2)配置环境变量
增加动态库搜索路径和可执行程序的搜索路径

#export LD_LIBRARY_PATH=/home/zgk/lxc/test/lib:$LD_LIBRARY_PATH
#export PATH=/home/zgk/lxc/test/bin:$PATH

3)为容器配置网络
我这边是根据现有设备环境直接进行配置,仅提供一个参考

#ifconfig lo up
#ifconfig rndis0 0.0.0.0
#ifconfig bridge0 172.16.90.184
#brctl setfd bridge0 0
#route add default gw 172.16.90.1 bridge0

4)cgroup节点挂载

#mkdir -p /cgroup
#mount -t cgroup cgroup /cgroup

5)检查容器的环境
看是否已经配置好了

#lxc-checkconfig

输出无红色的说明容器运行基本环境已经配置好了,下面是我这边配置完检查的结果:

--- Namespaces ---
Namespaces: enabled
Utsname namespace: enabled
Ipc namespace: enabled
Pid namespace: enabled
User namespace: enabled
newuidmap is not installed
newgidmap is not installed
Network namespace: enabled
Multiple /dev/pts instances: enabled
--- Control groups ---
Cgroups: enabled

Cgroup v1 mount points:
/cgroup

Cgroup v2 mount points:

Cgroup v1 systemd controller: /home/zgk/lxc/test/bin/lxc-checkconfig: line 158: printf \033[1;31m: not found

Cgroup v1 freezer controller: /home/zgk/lxc/test/bin/lxc-checkconfig: line 165: printf \033[1;31m: not found

Cgroup v1 clone_children flag: enabled
Cgroup device: enabled
Cgroup sched: enabled
Cgroup cpu account: enabled
Cgroup memory controller: enabled

--- Misc ---
Veth pair device: enabled, not loaded
Macvlan: enabled, not loaded
Vlan: missing
Bridges: enabled, not loaded
Advanced netfilter: enabled, not loaded
CONFIG_NF_NAT_IPV4: enabled, not loaded
CONFIG_NF_NAT_IPV6: missing
CONFIG_IP_NF_TARGET_MASQUERADE: enabled, not loaded
CONFIG_IP6_NF_TARGET_MASQUERADE: missing
CONFIG_NETFILTER_XT_TARGET_CHECKSUM: missingCONFIG_NETFILTER_XT_MATCH_COMMENT: missing
FUSE (for use with lxcfs): missing

--- Checkpoint/Restore ---
checkpoint restore: enabled
CONFIG_FHANDLE: missing
CONFIG_EVENTFD: enabled
CONFIG_EPOLL: enabled
CONFIG_UNIX_DIAG: missing
CONFIG_INET_DIAG: enabled
CONFIG_PACKET_DIAG: missing

3.4 容器使用简介

安装完之后设备的/home/zgk/lxc/test/bin目录有下面工具可以使用:

lxc-attach 
lxc-copy           
lxc-ls            
lxc-unshare   
lxc-autostart      
lxc-create         
lxc-monitor    
lxc-update-config  
lxc-cgroup         
lxc-destroy        
lxc-snapshot       
lxc-usernsexec     
lxc-checkconfig    
lxc-device         
lxc-start          
lxc-wait           
lxc-checkpoint     
lxc-execute        
lxc-stop
lxc-config        
lxc-freeze         
lxc-top            
lxc-console        
lxc-info           
lxc-unfreeze

工具的使用可以参考https://linuxcontainers.org/lxc/manpages/
1)创建容器

#lxc-create -n foo -f ./lxc.conf -t none

-n指定容器的名字
-f指定容器的配置文件,不指定的话就会使用默认的配置
-t指定使用什么模板,我这里不使用模板
我这里的配置文件lxc.conf内容如下:

lxc.uts.name = virtfoo
lxc.net.0.type = veth
lxc.net.0.flags = up
lxc.net.0.link = bridge0
lxc.net.0.ipv4.address = 172.16.90.20/24
lxc.net.0.name = rndis0
lxc.rootfs.path = /

lxc.rootfs.path指定容器根文件系统的目录,不指定的话和操作系统是共享根目录的,我这里只是测试就把它设成和操作系统是同一的,如果实际要安全考虑需要指定容器自己的根文件系统的目录。容器里面的程序只能访问该指定目录下的文件,之外的无法访问。
2)启动容器

#lxc-start -n foo

3)在容器中运行自己的程序
我这边自己写了个测试程序hello。

#lxc-attach -n foo ./hello

4)查询容器的状态

#lxc-info -n foo

5)停止容器

#lxc-stop -n foo

6)销毁容器

#lxc-destroy -n foo

7)通过API接口进行调用

  • lxccontainer.h里面定义了提供给C语言调用的API接口。在我的环境下是在目录/home/zgk/lxc/test/include/lxc/
  • 具体的实现在目录/home/zgk/lxc/test/lib/下,有静态库和动态库看开发需要进行选择liblxc.so/liblxc.la
  • 样例代码可以参考官网https://linuxcontainers.org/lxc/documentation

参考文献


[1] https://en.wikipedia.org/wiki/Operating-system-level_virtualization#IMPLEMENTATIONS
[2] https://en.wikipedia.org/wiki/Seccomp
[3] https://en.wikipedia.org/wiki/Chroot
[4] https://www.ibm.com/developerworks/linux/library/l-lxc-containers/
[5] http://www.linuxcertif.com/man/7/lxc/
[6] http://www.cnblogs.com/lisperl/tag/%E8%99%9A%E6%8B%9F%E5%8C%96%E6%8A%80%E6%9C%AF/
[7] https://www.ibm.com/developerworks/cn/linux/l-lxc-containers/
[8] https://www.ibm.com/developerworks/cn/linux/theme/virtualization/
[9] https://github.com/lxc/lxc

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,128评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,316评论 3 388
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,737评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,283评论 1 287
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,384评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,458评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,467评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,251评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,688评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,980评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,155评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,818评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,492评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,142评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,382评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,020评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,044评论 2 352

推荐阅读更多精彩内容