11.2 更新 Jail

如果需要同时管理多个 jail，那么在更新 jail 时就需要对每个 jail 分别执行一次更新操作。通过建立统一的模板，可以使所有 jail 共用同一个基础环境，同时各自拥有独立的可写空间，互不干扰。

本文将建立如下目录结构：

/jail/mroot 是模板目录，是所有 jail 共用的只读部分，在本例中将被挂载到 /jail/www。
/jail/skel 是框架目录，用于方便创建 jail，本身不直接供任何 jail 使用。
/jail/www 是 jail www 运行的根目录，也是只读模板的挂载点，本身是个空目录。
/jail/www/s 是 jail www 的可写部分的挂载点，也是个空目录。
/jail/files/www 是 jail www 的可写部分的实际存放位置，将被挂载到 /jail/www/s。

如果需要创建多个 jail，则只需重复创建数据目录和项目目录，这样所有 jail 都可以共用 /jail/mroot。

安装 cpdup 工具

使用 pkg 安装

# pkg install cpdup

使用 Ports 安装：

# cd /usr/ports/sysutils/cpdup/ 
# make install clean

创建框架目录结构

# mkdir -p /jail/mroot    # 创建所需 jail 路径
# 然后放入基本目录
# 将 ports 和源码放入模板
# git clone --filter=tree:0 https://mirrors.ustc.edu.cn/freebsd-ports/ports.git /jail/mroot/usr/ports    # 拉取 freebsd-ports Git 
# cpdup /usr/src /jail/mroot/usr/src # 需要提前获取源码，且要注意源码对应的版本要与 /jail/mroot 的版本相同

将可写部分连接到可写目录位置

# cd /jail/mroot  # 进入模板目录
# mkdir s  # 创建用于符号链接的目标目录
# ln -s s/etc etc  # 创建 /etc 的符号链接
# ln -s s/home home  # 创建 /home 的符号链接
# ln -s s/root root  # 创建 /root 的符号链接
# ln -s ../s/usr-local usr/local  # 创建 /usr/local 的符号链接
# ln -s ../s/usr-X11R6 usr/X11R6  # 创建 /usr/X11R6 的符号链接
# ln -s ../../s/distfiles usr/ports/distfiles  # 创建 /usr/ports/distfiles 的符号链接
# ln -s s/tmp tmp  # 创建 /tmp 的符号链接
# ln -s s/var var  # 创建 /var 的符号链接

创建框架目录

# mkdir -p /jail/skel  # 创建骨架目录
# mkdir -p /jail/skel/home /jail/skel/usr-X11R6 /jail/skel/distfiles /jail/skel/portbuild  # 创建子目录
# 移动可写目录到骨架目录
# mv /jail/mroot/etc /jail/skel  # 移动 /etc
# mv /jail/mroot/usr/local /jail/skel/usr-local  # 移动 /usr/local
# mv /jail/mroot/tmp /jail/skel  # 移动 /tmp
# mv /jail/mroot/var /jail/skel  # 移动 /var
# mv /jail/mroot/root /jail/skel  # 移动 /root

使用 etcupdate 同步系统配置文件：

# etcupdate -s /jail/mroot/usr/src -d /jail/skel/var/db/etcupdate -D /jail/skel

设置 Port 构建工作目录前缀：

# echo "WRKDIRPREFIX?=/s/portbuild" >> /jail/skel/etc/make.conf

创建数据目录

# cpdup /jail/skel /jail/files/www    # 复制骨架目录到 /jail/files/www

创建项目目录

# mkdir /jail/www /jail/www/s  # 创建 /jail/www 及其子目录 /jail/www/s

创建 fstab 文件

编辑 /jail/www.fstab 文件：

# 将公共的只读系统挂载到项目目录
/jail/mroot /jail/www nullfs ro 0 0
# 将项目数据目录挂载到项目目录
/jail/files/www /jail/www/s nullfs rw 0 0

`jail.conf` 文件配置示例

# 全局配置部分
exec.start = "/bin/sh /etc/rc";  # 启动命令
exec.stop = "/bin/sh /etc/rc.shutdown";  # 停止命令
exec.clean;  # 清理执行环境
mount.devfs;  # 挂载 devfs
allow.raw_sockets = 1;  # 允许原始套接字
allow.sysvipc = 1;  # 允许系统 V IPC
interface = "网卡名称";  # 指定网卡，请读者修改为自己的网络接口

# 主机名可使用变量替代
hostname = "$name.domain.local";

# jail 的路径，可使用变量替代
path = "/jail/$name";

# IPv4 地址
ip4.addr = 192.168.1.$ip;

# fstab 文件位置
mount.fstab = "/jail/$name.fstab";

www {    # jail 名称为 www
    $ip = 2; # 占位变量，此处是指定 IP 为 192.168.1.2
    # 如果不使用 fstab，可覆盖全局配置
    # mount.fstab = "";
}

上一页11.1 配置 Jail 下一页11.3 使用 Qjail 管理 Jail

最后更新于1个月前

hashtag安装 cpdup 工具

hashtag创建框架目录结构

hashtag创建框架目录

hashtag创建数据目录

hashtag创建项目目录

hashtag创建 fstab 文件

hashtagjail.conf 文件配置示例