LXC & OverlayFS

Question

目标-在主机上配置/安装一个webapp &确保它可以通过lxc容器访问。

为什么-隔离主机，但提供访问web应用程序和ssh访问我们的客户端。

问题--我应该用overlayFS配置LXC并挂载webapp配置文件，还是简单地实现端口转发，跳过overlayFS实现？

Answer 1

一种选择是在LXD容器中完全设置webapp，并允许他们通过SSH访问这个LXD容器。这样，您的主机将完全不公开，而在这个webapp容器中发生的事情，将留在webapp容器中。如果同一服务器上有多个客户，则可以将每个客户放在自己的容器中。然后，设置反向代理(如HAProxy)，将每个传入连接定向到相应的容器。例如，请参见https://www.digitalocean.com/community/tutorials/how-to-host-multiple-web-sites-with-nginx-and-haproxy-using-lxd-on-ubuntu-16-04，您还可以将HAProxy设置为TLS终止代理，这意味着所有网站都是https，证书将在HAProxy中的单个位置进行管理。

如果你真的要做你在问题中描述过的事情，下面是如何做到的: 1.不要把overlayFS弄得乱七八糟，因为它在LXC/LXD中不是那样工作的。2.您可以从主机绑定-挂载(https://blog.ubuntu.com/2016/12/08/mounting-your-home-directory-in-lxd) webapp目录，使其出现在容器中。在容器中，他们将能够看到包含webapp文件的子目录。不过，它们可以轻松地修改.php文件并以可怕的方式公开您的主机。因此，选择第一个选项。

另外，关于LXC和LXD之间的区别，请参见https://discuss.linuxcontainers.org/t/comparing-lxd-vs-lxc/24。

Answer 2

我已经设置了一个‘主’LXC容器&一个快照副本的主。快照副本使用OverlayFS；原始(母版)的rootfs和快照副本的rootfs存储在不同的位置。

更改存储在快照副本中的delta0中。这允许将任何更改单独存储。这样，使用webapp或ssh服务的客户就可以对覆盖层而不是底层进行更改！

web应用程序是在Master上设置的，并在快照副本中运行。效果很好！