红帽全球峰会12.2. 使用临时创建动态挂载点
作为 root 用户,您可以使用 bootc root.transient-ro 功能在 root 文件系统上 以只读方式 构建临时覆盖,创建动态顶级挂载点,并在需要时 以读写形式重新挂载 文件系统。
使用 root.transient-ro 功能时,要确保应用程序可以正确访问主机目录,并在 只读文件系统 上创建必要的挂载点,需要考虑以下事项:
- 应用程序需要绑定挂载主机目录,以匹配主机的绝对路径。
-
需要特定于平台的挂载点,如 macOS 上的
/Users。 - 部署后创建动态挂载点,但在应用程序启动之前。
-
对于常规进程,
文件系统仍为只读状态。
先决条件
-
container-tools元数据软件包已安装。
流程
创建一个
ephemeral-root-example.service服务,以创建具有读写权限/etc/afs存在。[Unit] Description=Transient Root Example - Dynamic Mount Point Creation After=local-fs.target ConditionPathExists=/etc/afs DefaultDependencies=no [Service] Type=oneshot RemainAfterExit=yes MountFlags=slave # LIBMOUNT_FORCE_MOUNT2=always is required for mount command compatibility # See: https://github.com/util-linux/util-linux/issues/3171 Environment=LIBMOUNT_FORCE_MOUNT2=always ExecStart=/usr/bin/bash -c "echo 'Transient root example: Detected /etc/afs, remounting root as read-write'; mount -o remount,rw /; mkdir -p /afs; echo 'Created /afs directory for AFS mount point'" [Install] WantedBy=multi-user.target在 ContainerFile中添加以下配置:
# Copy the systemd service unit that demonstrates dynamic mount point creation # The service will: # 1. Check for existence of /etc/afs (ConditionPathExists) # 2. Use MountFlags=slave for proper mount propagation # 3. Set LIBMOUNT_FORCE_MOUNT2=always for mount command compatibility # 4. Remount root as read-write and create /afs directory when triggered COPY transient-root-example.service /usr/lib/systemd/system/ # Enable the service to start automatically on boot RUN systemctl enable transient-root-example.service要在容器构建过程中启用
ephemeral-ro选项,请在镜像中的/usr/lib/ostree/prepare-root.conf文件中创建以下配置:RUN echo -e '[root]\ntransient=true' > /usr/lib/ostree/prepare-root.conf && \ set -x; kver=$(cd /usr/lib/modules && echo *); dracut -vf /usr/lib/modules/$kver/initramfs.img $kver注意当您更改文件系统配置时,您必须重新生成 initramfs 镜像。
使用临时根文件系统构建 bootc 镜像:
$ podman build --cap-add SYS_ADMIN -t transient-root-ro:test .这会添加
SYS_ADMIN功能,其在构建期间用于ostree操作。
验证
验证
构建镜像中正确设置了 ephemeral-ro = true配置文件:$ sudo podman run --rm transient-root-ro:test cat /usr/lib/ostree/prepare-root.conf您可以看到类似如下的输出:
[root] transient-ro = true在运行的系统中,验证运行时功能:
- 引导镜像。
创建
/etc/afs测试目录。$ sudo mkdir -p /etc/afs重启服务以触发动态挂载点创建:
$ systemctl restart transient-root-example.service服务
以读写形式重新挂载root,并创建/afs目录。
要在没有
systemd服务的情况下测试功能,请在运行的系统上以 root 用户身份创建一个测试目录:$ sudo export LIBMOUNT_FORCE_MOUNT2=always $ sudo unshare -m -- /bin/sh -c 'mount -o remount,rw / && mkdir /transient-test'验证是否已创建该目录:
$ sudo ls -d /transient-test /transient-test通过尝试写入根文件系统来验证其他进程的
只读状态:$ touch /another-test-file touch: cannot touch '/another-test-file': Read-only file system
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}