内部安全容器

整体思路

1.搭设两台服务器做主机，
一台master
一台backup

master可以同时安装客户端。

2.搭设第三台机器
由于安全容器需要导入镜像，而公司的两台主机做了防护，防止篡改镜像信息，所以要搭设第三台机器。
这台机器负责制作镜像。

服务端 客户端安装

（具体过程省略）
1.安装2套80系统-202005版本

2.根据文档搭设服务器系统
遇到的问题：
过程中，由于未将数据库相关tar包放到/opt下，导致程序安装过程中 mysql相关失败。
重启机器后，vip未能启动，导致普通ip也不能启动。

解决方法：
检查ip配置 文件没问题，重启网络服务依然不能生效。
关闭自启的服务，卸载相关软件。
（keepalived 服务负责vip）

root@linx1:~# dpkg -r keepalived
root@linx1:~# systemctl stop keepalived.service

root@linx1:~# systemctl stop linxc-*
linxc-agent.service  linxc-mysql.service  linxc-ovs.service 
root@linx1:~# dpkg -r linxc-agent
root@linx1:~# dpkg -r linxc-mysql
root@linx1:~# dpkg -r linxc-ovs
root@linx1:~# reboot

客户端启动

客户端完成部署，用户可以通过快捷命令 scontainer-client 启动客户端，如：

$ /usr/bin/scontainer-client
$ /usr/bin/scontainer-client -d 

-d 参数表示后台运行 除了快捷启动方式，还可以通过 linxc 命令手动启动，命令如下：

$ linxc private run -e DISPLAY=${DISPLAY} -v /dev:/dev   -v /home:/home  --network=host 
linxc-client
$ linxc private run -d -e DISPLAY=${DISPLAY} -v /dev/opt:/dev  -v   /home:/home --network=host linxc-client

镜像制作

（暂未制作，用内部镜像测试）

镜像导入

镜像与镜像仓库管理
admin 用户：上传、待审批列表(查看、删除)、重命名、列出、删除。
XXXX 用户：对暂存镜像进行下载/手工分析/允许镜像加入镜像仓库。

镜像上传与提交审批
以 admin 用户登录后，点击左侧的“仓库”按钮，进入到仓库管理。在此界
面点击上传按钮，弹出上传选择框，用户可以上传镜像和对应的签名文件
选中镜像后，点击“下载”按钮，该镜像可以下载到本地。需要用户对镜像
进行手工分析。

镜像审批
以 XXXX 用户登录后，点击左侧的“待审批”，进入到待审批镜像列表界
面。如果镜像符合审批条件，点击“允许”按钮，该镜像被正式加入到镜像仓库
中。如果不符合审批条件，点击“回退”按钮并填写回退理由，该镜像仍被放置
于待存区中。

1.启动服务后，进入图形界面（IP填写VIP）

2.容器安装
指定版本号 、容器名、描述。

3.新建节点（IP填写当前机器的真实地址，master、backup机）

4.节点设置（点击详情进入）
a 网络配置：
设置新的IP地址（与主机同网段），
开启tcp、udp、icmp

b 容器配置
基础配置：刚设置的ip、掩码、网关、网卡；打开图形应用支持
配额：cpu 内存 磁盘配额，做限制；
网络控制： 写入VIP地址，勾选tcp、udp、icmp
环境变量：DISPLAY （在终端输入echo $DISPLAY,此处与终端保持一致）
共享目录：/dev /tmp，设置为rw
存储：随意设置（根磁盘不支持持久化，容器新添加的磁盘支持数据持久化）
安全：按需选择（此处关闭）
分级：默认

5.启动
选择节点，点击“运行”

查看自己设置的容器

回到终端，查看容器名

root@linx1:~# linxc ps
IMAGE	 CONTAINER_NAME	 COMMAND             	
test	 test	

进入容器

root@linx1:~# linxc exec test
root@test:/#