Sin Docker, no hay problema: Parte 1 - Sitio web PHP

Introducción

Este es el seguimiento de Construya un contenedor desde cero.

Esta vez cargaremos un sitio web PHP dentro del contenedor.

Parte 2:¿No tienes Docker? ¡No hay problema! Parte 2: Aplicación de n niveles está disponible para nuestro miembros pagados.

Experimento

Terminal 1 - usuario root

Terminal 2 - usuario

NOTA: apparmor-restrict-unprivileged-userns

Para Terminal 2, Se introdujeron versiones recientes de Ubuntu (¿24.xx y posteriores?)kernel.apparmor_restrict_unprivileged_userns que restringe a los usuarios sin privilegios la creación de espacios de nombres:anotado aquí. Puedes:

a) Utilice un usuario root en lugar de la Terminal 2

O

b) Ejecute este comando para deshabilitar temporalmente la función:sysctl -w kernel.apparmor_restrict_unprivileged_userns=0. O puedes hacer esto para que persista al reiniciar.(NO RECOMENDADO POR RAZONES DE SEGURIDAD)

tee /etc/sysctl.d/99-unpriv-userns.conf <<EOF kernel.apparmor_restrict_unprivileged_userns=0 EOF sysctl --system

Puedes ver todos los demás parámetros del kernel haciendo lo siguiente:

ls /proc/sys/kernel/ # lists all kernel parameters cat /proc/sys/kernel/{filename} # shows 1 for enabled or 0 for not enabled sysctl --all # lists ALL system parameters sysctl --all | grep kernel. # lists props in /proc/sys/kernel

Ir a la Terminal 1

Configurar la red de puente para más tarde:

ip link add name br0 type bridge; ip addr add 172.16.2.11/24 brd + dev br0; ip link set br0 up; iptables -A FORWARD -i br0 -j ACCEPT; sysctl -w net.ipv4.ip_forward=1 iptables -t nat -A POSTROUTING -s 172.16.2.0/24 -j MASQUERADE

Configurar cgroups:

mkdir /sys/fs/cgroup/container_cpu echo +cpu > /sys/fs/cgroup/cgroup.subtree_control echo '50000 100000' | sudo tee /sys/fs/cgroup/container_cpu/cpu.max

Contenedor 1

Ir a la Terminal 2

Descargar alpino:

mkdir c1; cd c1; wget http://dl-cdn.alpinelinux.org/alpine/v3.19/releases/x86_64/alpine-minirootfs-3.19.1-x86_64.tar.gz; mkdir alpine; tar -xzf alpine-minirootfs-3.19.1-x86_64.tar.gz -C alpine;

Configurar espacios de nombres:

unshare -U -r /bin/bash unshare --uts /bin/bash hostname container1 unshare --pid --fork --mount-proc --ipc --net --cgroup /bin/bash tail -F pizza

Ir a la Terminal 1

Encuentra el pid, en este caso será 1242:

root@evermight:~# ps auxf USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 939 0.0 0.1 17180 10788 ? Ss 21:34 0:00 \_ sshd: evermight [priv] evermig+ 1045 0.1 0.0 17312 8060 ? S 21:35 0:00 | \_ sshd: evermight@pts/0 evermig+ 1046 0.0 0.0 8868 5816 pts/0 Ss 21:35 0:00 | \_ -bash evermig+ 1164 0.0 0.0 8792 5524 pts/0 S 21:38 0:00 | \_ /bin/bash evermig+ 1184 0.0 0.0 8792 5512 pts/0 S 21:39 0:00 | \_ /bin/bash evermig+ 1241 0.0 0.0 5772 992 pts/0 S 21:39 0:00 | \_ unshare --pid --fork --mount-proc -- evermig+ 1242 0.0 0.0 8792 5584 pts/0 S 21:39 0:00 | \_ /bin/bash evermig+ 1281 0.0 0.0 5772 1012 pts/0 S+ 21:41 0:00 | \_ sleep tail -F pizza

Configurar la red de contenedores:

pid=1242 ip link add veth0 type veth peer name ceth0 ip link set ceth0 netns /proc/$pid/ns/net; ip link set veth0 up; ip link set veth0 master br0; echo $pid | sudo tee /sys/fs/cgroup/container_cpu/cgroup.procs

Ir a la Terminal 2

Red completa y cárcel del sistema de archivos:

cip='172.16.2.20/24' ip link set lo up ip link set ceth0 up ip addr add $cip dev ceth0 ip route add default via 172.16.2.11 mount --bind alpine alpine cd alpine mkdir root_fs pivot_root . root_fs umount -l root_fs cd /

Actualice el host para que pueda acceder a los CDN alpinos, reemplácelos 1.1.1.1 con lo que sea dado por nslookup dl-cdn.alpinelinux.org:

echo '1.1.1.1 dl-cdn.alpinelinux.org' >> /etc/hosts

Descargar y servir un sitio web php:

apk update apk add php curl echo '<?php echo "<h1>It is currently <span style=\"color: red;\">".date("Y-m-d H:i:s")."</span></h1>"; ' > index.php php -S 0.0.0.0:80 & curl http://localhost

Ir a la Terminal 1

curl http://172.16.2.20

Configurar iptables para NAT para que el contenedor sea accesible públicamente:

iptables -A FORWARD -p tcp -d 172.16.2.20 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination 172.16.2.20:80

Ahora visita tu http://your-server-ip.