NÓTESE BIEN:Esta pregunta se relaciona directamente conÉstey en particular aesta respuesta, pero no es un duplicado.
Me gustaría compartir una carpeta del host con el invitado, pero asegurarme de que la raíz del invitado no pueda escribir accidentalmente en esa carpeta.
La carpeta en mi caso es /toolchains, tanto en el anfitrión como en el invitado. Y contiene una serie de cadenas de herramientas basadas en GCC que se utilizan para apuntar a diferentes plataformas.
Ahora compartir en sí es trivial:
lxc config device add CONTAINER toolchains disk source=/toolchains path=toolchains
Técnicamente parece ser un montaje vinculante. Sin embargo, dentro del contenedor falla un montaje para que sea de solo lectura:
# mount -o remount,ro /toolchains
mount: cannot mount /dev/sda1 read-only
Lamentablemente, esto no proporciona un gran nivel de detalle.
Por si acaso, también probé esta alternativa:
# mount -o remount,ro,bind /toolchains
mount: cannot mount /dev/sda1 read-only
que se mencionó a mount(8)continuación mount --bind,ro foo foo...
¿Qué opciones tengo para lograr lo que quiero? Es decir, comparta la carpeta del host como de solo lectura con el invitado. ¿Debo usar algún tipo de unión FS aquí o es mi única posibilidad real de obtener un montaje de solo lectura en 1.) usar un recurso compartido CIFS o 2.) usar algún enlace para montar de forma vinculante la carpeta del host mediante el mountcomando del host en el ¿raíz invitada?
Estoy usando LXC 2.20.
Respuesta1
¿Qué sucede si monta su directorio de solo lectura en el host y luego lo comparte con el contenedor LXC?
mount --bind /toolchains /toolchains-ro
mount -o remount,ro,bind /toolchains-ro
lxc config device add CONTAINER toolchains disk source=/toolchains-ro path=toolchains
Técnicamente, todo lo que es de solo lectura en el nivel de host debe permanecer como de solo lectura en el contenedor.