alpでfirewalldをpodmanで動かしてみる
ALP (Adaptive Linux Platform)は、SUSEとopenSUSEで開発している次世代OSのベースです。イミュータブルで軽量な仕様となっています。
この冬発売のGeeko MagazineにインストールとCockpitというブラウザから管理できるアプリの体験記を書いていますので、ぜひ皆さん試してみてください。
さて、今日は公式ドキュメントにある、firewolldをpodmanで動かす手順をやってみようと思います。
まず、alpにログインし、alp用のfirewalldのコンテナを特定します。
1 |
# podman search firewalld |
そうすると、ドキュメントにも乗っているalp用ワークロードが搭載された registry.opensuse.org/suse/alp/workloads/tumbleweed_images/suse/alp/workloads/firewalld のイメージが見つかります。
次に、手順の通り、alpからパッケージとしてのfirewalldを削除します。alpはイミュータブルなため、通常のzypperコマンドではなく、専用のtransactional-updateコマンドで暫定的な削除を行い、リブートすることでそれがシステムに適用されます。
1 2 |
# transactional-update pkg remove firewalld # reboot |
では、イメージのワークロードを実行します。
1 2 |
# podman container runlabel install \ registry.opensuse.org/suse/alp/workloads/tumbleweed_images/suse/alp/workloads/firewalld |
他のイメージの実行時にも触れましたが、podmanは実行コマンドにラベルを貼ることができ、runlabel コマンドでそのラベルを指定して実行することができます。一連のalpワークロード用イメージは、installといったラベルにホストの設定などの処理を持たせています。
ドキュメントによると、firewalldはpolkitやsystemdなどの準備をしてくれているようです。
そう言えば、冒頭にdbusとpolkitの設定ファイルが必要、と書いてあったのですが、特に用意はせず、、、さて、どうなるでしょうか。
インストールが終わったので実行します。
1 2 |
# podman container runlabel run \ registry.opensuse.org/suse/alp/workloads/tumbleweed_images/suse/alp/workloads/firewalld |
コンテナが実行されました。ではコンテナ経由でfirewall-cmdを実行してみます。
1 |
# podman exec firewalld firewall-cmd --list-all-zones |
すると、zoneが表示され、firewall-cmdが実行可能なことがわかりました。
なお、firewalldのコンテナはホストを制御する関係上、privilegedで動いています。また、podmanを使っている場合、systemdとも統合されていて、systemctlコマンドで制御することが可能です。例えば、コンテナの起動は以下のコマンドで代替できます。
1 |
# systemctl start firewalld |
なお、firewalldやfirewall-cmdのマニュアルをコンテナ経由で見る方法もドキュメントに書かれていました。
firewalldならば、
1 2 3 |
# podman run -i --rm \ registry.opensuse.org/suse/alp/workloads/tumbleweed_images/suse/alp/workloads/firewalld \ man firewalld |
firewall-cmdならば、
1 2 3 |
# podman run -i --rm \ registry.opensuse.org/suse/alp/workloads/tumbleweed_images/suse/alp/workloads/firewalld \ man firewall-cmd |
で参照可能です。 manコマンドをコンテナの中で呼び出しているわけですね。
個人的に、firewalldをコンテナで実行する利点欠点が見えていない所があり、そのあたりも追って調査考察してみたいと思います。