blob: e854e06ebf58411c32a711e1c6871df41c507f11 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
{ lib, config, pkgs, ... }:
with lib; let
cfg = config.local.nspawn;
in
{
options.local.nspawn.dmz.enable = mkEnableOption "DMZ services in a container";
# Situación con os-release
#
# La idea aquí es poder hacer 'btrfs subvol create /var/lib/machines/foo' y
# dejar que systemd-nspawn y el activation script creen todo lo demás. Esto
# no sirve bien debido a la prueba barata que hace systemd para revisar si el
# árbol parece contener una imagen de sistema operativo. Esta prueba falla en
# dos momentos distintos:
#
# 1. Inmediatamente tras crear un árbol vacío, puesto que os-release no existe.
# La solución naive es 'mkdir rootfs/etc && touch rootfs/etc/os-release'.
#
# 2. Luego de reiniciar el contenedor una vez que NixOS ha preparado /etc, ya que
# systemd espera un archivo regular y no telera el symlink a la store.
#
# Resulta ser que systemd revisa tanto /etc/os-release como /usr/lib/os-release.
# NixOS evidentemente no usa la segunda ruta por ser FHS, así que la duct tape
# final es 'mkdir rootfs/usr/lib && touch rootfs/usr/lib/os-release'.
config = mkIf cfg.dmz.enable {
systemd.nspawn.dmz = {
execConfig.PrivateUsers = "pick";
filesConfig.BindReadOnly =
let
containerModule = { ... }: {
config.boot.isContainer = true;
};
system = pkgs.nixos [ ../dmz containerModule ];
in
[
"/nix/store"
"${system.toplevel}/init:/sbin/init"
];
};
};
}
|
