家人们,咱们来唠唠在Proxmox里用特权LXC那些事儿,千万要小心!就算你是刚接触Proxmox的新手,大概率也会被LXC这玩意儿给盯上。这东西隔离性确实不咋滴,但贵在灵活,费的电也少,特别是Proxmox VE Helper-Scripts给咱们备好了一堆模板,装起来特别顺手。 市面上的LXC分两种:一种是特权的,另一种是没啥特权的。大多数工具默认选的是非特权的,咱们在家庭实验室里搞的时候也都爱用这个。为啥?因为特权的那几个看起来特别省事,像是显卡、USB外设,往容器里一塞就能用。要是像我一样在NAS上存满了电子书、图片或者各种ROM,用非特权容器想搞个网络共享简直就是噩梦,只能在主机上先挂载好再硬塞进去,这种方式在集群环境下特别不靠谱。 对于Ollama、Immich还有Jellyfin这些吃GPU的大户来说,走LXC这条路确实不错。你也不用费劲去弄啥SR-IOV或者改内核模块了,只要找到设备路径,直接在LXC的资源选项卡里点添加就行。不过要注意了,特权容器虽然设备直通简单,但权限也跟主机的根用户平起平坐。这就意味着一旦容器里进了病毒或者恶意软件,很快就能顺着UID/GID映射渗透到整个PVE节点里。 反观非特权的LXC,虽然搞设备直通得改一堆配置文件和命令才勉强能用,但权限确实有限得很。毕竟它是通过把容器里的根ID映射到主机上一个大数字的UID/GID来实现的。这就好比把家里大门钥匙交给别人锁着一样安全。 其实我刚开始也犯过错误,在可能毁了主机之前才想通这其中的道理。非特权容器搞NFS共享简直是灾难现场,因为权限问题比普通设备还要复杂。后来我不得不改用特权容器来运行Jellyfin和Calibre-Web,为的就是图个方便省事。 总的来说,特权容器就像是一把双刃剑。你要是不想折腾技术细节、追求简单好用的体验它是不错的选择;但如果你家里的环境还没连上互联网、数据还不太重要、安全要求也不高的话也无所谓。反正要是以后打算在高可用性集群里折腾或者玩PCI直通、网络共享之类的活儿,非特权LXC可能才是更靠谱的选项。