PVE文件管理新手指南 篇四：无特权容器vs特权容器——PVE下创建LXC容器基础流程

在PVE系统中搭建文件服务器时，除了创建虚拟机，还有一个选择就是创建CT（Linux Container,简称LXC）容器。LXC利用cgroup和namespace在linux应用层创建了一个“虚拟机”（隔离的裸露文件系统），lxc和docker不同地方在于lxc包含完整的操作系统，是一个系统容器。

创建CT时，会有无特权和特权容器两种选择，先看看它们的区别是什么

无特权容器与特权容器的区别

无特权容器

无特权容器功能，NFS和SMB/CIFS选项不可用

• 无法直接访问宿主机硬件资源，只能读取数据，适用于资源盘；

• 非特权才能直通Nvida vGPU

• 普通用户身份：将宿主机的普通用户映射成容器里的root，限制了root用户权限，比特权容器更安全

• 不支持NFS和SMB/CIFS协议，挂载会报错：

mount error(1): Operation not permitted lxc

特权容器

特权容器功能，除了按键以外皆可用

• 可以直接访问宿主机硬件资源（硬盘、显卡）

• 支持NFS和SMB/CIFS协议，可以像在Linux系统中一样使用mount命令挂载SMB共享的目录

• root用户身份：支持以root身份运行各种lxc命令

两者都可以创建完整的gnome kde桌面环境，或者虚拟一个Windows/macOS，启用嵌套以支持部署docker类应用、启用fuse来挂载Onedrive这样的网盘服务等。

也就是说，如果你打算在LXC中直接挂载其它虚拟机或其它LXC容器中的NFS/Samba目录，又有将显卡直通给docker下的应用（如jellyfin，emby，plex这些需要使用显卡转码的服务），应该选择LXC特权模式；否则大部分场景还是默认的无特权模式即可，例如DNS/文件服务器/共享数据库。

更多内容参考：https://mozillazg.com/2021/11/docker-container-difference-between-privileged-mode-and-non-privileged-mode.html

PVE下创建LXC容器基础流程

换源

由于国内环境默认的源无法下载CT模板，因此要先将模板来源替换为国内的。如果已换过，可以直接下一步下载CT模板。

在PVE >_Shell中执行：

#替换为清华大学的源

cp /usr/share/perl5/PVE/APLInfo.pm /usr/share/perl5/PVE/APLInfo.pm_backsed -i 's|http://download.proxmox.com|https://mirrors.tuna.tsinghua.edu.cn/proxmox|g' /usr/share/perl5/PVE/APLInfo.pm

继续执行以下命令，重启服务让新源生效：

systemctl restart pvedaemon.service

下载CT模板

local-CT模板-模板，选择debian-或ubuntu-开头的模板进行下载：

选择CT模板

等待Task OK下载完成即可

创建CT容器

在Web界面右上角点击“创建CT”

1.常规：自定义主机名称，root用户密码

无特权容器：默认勾选无特权容器，支持嵌套

无特权容器

特权容器：

特权容器

2.模板：选择之前下载的「Debian」或「Ubuntu」CT模板

3.磁盘：默认8G，或者根据需求设置

4.CPU：默认1核，或者根据需求设置

5.内存：默认512M，或者根据需求设置

6.网络：IPv4选择静态，填写和PVE同一网段IP，网关写路由器地址；IPv6默认或SLAAC。后面可以修改。

7.DNS：默认，或者根据需求设置

8.确认：保持不勾选“创建后启动”以便后续启动前的容器配置工作