lxc-debian12: corr. profil + ajout loadavg et taille journald

creation-template-lxc-debian-12-bookworm.md

@@ -28,6 +28,7 @@ btrfs quota enable /home
 
 Configuration de la partition Btrfs (ajout de `user_subvol_rm_allowed` dans `/etc/fstab` pour pouvoir supprimer des conteneurs) :
 ```
+# /etc/fstab
 /dev/mapper/blablavg-home    /home       btrfs   user_subvol_rm_allowed        0       0
 ```
 
@@ -95,6 +96,13 @@ mkdir -p /home/ltorvalds/.config/lxc
 echo "lxc.lxcpath = /home/ltorvalds/lxc" >> /home/ltorvalds/.config/lxc/lxc.conf
 ```
 
+Note: par défaut, la charge (loadavg) dans un conteneur est celle de l'hôte. Il est possible de containeriser cette valeur
+mais cela semble consommer des ressources (CPU + locking) :
+```
+# /etc/systemd/system/lxcfs.service.d/override.conf
+[Service]
+ExecStart=/usr/bin/lxcfs /var/lib/lxcfs --enable-loadavg
+```
 
 ## Création du template
 
@@ -173,14 +181,14 @@ lxc.net.0.ipv6.address = 2a01:ab:cd:ef::abcd:ff/112
 lxc.net.0.ipv6.gateway = 2a01:ab:cd:ef::abcd:1
 
 # Profil Apparmor
-# Pour Debian Buster, on est souvent obligés de passer en unconfined
+# Pour Debian Bookworm, on est souvent obligés de passer en 'with-nesting'
 # ou par exemple de reconfigurer l'unit systemd d'Apache pour qu'il n'ait
 # pas de privatetmp & similaires.
 #  /etc/systemd/system/apache2.service.d/override.conf
 #   [Service]
 #   PrivateTmp=false
-lxc.apparmor.profile = lxc-container-default-cgns
-#lxc.apparmor.profile = lxc-container-default-with-nesting
+lxc.apparmor.profile = lxc-container-default-with-nesting
+#lxc.apparmor.profile = lxc-container-default-cgns
 #lxc.apparmor.profile = unconfined
 #lxc.apparmor.profile = generated
 #lxc.apparmor.allow_nesting = 1
@@ -248,6 +256,7 @@ EOF
 
 # Pour regagner un peu d'espace disque
 apt clean
+sed -i 's/^#SystemMaxUse=.*/SystemMaxUse=100M/' /etc/systemd/journald.conf
 
 # Pour accélérer le boot, commenter l'entrée 'eth0 dhcp...' dans /etc/network/interfaces
 # L'interface virtuelle est créée et gérée par LXC de toute façon.