[devel] VZ vs LXC

[Anton Farygin]

On 30.04.2014 18:51, Dmitry Derjavin wrote:
> Ср, 30 апр 2014, 13:06, Anton Farygin:
>
>> А не выгоднее ли изолировать процессы другими способами ? Сейчас же
>> есть как минимум два инструмента, позволяющих очень жёстко изолировать
>> процессы от хост системы. SELinux и механизмы LXC (которыми, кстати,
>> частично пользуется systemd)
>
> «Механизмы LXC» — это ведь те же самые механизмы, которые использует
> OpenVZ. Кстати, vzctl у нас давно уже работает на свежих ядрах. Но в
> режиме ограниченной функциональности, конечно. И эти же механизмы
> использует docker-io. И ip netns, кстати, тоже.
>
> Причём, ip netns из коробки умеет не только сетевые namespace-ы, но и
> монтирует /etc/netns/<ns>/resolv.conf в /etc/resolv.conf в отдельном
> mount namespace! Очень рекомендую.
>
> Предлагаю с этим в sysadmins на .

Дима, а расскажи здесь, пожалуйста. Чрут то всё равно ведь нужен ?

Как бы сделать так, что бы не нужно было бы загонять приложение в чрут, 
а просто ограничить его доступ к системному окружению и сети.

Тем для всё-таки не для sysadmins на . docker - это насколько я понял, 
несколько иное решение - он делает чруты на основе... ну на какой-то основе.

ip netns вообще для другого - изоляция сети дело хорошее, но это лишь 
малая часть того, что нужно для полного счастья.

Было бы здорово описывать в конфиге необходимость изоляции сервиса и 
сети, а дальше всё на себя берёт initscript (или systemd, кому как 
удобнее ;) )