The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз LXC 1.0, системы изолированных контейнеров Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от opennews (??) on 21-Фев-14, 20:06 
Представлен (http://linuxcontainers.org/news/) первый стабильный выпуск инструментария LXC 1.0 (http://linuxcontainers.org), официально объявленный пригодным для промышленного применения. В рамках проекта развивает набор инструментов для организации работы изолированных контейнеров, позволяющих изолировать процессы и ресурсы при помощи штатных механизмов ядра Linux, таких как  пространства имён (namespaces) и группы управления (cgroups). Поддержка выпуска исправлений для ветки LXC 1.0 будет осуществляться в течение пяти лет.

В отличие от технологий виртуализации на основе гипервизоров, контейнеры выполняются под управление единого ядра Linux, без необходимости запуска отдельного ядра и набора драйверов в каждом окружении. По своим возможностям контейнеры занимают нишу между изоляцией при помощи chroot и полноценными средствами виртуализации. В состав инструментария LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов  для различных языков программирования.


Кроме  пространств имён (namespaces), которые используются для изоляции ipc, uts, точек монтирования, идентификаторов процессов и сетевого стека, и cgroups, применяемых для ограничения ресурсов, в LXC также задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities.

Ключевые улучшения в LXC 1.0 (подробный обзор с примерами можно найти здесь (https://www.stgraber.org/2013/12/20/lxc-1-0-blog-post-series/)):


-  Поддержка полностью непривилегированных контейнеров;
-  Стабилизация API (liblxc1) для создания и управления контейнерами;
-  Поставка официальных биндингов для использования API в программах на языках python3, lua, ruby и Go;
-  Гибкая система размещения контейнеров в различных типах хранилищ.  Поддерживается размещение контейнеров в обычном дереве директорий, в ФС btrfs и zfs, в lvm, loop-устройствах, aufs и overlayfs;
-  Поддержка клонирования работающих контейнеров и возможность  заморозки их состояния через создание снапшотов;
-  Сокращенный, но более целостный, набор утилит;
-  Обновлённая и полноценная документация;
-  Поддержка нескольких методов создания контейнеров на основе недавно сгенерированных образов;
-  Поставка шаблонов для создания контейнеров на основе популярных дистрибутивов Linux.


URL: https://lists.linuxcontainers.org/pipermail/lxc-devel/2014-F...
Новость: http://www.opennet.dev/opennews/art.shtml?num=39154

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +1 +/
Сообщение от Аноним (??) on 21-Фев-14, 20:06 
Вообще, по-хорошему, речь идет только о наборе юзерспейсных программ, являющихся лишь одним из возможных реализаций интерфейса к ядерным фичам LXC.
Другие реализации - Docker, libvirt-lxc, systemd-nspawn - развиваются гораздо динамичнее.
В любом случае, все равно нужно ждать, пока в ядре окончательно допилят UID namespaces, без этого изоляция получается весьма эфемерной.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 21-Фев-14, 20:39 
А чего конкретно сложно сделать без UID namespaces?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 21-Фев-14, 22:25 
> А чего конкретно сложно сделать без UID namespaces?

Без UID namespaces, root из контейнера == root на хосте. Допустим, ФС хоста и сетевой стек и он и не увидит, но есть ряд механизмов никсового IPC, которые игнорируют контейнеры.

Например, если запустить ubuntu в lxc на убунтовом хосте, команда reboot из контейнера перезагружает хост.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 21-Фев-14, 22:34 
А можно подробнее на почитать? Получается, что все эти разговоры про контейнеры, докер, етц - пустой пиар?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 21-Фев-14, 23:13 
> Получается, что все эти разговоры про контейнеры, докер, етц - пустой пиар?

Нет, просто LXC-контейнеры (в современном их виде) - не для безопасности, а для более удобного управления ресурсами и приложениями.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 22-Фев-14, 08:26 
Так ведь это так и есть. Для безопасности, допустим, те же сервисов, выставленных наружу, те же cgroups без всяких контейнеров подходят лучше.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

44. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 22-Фев-14, 20:55 
> Так ведь это так и есть. Для безопасности, допустим, те же сервисов,
> выставленных наружу, те же cgroups без всяких контейнеров подходят лучше.

cgroups - это только компонент контейнера. Таких механизмов, как изоляция точек монтирования, сетевого стека, и т.д. - они не предоставляют.
Но даже в сочетании с namespaces, они все равно (пока) уступают старому доброму OpenVZ.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

48. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +1 +/
Сообщение от Аноним (??) on 23-Фев-14, 00:26 
Зачем моему сервису, крутящемуся на моей машине, изоляция точек монтирования и сетевого стека? Ему нужно всего-то более-менее ограничить ресурсы и более-менее защитить его от проламывания.

OpenVZ - это когда я вдруг решу на эту машину пустить зачем-то десяток незнакомых людей с их сервисами. Правда, я и тогда возьму Xen.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

51. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 23-Фев-14, 02:09 
> Зачем моему сервису, крутящемуся на моей машине, изоляция точек монтирования и сетевого стека?
> более-менее защитить его от проламывания.

this

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

61. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 23-Фев-14, 18:05 
И?
Дисковой квоты и обрезания прав недостаточно?

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

53. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 23-Фев-14, 06:42 
> Xen.

А нафига? KVM мало?

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

62. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 23-Фев-14, 18:06 
Медленно. Особенно в районе сети.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

63. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  –1 +/
Сообщение от pavel_simple (ok) on 23-Фев-14, 19:18 
> Медленно. Особенно в районе сети.

враньё

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

69. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 25-Фев-14, 09:03 
> Медленно. Особенно в районе сети.

Не заметил. Virtio там есть, etc.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

65. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от pavlinux (ok) on 24-Фев-14, 01:19 
Чё только не придумают, лишь бы маны не читать!

> и более-менее защитить его от проламывания.

Если ты пишешь на Опеннете, значит твой сервак нахер никому не нужен. :-P

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

19. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 22-Фев-14, 02:48 
>Без UID namespaces, root из контейнера == root на хосте.

Сам проверял, загрузить/выгрузить ядрёный модуль тем (внутренним) рутом не даёт. И reboot хоста не происходит. Ядро ванильное самосборное 3.4 и не Ubuntu.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

39. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 22-Фев-14, 20:41 
> Сам проверял, загрузить/выгрузить ядрёный модуль тем (внутренним) рутом не даёт.

Это уже давно прикрыли. Но это всего лишь одна из десятков дырочек... все не упомнишь.

> Ядро ванильное самосборное 3.4 и не Ubuntu.

Демка с ребутом основана на особенностях upstart (там для взаимодействия telinit и init используется не сокет, а D-Bus). Тем не менее, суть иллюстрирует довольно неплохо.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

49. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 23-Фев-14, 01:32 
> Сам проверял, загрузить/выгрузить ядрёный модуль тем (внутренним) рутом не даёт. И reboot хоста не происходит. Ядро ванильное самосборное 3.4 и не Ubuntu.

Ну, если не Ubuntu, могу предложить попробовать поменять системное время в контейнере. Результат должен порадовать :)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

50. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 23-Фев-14, 01:35 
> Ну, если не Ubuntu, могу предложить попробовать поменять системное время в контейнере.
> Результат должен порадовать :)

На Ubuntu, конечно тоже будет работать, но там есть еще и много других впечатляющих граблей. Но вот прикол со временем - универсальный.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

22. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  –1 +/
Сообщение от cadmi on 22-Фев-14, 10:26 
> Например, если запустить ubuntu в lxc на убунтовом хосте, команда reboot из
> контейнера перезагружает хост.

Пробовал? :) Или Мойша напел?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

26. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +3 +/
Сообщение от Анонимно on 22-Фев-14, 14:26 
Я пробовал. Ubuntu 13.10 32bit.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

64. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Антон (??) on 24-Фев-14, 00:49 
> Например, если запустить ubuntu в lxc на убунтовом хосте, команда reboot из контейнера перезагружает хост.

Что за ересь? Перегружает. Только не хост, а гест.
LXC в 12.04LTS вполне себе работают с самого начала, и ,как минимум, для билдстанций и отладочных нужд - очень экономное решение.  

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

66. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Ващенаглухо email(ok) on 24-Фев-14, 10:23 
"команда reboot из контейнера перезагружает хост." наверно это только на убунте, на арче такого не происходит.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

5. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  –1 +/
Сообщение от ананим on 21-Фев-14, 21:42 
> Другие реализации - Docker, libvirt-lxc, systemd-nspawn - развиваются гораздо динамичнее.

   # Создадим контейнер с именем "p1", используя шаблон "ubuntu"
   # Войдём в контейнер через консоль (для выхода нужно набрать ctrl-a + q)
   # Заморозим состояние контейнера
   # Разморозим состояние контейнера
   # Пробросим устройства в контейнер
   # Создадим снапшот (при размещении контейнера в LVM или Btrfs)
   # Откатим состояние на созданный снапшот
   # Создадим новый контейнер на основе снапшота

Как?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 21-Фев-14, 22:23 
> Как?

Легко. Например, Docker это умел еще полгода назад.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  –5 +/
Сообщение от ананим on 21-Фев-14, 22:57 
а ты ткни пальчиком, деточка, а то не видно старичку то.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 21-Фев-14, 23:09 
http://docs.docker.io/en/latest/use/

Дальше сами осилите, или мне придется еще и учить вас пользоваться браузером?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

32. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  –4 +/
Сообщение от ананим on 22-Фев-14, 19:04 
понятно, ответа нет.
так вот, сабж, в отличие от ваших ссылок, работает.
а там пока только „договор о намерениях“. не говоря уже об экзотичности языка, на котором он написан и сам не стабилизирован.

зыж
всех минусующих просто отнесу к тем, кто этот доккер в глаза не видел.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

40. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 22-Фев-14, 20:43 
> понятно, ответа нет.

Скорее, человек просто лень писать персонально для вас подробное руководство, и он понадеялся, что вы не маленький и умеете пользоваться браузером и бегло читать по-английски.

> так вот, сабж, в отличие от ваших ссылок, работает.

Docker тоже работает, причем давно и успешно.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

46. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  –1 +/
Сообщение от ананим on 22-Фев-14, 21:17 
> Скорее, человек просто лень писать персонально для вас подробное руководство

Скорее вы тролль.
И ни разу не пробовали ни то, ни другое.
Вывод — а напуркуа вы это всё написали?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

10. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Miha (??) on 21-Фев-14, 22:30 
А как у него с оверхедом, например, по-сравнению с FreeBSD Jail?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +1 +/
Сообщение от Аноним (??) on 21-Фев-14, 22:33 
Какой оверхед там вообще может быть? Контейнер - это просто совокупность процессов, использующих общие namespaces.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

23. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  –3 +/
Сообщение от Xaionaro (ok) on 22-Фев-14, 10:26 
Сам вак ключенных namespace-ов, cgroup-ов и т.п. в ядре даёт overhead-ы.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +4 +/
Сообщение от Аноним (??) on 22-Фев-14, 11:48 
А уж ядро какие даёт оверхеды! То ли дело bare metal.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

56. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Xaionaro (ok) on 23-Фев-14, 10:11 
> А уж ядро какие даёт оверхеды! То ли дело bare metal.

Вы наверное удивитесь, но в разной конфигурации ядро работает с разной скоростью.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

70. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 25-Фев-14, 09:08 
> Вы наверное удивитесь, но в разной конфигурации ядро работает с разной скоростью.

Поэтому айда програмить в досе, на голом асме. Вот там точно никакого оверхеда.


Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

35. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от ананим on 22-Фев-14, 20:01 
> Сам вак ключенных namespace-ов, cgroup-ов и т.п. в ядре даёт overhead-ы.

Нет.
Не даёт.
Фактически это только куда смотрит как на рут граф.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

57. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Xaionaro (ok) on 23-Фев-14, 10:13 
>> Сам вак ключенных namespace-ов, cgroup-ов и т.п. в ядре даёт overhead-ы.
> Нет.
> Не даёт.
> Фактически это только куда смотрит как на рут граф.

Хм, а в документация к ядру и lwn.net думают иначе [1], насколько я помню.

[1] http://lwn.net/Articles/516533/

То есть если вы их включили в ядре, вы уже полчили overhead-ы, вне зависимости от того, используете их или нет.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

41. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 22-Фев-14, 20:44 
> Сам вак ключенных namespace-ов, cgroup-ов и т.п. в ядре даёт overhead-ы.

Нет. Только отдельные контроллеры cgroups, типа memory. Но их включать не обязательно.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

58. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Xaionaro (ok) on 23-Фев-14, 10:14 
>> Сам вак ключенных namespace-ов, cgroup-ов и т.п. в ядре даёт overhead-ы.
> Нет. Только отдельные контроллеры cgroups, типа memory. Но их включать не обязательно.

Давая контейнеру доступ ко всей памяти получается слишком плохая изоляция. Получается что контейнер становится способен вызвать DoS всех сервисов всех соседних контейнеров и хост-системы.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

34. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Аноним (??) on 22-Фев-14, 20:00 
0.93% в среднем
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от Стоян on 21-Фев-14, 22:38 
Фантастичная статья - огромное спасибо - долго искал короткое описание, как например есть у зони Соляриса - всего доброго!!!
:)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +/
Сообщение от ананим on 22-Фев-14, 20:02 
совсем другой подход в реализации.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Релиз LXC 1.0, системы изолированных контейнеров Linux"  +1 +/
Сообщение от Василий (??) on 21-Фев-14, 23:14 
Стефан Грабер (Stéphane Graber), в преддверии выхода 20 февраля 2014 года релиза LXC 1.0, опубликовал цикл статей о Linux Containers.
Рассмотрены:
* Первый Ubuntu контейнер.
* Второй контейнер.
* Продвинутое использование контейнера.
* Более углублённое использование контейнера.
* Хранилище контейнеров.
* Безопасность.
* Непривилегированные контейнеры.
* Скрипты и API.
* GUI в контейнере.
* Решение проблем и отладка.
Оригинал https://www.stgraber.org/2013/12/20/lxc-1-0-blog-post-series
Перевод  http://vasilisc.com/lxc-1-0-blog-post-series
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от аывыв on 22-Фев-14, 09:48 
>По своим возможностям контейнеры занимают нишу между изоляцией при помощи chroot

намного безопаснее chroot'а?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Аноним (??) on 25-Фев-14, 09:09 
> намного безопаснее chroot'а?

Ощутимо - изолируется не только ФС но и иные неймспейсы, что явно лучше.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Аноним (??) on 22-Фев-14, 13:41 
Когда игрался на убунте 12.4 обнаружил невозможность ограничить даже размер памяти в контейнере не говоря уж о потреблении проца. Ядро какие-то фичи не поддерживало вроде.
Но самое главное, убунта в контейнере не может обновиться штатными средствами, т к ее скипты при обновлении upstart завершаются с ошибкой и система превращается в нерабочую.
Оказалось проще поставить виртуалку ))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  –3 +/
Сообщение от Аноним (??) on 22-Фев-14, 14:56 
> Когда игрался на убунте 12.4 обнаружил невозможность ограничить даже размер памяти в
> контейнере не говоря уж о потреблении проца. Ядро какие-то фичи не

Это называется resource management. Отсутствует как класс в лине.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +1 +/
Сообщение от Apple on 22-Фев-14, 15:17 
И давно оно стало отсутствовать? И у кого присутствует лучше?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

38. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Аноним (??) on 22-Фев-14, 20:28 
Оно просто никогда не было написано.

А присутствует дофига где. В Солярис 10, например. Там весьма продвинутый менеджмент ресурсов в контейнерах.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

43. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Аноним (??) on 22-Фев-14, 20:52 
> А присутствует дофига где. В Солярис 10, например. Там весьма продвинутый менеджмент ресурсов в контейнерах.

У меня не получилось. Следовательно, в солярке тоже отсутствует как класс :)

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

72. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Аноним (??) on 25-Фев-14, 09:10 
> Отсутствует как класс в лине.

То-то линем все хостеры ползуются. Что для впсок на опенвзе, что для виртуалок на xen/kvm и прочих облаков.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  –1 +/
Сообщение от Apple on 22-Фев-14, 15:26 
Нужно пробовать на 14.04, там будет новый LXC 1.0, в 12.04.4 да, всё грустно с ним.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +2 +/
Сообщение от CssfPZS (ok) on 22-Фев-14, 15:52 
Поставь Linux и бдет тебе счастье.
К.О.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  –3 +/
Сообщение от Аноним (??) on 22-Фев-14, 19:45 
Подозреваю, дебиан тоже не линукс.
На роль домашнего серверо-декстопа (с поддержкой больше 5 лет) не так уж много претендентов.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

37. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +1 +/
Сообщение от CssfPZS (ok) on 22-Фев-14, 20:12 
> Подозреваю, дебиан тоже не линукс.
> На роль домашнего серверо-декстопа (с поддержкой больше 5 лет) не так уж
> много претендентов.

В отличие от горбатой убунту, Debian как раз таки один из нормальных представителей Linux семейства.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

55. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Аноним (??) on 23-Фев-14, 06:45 
> В отличие от горбатой убунту, Debian как раз таки один из нормальных
> представителей Linux семейства.

Вот только найти 10 отличий между ними не подсматривая в версии софта... :)

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

45. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Аноним (??) on 22-Фев-14, 20:57 
> Подозреваю, дебиан тоже не линукс.
> На роль домашнего серверо-декстопа (с поддержкой больше 5 лет) не так уж
> много претендентов.

К сожалению, именно у Ubuntu (в частности, из-за особенностей сборки ядра и проблем в архитектуре upstart) очень серьезные противопоказания к работе LXC-хостом.

Используйте Debian, либо CentOS с OpenVZ.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

42. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Аноним (??) on 22-Фев-14, 20:51 
> Когда игрался на убунте 12.4 обнаружил невозможность ограничить даже размер памяти в
> контейнере не говоря уж о потреблении проца. Ядро какие-то фичи не
> поддерживало вроде.

Сравнительно старое ядро + особенности убунтовой сборки.
// Сейчас посмотрел конфиг ядра в стабильном дебиане (тоже 3.2) - управление памятью есть.

> Но самое главное, убунта в контейнере не может обновиться штатными средствами, т
> к ее скипты при обновлении upstart завершаются с ошибкой и система
> превращается в нерабочую.

Особенности национального upstart-а. Он не приспособлен для работы к контейнерах, в отличие от systemd, например. В результате команды управления init-ом из контейнера пытаются ломиться к процессу init хоста, с переменным успехом.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

52. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Kibab email(ok) on 23-Фев-14, 02:49 
Если у команд управления инитом из контейнера получается убить хост-систему -- такие контейнеры не нужны, не правда ли?
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

54. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  –2 +/
Сообщение от Аноним (??) on 23-Фев-14, 06:44 
> контейнеры не нyжны, не правда ли?

Ну да, сейчас нам бздюки дадут краткий курс использования контейнеров. Правда почему-то все хостинги поголовно на openvz сидят :). Или на виртуалзаторах типа xen и kvm. ИЧСХ там тоже линь. И на вашем десктопе макось. А так то да, бзды хорошие системы. Если ими пользоваться чисто на поиграться и забыть.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

59. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Kibab (ok) on 23-Фев-14, 11:22 
>> контейнеры не нyжны, не правда ли?
> Ну да, сейчас нам бздюки дадут краткий курс использования контейнеров.

Заканчивай истерику и внимательно перечитай вопрос, на который отвечаешь.
Каким образом получается, что сигнал из контейнера вообще доходит до PID 1?


Правда почему-то
> все хостинги поголовно на openvz сидят :). Или на виртуалзаторах типа
> xen и kvm.

Аг, вот мы как раз Linux и используем как хорошую запускалку виртуальных машин :-)  другого применения не находится. Так что тут соглашусь.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

73. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Аноним (??) on 25-Фев-14, 09:24 
> Каким образом получается, что сигнал из контейнера вообще доходит до PID 1?

Интимные особенности работы апстарта, сигнал приезжает "неожиданным" маршрутом который не удавили (dbus).

> Аг, вот мы как раз Linux и используем как хорошую запускалку виртуальных машин :-)

Странно что не hyper-v, было бы прикольнее смотреть как бы вы этот кактус грызли.

> другого применения не находится.

Ну а что что с проприераса взять? Он фапает на бзду но грузится в макось или максималку, знаем мы это дело. Ну или вот линь на виртуализаторе. Потому что toy OS и на виртуализатор не тянет.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

76. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Kibab_not_logged_in on 25-Фев-14, 21:31 
>> Каким образом получается, что сигнал из контейнера вообще доходит до PID 1?
> Интимные особенности работы апстарта, сигнал приезжает "неожиданным" маршрутом который
> не удавили (dbus)

Причем тут вообще апстарт??? Каким образом userland-приложение стало причиной того, что ядро ниасилило заглушить посланный тз контейнера сигнал? Тебе самому не смешно?

>> Аг, вот мы как раз Linux и используем как хорошую запускалку виртуальных машин :-)
> Странно что не hyper-v, было бы прикольнее смотреть как бы вы этот
> кактус грызли.

Я смотрю, богатый опыт у анонима в пожирании кактусов.

>> другого применения не находится.
> Ну а что что с проприераса взять? Он фапает на бзду но
> грузится в макось или максималку, знаем мы это дело. Ну или
> вот линь на виртуализаторе. Потому что toy OS и на виртуализатор
> не тянет.

Я уже неоднократно писал тут, какие мы продукты делаем на базе бзды, продолжайте прятать голову в песок :-)

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

60. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  –2 +/
Сообщение от Аноним (??) on 23-Фев-14, 18:00 
Ну не видели люди SmartOS с нормальными Zones.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

74. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Аноним (??) on 25-Фев-14, 09:25 
> Ну не видели люди SmartOS с нормальными Zones.

Кому было сильно надо - сто лет юзают OpenVZ в продакшне. Ну и виртуалки вот. А zones - они где? Много на них продакшнов у хостеров? Ну вот и...

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

67. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Ващенаглухо email(ok) on 24-Фев-14, 10:29 
Вот бы ещё эти контейнеры могли использовать KSM. 20 запущенных контейнеров сожрали 14 гигов.
Кстати пробовал ядро с UKSM, хрень полная... не работает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Stax (ok) on 24-Фев-14, 18:54 
Ну, не просто так его до сих пор в ядро не включили :)
KSM+KVM/QEMU хотя бы реальный эффект дают..
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

75. "Релиз LXC 1.0, системы управления изолированными контейнерам..."  +/
Сообщение от Онаним on 25-Фев-14, 10:46 
> Вот бы ещё эти контейнеры могли использовать KSM.

Не секурно. Да и память нынче дешева.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру