>> ваш пентиум 4 прекрасно потянет.
>
>Вопрос не в потяент - не потянет, а в оверхеде и итоговом
>"КПД" связки. Железка порезанная взой по свойствам мало отличается от железки
>без взы, что логично. А вот полновесные виртуализаторы некоторые операции изрядно
>тормозят в силу методов своей работы. Ксен - это паравиртуализация, и оверхед получается не сильно заметный.
>
>> это будет много более секьюрно и функционально чем система построенная на контейнерах.
>
>А обосновать? Так, FYI, немного о секурити: я пытался долбать взовые контейнеры
>сплойтами для ядра - сие не работало нифига, в отличие от
>просто машин. Алсо, из контейнеров нельзя грузить модули ядра.
Что тоже полный фейл кстати )
>ресурсов и гарантии, так что атаки нацеленные на выжирон всех ресурсов
>- тоже пролетают, зиллионы юзверей на вдсках проверили эти механизмы во
>всех позах. Вообще, я что-то не припоминаю сообщений на секурити сайтах
>о взломе опенвзы.
Да не надо ломать собственно vz, скорее устройства и ioctl вызовы native ядра.
>взломать зато вижу 100500 методов подсунуть хацкерам некое подобие "руткита" (невидимые
>ловушки и мониторы активности) заранее. А зачем бы вебсерверу скажем вызывать
>команду ls? Поадминистрячить его можно и с хоста, а вот если
>он сам вдруг вызвал такую команду - хакер, определенно, спалился :).
Какой ls из сервера, вы о чем? Если уж хотите безопасность - тот же php-fpm умеет chroot`ить себя после запуска.
>дележ ресурсов и гарантии, снапшоты, миграцию на ходу на другой хост.
>Не любой полный виртуализатор то таким набором фич похвастает.
Дележ ресурсов в ксене сделан много более позитивно. С безопасностью - в случае, например, уязвимости одного из системных вызовов, которые непосредственно обрабатываются хостом - ваш эксплоит получит доступ в адресное пространство хоста. В случае ксена или квм-а это будет только гость. Как-то так. Кроме того - и в случае потенциального взлома хоста добраться до содержимого контейнера или процессов запущенных в нем будет намного проще. Кстати, мне прекрасно удавалось трапать ядро хоста (!) из контейнера когда я игрался с бриджами внутри оных. Такие дела.