>> нужна _неизвестно_заранее_чего_. Поэтому управлять этим можно только в виде контейнеров.
> Я управляю и на виртуалках и на железе. В ВМ намного проще ты не знаешь, чего именно тебе надо vm. Потому что разработчик выкатывает на-гора контейнер. Пока ты героически вручную его разбираешь на составляющие, так, тут позапрошлая версия убунты, здесь на нее надо апдейт, тут надо из вот этого репо еще вот эту штуку, здесь запустить языко-зависимый установщик и натащить им то, се, пятое, десято...ой, а этой версии уже нет в репо, как быть, как быть, куды бечь?! Он тебе еще более новую собрал, в окружении от старой она не работает. Тут тебе бы помог гуглодифф, потому что разница в одном-единственном модуле, явно не упомянутом но притянутом зависимостями, но ты гордо бежишь по граблям дальше.
> чем в контейнере изолировать неведомое и формировать чисиые окружения кстати. Прелесть
этим всем мило и прекрасно заниматься, когда этих виртуалок у тебя штук пять. А когда их 500, и надо еще заниматься работой, а не "формировать чистые окружения" заботливо нулевочкой - начинаются опаньки.
> Пусть высасывают. Рано или поздно кто-то сделает как надо.
не, не сделает. industry standard уже. Да и изначально концепция cgroups была горбатой.
Нормальная - у *bsd в jail и у солярки в zones, той и другой больше десятка лет, и никаких тебе "cve-каждыйгод-овердофига: рут в зоне внезапно вылез рутом в хосте", случаи по пальцам одной руки можно пересчитать.
Но никто не наладил массовую выпечку готовых решений для них в виде скрипта, создающего контейнер. И не просто так.