Релиз LXC 1.0, системы управления изолированными контейнерами Linux

21.02.2014 19:41

Представлен первый стабильный выпуск инструментария LXC 1.0, официально объявленный пригодным для промышленного применения. В рамках проекта развивает набор выполняющихся в пространстве пользователя инструментов для организации работы изолированных контейнеров, позволяющих изолировать процессы и ресурсы при помощи штатных механизмов ядра Linux, таких как пространства имён (namespaces) и группы управления (cgroups). Поддержка выпуска исправлений для ветки LXC 1.0 будет осуществляться в течение пяти лет. Готовые пакеты с LXC 1.0 подготовлены для Ubuntu Linux.

В отличие от технологий виртуализации на основе гипервизоров, контейнеры выполняются под управление единого ядра Linux, без необходимости запуска отдельного ядра и набора драйверов в каждом окружении. По своим возможностям контейнеры занимают нишу между изоляцией при помощи chroot и полноценными средствами виртуализации. В состав инструментария LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования.

Для изоляции процессов, сетевого стека ipc, uts и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Кроме того, для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities.

Ключевые улучшения в LXC 1.0:

Поддержка полностью непривилегированных контейнеров, работающих без возможности получения прав суперпользователя внутри;
Стабилизация API (liblxc1) для создания и управления контейнерами;
Поставка официальных биндингов для использования API в программах на языках python3, lua, ruby и Go;
Гибкая система размещения контейнеров в различных типах хранилищ. Поддерживается размещение контейнеров в обычном дереве директорий, в ФС btrfs и zfs, в lvm, loop-устройствах, aufs и overlayfs;
Поддержка клонирования работающих контейнеров и возможность заморозки их состояния через создание снапшотов;
Сокращенный, но более целостный, набор утилит;
Обновлённая и полноценная документация;
Поддержка нескольких методов создания контейнеров на основе недавно сгенерированных образов;
Поставка шаблонов для создания контейнеров на основе популярных дистрибутивов Linux. Шаблоны подготовлены для Alpine Linux, Alt Linux, Arch Linux, busybox, CentOS, Cirros, Debian, Fedora, OpenMandriva, OpenSUSE, Oracle, Plamo, sshd, Ubuntu Cloud и Ubuntu. В контейнере также можно запустить окружение Android;
Возможность запуска графического окружения внутри контейнера. Пример запуска Google Chrome, Steam и Skype в отдельных контейнерах.

Пример использования контейнеров:


   # Создадим контейнер с именем "p1", используя шаблон "ubuntu"
   sudo lxc-create -t ubuntu -n p1

   # Запустим контейнер в фоне
   sudo lxc-start -n p1 -d

   # Войдём в контейнер через консоль (для выхода нужно набрать ctrl-a + q)
   sudo lxc-console -n p1

   # Войдём в контейнер через запуск bash, минуя логин
   sudo lxc-attach -n p1

   # Войдём в контейнер через SSH:
   sudo lxc-info -n p1
   ssh ubuntu@полученный_ip

   # Заморозим состояние контейнера
   sudo lxc-freeze -n p1

   # Разморозим состояние контейнера
   sudo lxc-unfreeze -n p1

   # Пробросим устройства в контейнер
   sudo lxc-device add -n p1 /dev/ttyUSB0 /dev/ttyS0

   # Создадим снапшот (при размещении контейнера в LVM или Btrfs)
   sudo lxc-snapshot -n p1 -c snap-comment
   sudo lxc-snapshot -n p1 -L -C

   # Откатим состояние на созданный снапшот
   sudo lxc-snapshot -n p1 -r snap0
   
   # Создадим новый контейнер на основе снапшота
   sudo lxc-snapshot -n p1 -r snap0 p1-snap0

   # Завершим работу контейнера
   sudo lxc-stop -n p1

   # Принудительно закроем контейнер
   sudo lxc-stop -n p1 -k


   # Для настройки сети создадим файл конфигурации 
   cat /var/lib/lxc/p1/config
   # Проброс физического сетевого интерфейса
   lxc.network.type = phys
   lxc.network.link = eth2
   lxc.network.name = eth1
   
   # Создание виртульного сетевого интерфейса
   lxc.network.type = veth
   lxc.network.hwaddr = 00:16:3e:3a:f1:c1
   lxc.network.flags = up
   lxc.network.link = lxcbr0
   lxc.network.name = eth0

исправить +21 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/39154-lxc

Ключевые слова: lxc, container

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (69)

1.1, Аноним (-), 20:06, 21/02/2014 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Вообще, по-хорошему, речь идет только о наборе юзерспейсных программ, являющихся лишь одним из возможных реализаций интерфейса к ядерным фичам LXC. Другие реализации - Docker, libvirt-lxc, systemd-nspawn - развиваются гораздо динамичнее. В любом случае, все равно нужно ждать, пока в ядре окончательно допилят UID namespaces, без этого изоляция получается весьма эфемерной.

2.4, Аноним (-), 20:39, 21/02/2014 [^] [^^] [^^^] [ответить]	+/–
А чего конкретно сложно сделать без UID namespaces?

3.9, Аноним (-), 22:25, 21/02/2014 [^] [^^] [^^^] [ответить]

+/–

> А чего конкретно сложно сделать без UID namespaces?

Без UID namespaces, root из контейнера == root на хосте. Допустим, ФС хоста и сетевой стек и он и не увидит, но есть ряд механизмов никсового IPC, которые игнорируют контейнеры.

Например, если запустить ubuntu в lxc на убунтовом хосте, команда reboot из контейнера перезагружает хост.

4.12, Аноним (-), 22:34, 21/02/2014 [^] [^^] [^^^] [ответить]	+/–
А можно подробнее на почитать? Получается, что все эти разговоры про контейнеры, докер, етц - пустой пиар?

5.17, Аноним (-), 23:13, 21/02/2014 [^] [^^] [^^^] [ответить]	+/–
> Получается, что все эти разговоры про контейнеры, докер, етц - пустой пиар? Нет, просто LXC-контейнеры (в современном их виде) - не для безопасности, а для более удобного управления ресурсами и приложениями.

6.20, Аноним (-), 08:26, 22/02/2014 [^] [^^] [^^^] [ответить]	+/–
Так ведь это так и есть. Для безопасности, допустим, те же сервисов, выставленных наружу, те же cgroups без всяких контейнеров подходят лучше.

7.44, Аноним (-), 20:55, 22/02/2014 [^] [^^] [^^^] [ответить]	+/–
> Так ведь это так и есть. Для безопасности, допустим, те же сервисов, > выставленных наружу, те же cgroups без всяких контейнеров подходят лучше. cgroups - это только компонент контейнера. Таких механизмов, как изоляция точек монтирования, сетевого стека, и т.д. - они не предоставляют. Но даже в сочетании с namespaces, они все равно (пока) уступают старому доброму OpenVZ.

8.48, Аноним (-), 00:26, 23/02/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Зачем моему сервису, крутящемуся на моей машине, изоляция точек монтирования и с... текст свёрнут, показать

9.51, Аноним (-), 02:09, 23/02/2014 [^] [^^] [^^^] [ответить]	+/–
this ... текст свёрнут, показать

10.61, Аноним (-), 18:05, 23/02/2014 [^] [^^] [^^^] [ответить]	+/–
И Дисковой квоты и обрезания прав недостаточно ... текст свёрнут, показать

9.53, Аноним (-), 06:42, 23/02/2014 [^] [^^] [^^^] [ответить]	+/–
А нафига KVM мало ... текст свёрнут, показать

10.62, Аноним (-), 18:06, 23/02/2014 [^] [^^] [^^^] [ответить]	+/–
Медленно Особенно в районе сети ... текст свёрнут, показать

11.63, pavel_simple (ok), 19:18, 23/02/2014 [^] [^^] [^^^] [ответить]	–1 +/–
враньё ... текст свёрнут, показать

11.69, Аноним (-), 09:03, 25/02/2014 [^] [^^] [^^^] [ответить]	+/–
Не заметил Virtio там есть, etc ... текст свёрнут, показать

9.65, pavlinux (ok), 01:19, 24/02/2014 [^] [^^] [^^^] [ответить]	+/–
Чё только не придумают, лишь бы маны не читать Если ты пишешь на Опеннете, зна... текст свёрнут, показать

4.19, Аноним (-), 02:48, 22/02/2014 [^] [^^] [^^^] [ответить]	+/–
>Без UID namespaces, root из контейнера == root на хосте. Сам проверял, загрузить/выгрузить ядрёный модуль тем (внутренним) рутом не даёт. И reboot хоста не происходит. Ядро ванильное самосборное 3.4 и не Ubuntu.

5.39, Аноним (-), 20:41, 22/02/2014 [^] [^^] [^^^] [ответить]

+/–

> Сам проверял, загрузить/выгрузить ядрёный модуль тем (внутренним) рутом не даёт.

Это уже давно прикрыли. Но это всего лишь одна из десятков дырочек... все не упомнишь.

> Ядро ванильное самосборное 3.4 и не Ubuntu.

Демка с ребутом основана на особенностях upstart (там для взаимодействия telinit и init используется не сокет, а D-Bus). Тем не менее, суть иллюстрирует довольно неплохо.

5.49, Аноним (-), 01:32, 23/02/2014 [^] [^^] [^^^] [ответить]	+/–
> Сам проверял, загрузить/выгрузить ядрёный модуль тем (внутренним) рутом не даёт. И reboot хоста не происходит. Ядро ванильное самосборное 3.4 и не Ubuntu. Ну, если не Ubuntu, могу предложить попробовать поменять системное время в контейнере. Результат должен порадовать :)

6.50, Аноним (-), 01:35, 23/02/2014 [^] [^^] [^^^] [ответить]	+/–
> Ну, если не Ubuntu, могу предложить попробовать поменять системное время в контейнере. > Результат должен порадовать :) На Ubuntu, конечно тоже будет работать, но там есть еще и много других впечатляющих граблей. Но вот прикол со временем - универсальный.

4.22, cadmi (?), 10:26, 22/02/2014 [^] [^^] [^^^] [ответить]	–1 +/–
> Например, если запустить ubuntu в lxc на убунтовом хосте, команда reboot из > контейнера перезагружает хост. Пробовал? :) Или Мойша напел?

5.26, Анонимно (?), 14:26, 22/02/2014 [^] [^^] [^^^] [ответить]	+3 +/–
Я пробовал. Ubuntu 13.10 32bit.

4.64, Антон (??), 00:49, 24/02/2014 [^] [^^] [^^^] [ответить]	+/–
> Например, если запустить ubuntu в lxc на убунтовом хосте, команда reboot из контейнера перезагружает хост. Что за ересь? Перегружает. Только не хост, а гест. LXC в 12.04LTS вполне себе работают с самого начала, и ,как минимум, для билдстанций и отладочных нужд - очень экономное решение.

4.66, Ващенаглухо (ok), 10:23, 24/02/2014 [^] [^^] [^^^] [ответить]	+/–
"команда reboot из контейнера перезагружает хост." наверно это только на убунте, на арче такого не происходит.

2.5, ананим (?), 21:42, 21/02/2014 [^] [^^] [^^^] [ответить]

–1 +/–

> Другие реализации - Docker, libvirt-lxc, systemd-nspawn - развиваются гораздо динамичнее.

   # Создадим контейнер с именем "p1", используя шаблон "ubuntu"
   # Войдём в контейнер через консоль (для выхода нужно набрать ctrl-a + q)
   # Заморозим состояние контейнера
   # Разморозим состояние контейнера
   # Пробросим устройства в контейнер
   # Создадим снапшот (при размещении контейнера в LVM или Btrfs)
   # Откатим состояние на созданный снапшот
   # Создадим новый контейнер на основе снапшота

Как?

3.8, Аноним (-), 22:23, 21/02/2014 [^] [^^] [^^^] [ответить]	+/–
> Как? Легко. Например, Docker это умел еще полгода назад.

4.14, ананим (?), 22:57, 21/02/2014 [^] [^^] [^^^] [ответить]	–5 +/–
а ты ткни пальчиком, деточка, а то не видно старичку то.

5.16, Аноним (-), 23:09, 21/02/2014 [^] [^^] [^^^] [ответить]	+/–
http://docs.docker.io/en/latest/use/ Дальше сами осилите, или мне придется еще и учить вас пользоваться браузером?

6.32, ананим (?), 19:04, 22/02/2014 [^] [^^] [^^^] [ответить]	–4 +/–
понятно, ответа нет. так вот, сабж, в отличие от ваших ссылок, работает. а там пока только „договор о намерениях“. не говоря уже об экзотичности языка, на котором он написан и сам не стабилизирован. зыж всех минусующих просто отнесу к тем, кто этот доккер в глаза не видел.

7.40, Аноним (-), 20:43, 22/02/2014 [^] [^^] [^^^] [ответить]

+/–

> понятно, ответа нет.

Скорее, человек просто лень писать персонально для вас подробное руководство, и он понадеялся, что вы не маленький и умеете пользоваться браузером и бегло читать по-английски.

> так вот, сабж, в отличие от ваших ссылок, работает.

Docker тоже работает, причем давно и успешно.

8.46, ананим (?), 21:17, 22/02/2014 [^] [^^] [^^^] [ответить]	–1 +/–
Скорее вы тролль И ни разу не пробовали ни то, ни другое Вывод 8212 а напур... текст свёрнут, показать

1.10, Miha (??), 22:30, 21/02/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А как у него с оверхедом, например, по-сравнению с FreeBSD Jail?

2.11, Аноним (-), 22:33, 21/02/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Какой оверхед там вообще может быть? Контейнер - это просто совокупность процессов, использующих общие namespaces.

3.23, Xaionaro (ok), 10:26, 22/02/2014 [^] [^^] [^^^] [ответить]	–3 +/–
Сам вак ключенных namespace-ов, cgroup-ов и т.п. в ядре даёт overhead-ы.

4.24, Аноним (-), 11:48, 22/02/2014 [^] [^^] [^^^] [ответить]	+4 +/–
А уж ядро какие даёт оверхеды! То ли дело bare metal.

5.56, Xaionaro (ok), 10:11, 23/02/2014 [^] [^^] [^^^] [ответить]	+/–
> А уж ядро какие даёт оверхеды! То ли дело bare metal. Вы наверное удивитесь, но в разной конфигурации ядро работает с разной скоростью.

6.70, Аноним (-), 09:08, 25/02/2014 [^] [^^] [^^^] [ответить]

+/–

> Вы наверное удивитесь, но в разной конфигурации ядро работает с разной скоростью.

Поэтому айда програмить в досе, на голом асме. Вот там точно никакого оверхеда.

4.35, ананим (?), 20:01, 22/02/2014 [^] [^^] [^^^] [ответить]	+/–
> Сам вак ключенных namespace-ов, cgroup-ов и т.п. в ядре даёт overhead-ы. Нет. Не даёт. Фактически это только куда смотрит как на рут граф.

5.57, Xaionaro (ok), 10:13, 23/02/2014 [^] [^^] [^^^] [ответить]

+/–

>> Сам вак ключенных namespace-ов, cgroup-ов и т.п. в ядре даёт overhead-ы.
> Нет.
> Не даёт.
> Фактически это только куда смотрит как на рут граф.

Хм, а в документация к ядру и lwn.net думают иначе [1], насколько я помню.

[1] http://lwn.net/Articles/516533/

То есть если вы их включили в ядре, вы уже полчили overhead-ы, вне зависимости от того, используете их или нет.

4.41, Аноним (-), 20:44, 22/02/2014 [^] [^^] [^^^] [ответить]	+/–
> Сам вак ключенных namespace-ов, cgroup-ов и т.п. в ядре даёт overhead-ы. Нет. Только отдельные контроллеры cgroups, типа memory. Но их включать не обязательно.

5.58, Xaionaro (ok), 10:14, 23/02/2014 [^] [^^] [^^^] [ответить]

+/–

>> Сам вак ключенных namespace-ов, cgroup-ов и т.п. в ядре даёт overhead-ы.
> Нет. Только отдельные контроллеры cgroups, типа memory. Но их включать не обязательно.

Давая контейнеру доступ ко всей памяти получается слишком плохая изоляция. Получается что контейнер становится способен вызвать DoS всех сервисов всех соседних контейнеров и хост-системы.

3.34, Аноним (-), 20:00, 22/02/2014 [^] [^^] [^^^] [ответить]	+/–
0.93% в среднем

1.13, Стоян (?), 22:38, 21/02/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Фантастичная статья - огромное спасибо - долго искал короткое описание, как например есть у зони Соляриса - всего доброго!!! :)

2.36, ананим (?), 20:02, 22/02/2014 [^] [^^] [^^^] [ответить]	+/–
совсем другой подход в реализации.

1.18, Василий (??), 23:14, 21/02/2014 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Стефан Грабер (Stéphane Graber), в преддверии выхода 20 февраля 2014 года релиза LXC 1.0, опубликовал цикл статей о Linux Containers. Рассмотрены: * Первый Ubuntu контейнер. * Второй контейнер. * Продвинутое использование контейнера. * Более углублённое использование контейнера. * Хранилище контейнеров. * Безопасность. * Непривилегированные контейнеры. * Скрипты и API. * GUI в контейнере. * Решение проблем и отладка. Оригинал https://www.stgraber.org/2013/12/20/lxc-1-0-blog-post-series Перевод http://vasilisc.com/lxc-1-0-blog-post-series

1.21, аывыв (?), 09:48, 22/02/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>По своим возможностям контейнеры занимают нишу между изоляцией при помощи chroot намного безопаснее chroot'а?

2.71, Аноним (-), 09:09, 25/02/2014 [^] [^^] [^^^] [ответить]

+/–

> намного безопаснее chroot'а?

Ощутимо - изолируется не только ФС но и иные неймспейсы, что явно лучше.

1.25, Аноним (-), 13:41, 22/02/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Когда игрался на убунте 12.4 обнаружил невозможность ограничить даже размер памяти в контейнере не говоря уж о потреблении проца. Ядро какие-то фичи не поддерживало вроде. Но самое главное, убунта в контейнере не может обновиться штатными средствами, т к ее скипты при обновлении upstart завершаются с ошибкой и система превращается в нерабочую. Оказалось проще поставить виртуалку ))

2.27, Аноним (-), 14:56, 22/02/2014 [^] [^^] [^^^] [ответить]

–3 +/–

> Когда игрался на убунте 12.4 обнаружил невозможность ограничить даже размер памяти в
> контейнере не говоря уж о потреблении проца. Ядро какие-то фичи не

Это называется resource management. Отсутствует как класс в лине.

3.28, Apple (?), 15:17, 22/02/2014 [^] [^^] [^^^] [ответить]	+1 +/–
И давно оно стало отсутствовать? И у кого присутствует лучше?

4.38, Аноним (-), 20:28, 22/02/2014 [^] [^^] [^^^] [ответить]	+/–
Оно просто никогда не было написано. А присутствует дофига где. В Солярис 10, например. Там весьма продвинутый менеджмент ресурсов в контейнерах.

5.43, Аноним (-), 20:52, 22/02/2014 [^] [^^] [^^^] [ответить]	+/–
> А присутствует дофига где. В Солярис 10, например. Там весьма продвинутый менеджмент ресурсов в контейнерах. У меня не получилось. Следовательно, в солярке тоже отсутствует как класс :)

3.72, Аноним (-), 09:10, 25/02/2014 [^] [^^] [^^^] [ответить]

+/–

> Отсутствует как класс в лине.

То-то линем все хостеры ползуются. Что для впсок на опенвзе, что для виртуалок на xen/kvm и прочих облаков.

2.29, Apple (?), 15:26, 22/02/2014 [^] [^^] [^^^] [ответить]	–1 +/–
Нужно пробовать на 14.04, там будет новый LXC 1.0, в 12.04.4 да, всё грустно с ним.

2.30, CssfPZS (ok), 15:52, 22/02/2014 [^] [^^] [^^^] [ответить]	+2 +/–
Поставь Linux и бдет тебе счастье. К.О.

3.33, Аноним (-), 19:45, 22/02/2014 [^] [^^] [^^^] [ответить]	–3 +/–
Подозреваю, дебиан тоже не линукс. На роль домашнего серверо-декстопа (с поддержкой больше 5 лет) не так уж много претендентов.

4.37, CssfPZS (ok), 20:12, 22/02/2014 [^] [^^] [^^^] [ответить]	+1 +/–
> Подозреваю, дебиан тоже не линукс. > На роль домашнего серверо-декстопа (с поддержкой больше 5 лет) не так уж > много претендентов. В отличие от горбатой убунту, Debian как раз таки один из нормальных представителей Linux семейства.

5.55, Аноним (-), 06:45, 23/02/2014 [^] [^^] [^^^] [ответить]

+/–

> В отличие от горбатой убунту, Debian как раз таки один из нормальных
> представителей Linux семейства.

Вот только найти 10 отличий между ними не подсматривая в версии софта... :)

4.45, Аноним (-), 20:57, 22/02/2014 [^] [^^] [^^^] [ответить]

+/–

> Подозреваю, дебиан тоже не линукс.
> На роль домашнего серверо-декстопа (с поддержкой больше 5 лет) не так уж
> много претендентов.

К сожалению, именно у Ubuntu (в частности, из-за особенностей сборки ядра и проблем в архитектуре upstart) очень серьезные противопоказания к работе LXC-хостом.

Используйте Debian, либо CentOS с OpenVZ.

2.42, Аноним (-), 20:51, 22/02/2014 [^] [^^] [^^^] [ответить]

+/–

> Когда игрался на убунте 12.4 обнаружил невозможность ограничить даже размер памяти в
> контейнере не говоря уж о потреблении проца. Ядро какие-то фичи не
> поддерживало вроде.

Сравнительно старое ядро + особенности убунтовой сборки.
// Сейчас посмотрел конфиг ядра в стабильном дебиане (тоже 3.2) - управление памятью есть.

> Но самое главное, убунта в контейнере не может обновиться штатными средствами, т
> к ее скипты при обновлении upstart завершаются с ошибкой и система
> превращается в нерабочую.

Особенности национального upstart-а. Он не приспособлен для работы к контейнерах, в отличие от systemd, например. В результате команды управления init-ом из контейнера пытаются ломиться к процессу init хоста, с переменным успехом.

3.52, Kibab (ok), 02:49, 23/02/2014 [^] [^^] [^^^] [ответить]	+/–
Если у команд управления инитом из контейнера получается убить хост-систему -- такие контейнеры не нужны, не правда ли?

4.54, Аноним (-), 06:44, 23/02/2014 [^] [^^] [^^^] [ответить]

–2 +/–

> контейнеры не нyжны, не правда ли?

Ну да, сейчас нам бздюки дадут краткий курс использования контейнеров. Правда почему-то все хостинги поголовно на openvz сидят :). Или на виртуалзаторах типа xen и kvm. ИЧСХ там тоже линь. И на вашем десктопе макось. А так то да, бзды хорошие системы. Если ими пользоваться чисто на поиграться и забыть.

5.59, Kibab (ok), 11:22, 23/02/2014 [^] [^^] [^^^] [ответить]

+/–

>> контейнеры не нyжны, не правда ли?
> Ну да, сейчас нам бздюки дадут краткий курс использования контейнеров.

Заканчивай истерику и внимательно перечитай вопрос, на который отвечаешь.
Каким образом получается, что сигнал из контейнера вообще доходит до PID 1?

Правда почему-то
> все хостинги поголовно на openvz сидят :). Или на виртуалзаторах типа
> xen и kvm.

Аг, вот мы как раз Linux и используем как хорошую запускалку виртуальных машин :-) другого применения не находится. Так что тут соглашусь.

6.73, Аноним (-), 09:24, 25/02/2014 [^] [^^] [^^^] [ответить]

+/–

> Каким образом получается, что сигнал из контейнера вообще доходит до PID 1?

Интимные особенности работы апстарта, сигнал приезжает "неожиданным" маршрутом который не удавили (dbus).

> Аг, вот мы как раз Linux и используем как хорошую запускалку виртуальных машин :-)

Странно что не hyper-v, было бы прикольнее смотреть как бы вы этот кактус грызли.

> другого применения не находится.

Ну а что что с проприераса взять? Он фапает на бзду но грузится в макось или максималку, знаем мы это дело. Ну или вот линь на виртуализаторе. Потому что toy OS и на виртуализатор не тянет.

7.76, Kibab_not_logged_in (?), 21:31, 25/02/2014 [^] [^^] [^^^] [ответить]

+/–

>> Каким образом получается, что сигнал из контейнера вообще доходит до PID 1?
> Интимные особенности работы апстарта, сигнал приезжает "неожиданным" маршрутом который
> не удавили (dbus)

Причем тут вообще апстарт??? Каким образом userland-приложение стало причиной того, что ядро ниасилило заглушить посланный тз контейнера сигнал? Тебе самому не смешно?

>> Аг, вот мы как раз Linux и используем как хорошую запускалку виртуальных машин :-)
> Странно что не hyper-v, было бы прикольнее смотреть как бы вы этот
> кактус грызли.

Я смотрю, богатый опыт у анонима в пожирании кактусов.

>> другого применения не находится.
> Ну а что что с проприераса взять? Он фапает на бзду но
> грузится в макось или максималку, знаем мы это дело. Ну или
> вот линь на виртуализаторе. Потому что toy OS и на виртуализатор
> не тянет.

Я уже неоднократно писал тут, какие мы продукты делаем на базе бзды, продолжайте прятать голову в песок :-)

5.60, Аноним (-), 18:00, 23/02/2014 [^] [^^] [^^^] [ответить]	–2 +/–
Ну не видели люди SmartOS с нормальными Zones.

6.74, Аноним (-), 09:25, 25/02/2014 [^] [^^] [^^^] [ответить]	+/–
> Ну не видели люди SmartOS с нормальными Zones. Кому было сильно надо - сто лет юзают OpenVZ в продакшне. Ну и виртуалки вот. А zones - они где? Много на них продакшнов у хостеров? Ну вот и...

1.67, Ващенаглухо (ok), 10:29, 24/02/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот бы ещё эти контейнеры могли использовать KSM. 20 запущенных контейнеров сожрали 14 гигов. Кстати пробовал ядро с UKSM, хрень полная... не работает.

2.68, Stax (ok), 18:54, 24/02/2014 [^] [^^] [^^^] [ответить]	+/–
Ну, не просто так его до сих пор в ядро не включили :) KSM+KVM/QEMU хотя бы реальный эффект дают..

2.75, Онаним (?), 10:46, 25/02/2014 [^] [^^] [^^^] [ответить]	+/–
> Вот бы ещё эти контейнеры могли использовать KSM. Не секурно. Да и память нынче дешева.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: