URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 101393
[ Назад ]

Исходное сообщение
"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."

Отправлено opennews , 03-Фев-15 15:00 
Анонсирован (https://linuxcontainers.org/lxc/news/) второй значительный выпуск инструментария LXC 1.1 (http://linuxcontainers.org), предназначенного для организации работы изолированных контейнеров. Изоляция процессов и ресурсов осуществляется при помощи штатных механизмов ядра Linux, таких как  пространства имён (namespaces) и группы управления (cgroups). Готовые пакеты с LXC 1.1 подготовлены для Ubuntu Linux (https://launchpad.net/ubuntu/+source/lxc).

В состав инструментария LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов  для различных языков программирования. Для изоляции процессов, сетевого стека ipc, uts и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов (https://www.stgraber.org/2014/01/01/lxc-1-0-security-features/) применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities.

Наиболее важным улучшением в новом выпуске является интеграция в состав LXC системы CRIU (http://criu.org/), позволяющей (http://www.opennet.me/opennews/art.shtml?num=38519) сохранить состояние одного или группы процессов, а через некоторое время возобновить работу с сохранённой позиции, в том числе после перезагрузки системы или на другом сервере без разрыва уже установленных сетевых соединений. Поддержка  CRIU в LXC позволяет сохранить состояние контейнера на диск обеспечив непрерывность выполнения работающих в контейнере процессов между перезапусками или при переносе контейнера на другую машину.


Другие улучшения:


-  Значительно расширены возможности по использованию systemd в качестве системы инициализации внутри контейнера. Комбинацию lxcfs и systemd теперь можно использовать как для привилегированных контейнеров, так и для контейнеров, выполняемых с правами обычных пользователей.

-  Обновлены скрипты инициализации, которые доступны в вариантах для systemd, sysvinit и upstart. Достигнут паритет в функциональности скриптов для разных систем инициализации, что позволило включить по умолчанию использование сетевого интерфейса lxcbr0 с DHCP и DNS-сервером (dnsmasq).
-  Добавлена поддержка образов в формате qcow2 (через qemu-img);
-  Добавлена поддержка Oracle Linux 7. Обеспечена возможность установки пакетов из произвольных репозиториев yum;
-  В Ubuntu добавлена возможность использования подразделов и снапшотов Btrfs;
-  Arch Linux и openSUSE переведены на использование типовых конфигураций;
-  Для всех дистрибутивов по умолчанию добавлен профиль seccomp, обеспечивающий блокировку небезопасных системных вызовов;
-  Поддержка сетевых мостов на базе  Openvswitch;
-  В конфигурации обеспечена возможность загрузки всех файлов с расширением .conf, находящихся в указанной директории. Добавлена директория common.conf.d с настройками, общими для всех контейнеров;

-  Утилиты lxc-top и lxc-device переписаны с Lua на Си.


  
  

URL: https://linuxcontainers.org/lxc/news/
Новость: http://www.opennet.me/opennews/art.shtml?num=41597


Содержание

Сообщения в этом обсуждении
"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Аноним , 03-Фев-15 15:00 
как на андроиде с контейнерами дела, кто в курсе?

"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Аноним , 03-Фев-15 16:19 
chroot, proot

"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено anonymousZ , 03-Фев-15 20:49 

Вроде есть пакет, но разумеется нужно ядро с поддержкой(в 99% случаев стоковые ядра не поддерживают, в CM ядрах вроде можно запускать контейнеры).

"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Аноним , 04-Фев-15 01:55 
Коммент выше вашего всё объясняет.

"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено anonymousZ , 05-Фев-15 20:34 

Это что он объясняет? Что chroot = lxc?

"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено via , 03-Фев-15 15:04 
Клево. Особенно поддержка qcow2

"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено EHLO , 03-Фев-15 15:30 
> поддержка Oracle Linux 7
> В Ubuntu добавлена возможность
> Arch Linux и openSUSE переведены

Они под каждый дистрибутив индивидуальный велосипед запиливают?


"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Аноним , 03-Фев-15 15:31 
>Значительно расширены возможности по использованию systemd в качестве системы инициализации внутри контейнера
>по использованию systemd .. внутри контейнера

Сам бог велел!!


"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Аноним , 03-Фев-15 20:14 
Поттеринг?

"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Аноним , 03-Фев-15 19:07 
>без разрыва уже установленных сетевых соединений.

Кто-нибудь разжуйте, пожалуйста, как такое может быть.


"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Нанобот , 03-Фев-15 20:11 
Мне вот тоже было интересно. Вот нашёл: http://criu.org/TCP_connection
Если вкратце: просто сохраняется/восстанавливается состояние tcp-сокета. Для миграции соединений по сети "без разрыва" нужно: на хост1 сохранить контейнер, выключить хост1, поставить на хост2 тот же ip-адрес, что был на хост1, восстановить контейнер на хост2. И молиться, чтобы за время миграции tcp-соединение не закрыли на удалённом конце

"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Аноним , 03-Фев-15 20:27 
Спасибо.
Не понимаю зачем оно в таком виде нужно.
Если соединение порвалось, то разве есть препятствия установить его заново?

Варианты типа экономии трафика и ресурсов(на повторную установку соединения) я сразу отметаю.


"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Michael Shigorin , 03-Фев-15 20:40 
> Если соединение порвалось, то разве есть препятствия установить его заново?

Клиент, не предполагающий подобного, отвалится.


"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено EHLO , 03-Фев-15 21:33 
> Мне вот тоже было интересно. Вот нашёл: http://criu.org/TCP_connection
> Если вкратце: просто сохраняется/восстанавливается состояние tcp-сокета. Для миграции
> соединений по сети "без разрыва" нужно: на хост1 сохранить контейнер, выключить
> хост1, поставить на хост2 тот же ip-адрес, что был на хост1,
> восстановить контейнер на хост2. И молиться, чтобы за время миграции tcp-соединение
> не закрыли на удалённом конце

Виртуальные машины давно научились мигрировать с сохранением всего. Даунтайм измеряется десятками миллисекунд и даже редкий г___ософт не успевает отвалиться. Практично очень даже. Почему бы с контейнерами так не поступить? Не знаю как у этих граждан с реализацией, но стремление здоровое.
А вот про перезагрузку без перезапуска процесса и про миграцию процесса такого я не скажу пока, потому что не понятно что это дает. По-моему какая-то ересь в вакууме.


"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Аноним , 03-Фев-15 20:39 
ухты! системды можно запускать внутри системды, чтобы запускать системды пока ты запускаешь системды

"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Аноним , 04-Фев-15 01:57 
Хотеть!



"Выпуск системы управления контейнерами LXC 1.1, со встроенно..."
Отправлено Subcreator , 25-Апр-15 10:18 
LXCFS
It's designed to workaround the shortcomings of procfs, sysfs and cgroupfs by exporting files which match what a system container user would expect.

Свершилось!