Компания Canonical провела сравнение (https://insights.ubuntu.com/2015/05/18/lxd-crushes-kvm-in-de.../) изолированных контейнеров, управляемых при помощи  инструментария LXD (http://www.ubuntu.com/cloud/tools/lxd), и полноценных виртуальных машин, выполняемых под управлением гипервизора KVM. Так как LXD основан на наработках LXC и использует пространства имён, cgroups, ограничения через AppArmor и SECCOMP, результаты сравнения будут справедливы и для других систем контейнерной изоляции. Основные выводы: LXD позволяет разместить на сервере в 14.5 раз больше окружений, запускает окружения  на 95% быстрее и на 57% опережает KVM в плане отзывчивости (latency).

В свете анонсированного компанией Intel проекта Clear Linux (http://www.opennet.me/opennews/art.shtml?num=42272), результаты выглядят не столь радужно. Например, утверждается, что на одном сервере с 16 Гб ОЗУ удалось запустить 37 гостевых систем KVM и 536 окружений аналогичного состава при применении LXD. По данным Intel на сервере с 16 Гб ОЗУ можно разместить  3500 виртуальных контейнеров Clear. При сравнении скорости запуска, контейнер LXD стартовал за 1.5 сек, а виртуальная машина KVM - 25 секунд. На запуск окружения Clear тратится 200 мс. В сравнении  Canonical также упускается такой важный фактор как безопасность и степень изоляции, при использовании LXD уязвимость в ядре или инструментарии может быть использована для выхода на пределы изолированного окружения, в то время как в KVM для компрометации хост-системы необходимо наличие уязвимости в гипервизоре или работающих на стороне хост-системы компонентах драйверов.

URL: https://insights.ubuntu.com/2015/05/18/lxd-crushes-kvm-in-de.../
Новость: http://www.opennet.me/opennews/art.shtml?num=42276

• Компания Canonical провела сравнение LXD с KVM,Аноним, 23:09 , 21-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Аноним, 14:23 , 22-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Аноним, 18:04 , 23-Май-15
• Компания Canonical провела сравнение LXD с KVM,njunkie, 23:29 , 21-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Аноним, 23:52 , 21-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Аноним, 00:02 , 22-Май-15
    • Компания Canonical провела сравнение LXD с KVM,Аноним, 07:48 , 22-Май-15
• Компания Canonical провела сравнение LXD с KVM,Мяут, 23:50 , 21-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Аноним, 23:53 , 21-Май-15
• Компания Canonical провела сравнение LXD с KVM,XoRe, 00:36 , 22-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Crazy Alex, 02:34 , 22-Май-15
    • Компания Canonical провела сравнение LXD с KVM,XoRe, 13:40 , 22-Май-15
      • Компания Canonical провела сравнение LXD с KVM,Аноним, 17:33 , 22-Май-15
        • Компания Canonical провела сравнение LXD с KVM,XoRe, 23:41 , 22-Май-15
• Компания Canonical провела сравнение LXD с KVM,anonymous, 01:56 , 22-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Билли, 01:58 , 22-Май-15
    • Компания Canonical провела сравнение LXD с KVM,Аноним, 17:35 , 22-Май-15
• Компания Canonical провела сравнение LXD с KVM,dr Equivalent, 03:50 , 22-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Аноним, 11:12 , 22-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Человекадмин, 20:18 , 22-Май-15
    • Компания Canonical провела сравнение LXD с KVM,Аноним, 20:52 , 22-Май-15
• Компания Canonical провела сравнение LXD с KVM,Аноним, 04:11 , 22-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Аноним, 15:11 , 22-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Аноним, 17:02 , 22-Май-15
    • Компания Canonical провела сравнение LXD с KVM,Аноним, 17:37 , 22-Май-15
• Компания Canonical провела сравнение LXD с KVM,Аноним, 04:19 , 22-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Аноним, 09:17 , 22-Май-15
    • Компания Canonical провела сравнение LXD с KVM,Аноним, 14:16 , 22-Май-15
• Компания Canonical провела сравнение LXD с KVM,Sergey Bronnikov, 11:30 , 22-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Andrey Mitrofanov, 12:05 , 22-Май-15
    • Компания Canonical провела сравнение LXD с KVM,Аноним, 14:00 , 22-Май-15
• Компания Canonical провела сравнение LXD с KVM,Аноним, 12:11 , 22-Май-15
  • Компания Canonical провела сравнение LXD с KVM,Аноним, 17:39 , 22-Май-15

чото какое то капитанское сравнение

Тебе не интересно - не читай.

Да вообще офуеть - контейнеры легче виртуализаторов. Но хуже изоляция и больше ограничений на отличия в настройках системы хоста и гуеста. Капитан Шаттлворт спешит на помощь :)

>при использовании LXD уязвимость в ядре или инструментарии может быть использована для выхода на пределы изолированного окружения

Как будто при уязвимости в KVM нельзя сделать то же самое.

Сравни размер кода ядра и размер гипервизора. Во всех контейнерах используется одно и то же ядро, это слабое место. В KVM запускаются разные ядра и дыра в ядре не повлияет на другие гостевые системы.

"И средств управления" как бы к КВМ относится также.
И ломаются вебморды чаще и лучше.

> "И средств управления" как бы к КВМ относится также.

В Docker и подобных контейнеры строятся по спецификации, в обработчике которой дыры каждый месяц находят. В KVM обычно отдельно собранные образы используют.

Пфф, лучше б про ездящий между контейнерами Doom новость запилили: https://www.youtube.com/watch?v=LrHW7Vvbie4

> Пфф, лучше б про ездящий между контейнерами Doom новость запилили: https://www.youtube.com/watch?v=LrHW7Vvbie4

это прошлогодний баян.

> на одном сервере с 16 Гб ОЗУ удалось запустить 37 гостевых систем KVM (442 Мб на окружение) и 536 окружений аналогичного состава при применении LXD (30 Мб на окружение).
> По данным Intel на сервере с 128 Гб ОЗУ

В этом месте они переплюнули даже фороникс.

А теперь текст в скобочках прочти. Тот, где указано 30 против 37 МБ на окружение.

> А теперь текст в скобочках прочти. Тот, где указано 30 против 37
> МБ на окружение.

Прочесть прочел.
Но попытка повлиять большой циферкой все равно засчитана.

>>По данным Intel на сервере с 128 Гб ОЗУ
>Но попытка повлиять большой циферкой все равно засчитана.

Нищеброд!(С)

Ну а если серьёзно - у меня в продакшене даже в блэйдах минимум - 98Г. 4U под ESXi - от 256Г. Такие дела.

> Ну а если серьёзно - у меня в продакшене даже в блэйдах
> минимум - 98Г. 4U под ESXi - от 256Г. Такие дела.

Хорошая попытка, но нет :)
Читаем новость.
> Например, утверждается, что на одном сервере с 16 Гб ОЗУ удалось запустить 37 гостевых систем KVM и 536 окружений аналогичного состава при применении LXD. По данным Intel на сервере с 16 Гб ОЗУ можно разместить  3500 виртуальных контейнеров Clear.

Я имею в виду, что увидет кто-то 3500 и воскликнет "иисусе! 3500! это же в разы больше, чем жалкие 536! вот это технология!".
А на деле сравниваются системы с разным количеством оперативки: 16 и 128.

> виртуальная машина KVM - 25 секунд

даже представить не могу что нужно сделать с KVM чтобы виртуалка стартовала 25 секунд

поставить бубунту?

> поставить бубунту?

Тогда 25 минут будет.

Они совсем еванулись контейнеризацию сравнивать с полноценной виртуализацией?
Они бы еще круглое с оранжевым сравнили.
Вообще на контейнерах в последнее время все поехали как-то.

> Они совсем еванулись контейнеризацию сравнивать с полноценной виртуализацией?
> Они бы еще круглое с оранжевым сравнили.
> Вообще на контейнерах в последнее время все поехали как-то.

С точки зрения пользователя сравнение вполне уместно, так как технологии решают схожие задачи. То есть сравнение идёт не по техническим характеристикам внутренней реализации, а по пользовательским. Примерно как фильтр для воды угольный и обратный осмос — совершенно разные вещи, но для пользователя вполне сравнимые.

А контейнеры в моде уже были, сейчас у них, видимо, второй взлёт — экономия большая потому что.

> Вообще на контейнерах в последнее время все поехали как-то.

Потому что дошло даже до самых тупых и медленных, что запускать производственный софт напряму на сервере нецелесообразно и непрактично, а исключения столь редки и специфичны, что за карьеру не каждый админ такое хотя бы в чужом терминале увидеть сможет.

Опять вы все перепутали (( Аналитеки такие аналитеки.

ещеб с jail-ами сравнили bsd-шными.

Ща Изя сравнит.

> ещеб с jail-ами сравнили bsd-шными.

А там уже namespace есть? А сgroups?
Может, лучше сразу с chroot-ом сравнивать?

>> ещеб с jail-ами сравнили bsd-шными.

кто то мешает?
> А там уже namespace есть? А сgroups?

Пока нет.
> Может, лучше сразу с chroot-ом сравнивать?

По фичам отно так - chroot <= jail <= Docker\LXC
Чего там в LX_D_ негрокосмонафффты настругали мне по барабану. Оно всё равно не взлетит :-)

Теперь подобие Гипервизора встройте в ядро.

Kvm

типо Xen

В Canonical поняли чем контейнеры лучше виртуальных машин, Карл!

> В Canonical поняли чем контейнеры лучше виртуальных машин, Карл!

Марк греет возду^Wпочву для продажи акций Майкрософтам. </>

ведь микрософту надо быть лидером всего опенсорца, а не только редхета и гитхаба

Это бредятина сравнивать KVM и LXC, это все равно что свинью подковать, и аргументировать это тем что так она будет счастливее

> Это бредятина сравнивать KVM и LXC, это все равно что свинью подковать,
> и аргументировать это тем что так она будет счастливее

Да всё нормально - бубундо же :)