https://www.opennet.me/openforum/vsluhforumID3/109556.html Компания Google представила (https://opensource.googleblog.com/2016/11/cilium-networking-and-security.html) проект Cilium (https://github.com/cilium/cilium), в рамках которого подготовлена система для обеспечения сетевого взаимодействия и применения политик безопасности для изолированных контейнеров, основанная на применении загружаемых в ядро Linux программ eBPF, генерируемых на лету. Проект создан в результате эксперимента по применению для контейнерной изоляции новых технологий ядра Linux, таких как BPF (https://en.wikipedia.org/wiki/Berkeley_Packet_Filter#Extensions_and_optimizations) (Berkeley Packet Filter) и XDP (https://www.iovisor.org/technology/xdp) (eXpress Data Path). Исходные тексты компонентов, работающих на уровне пользователя, написаны на языке Go и распространяются (https://github.com/cilium/cilium) под лицензией Apache 2.0. Загружаемые в ядро Linux сценарии BPF доступны под лицензией GPLv2.<br><br><br><br><br><br>Cilium состоит из специализированного фонового процесса, набора BPF-программ и модулей интег https://www.opennet.me/openforum/vsluhforumID3/109556.html#30 Wed, 09 Nov 2016 16:11:16 GMT чувствуется влияние идей Qubes OS, но КАК оно воспроизведено и на чем... ужс.<br>овэерхэд должен быть эпичным. _рукалицо<br> https://www.opennet.me/openforum/vsluhforumID3/109556.html#29 Wed, 09 Nov 2016 07:59:58 GMT всем хорош.<br>в случае с обычными контейнерами в привычном нам всем виде.<br>но сейчас ведь в тренде docker на локалхостах недокодеров.<br>переставьте себе штук 30 работающих на ноуте у Васи контейнеров, которые к тому же непойми кем клепались и подгружаются, зачастую, напрямую из git без всяких проверок и наладок.<br>теперь возьмите iproute2 и iptabes и попробуйте весь этот балаган как-то разрулить.<br>субъективно, это как-раз тот случай, когда для исправления ситуации с каким-то одним костылем делается еще один костыль, еще более кривой и несуразный.<br> https://www.opennet.me/openforum/vsluhforumID3/109556.html#28 Sat, 05 Nov 2016 08:25:40 GMT Потому что gcc не компилирует в BPF, а вы думали почему?<br> https://www.opennet.me/openforum/vsluhforumID3/109556.html#27 Fri, 04 Nov 2016 22:05:22 GMT &gt; еще один гвоздь в гроб gcc.<br><br>Это при том что майнлайновое ядро Linux ничем кроме gcc не собирается? У вас гвоздь погнулся - вы его в бетон пытаетесь забивать.<br> https://www.opennet.me/openforum/vsluhforumID3/109556.html#26 Fri, 04 Nov 2016 22:04:22 GMT &gt; Собственно это не программы, а правила фильтрации в бинарном виде.<br><br>Собственно, это тюринг-полные программы, вгружаемые из юзермода в ведро что выглядит достаточно стремно. Как минимум из-за halting problem. Там конечно клянутся что такое обнаруживается, но... но давать юзеру грузить свой код в ядро, даже в VM, затейка довольно на любителя. По крайней мере юзер получит немало вариантов как ему поfuzz'ить ядро совершенно левым способом.<br> https://www.opennet.me/openforum/vsluhforumID3/109556.html#25 Fri, 04 Nov 2016 22:02:00 GMT Гугл обнаружил в namespaces фатальный недостаток: код написали не они и там нет go :)<br> https://www.opennet.me/openforum/vsluhforumID3/109556.html#24 Fri, 04 Nov 2016 21:51:21 GMT Собственно это не программы, а правила фильтрации в бинарном виде.<br> https://www.opennet.me/openforum/vsluhforumID3/109556.html#23 Fri, 04 Nov 2016 08:09:52 GMT Google предоставил свой блог для гостевого поста, а не проект.<br> https://www.opennet.me/openforum/vsluhforumID3/109556.html#22 Thu, 03 Nov 2016 21:11:17 GMT &gt; Никакого отношения проект к Google не имеет. Но проект годный, да.<br><br>Ну дак и написано, что "Google представил", а не "открыл" или "опубликовал".<br>