Компания Intel анонсировала проект Clear Linux, в рамках которого предпринята попытка создания платформы для полноценной изоляции контейнеров приложений с использованием гипервизора KVM. Кроме обеспечения более высокого уровня безопасности, целью разработки является сокращение времени запуска виртуализированного окружения до значений, приемлемых для запуска контейнеров приложений по требованию, а также сокращение потребления памяти в условиях работы большого числа типовых виртуальных машин.

В итоге были получены достаточно интересные результаты, демонстрирующие характеристики, близкие к системам контейнерной изоляции (namespaces, cgroups), но реализованные в условиях полноценной виртуализации (KVM). Например, в Clear Linux время запуска виртуального окружения составляет всего 200мс, что позволяет на лету запускать упакованные в виртуальные окружения приложения, в моменты, когда в них возникает необходимость.

Что касается потребления памяти, то при запуске типовых виртуальных окружений Clear, накладные расходы на каждое последующее окружение составляет всего 18-20 Мб, что даёт возможность уместить 3500 виртуальных машин на сервере с 128 Гб ОЗУ. Для уменьшения потребления памяти в Clear Linux задействован механизм ядра Linux DAX, позволяющий организовать совместное использование ресурсов хост-системы и подключить к разным гостевым системам общий шаблон пользовательского окружения. Для дедупликации одинаковых областей памяти применяется технология KSM.

Развёртывание нового типа контейнеров производится при помощи специализированного дистрибутива Clear Linux, системный образ которого занимает около 200 Мб. Для тестирования также предлагается демонстрационный набор контейнеров. Дистрибутив не содержит ничего лишнего, кроме базовых компонентов, необходимых для запуска и управления контейнерами Clear. Расширенные возможности могут быть интегрированы через наборы "bundle", в каждом из которых реализуется готовая функциональность, независимо от того, сколько программных компонентов её образуют. Bundle и образ системного окружения формируются на основе репозитория RPM-пакетов, но поставляются без разделения на пакеты. Внутри контейнеров также выполняется специально оптимизированная копия Clear Linux, содержащая необходимые для запуска целевого приложения наборы bundle.

В системе предлагается использовать атомарные обновления, при которых разом обновляется всё системное окружение, по аналогии с CoreOS, Atomic Host, ChromeOS, Photon, RancherOS и Ubuntu Core. Обновление системы могут производится в двух режимах: наложение исправлений на работающую систему и полное обновление системы через установку нового образа в отдельный снапшот Btrfs и замену активного снапшота на новый. В Clear Linux применяется stateless-подход к определению конфигурации, подразумевающий, что система не сохраняет своё состояние (stateless) и после установки не содержит каких-либо настроек в директории /etc, а генерирует настройки на лету на основе указанных при запуске шаблонов.