The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск инструментариев для управления контейнерами LXC 7.0 и LXD 6.8

30.04.2026 10:04 (MSK)

Сообщество Linux Containers опубликовало релиз инструментария для организации работы изолированных контейнеров LXC 7.0, предоставляющий runtime, подходящий как для запуска контейнеров с полным системным окружением, близких к виртуальным машинам, так и для выполнения непривилегированных контейнеров отдельных приложений (OCI). LXC относится к низкоуровневым инструментариям, работающим на уровне отдельных контейнеров. Для централизованного управления контейнерами, развёрнутыми в кластере из нескольких серверов, на базе LXC развиваются системы Incus и LXD. Ветка LXC 7.0 отнесена к выпускам с длительной поддержкой, обновления для которых формируются в течение 5 лет (до 2031 года). Код LXC написан на языке Си и распространяется под лицензией GPLv2.

В состав LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux. Для изоляции процессов, сетевого стека ipc, uts, идентификаторов пользователей и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities.

Основные изменения:

  • Реализована изоляция процесса мониторинга при помощи механизма Landlock, позволяющего непривилегированным программам сбрасывать ненужные для работы привилегии, добровольно ограничивая свой дальнейший доступ к системе в целях повышения безопасности. Landlock задействован для ограничения обработчиков API мониторинга возможностью работы только с контейнером и запрета доступа к файлам за его пределами. Защита применяется при сборке landlock-monitor.
  • Разделена конфигурация обработчиков (hook) и контейнеров (runtime). Добавлены новые настройки lxc.environment.hooks и lxc.environment.runtime, при помощи которых можно выборочно выставлять переменные окружения только для контейнеров, не передавая их hook-обработчикам, и наоборот.
  • Прекращена поддержка cgroup v1, а также ядер Linux, не поддерживающих PIDFD и новый API управления монтированием.
  • Устранена уязвимость (CVE-2026-39402), позволяющая обойти авторизацию и добиться удаления портов OVS (OpenVswitch) через манипуляцию с командой "lxc-user-nic delete". Уязвимость позволяет непривилегированному пользователю отключить сетевые интерфейсы для контейнеров, запущенных другими пользователями.

Кроме того, компания Canonical опубликовала новую версию системы управления контейнерами LXD 6.8. LXD предоставляют инструменты для централизованного управления контейнерами и виртуальными машинами, развёрнутыми как на одном хосте, так и в кластере из нескольких серверов. Проект реализован в виде фонового процесса, принимающего запросы по сети через REST API и поддерживающего различные бэкенды хранилищ (дерево директорий, ZFS, Btrfs, LVM), снапшоты со срезом состояния, live-миграцию работающих контейнеров с одной машины на другую и средства для хранения образов контейнеров. В качестве runtime для запуска контейнеров используется инструментарий LXC.

Среди изменений в LXD 6.8:

  • Добавлена функция связывания кластеров (Cluster links), позволяющая организовать защищённое и аутентифицированное при помощи TLS-сертификатов взаимодействие между разными кластерами LXD. Для управления связыванием добавлена команда "lxc cluster link" и реализован соответствующий раздел в web-интерфейсе.
  • Добавлена новая роль узлов кластера - "control-plane", при помощи которой можно выделить узлы, участвующие в определении консенсуса Raft и способные выступать в роли запасных или мастер-узлов БД.
  • Реализованы репликаторы, позволяющие использовать API Сluster links для репликации содержимого узлов в другие кластеры LXD с целью обеспечения отказоустойчивости.
  • Добавлена поддержка горячего подключения устройств GPU CDI (Container Device Interface) к работающим контейнерам.
  • В драйвер хранилища Ceph добавлена поддержка протокола msgr2 (Ceph messenger v2).
  • В web-интерфейсе добавлены инструменты для управления ролями узлов кластера, модернизирован редактор конфигурации в формате YAML, реализовано стилизованное под Ubuntu оформление встроенного эмулятора терминала, улучшен выбор драйверов хранилищ.


  1. Главная ссылка к новости (https://discuss.linuxcontainer...)
  2. OpenNews: Выпуск инструментариев для управления контейнерами LXC 6.0, Incus 6.0 и LXD 5.21.1
  3. OpenNews: Выпуск системы управления контейнерами LXC 5.0
  4. OpenNews: Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
  5. OpenNews: Первый выпуск Incus, форка системы управления контейнерами LXD
  6. OpenNews: Компания Canonical перевела проект LXD на лицензию AGPLv3
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65327-lxc
Ключевые слова: lxc, container
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 10:49, 30/04/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Как это на бубунту 26.04 или 24.04 поставить правильно? Я так понимаю что в родные пакеты к этим релизам оно ещё долго не попадёт
     
     
  • 2.8, hbfrehregsdgf (?), 11:25, 30/04/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Через у6людочный snapd
     
     
  • 3.22, Аноним (2), 12:45, 30/04/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    не ну снап только в утиль
     

  • 1.24, Аноним (24), 13:47, 30/04/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Расскажите про смысл контейнеров, если почти в каждом выпуске браузеров всплывают уязвимости, побивающие контейнер и уходящие в рут на хосте?
     
     
  • 2.29, Сладкая булочка (?), 21:08, 30/04/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Причем тут браузерные механизмы изоляции и lxc?
     
     
  • 3.35, Аноним (24), 11:54, 01/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну тогда расскажите про Copy Fail...
     

  • 1.30, Аноним (30), 00:49, 01/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    web морда она встроена в lxd? как включить? на каком порту?
     
  • 1.31, Аноним (30), 00:53, 01/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –3 +/
    1) зачем продолжать развивать LXC когда есть LXD и Incus, LXC это не только CLI но и какие то библиотеки на которых базируются LXD и Incus?

    2) LXD или Incus? как дела сейчас обстоят и как будут обстоять?

     
     
  • 2.33, vmlinuz (?), 06:57, 01/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    1) да
    2) Virtualbox
     
  • 2.34, Славик (ok), 10:06, 01/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    In the Linux world, LXC and LXD are often mentioned in the same breath, but they represent different layers of the same containerization technology. Think of them as the "engine" (LXC) and the "car." (LXD)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру