Привет всем.
{drama mode is on} Все начиналось как обычно: «Давайте развернем тестовый стенд на докере - ну шо нам мешает??!»
По итогу внезапно оказалось (ну кто бы мог подумать), что тестируемые приложения запускаются в нескольких количествах на каждой ноде и для изоляции используют cgroups + функционал systemd. {drama mode is off}
Запустить кастрированный вариант системд в контейнере - получилось, благо есть гайды, да и тут тема поднималась не раз (спойлер: systemd в docker ). Юниты монитарятся, логи пишутся, однако дальше все стало печально - никакой изоляции внутри контейнера не получить ввиду монтирования с хоста /sys/fs/cgroup в режиме только чтения.
{holywar mode is on} Да, знаю, один контейнер на один сервис, но все таки. Да, используем не по назначению. Нет, KVM не подойдет. Нет, разделить на несколько контейнеров нельзя - не подходит для деплоя тестового окружения. {holywar mode is off}
Может кто уже получал этими же граблями по лбу и знает что выход {есть|нет} ? (нужное подчеркнуть)
