Как правильно организовать изолированное окружение?

Нужно организовать тестовое окружение.
При всем этом не должны быть видны процессы хоста, т.к. один скрипт д.б. запущен в одном экземпляре.

Контейнеры как раз для изоляции от хоста.

Да, но мне при этом нужен доступ к сетевым интерфейсам на хосте

То, что ты хочешь никак не похоже на изолированное окружение. Но кажется я понял что ты хочешь, ты хочешь поднять копию/теже сервисы, что и на реальной машине внутри контейнера. Тут тебе на помощь приходит либо вторая реальная сетевая карта (physical, если хост нагружен), либо macvlan, это если называть вещи в рамках lxd. Потом ты просто поднимаешь все те же сервисы и интерфейсы внутри контейнера. Виртуалка тоже подойдет.

Второй IP есть, но проблема в том, что используются VPN от hideme.ru, а их нельзя поднять дважды - падают, поэтому нужен доступ к тапам на хосте.

Можно сделать bridge c интерфейса хоста в вм или контейнер. Или попросить тестовые VPN скажем на неделю у сабжа, как клиент. Обычно дают тестовые VPN на какой-то короткий срок.

Bridge не могу, т.к. интерфейсы существуют не постоянно. А нужно не на короткий срок, а на весь перманентный срок разработки.. Выход только в покупке второго комплекта VPN?

А если на отдельной виртуалке поднять VPN-роутер, с него DNAT/nginx-proxy на тестовое/боевое окпужение?

Можешь спросить у Stéphane Graber'а в lxd как такое сделать, он очень крут, и на вопросы в том числе не против ответить. Тут мне кажется все-таки unix-char для того же tun будет недостаточно, я много какие интерфейса с lxd контейнере поднимал и tun и sit и туннели, но с хоста пробрасывал только сетевые карты. В kvm такое наверняка можно сделать. Проблема в том что с macvlan у тебя получится как-бы еще один такое же интерфейс, а если пробросить совсем, то интерфейс уйдет с хоста в контейнер/вм.

Вообще интерфейсы поднятые в контейнере, те же tun все равно просвечиваются на хост, возможно тебе этого будет достаточно. И ты можешь и задавать их на том же хосте, если поднимешь в контейнере и контейнере тоже. Более того, на хосте у тебя лучший доступ к интерфейсу, например root можешь задавать тот же txqueuelen для tun. Короче попробуй, думаю тебе и этого достаточно будет.
Более того, на хосте у тебя лучший доступ к интерфейсу, например root можешь задавать тот же txqueuelen для tun. Короче попробуй, думаю тебе и этого достаточно будет.

lxc config device add containername tun unix-char path=/dev/net/tun

Можешь дать ссыль на мануал? А то нахожу сплошь про настройку VPN на роутерах

Оно будет так как мне нужно? Будет доступ к сетевым интерфейсам хоста, а к процессам нет?

Ммм.. Вполне может быть.. Вот только боюсь в скором времени понадобятся 2 тестовых окружения и тогда этот способ не подойдёт..

Если речь идёт чисто об изоляции процессов, то тебе помог бы unshare, только он не умеет unshar'ить PID namespace. Можешь написать простенький wrapper, который будет делать clone() с флагом CLONE_NEWPID - запущенный таким образом процесс получит новый PID namespace и не увидит другие процессы.

Да.

Спс, попробую

чисто об изоляции процессов

В общем, да, но не по одиночке, группа скриптов должна видеть друг друга, а другую группу нет, как-то так тогда

Можешь дать ссыль на этот unshare?

Ну, будет создано новое пространство имён для процессов, изнутри него не будут видны процессы в основном неймспейсе, но созданные там процессы будут видеть друг друга.

man 1 unshare
man 2 unshare
man 2 clone

http://hideme.ru/vpn/router/ Лучше им в саппорт напиши: де хочу вот так-то.

systemd-nspawn подошел на 100%, спасибо