LINUX.ORG.RU

Релиз системы контейнерной виртуализации LXC 1.0.0

 , , , ,


2

3

Немного об LXC: LXC — система виртуализации на уровне операционной системы для запуска нескольких изолированных экземпляров(контейнеров) ОС Linux на одном компьютере.

Stéphane Graber (работает в Canonical в Ubuntu Foundations Team) и Serge Hallyn являются главными мейнтейнерами LXC, тем самым данный релиз LXC появится в Ubuntu 14.04 LTS.

LXC 1.0.0 является результатом 10 месячной разработки. Данный релиз имеет огромный список изменений, тем не менее вот список наиболее главных изменений:

  • Полная поддержка непривилегированных контейнеров.
  • Cтабильный и публичный API (liblxc1).
  • Официальный API c привязкой к языкам программирования lua, python3, Go and Ruby.
  • Гибкая система резервного хранения с поддержкой:
    • Стандартных каталогов (стоит по умолчанию).
    • btrfs
    • zfs
    • lvm
    • loop devices
    • aufs
    • overlayfs
  • Поддержка для клонирования и создания снэпшотов контейнера.
  • Набор инструментов командной строки уменьшился, но стал более полным.
  • Обновлена и дополнена документация.
  • Новый способ создания контейнеров на основе централизованно сгенерированных образов.
  • Появились шаблоны которые позволяют создавать контейнеры под управлением наиболее популярных дистрибутивов.

>>> Источник

★★★★★

Проверено: maxcom ()
Последнее исправление: maxcom (всего исправлений: 7)
Ответ на: комментарий от mx__

почитал: требования - ведро 3.8+, aufs. У меня Debian Wheezy. AUFS вроде ж есть у них, а вот ядро таки придется обновить.

Gonzo ★★★★★
()

Набор инструментов командной строки уменьшился, но стал более полным.

/me ничего не понял.

ass ★★★★
()
Ответ на: комментарий от anonymoos

Может, я что-то делаю не так, но использую LXC около года. Контейнеров уже более десятка. Посещаемость за 150 тыс. визитов в сутки, или несколько миллионов запросов на контейнер. Объем БД более 30Гб, отдаваемых файлов — более 300Гб. И пока ни единого нарекания. Понятно, это не самые высокие нагрузочные критерии, но уже позволяет делать некоторые выводы о готовности LXC.

KRoN73 ★★★★★
()
Ответ на: комментарий от ChAnton

Но openvz лучше LXC

Может быть. Только я нигде OpenVZ пощупать не могу. Ибо требует особого ядра. И поэтому для меня выбор очевиден. Худшее лучше хорошего, когда последнего нет :)

KRoN73 ★★★★★
()

Блин, я до сих пор не могу понять, какой от них вообще прок, если рут в контейнере = рут в системе?

vitalif ★★★★★
()

P.S: прочитал как «Stéphane Graber (работает в Canonical в Ubuntu Foundations Team) и Serge Hallyn являются главными контейнерами LXC»

vitalif ★★★★★
()
Ответ на: комментарий от vitalif

причём тут Рут ? контейнер номер - тебе рама столько то, цпу столько то ну и контенеры проще деплоить и между ящиками таскать ...

mx__ ★★★★★
()
Ответ на: комментарий от vitalif

Я так инфраструктурные серваки разделяю. Чтобы не путаться. Тестовые лабы для себя отдельно создаю...

trofk ★★★
()

Новый способ создания контейнеров на основе централизованно сгенерированных образов.

В Docker такое можно. Docker удобен. Зачем пользоваться чисто LXC?

bhfq ★★★★★
()
Ответ на: комментарий от mx__

ну я это понимал в первую очередь как нечто на замену виртуоззо, вот при чем...

vitalif ★★★★★
()
Ответ на: комментарий от tazhate

Ну хорошо, переставая создавать патченные ядра по него. Какая разница в данном случае.

ChAnton ★★
()
Ответ на: комментарий от KRoN73

Может быть. Только я нигде OpenVZ пощупать не могу. Ибо >требует особого ядра. И поэтому для меня выбор очевиден. >Худшее лучше хорошего, когда последнего нет :)

Так о том и речь, что смысла бросать успешный проект на полпути, когда можно дорабатывать. Никто не мешал например сделать это при помощи модулей. А не плодить параллельные несовместимые проекты.

ChAnton ★★
()
Ответ на: комментарий от Reset

Точнее это совокупность технологий подобных chroot, плюс технологии управления распределения и квотирования ресурсов, плюс утилиты которые всем этим управляют.

Собственно chroot, если там используется именно он, малая и далеко не самая интересная часть этого винегрета.

MrClon ★★★★★
()
Ответ на: комментарий от fallout4all

Вообще-то поцт от января 2014. Но тестировали там как я понял lxc из debian stable и всяких там убунт.
Как мне кажется о lxc разумнее говорить в контексте свежесобранных ядер с kernel.org и прочего махрового unstable. Это всё сейчас активно развивается.

MrClon ★★★★★
()
Ответ на: комментарий от bhfq

В Docker такое можно. Docker удобен. Зачем пользоваться чисто LXC?

Я на него поглядел и мне страшновато стало от той каши, что он в реальной ФС делает. Как-то стрёмно :)

KRoN73 ★★★★★
()
Ответ на: комментарий от Gonzo

Что тебе удобнее тем и пользуйся. Хоть lxc, хоть openvz, хоть vbox.
С твоим кейсом справится всё.

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

самая разная утварь - vpn'ы, apache/nginx, mysql, bind, postfix/exim, собственные сервисы (http/tcp/udp), и даже сервер q3a ;)
хосты на Debian 6, Debian 7 и Ubuntu 12.04
гости - Debian 7

у кого есть доступ к гостевым системам?

не совсем понятно. у рута есть доступ :)

dib2 ★★★★★
()

посмотреть бы, как все на деле работать будет.

ziperman2008
()

А можно из контейнера иксы запустить параллельно основной системе? Т.е. нажал ctrl+alt+f7 - получил генту, ctrl+alt+f8 - получил убунту?

xorik ★★★★★
()
Ответ на: комментарий от dib2

самая разная утварь - vpn'ы...

А можно поподробнее, какие и как работают и что со стабильностью? Сам думаю запилить vpn на lxc, но пока пугает некоторая неготовость системы

trofk ★★★
()
Ответ на: комментарий от trofk

имеется openvpn, tinc и pptpd. Особых проблем и сбоев не замечено (поверх одного из них репликация нагруженного mysql идет - по вине lxc/vpn еще сбоев не было). Есть определенный гемор в настройке pptpd (pppd) - pty не с первого раза удалось прокинуть, но каким-то боком встало. Работает с 2011-го.
из проблем, что помню:
- не запускать контейнер из-под консоли mc
- первый запуск контейнера может длится несколько минут (хз почему)
- первые запуски лучше проводить при отключенной сети контейнера - может уложить интерфейсы, даже если мост. для удаленных серверов может стать проблемой. Лучше все проверить перед запуском (попервой я вообще с перепугу удалял все утилиты настройки интерфейсов :))
- не заморачивался, но вопрос себе ставил - как запретить менять дату/время в контейнере, т.к. влияет на всю систему
- если во время работы утилит lxc-* не в тему потыкать Ctrl+C/X/Z - может повесить весь cgroup и потом запустить его можно только после перезагрузки ядра
- lxc-stop брутален, убивает все живое без предупреждения. Лучше использовать lxc-kill иниту контейнера или lxc-graceful (где-то на гитхабе)

dib2 ★★★★★
()
Ответ на: комментарий от trofk

Linux 2.6.32-5-amd64 #1 SMP Mon Sep 23 22:14:43 UTC 2013 x86_64 GNU/Linux
Linux 2.6.32-5-686 #1 SMP Mon Sep 23 23:00:18 UTC 2013 i686 GNU/Linux
Linux 3.2.0-4-amd64 #1 SMP Debian 3.2.46-1 x86_64 GNU/Linux
Linux 3.8.0-35-generic #50~precise1-Ubuntu SMP Wed Dec 4 17:25:51 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux

lxc 0.7.2 и 0.8 (собственно дистрибутивные версии)

dib2 ★★★★★
()
Ответ на: комментарий от trofk

вопрос ваш не понятен мне...

но все же - ограничений не ставил. не было цели/надобности

dib2 ★★★★★
()
Ответ на: комментарий от dib2

не совсем понятно. у рута есть доступ :)

рут в контейнере этот тот-же человек (или группа людей) что и рут в хостовой системе, или имеет место что-то вроде предоставления хостинга?

Это важный момент ставящий ребром вопрос о безопасности.

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

в моем случае в 98% ситуаций это один человек (ну два, доверенных).
могу вспомнить лишь пару случаев выдачи рута в контейнерах посторонним, но они опять-таки полудоверенные лица, гадить не стали бы. да и скиллов у них бы просто нехватило бы (от дурака lxc защищает вполне себе на уровне, но если говорить на тему всяких ядреных сплойтов - я бы не доверил рута в контейнере).

dib2 ★★★★★
()
Ответ на: комментарий от KRoN73

Там критика в основном касательно интерфейсов управления. Они явно уступают тому же VZ по юзабилити и продуманности. А производительность понятное дело выше, чай ядро.

anonymoos ★★★★★
()
Ответ на: комментарий от MrClon

/proc в режиме ro монтируется в контейнере. Это первое, что бросается в глаза.

roman77 ★★★★★
()
Ответ на: комментарий от trofk

Всё сильно зависит от конфигурации. Типовые конфигурации пока-что не устоялись, и это само по себе проблема.
В некоторых дефолтных конфигурациях контейнеров (да, я говорю дефолтах довольно старых версий) можно просто сказать из контейнера poweroff (: впрочем такого я своими глазами не видел).
Где-то по умолчанию сетевые интерфейсы не изолируются и доступны напрямую из контейнеров, их например можно просто выключить или подслушать трафик.

Это всё конечно сильно попахивает выстрелом в ногу, но таких моментов ещё много, не все они закрыты разумными настройками по умолчанию и что-бы не выстрелить себе в ногу нужно хорошо понимать что происходит в системе.

Тут я говорю о тех версиях ядра и утилит которые лежат в репозиториях всяких там штабильных дебианов, а е тех которые на компах разработчиков, и примкнувших к ним федоровцев.

MrClon ★★★★★
()
Ответ на: комментарий от KRoN73

Та тоже как-то стремно... Лучше заюзаю vbox.

Gonzo ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.