Показать меню

LXC

29.06.2022
29

LXC (англ. Linux Containers) — система виртуализации на уровне операционной системы для запуска нескольких изолированных экземпляров операционной системы Linux на одном узле. LXC не использует виртуальные машины, а создаёт виртуальное окружение с собственным пространством процессов и сетевым стеком. Все экземпляры LXC используют один экземпляр ядра операционной системы.

Данная система сходна с OpenVZ и Linux-VServer для Linux, а также FreeBSD jail и Solaris Containers. LXC основана на технологии cgroups, входящей в ядро Linux, начиная с версии 2.6.29.

Основные разработчики — Даниэль Лескано (Daniel Lezcano), Серж Айюн (Serge Hallyn) и Стефан Грабе (Stéphane Graber).

Среди примеров использования — применение в PaaS-хостинге Heroku для изоляции динамических контейнеров (dynos). В проекте Docker разработаны компоненты, обеспечивающие LXC высокоуровневыми сервисами управления и развёртывания.

Безопасность

Изначально LXC-контейнеры не поддерживали достаточно высокий уровень изоляции в сравнении с контейнерами на базе более ранней технологии OpenVZ. В частности, в ядре Linux до версии 3.8 root-пользователь LXC-контейнера может выполнить произвольный код в родительской операционной системе: это возможно за счёт того, что uid 0 внутри контейнера совпадает с uid 0 базовой системы (внутри которой контейнер запущен). С выпуском LXC версии 1.0 данная проблема исправлена введением «непривилегированных контейнеров» — где uid 0 в контейнере соответствует непривилегированному пользователю снаружи и имеет расширенные права только на свои ресурсы. LXC до версии 1.0 можно обезопасить с помощью различных настроек управления доступом и фильтров, используя инструменты apparmor, selinux и тому подобные.

Еще по этой теме:
Android-x86
19:00, 14 март
Android-x86
Android-x86 — это неофициальный порт мобильной операционной системы Android для запуска или установки на компьютерах, ноутбуках и нетбуках с процессорами AMD и Intel. Проект создался в виде серии
KSM
05:23, 17 декабрь
KSM
KSM (англ. kernel same-page merging, иногда трактуется как kernel shared memory) — технология ядра Linux, которая позволяет ядру объединять одинаковые страницы памяти между различными процессами или
X32 ABI
15:01, 11 декабрь
X32 ABI
x32 ABI — находящийся в стадии разработки проект двоичного интерфейса приложений для Linux, который позволяет компилировать программы для x32 ABI и работать в 64-разрядном режиме x86-64 с
OpenSolaris for System z
06:15, 11 декабрь
OpenSolaris for System z
OpenSolaris for System z — дистрибутив на основе операционной системы OpenSolaris, предназначенный для работы на мейнфреймах IBM System z. История Операционная система OpenSolaris основана на
Etersoft
22:43, 05 декабрь
Etersoft
«Этерсофт» (Etersoft) — российская компания, занимающаяся разработкой программного обеспечения для перехода с Microsoft Windows на Linux и свободные программы. История 2003 — компания Etersoft
YaST
20:55, 04 декабрь
YaST
YaST (Yet another Setup Tool) — программный пакет, появившийся в дистрибутиве SuSE Linux, как проприетарная утилита конфигурации операционной системы и установки/обновления пакетов с ПО. В настоящий
Комментарии:
Добавить комментарий
Ваше Имя:
Ваш E-Mail: