LXC
LXC (англ. Linux Containers) — подсистема контейнеризации, позволяющая запускать нескольких изолированных экземпляров операционной системы Linux на одном узле. LXC не использует виртуальные машины, а создаёт виртуальное окружение с собственным пространством процессов и сетевым стеком; все экземпляры LXC используют один экземпляр ядра операционной системы.
Сходна с OpenVZ и Linux-VServer для Linux, а также FreeBSD jail и Solaris Containers. Использует технологии контрольных групп и пространств имён, входящие в ядро Linux начиная с версии 2.6.29.
Основные разработчики — Даниэль Лескано (Daniel Lezcano), Серж Айюн (Serge Hallyn) и Стефан Грабе (Stéphane Graber).
Среди примеров использования — применение в PaaS-хостинге Heroku для изоляции динамических контейнеров (dynos). В проекте Docker разработаны компоненты, обеспечивающие LXC высокоуровневыми сервисами управления и развёртывания.
Что важно знать
| LXC (Linux Containers) | |
|---|---|
| Тип | Виртуализация на уровне операционной системы |
| Разработчики | Даниэль Лескано, Серж Айюн, Стефан Грабе |
| Написана на | Python, Lua и Bourne shell |
| Операционная система | Linux |
| Первый выпуск | 6 августа 2008[1] |
| Аппаратные платформы | x86, x86_64, IA-64, PowerPC, ARM и SPARC |
| Последняя версия | |
| Репозиторий | github.com/lxc/lxc |
| Лицензия | GNU GPL 2 |
| Сайт |
linuxcontainers.org (англ.) linuxcontainers.org/… |
Безопасность
Изначально LXC-контейнеры не поддерживали достаточно высокий уровень изоляции в сравнении с контейнерами на базе более ранней технологии OpenVZ. В частности, в ядре Linux до версии 3.8 root-пользователь LXC-контейнера может выполнить произвольный код в родительской операционной системе: это возможно за счёт того, что uid 0 внутри контейнера совпадает с uid 0 базовой системы (внутри которой контейнер запущен). С выпуском LXC версии 1.0 данная проблема исправлена введением «непривилегированных контейнеров» — где uid 0 в контейнере соответствует непривилегированному пользователю снаружи и имеет расширенные права только на свои ресурсы. LXC до версии 1.0 можно обезопасить с помощью различных настроек управления доступом и фильтров, используя инструменты apparmor, selinux и тому подобные[3].
Примечания
Литература
- Senthil Kumaran S. Practical LXC and LXD: Linux Containers for Virtualization and Orchestration. — Apress, 2017. — 159 с. — ISBN 978-1-4842-3023-7.
- Konstantin Ivanov. Containerization with LXC. — Packt Publishing, 2017. — 352 с. — ISBN 978-1-78588-894-6.
- Джон Лэйн. LXC: малая виртуализация // Linux Format. — 2912. — Октябрь (№ 62). — С. 88—91.
- Мэт Хэлсли. LXC: Kонтейнерные утилиты Linux. developerWorks. IBM (14 июля 2009). Дата обращения: 25 января 2020.
Ссылки
- LXC Howto
- Стефан Грабе. Цикл статей о LXC 1.0. Перевод.
| Уровень приложений | |||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Уровень ОС (Контейнеры) |
| ||||||||||||||
| Аппаратный уровень |
| ||||||||||||||
| Виртуализация сетей | |||||||||||||||
