LXC

LXC software

Tip	Virtualizare (nu este listat )
Dezvoltator	Kernel: Parallels , IBM , Google Inc. , Eric Biederman și alții Spațiu utilizator: Daniel Lezcano, Serge Hallyn, Stéphane Graber și alții
Data primei versiuni	6 august 2008
Ultima versiune	4.0.9 (4 mai 2021)
Sistem de operare	Linux
Limba	Lua Piton C. Bourne shell
Licență	GNU LGPL v.2.1 (unele componente sub licență GNU GPL v.2 și BSD ) ( licență gratuită )
Site-ul web	linuxcontainers.org și linuxcontainers.org/lxc
Editați datele pe Wikidata · Manual

LXC (prescurtare pentru Linux Containers ) este un mediu de virtualizare containerizat , care funcționează la nivelul sistemului de operare și vă permite să rulați mai multe medii Linux virtuale izolate ( containere ) pe o singură mașină reală cu kernel-ul Linux .

Prezentare generală

Este similar cu alte sisteme de virtualizare la nivel de sistem de operare din Linux, cum ar fi OpenVZ și Linux-VServer , și alte sisteme de operare Unix , existente de ceva timp: închisorile FreeBSD , partițiile de încărcare de lucru AIX și containerul Solaris .

Prin urmare, nu este un sistem de virtualizare real, care emulează hardware bazat pe un hipervizor și acceptă doar virtualizarea sistemelor Linux. Containerele execută instrucțiuni direct pe CPU, fără a fi nevoie de emulare just-in-time sau mecanisme de compilare, ceea ce are ca rezultat cheltuieli generale („încărcare suplimentară”) și o utilizare mai mare a resurselor. Pe lângă emularea unui întreg sistem, LXC poate fi utilizat și pentru a rula o singură aplicație izolată de restul sistemului, diferențierea containerelor de tip „sistem” de containerele de tip „aplicație”. Mai multe dintre resursele utilizate de containere sunt de fapt partajate, deoarece toate utilizează același nucleu, cum ar fi bibliotecile de sistem. ^[1]

LXC și kernel-ul Linux

Kernel-ul Linux oferă două caracteristici de bază pentru LXC

cgroups , care vă permite să gestionați limitele și prioritățile de utilizare a resurselor (CPU, memorie, acces la memorie, acces la disc, rețea) fără a fi nevoie să utilizați o mașină virtuală reală;
izolarea spațiului de nume (sau a spațiului de nume) , care vă permite să izolați grupuri de procese unele de altele, astfel încât să nu fie resurse vizibile utilizate de alte grupuri de procese, cum ar fi arborii de proces , resursele de rețea, ID-urile de utilizator și sistemele de fișiere montate . ^[2]

Aceste caracteristici sunt furnizate de nucleul de vanilie ; de exemplu, funcționalitatea cgroups este implementată de versiunea 2.6.24. Acest lucru permite utilizarea LXC fără a fi nevoie să modificați nucleul cu patch - uri , așa cum este cazul cu soluții similare (de exemplu, OpenVZ).

PaaS și Docker

Containerele sunt utilizate pe scară largă în serviciile de cloud computing Platform ca serviciu ( PaaS ). Unul dintre instrumentele care vă permite să împachetați și să distribuiți o aplicație și dependențele acesteia prin containere și să utilizați LXC este software-ul gratuit Docker .

Probleme de siguranta

Inițial LXC era vizibil mai puțin sigur decât alte soluții similare, cum ar fi OpenVZ. De fapt, până la kernel-ul Linux 3.8 utilizatorul root al unui sistem invitat ar putea executa orice cod direct pe sistemul gazdă cu privilegii maxime, similar cu ceea ce se întâmplă cu chroot . ^[3] Întrucât containerele din versiunea 1.0 pot fi rulate cu privilegii normale de utilizator pe gazdă. ^[4] Astfel de containere au limitări, deoarece nu pot accesa direct hardware-ul. În orice caz, de asemenea, nivelul de securitate al containerelor care sunt rulate cu privilegii root este crescut, în prezența unei configurații adecvate. ^[4]

Notă

^ Matt Helsley, LXC: Linux container tools , ibm.com , IBM developerworks, 3 februarie 2009. Accesat la 28 martie 2015 .
^ Rami Rosen, Resource management: Linux kernel namespaces and cgroups ( PDF ), pe cs.ucsb.edu , mai 2013. Accesat la 28 martie 2015 (arhivat din original la 11 februarie 2015) .
^ Marco d'Itri, Evading from Linux containers , on blog.bofh.it , 2011. Accesat la 28 martie 2015 (arhivat din original la 9 ianuarie 2014) .
^ ^a ^b Stéphane Graber, LXC 1.0: Caracteristici de securitate [6/10] , pe stgraber.org , 1 ianuarie 2014. Accesat la 28 martie 2015 .

Elemente conexe

linkuri externe

( RO ) Site oficial , pe linuxcontainers.org .
Site oficial , pe linuxcontainers.org .
LXC , pe packages.debian.org .
Depozitul sursă LXC , la github.com .
Articol despre LWN LSS: containere Linux sigure , pe lwn.net .

Free Software Portal : accesați intrările Wikipedia care se ocupă de software gratuit

[1] Matt Helsley, LXC: Linux container tools , ibm.com , IBM developerworks, 3 februarie 2009. Accesat la 28 martie 2015 .

[2] Rami Rosen, Resource management: Linux kernel namespaces and cgroups ( PDF ), pe cs.ucsb.edu , mai 2013. Accesat la 28 martie 2015 (arhivat din original la 11 februarie 2015) .

[3] Marco d'Itri, Evading from Linux containers , on blog.bofh.it , 2011. Accesat la 28 martie 2015 (arhivat din original la 9 ianuarie 2014) .

[lxc-1-0-security-features/-4] Stéphane Graber, LXC 1.0: Caracteristici de securitate [6/10] , pe stgraber.org , 1 ianuarie 2014. Accesat la 28 martie 2015 .

[1]

[2]

[3]

[4]