chroot vs виртуализация

openvz

Говорят, сбежать из чрута легче, чем из чего-то по типу openvz.

И тут юзеру понадобится рут.

Ну файлы разные, а всякие списки процессов вроде будут общие. Вообщем это резиновая женщина

Вообще grsec меняет довольно много, но смысла нет. Проще паравиртуализация.

ovz и jail сделаны по тому же принципу

kvm\xen

//thread

Ты изобрёл OpenVZ и LXC.

Нет.

Потому что из chroot легко сбежать. Например, монтируешь внутри chroot корневой каталог и вот тебе рабочая система доступна на запись, лол. Grsecurity частично латает подобные дыры, но всё равно это не то.

openvz, lxc

а еще в чруте не будет работать ksm, и параллельсы отказываются внедрять его у себя

Почему не делают? Делают, в ру-центре, например.

А почему так не делают на базе chroot?

Например, так задолбаешься поднимать две разных системы.

Вообще, LXC рулит и педалит. В отличие от «полноценных» систем нет оверхеда, в отличие от OpenVZ — ставится на любое ядро, а не специальное.

А его уже допилили? А то в свое время (примерно год назад) читал что LXC еше далеко до кондиции.

А его уже допилили? А то в свое время (примерно год назад) читал что LXC еше далеко до кондиции.

Я его использую, где-то, пару месяцев. Правда, без высокой нагрузки, но нареканий пока не было. Скажем, ls.balancer.ru крутится в LXC-контейнере (хотя в основном LXC использую для девелоперских целей). Хост — Gentoo.

прогулы vs занятия в школе

а еще в чруте не будет работать ksm

А зачем в чруте KSM?

в чрутАХ (полдесятка ovz-контейнеров с апачами, например).

в чрутАХ (полдесятка ovz-контейнеров с апачами, например).

Эээ... и что? Запущенные в чрутах Апачи не разделяют код и данные через обычные механизмы ОС?

1). делают. 2). чрут это вообще не контейнер, чтобы хоть как-то отделить пользователя надо lxc или openvz.

нет.

Я мерял в lxc и vsphere (много джанги с минимальными отличиями в конфигах) - во втором случае суммарное расходование памяти ниже в 7-8 раз.