Релиз системы контейнерной виртуализации LXC 1.0.0

Для иксов юзай квм.

juju-local

нашел ответы на многие вопросы по теме lxc vs openvz: http://ru-openvz.livejournal.com/1970.html

не вижу особо смысла уходить от openvz, тем более что сижу на proxmox

о, спасибо, почитаем, заюзаем! )

и тебе спасибо, бро

Докер наша все ! А вагрант для маководов и виндузятников.

почитал: требования - ведро 3.8+, aufs. У меня Debian Wheezy. AUFS вроде ж есть у них, а вот ядро таки придется обновить.

Набор инструментов командной строки уменьшился, но стал более полным.

/me ничего не понял.

Может, я что-то делаю не так, но использую LXC около года. Контейнеров уже более десятка. Посещаемость за 150 тыс. визитов в сутки, или несколько миллионов запросов на контейнер. Объем БД более 30Гб, отдаваемых файлов — более 300Гб. И пока ни единого нарекания. Понятно, это не самые высокие нагрузочные критерии, но уже позволяет делать некоторые выводы о готовности LXC.

Но openvz лучше LXC

Может быть. Только я нигде OpenVZ пощупать не могу. Ибо требует особого ядра. И поэтому для меня выбор очевиден. Худшее лучше хорошего, когда последнего нет :)

Блин, я до сих пор не могу понять, какой от них вообще прок, если рут в контейнере = рут в системе?

P.S: прочитал как «Stéphane Graber (работает в Canonical в Ubuntu Foundations Team) и Serge Hallyn являются главными контейнерами LXC»

причём тут Рут ? контейнер номер - тебе рама столько то, цпу столько то ну и контенеры проще деплоить и между ящиками таскать ...

Я так инфраструктурные серваки разделяю. Чтобы не путаться. Тестовые лабы для себя отдельно создаю...

Новый способ создания контейнеров на основе централизованно сгенерированных образов.

В Docker такое можно. Docker удобен. Зачем пользоваться чисто LXC?

ну я это понимал в первую очередь как нечто на замену виртуоззо, вот при чем...

Ну хорошо, переставая создавать патченные ядра по него. Какая разница в данном случае.

Может быть. Только я нигде OpenVZ пощупать не могу. Ибо >требует особого ядра. И поэтому для меня выбор очевиден. >Худшее лучше хорошего, когда последнего нет :)

Так о том и речь, что смысла бросать успешный проект на полпути, когда можно дорабатывать. Никто не мешал например сделать это при помощи модулей. А не плодить параллельные несовместимые проекты.

Точнее это совокупность технологий подобных chroot, плюс технологии управления распределения и квотирования ресурсов, плюс утилиты которые всем этим управляют.

Собственно chroot, если там используется именно он, малая и далеко не самая интересная часть этого винегрета.

Вообще-то поцт от января 2014. Но тестировали там как я понял lxc из debian stable и всяких там убунт.
Как мне кажется о lxc разумнее говорить в контексте свежесобранных ядер с kernel.org и прочего махрового unstable. Это всё сейчас активно развивается.

В Docker такое можно. Docker удобен. Зачем пользоваться чисто LXC?

Я на него поглядел и мне страшновато стало от той каши, что он в реальной ФС делает. Как-то стрёмно :)

Что тебе удобнее тем и пользуйся. Хоть lxc, хоть openvz, хоть vbox.
С твоим кейсом справится всё.

А кто в контейнерах живёт? Какой софт, у кого есть доступ к гостевым системам?
Подробности давай.

самая разная утварь - vpn'ы, apache/nginx, mysql, bind, postfix/exim, собственные сервисы (http/tcp/udp), и даже сервер q3a ;)
хосты на Debian 6, Debian 7 и Ubuntu 12.04
гости - Debian 7

у кого есть доступ к гостевым системам?

не совсем понятно. у рута есть доступ :)

посмотреть бы, как все на деле работать будет.

А можно из контейнера иксы запустить параллельно основной системе? Т.е. нажал ctrl+alt+f7 - получил генту, ctrl+alt+f8 - получил убунту?

самая разная утварь - vpn'ы...

А можно поподробнее, какие и как работают и что со стабильностью? Сам думаю запилить vpn на lxc, но пока пугает некоторая неготовость системы

имеется openvpn, tinc и pptpd. Особых проблем и сбоев не замечено (поверх одного из них репликация нагруженного mysql идет - по вине lxc/vpn еще сбоев не было). Есть определенный гемор в настройке pptpd (pppd) - pty не с первого раза удалось прокинуть, но каким-то боком встало. Работает с 2011-го.
из проблем, что помню:
- не запускать контейнер из-под консоли mc
- первый запуск контейнера может длится несколько минут (хз почему)
- первые запуски лучше проводить при отключенной сети контейнера - может уложить интерфейсы, даже если мост. для удаленных серверов может стать проблемой. Лучше все проверить перед запуском (попервой я вообще с перепугу удалял все утилиты настройки интерфейсов :))
- не заморачивался, но вопрос себе ставил - как запретить менять дату/время в контейнере, т.к. влияет на всю систему
- если во время работы утилит lxc-* не в тему потыкать Ctrl+C/X/Z - может повесить весь cgroup и потом запустить его можно только после перезагрузки ядра
- lxc-stop брутален, убивает все живое без предупреждения. Лучше использовать lxc-kill иниту контейнера или lxc-graceful (где-то на гитхабе)

Это к какому ядру относится? И какая версия клиентских утилит?

И ещё вопрос, ведал ли ты какие-либо ограничения на контейнеры? И стартовал по дефолту?

Linux 2.6.32-5-amd64 #1 SMP Mon Sep 23 22:14:43 UTC 2013 x86_64 GNU/Linux
Linux 2.6.32-5-686 #1 SMP Mon Sep 23 23:00:18 UTC 2013 i686 GNU/Linux
Linux 3.2.0-4-amd64 #1 SMP Debian 3.2.46-1 x86_64 GNU/Linux
Linux 3.8.0-35-generic #50~precise1-Ubuntu SMP Wed Dec 4 17:25:51 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux

lxc 0.7.2 и 0.8 (собственно дистрибутивные версии)

вопрос ваш не понятен мне...

но все же - ограничений не ставил. не было цели/надобности

не совсем понятно. у рута есть доступ :)

рут в контейнере этот тот-же человек (или группа людей) что и рут в хостовой системе, или имеет место что-то вроде предоставления хостинга?

Это важный момент ставящий ребром вопрос о безопасности.

в моем случае в 98% ситуаций это один человек (ну два, доверенных).
могу вспомнить лишь пару случаев выдачи рута в контейнерах посторонним, но они опять-таки полудоверенные лица, гадить не стали бы. да и скиллов у них бы просто нехватило бы (от дурака lxc защищает вполне себе на уровне, но если говорить на тему всяких ядреных сплойтов - я бы не доверил рута в контейнере).

Там критика в основном касательно интерфейсов управления. Они явно уступают тому же VZ по юзабилити и продуманности. А производительность понятное дело выше, чай ядро.

/proc в режиме ro монтируется в контейнере. Это первое, что бросается в глаза.

Накидайте примеров, как из контейнера навредить хосту. Я их испытаю

Всё сильно зависит от конфигурации. Типовые конфигурации пока-что не устоялись, и это само по себе проблема.
В некоторых дефолтных конфигурациях контейнеров (да, я говорю дефолтах довольно старых версий) можно просто сказать из контейнера poweroff (: впрочем такого я своими глазами не видел).
Где-то по умолчанию сетевые интерфейсы не изолируются и доступны напрямую из контейнеров, их например можно просто выключить или подслушать трафик.

Это всё конечно сильно попахивает выстрелом в ногу, но таких моментов ещё много, не все они закрыты разумными настройками по умолчанию и что-бы не выстрелить себе в ногу нужно хорошо понимать что происходит в системе.

Тут я говорю о тех версиях ядра и утилит которые лежат в репозиториях всяких там штабильных дебианов, а е тех которые на компах разработчиков, и примкнувших к ним федоровцев.

Та тоже как-то стремно... Лучше заюзаю vbox.