Re: OpenVZ на Debian Wheezy
On 27.06.2013 13:07, Sciko Good wrote:
> А разве основная фишка LXC не то, что она не модифицирует ядро, а использует
> встроенный в ядро механизм cgroup, и поэтому не может быть включён в ядро по
> определению?
>
Насколько я понимаю, LXC - это и есть cgroup с пользовательским окружением?
А насчёт cgroup, я не столь давно читал, что в ядро их продвинул Линус.
> Зато это гораздо более продвинутый патч.
Согласен.
>> А живая миграция в LXC, - это вопрос времени.
> Зная механизм работы LXC выражаю смутные сомнения в этом.
>
А что такого? Насколько я понимаю, каждому родительскому процессу присваивается
ID группы? И он становится PID 1 для потомков...
Что мешает запустить такие же группы на другой машине?
Естественно, если изменяемые данные будут на внешнем хранилище.
>> Кстати, причём тут AppArmor?
>
> В LXC root имеет все права рута, в том числе писать в общие для всех /proc и
> /sys (а из-за особенностей LXC других /proc и /sys нет). Вот чтобы с этим и ещё
> некоторыми неопрятными вещами бороться и задействуют AppArmor.
>
Мда. Вот только толку от /proc, в котором всё закрыто?
Но насчёт "танцев" не соглашусь. Убунтоводы активно разрабатывают профили и уже
включают их в пакеты (уже много профилей есть). Да и в настройке и
профилировании AppArmor не столь сложен.
Reply to: