Re: Linux Container versus Linux V-Server (war: Re: Fliegen in Wheezy immer mehr […] Pakete aus der Distri?)
Am Sonntag, 22. Juli 2012 schrieb Harald Weidner:
> Hallo,
>
> Martin Steigerwald <Martin@lichtvoll.de>:
> >Was fehlt Dir denn in den Linux Containern konkret?
[…]
> Anderes Beispiel: unter LXC ist man quasi gezwungen, /proc und /sys
> readonly zu mounten, da ansonsten der Container Systemparameter des
> Hosts verändern kann. Wenn man aber möchte, dass im Container NFS
> Shares gemountet werden können, muss man ihm die Mount Capability
> zuweisen; und dann kann der Container auch /proc und /sys rw
> remounten, oder die Mount-Optionen anderer Filesysteme ändern.
Hmmm, das ist natürlich doof.
Ich hab NFS-Mounts mal vom Wirt eingerichtet und nur via Bind-Mounts in
den V-Server weitergereicht. Das war praktisch, da einige V-Server
dieselben Mounts benötigten.
> Außerdem stört es mich, dass ein LXC Container per Default erstmal
> alles darf (in Bezug auf Capabilities oder Devices), was man nicht
> explizit verbietet. Bei Linux-Vserver ist es umgekehrt, die dürfen
> erstmal sehr wenig, aber die Rechte können per expliziter Konfiguration
> erweitert werden.
Hmmm… finde ich auch nicht so dolle.
Ciao,
--
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Reply to: