LXC

From DCEwiki
Jump to: navigation, search

LXC ( akronym angl. LinuxX Containers ) je tzv. kontejnerová virtualizační metoda, při které virtualizovaný systém využívá zdroje linuxového jádra a operačním systému hostitele. Aplikací cgroups, které se v jádře používají k řízení zdrojů, se ve jmenném prostoru jádra hostitele vytvoří oddělený kontejner, ve kterém běží další linuxový systém se svými vlastními procesy, konfigurací sítě, uživatelskými účty atp.

Upozornění Výhodou LXC kontejnerů je, že nevyžadují upravené linuxové jádro. Z principu však mají jeden zásadní bezpečnostní problém - a to, že se root uživatel systému, spuštěného v LXC kontejneru, může nabourat do systému hostitele - podobně jako u chrootu.

Až od jádra verze 3.8 se objevily funkcionality, které umožnily LXC kontejner lépe zabezpečit tím, že jeho root je v rámci hostitelského systému namapován na jiného uživatele. To však lze ale považovat spíš za "workaround" než řešení. Tam kde jsou z hlediska bezpečnosti žádoucí skutečně izolované kontejnery je třeba zvolit jiné řešení. Ty ale, na rozdíl od LXC, bez výjimky vyžadují speciálně upravený linuxový kernel.

Jiná řešení kontejnerové virtualizace[edit]

Poměrně rozšířeným řešením kontejnerové virtualizace v linuxovém prostředí je OpenVZ (Open Virtuozzo), které začala vyvíjet jako základní stavební prvek pro svůj komerční produkt fa. Parallels r. 2005. Jeho cílem je implementace tzv. jailů, které se používají u Solarisu a FreeBSD. Bohužel úpravy, které toto řešení vyžaduje pravděpodobně nejsou v souladu s představami vývojářů linuxového jádra a tudíž nejsou implementovány v hlavní vývojové linii.

Existuje ještě jedno řešení kontejnerové virtualizace v linuxovém prostředí Linux-Vserver, které se vyvinulo postupem času z původní binární utility. I to však vyžaduje upravený linuxový kernel.