LXC

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск
LXC (Linux Containers)
Linux Containers logo.png
Тип

Виртуализация на уровне операционной системы

Разработчик

Даниэль Лескано, Серж Айюн, Стефан Грабе

Написана на

Python, Lua и Bourne shell

Операционная система

Linux

Аппаратная платформа

x86, x86-64, IA-64, PowerPC, ARM и SPARC

Последняя версия

2.0.3 (28 июня 2016)[1]

Лицензия

GNU GPL 2

Сайт

linuxcontainers.org

LXC и libvirt

LXC (англ. Linux Containers) — система виртуализации на уровне операционной системы для запуска нескольких изолированных экземпляров операционной системы Linux на одном узле. LXC не использует виртуальные машины, а создает виртуальное окружение с собственным пространством процессов и сетевым стеком. Все экземпляры LXC используют один экземпляр ядра операционной системы.

Данная система сходна с OpenVZ и Linux-VServer[en] для Linux, а также FreeBSD jail и Solaris Containers. LXC основана на технологии cgroups, входящей в ядро Linux, начиная с версии 2.6.29.

Основные разработчики — Даниэль Лескано (Daniel Lezcano), Серж Айюн (Serge Hallyn) и Стефан Грабе (Stéphane Graber).

Среди примеров использования — применение в PaaS-хостинге Heroku для изоляции динамических контейнеров (dynos). В проекте Docker разработаны компоненты, обеспечивающие LXC высокоуровневыми сервисами управления и развёртывания.

Безопасность[править | править вики-текст]

Изначально LXC-контейнеры не поддерживали достаточно высокий уровень изоляции в сравнении с контейнерами на базе более ранней технологии OpenVZ. В частности, в ядре Linux до версии 3.8 root-пользователь LXC-контейнера может выполнить произвольный код в родительской операционной системе: это возможно за счёт того, что uid 0 внутри контейнера совпадает с uid 0 базовой системы (внутри которой контейнер запущен). С выпуском LXC версии 1.0 данная проблема исправлена введением «непривилегированных контейнеров» — где uid 0 в контейнере соответствует непривилегированному пользователю снаружи и имеет расширенные права только на свои ресурсы. LXC до версии 1.0 можно обезопасить с помощью различных настроек управления доступом и фильтров, используя инструменты apparmor, selinux и тому подобные[2].

Примечания[править | править вики-текст]

Ссылки[править | править вики-текст]