On Wed, Apr 30, 2014 at 06:51:40PM +0400, Dmitry Derjavin wrote:
> Ср, 30 апр 2014, 13:06, Anton Farygin:
> 
> > А не выгоднее ли изолировать процессы другими способами ? Сейчас же
> > есть как минимум два инструмента, позволяющих очень жёстко изолировать
> > процессы от хост системы. SELinux и механизмы LXC (которыми, кстати,
> > частично пользуется systemd)
> 
> «Механизмы LXC» — это ведь те же самые механизмы, которые использует OpenVZ.

Не совсем те же самые, скорее родственные.

> Кстати, vzctl у нас давно уже работает на свежих ядрах. Но в
> режиме ограниченной функциональности, конечно.

https://openvz.org/Vzctl_for_upstream_kernel#Limitations

> И эти же механизмы использует docker-io. И ip netns, кстати, тоже.

docker-io - это lxc на стероидах. :)


-- 
ldv