From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <rider@altlinux.com>
Message-ID: <5361DE07.8060104@altlinux.com>
Date: Thu, 01 May 2014 09:39:19 +0400
From: Anton Farygin <rider@altlinux.com>
User-Agent: Mozilla/5.0 (X11; Linux x86_64;
	rv:24.0) Gecko/20100101 Thunderbird/24.4.0
MIME-Version: 1.0
To: devel@lists.altlinux.org
References: <20140426224137.GB1155@mw.mithraen.ru>	<201404290239.11968.led@altlinux.org>	<20140429134044.GA27293@mw.mithraen.ru>	<201404291917.06896.led@altlinux.org>	<20140429165734.GA3683@mw.mithraen.ru>
	<535FE805.9030808@altlinux.com>	<20140429193958.GA2823@mw.mithraen.ru>
	<53600AC6.6010304@altlinux.com>	<20140429234055.GA10089@mw.mithraen.ru>
	<5360BBC0.80104@altlinux.com>	<5360BD0B.2040000@altlinux.com>
	<877g66dg5f.fsf_-_@asia.home.dd>
In-Reply-To: <877g66dg5f.fsf_-_@asia.home.dd>
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [devel] VZ vs LXC
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 01 May 2014 05:39:21 -0000
Archived-At: <http://lore.altlinux.org/devel/5361DE07.8060104@altlinux.com/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On 30.04.2014 18:51, Dmitry Derjavin wrote:
> Ср, 30 апр 2014, 13:06, Anton Farygin:
>
>> А не выгоднее ли изолировать процессы другими способами ? Сейчас же
>> есть как минимум два инструмента, позволяющих очень жёстко изолировать
>> процессы от хост системы. SELinux и механизмы LXC (которыми, кстати,
>> частично пользуется systemd)
>
> «Механизмы LXC» — это ведь те же самые механизмы, которые использует
> OpenVZ. Кстати, vzctl у нас давно уже работает на свежих ядрах. Но в
> режиме ограниченной функциональности, конечно. И эти же механизмы
> использует docker-io. И ip netns, кстати, тоже.
>
> Причём, ip netns из коробки умеет не только сетевые namespace-ы, но и
> монтирует /etc/netns/<ns>/resolv.conf в /etc/resolv.conf в отдельном
> mount namespace! Очень рекомендую.
>
> Предлагаю с этим в sysadmins@.

Дима, а расскажи здесь, пожалуйста. Чрут то всё равно ведь нужен ?

Как бы сделать так, что бы не нужно было бы загонять приложение в чрут, 
а просто ограничить его доступ к системному окружению и сети.

Тем для всё-таки не для sysadmins@. docker - это насколько я понял, 
несколько иное решение - он делает чруты на основе... ну на какой-то основе.

ip netns вообще для другого - изоляция сети дело хорошее, но это лишь 
малая часть того, что нужно для полного счастья.

Было бы здорово описывать в конфиге необходимость изоляции сервиса и 
сети, а дальше всё на себя берёт initscript (или systemd, кому как 
удобнее ;) )