hi, Tue, Jun 28, 2022 at 04:14:26, eugen wrote about "Re: [freebsd] AWS Tech Conference":
> Jail это chroot плюс опционально виртуализированный сетевой стек > плюс запрет руту из клетки влиять на хост. Судя по тому, что можно видеть в комплекте всяких cgroup, в опциях clone и так далее, параметров сильно больше: 1. chroot (уже сказано) 2. своё пространство pidʼов 3. шейперы разных шедулеров (CPU, IO, память) и пространства учёта 4. ограничения на набор допустимых устройств (тех что в /dev) 5. сетевой стек (инстанс, интерфейсы) 6. идентификация ядра (ответ на uname) 7. отдельное пространство IPC (если не сделано через FS) 8. CPU affinity (ограничение сверху и возможно маппинг) 9. таки да, запрет "влиять на хост", и это может быть сложно (что можно монтировать, а что нет) И это я наверняка мог ещё что-то потерять (если заглянуть в /proc/<pid>cgroup в podʼе под k8s, видны hugetlb и какой-то freezer). В принципе повторить всё это не проблема, но конкретный механизм... > Не виртуальная машина даже близко, > для этого bhyve. Кэп:) > Насколько я ничего не понимаю, всего хватает. > В 13.1 допилили LinuxKPI, чтобы запускать современный линуксовый userland в > jail, > включая Docker. Сам не пробовал. Звучит хорошо, но наличие нативного было бы лучше. Серьёзно, лозунг типа "вы не заметите разницы для своего любимого кубера" тут бы что-то дал. -netch- _______________________________________________ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd