> On 28 Jun 2022, at 13:32, Valentin Nechayev <ne...@netch.kiev.ua> wrote: > > hi, > > Tue, Jun 28, 2022 at 04:14:26, eugen wrote about "Re: [freebsd] AWS Tech > Conference": > >> Jail это chroot плюс опционально виртуализированный сетевой стек >> плюс запрет руту из клетки влиять на хост. > > Судя по тому, что можно видеть в комплекте всяких cgroup, в опциях > clone и так далее, параметров сильно больше: > 1. chroot (уже сказано)
Всегда было в jail > 2. своё пространство pidʼов Похоже что нету, но на самом деле не очень то и надо - вообще то pid-ы изнутри docker контейнеров тоже прекрасно видны на host системе. > 3. шейперы разных шедулеров (CPU, IO, память) и пространства учёта Есть через rctl, который умеет дружить с jail: https://docs.freebsd.org/doc/9.2-RELEASE/usr/share/doc/freebsd/handbook/security-resourcelimits.html > 4. ограничения на набор допустимых устройств (тех что в /dev) Давно есть: devfs_ruleset в jail(8) > 5. сетевой стек (инстанс, интерфейсы) Есть: vnet в jail(8) > 6. идентификация ядра (ответ на uname) Частично есть: osrelease, osreldate в jail(8) > 7. отдельное пространство IPC (если не сделано через FS) Вроде достаточно давно уже отдельное в jail > 8. CPU affinity (ограничение сверху и возможно маппинг) Частично есть: cpuset.id в jail(8). Но на самом деле не так часто используется в K8s. > 9. таки да, запрет "влиять на хост", и это может быть сложно (что > можно монтировать, а что нет) > И это я наверняка мог ещё что-то потерять (если заглянуть в > /proc/<pid>cgroup в podʼе под k8s, видны hugetlb и какой-то freezer). > > В принципе повторить всё это не проблема, но конкретный механизм... Повторюсь: большинство необходимых компонент есть, а чего нету, то можно доделать и/или не так уже и критично на самом деле. Причём много этого всего есть задолго до того, как оно появилось в linux. Только никто не будет это всё ручками лепить докучи. Надо чтобы всё это было слеплено в стандартизированный СRI. И вот этого нету. >> Не виртуальная машина даже близко, >> для этого bhyve. > > Кэп:) > >> Насколько я ничего не понимаю, всего хватает. >> В 13.1 допилили LinuxKPI, чтобы запускать современный линуксовый userland в >> jail, >> включая Docker. Сам не пробовал. > > Звучит хорошо, но наличие нативного было бы лучше. Серьёзно, лозунг > типа "вы не заметите разницы для своего любимого кубера" тут бы что-то > дал. > > > -netch- > _______________________________________________ > freebsd mailing list > freebsd@uafug.org.ua > http://mailman.uafug.org.ua/mailman/listinfo/freebsd _______________________________________________ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
