Canonical и Docker развивают LXD, гипервизор для изолированных контейнеров (дополнено)
Предоставляемый LXD уровень изоляции и безопасности контейнеров обещают довести до уровня традиционных гипервизоров, таких как KVM. LXD будет полностью поддерживаться в Docker и OpenStack, при этом в качестве клиента можно будет использовать и инструментарий, похожий на LXC. Управляющий интерфейс LXD будет функционировать в форме демона, принимающего запросы через REST API, что упростит организацию взаимодействия с другими серверами по сети и даст возможность удалённого развёртывания окружений. В запущенных при помощи LXD контейнерах можно будет использовать такие возможности, как Live-миграция, привязка контейнеров к хранилищам и сетевым интерфейсам.
Если Docker рассчитан главным образом на создание компактных окружений для запуска отдельных приложений, то LXD cможет расширить область применения Docker использованием для организации работы контейнеров с полноценными экземплярами ОС, продолжающими использовать одно ядро Linux с базовой системой, но более жестко изолированного на уровне разделения контейнеров между собой. Использование одного ядра не позволяет применять LXD для запуска в контейнерах разных операционных систем, но даёт возможность организовать работу разных дистрибутивов Linux, например, можно будет запустить в Ubuntu контейнеры с системным окружением RHEL, CentOS, SUSE и Debian.
В настоящее время проект LXD развивается за закрытыми дверями, но исходные тексты обещают открыть под лицензией Apache сразу после готовности разработки. Готовое для промышленного применения решение на базе LXD планируется выпустить в течение 6 месяцев.
Дополнение: В списке рассылки lxc-devel раскрыты некоторые технические подробности об LXD. Несмотря на использование слова "гипервизор" и заявлений о более жесткой изоляции, на деле LXD построен с использованием liblxc (LXC C API) и по сути является лишь переработкой LXC, оформленной в виде постоянно висящего фонового процесса. Код проекта написан на языке Go. Упоминание в анонсе привлечения каких-то дополнительных средств изоляции, основанных на аппаратных механизмах виртуализации, пока относится к категории идей и обсуждений. Изоляция пока достигается только традиционными и уже используемыми в других системах средствами, такими как пространства имён, cgroups, работа контейнера в непривилегированном режиме, ограничения через AppArmor и SECCOMP. Основная задача LXD - организация прозрачного управления серией хостов с контейнерами через сеть, а также организация перемещение между ними окружений.
Источник: http://www.opennet.ru/opennews/art.shtml?num=41001
|
0 | Tweet | Нравится |
|