[freebsd] AWS Tech Conference

[Valentin Nechayev]

hi,

 Tue, Jun 28, 2022 at 04:14:26, eugen wrote about "Re: [freebsd] AWS Tech Conference": 

> Jail это chroot плюс опционально виртуализированный сетевой стек
> плюс запрет руту из клетки влиять на хост.

Судя по тому, что можно видеть в комплекте всяких cgroup, в опциях
clone и так далее, параметров сильно больше:
1. chroot (уже сказано)
2. своё пространство pidʼов
3. шейперы разных шедулеров (CPU, IO, память) и пространства учёта
4. ограничения на набор допустимых устройств (тех что в /dev)
5. сетевой стек (инстанс, интерфейсы)
6. идентификация ядра (ответ на uname)
7. отдельное пространство IPC (если не сделано через FS)
8. CPU affinity (ограничение сверху и возможно маппинг)
9. таки да, запрет "влиять на хост", и это может быть сложно (что
можно монтировать, а что нет)
И это я наверняка мог ещё что-то потерять (если заглянуть в
/proc/<pid>cgroup в podʼе под k8s, видны hugetlb и какой-то freezer).

В принципе повторить всё это не проблема, но конкретный механизм...

> Не виртуальная машина даже близко,
> для этого bhyve.

Кэп:)

> Насколько я ничего не понимаю, всего хватает.
> В 13.1 допилили LinuxKPI, чтобы запускать современный линуксовый userland в jail,
> включая Docker. Сам не пробовал.

Звучит хорошо, но наличие нативного было бы лучше. Серьёзно, лозунг
типа "вы не заметите разницы для своего любимого кубера" тут бы что-то
дал.


-netch-