[freebsd] AWS Tech Conference

Mykola Dzham i at levsha.me
Wed Jun 29 11:05:47 EEST 2022



> On 28 Jun 2022, at 13:32, Valentin Nechayev <netch at netch.kiev.ua> wrote:
> 
> hi,
> 
> Tue, Jun 28, 2022 at 04:14:26, eugen wrote about "Re: [freebsd] AWS Tech Conference": 
> 
>> Jail это chroot плюс опционально виртуализированный сетевой стек
>> плюс запрет руту из клетки влиять на хост.
> 
> Судя по тому, что можно видеть в комплекте всяких cgroup, в опциях
> clone и так далее, параметров сильно больше:
> 1. chroot (уже сказано)

Всегда было в jail

> 2. своё пространство pidʼов

Похоже что нету, но на самом деле не очень то и надо - вообще то pid-ы изнутри docker контейнеров тоже прекрасно видны на host системе.

> 3. шейперы разных шедулеров (CPU, IO, память) и пространства учёта

Есть через rctl, который умеет дружить с jail: https://docs.freebsd.org/doc/9.2-RELEASE/usr/share/doc/freebsd/handbook/security-resourcelimits.html

> 4. ограничения на набор допустимых устройств (тех что в /dev)

Давно есть: devfs_ruleset в jail(8)

> 5. сетевой стек (инстанс, интерфейсы)

Есть: vnet в jail(8)

> 6. идентификация ядра (ответ на uname)

Частично есть: osrelease, osreldate в jail(8)

> 7. отдельное пространство IPC (если не сделано через FS)

Вроде достаточно давно уже отдельное в jail

> 8. CPU affinity (ограничение сверху и возможно маппинг)

Частично есть: cpuset.id в jail(8). Но на самом деле не так часто используется в K8s.

> 9. таки да, запрет "влиять на хост", и это может быть сложно (что
> можно монтировать, а что нет)
> И это я наверняка мог ещё что-то потерять (если заглянуть в
> /proc/<pid>cgroup в podʼе под k8s, видны hugetlb и какой-то freezer).
> 
> В принципе повторить всё это не проблема, но конкретный механизм...


Повторюсь: большинство необходимых компонент есть, а чего нету, то можно доделать и/или не так уже и критично на самом деле.
Причём много этого всего есть задолго до того, как оно появилось в linux.
Только никто не будет это всё ручками лепить докучи. Надо чтобы всё это было слеплено в стандартизированный СRI. И вот этого нету.

>> Не виртуальная машина даже близко,
>> для этого bhyve.
> 
> Кэп:)
> 
>> Насколько я ничего не понимаю, всего хватает.
>> В 13.1 допилили LinuxKPI, чтобы запускать современный линуксовый userland в jail,
>> включая Docker. Сам не пробовал.
> 
> Звучит хорошо, но наличие нативного было бы лучше. Серьёзно, лозунг
> типа "вы не заметите разницы для своего любимого кубера" тут бы что-то
> дал.
> 
> 
> -netch-
> _______________________________________________
> freebsd mailing list
> freebsd at uafug.org.ua
> http://mailman.uafug.org.ua/mailman/listinfo/freebsd



More information about the freebsd mailing list