Пускане на система за управление на контейнери LXD 5.0

Canonical публикува изданието на мениджъра на контейнери LXD 5.0 ​​​​и виртуалната файлова система LXCFS 5.0. LXD кодът е написан на Go и се разпространява под лиценза Apache 2.0. Разклонението 5.0 е класифицирано като версия за дългосрочна поддръжка - актуализациите ще се генерират до юни 2027 г.

Като среда за изпълнение за стартиране на контейнери се използва инструментариумът LXC, който включва библиотеката liblxc, набор от помощни програми (lxc-create, lxc-start, lxc-stop, lxc-ls и др.), шаблони за изграждане на контейнери и набор от свързвания за различни езици за програмиране. Изолацията се извършва с помощта на стандартни механизми на ядрото на Linux. За изолиране на процесите, ipc мрежовия стек, uts, потребителски идентификатори и точки на монтиране се използва механизмът за пространства от имена. cgroups се използват за ограничаване на ресурсите. За намаляване на привилегиите и ограничаване на достъпа се използват функции на ядрото като Apparmor и SELinux профили, Seccomp политики, Chroots (pivot_root) и възможности.

В допълнение към LXC, LXD също използва компоненти от проектите CRIU и QEMU. Ако LXC е инструментариум от ниско ниво за манипулиране на ниво отделни контейнери, тогава LXD предоставя инструменти за централизирано управление на контейнери, разположени в клъстер от няколко сървъра. LXD е внедрен като фонов процес, който приема заявки по мрежата чрез REST API и поддържа различни бекендове за съхранение (дърво на директории, ZFS, Btrfs, LVM), моментни снимки със срез на състоянието, миграция на живо на работещи контейнери от една машина на друга, и инструменти за съхранение на контейнери за изображения. LXCFS се използва за симулиране на псевдо-FS /proc и /sys в контейнери и виртуализираното представяне cgroupfs, за да придаде на контейнерите вид на обикновена независима система.

Ключови подобрения:

• Възможност за горещо включване и изключване на дискове и USB устройства. Във виртуална машина нов диск се открива чрез появата на ново устройство на SCSI шината, а USB устройство се открива чрез генериране на USB събитие за горещо включване.
• Възможно е да стартирате LXD дори когато е невъзможно да се установи мрежова връзка, например поради липса на необходимото мрежово устройство. Вместо да показва грешка при стартиране, LXD сега стартира максималния брой среди, възможни при текущите условия, а останалите среди се стартират след установяване на мрежовата връзка.
• Добавена е нова роля на член на клъстера - ovn-chassis, предназначена за клъстери, които използват OVN (Open Virtual Network) за мрежова комуникация (чрез присвояване на ролята ovn-chassis можете да изберете сървъри, които да изпълняват функциите на OVN рутери).
• Предложен е оптимизиран режим за актуализиране на съдържанието на дяловете за съхранение. В предишни издания актуализацията се състоеше от първо копиране на екземпляр или дял на контейнер, например, с помощта на функцията за изпращане/получаване в zfs или btrfs, след което създаденото копие беше синхронизирано чрез стартиране на програмата rsync. За да се подобри ефективността на актуализирането на виртуални машини, новата версия използва разширена логика за миграция, при която, ако сървърът източник и целевият сървър използват един и същ пул за съхранение, моментните снимки и операциите за изпращане/получаване се използват автоматично вместо rsync.
• Логиката за идентифициране на среди в cloud-init е преработена: вместо имена на среди, UUID вече се използва като instance-id.
• Добавена е поддръжка за закачане на системното извикване sched_setscheduler, което позволява на непривилегировани контейнери да променят приоритетите на процеса.
• Опцията lvm.thinpool_metadata_size е внедрена, за да контролира размера на метаданните в thinpool.
• Файловият формат с информация за мрежата за lxc е преработен. Добавена е поддръжка за данни за обвързване на интерфейс, мрежови мостове, VLAN и OVN мрежа.
• Изискванията за минимални версии на компонентите са повишени: Linux ядро ​​5.4, Go 1.18, LXC 4.0.x и QEMU 6.0.
• LXCFS 5 добави поддръжка за унифицираната йерархия на cgroup (cgroup2), внедри /proc/slabinfo и /sys/devices/system/cpu и използва инструментариума meson за сглобяване.

Източник: opennet.ru