Kanonický uvolnění nástrojů pro organizaci práce izolovaných kontejnerů , správce kontejnerů a virtuální FS pro simulaci v kontejnerech /proc, /sys a virtualizované reprezentaci cgroupfs pro distribuce bez podpory jmenných prostorů cgroup. Větev 4.0 je klasifikována jako dlouhodobá podpora, pro kterou jsou aktualizace generovány po dobu 5 let
LXC je runtime pro spouštění systémových kontejnerů i kontejnerů OCI. LXC obsahuje knihovnu liblxc, sadu utilit (lxc-create, lxc-start, lxc-stop, lxc-ls atd.), šablony pro vytváření kontejnerů a sadu vazeb pro různé programovací jazyky. Izolace se provádí pomocí standardních mechanismů linuxového jádra. K izolaci procesů, síťového zásobníku ipc, uts, uživatelských ID a přípojných bodů se používá mechanismus jmenných prostorů. cgroups se používají k omezení zdrojů. Ke snížení oprávnění a omezení přístupu se používají funkce jádra, jako jsou profily Apparmor a SELinux, zásady Seccomp, Chroots (pivot_root) a schopnosti. Kód LXC v jazyce C a distribuován pod licencí GPLv2.
LXD je doplněk k LXC, CRIU a QEMU, který se používá k centrální správě kontejnerů a virtuálních strojů na jednom nebo více serverech. Pokud je LXC nízkoúrovňovou sadou nástrojů pro manipulaci na úrovni jednotlivých kontejnerů, pak je LXD implementován jako proces na pozadí, který přijímá požadavky přes síť přes REST API a umožňuje vytvářet škálovatelné konfigurace nasazené na clusteru několika serverů.
Podporovány jsou různé backendy úložiště (strom adresářů, ZFS, Btrfs, LVM), snímky se stavovým řezem, živá migrace běžících kontejnerů z jednoho počítače na druhý a nástroje pro organizaci ukládání obrázků. Kód LXD v Go a distribuován pod licencí Apache 2.0.
Klíč v LXC 4.0:
- Ovladač byl kompletně přepsán pro práci s cgroup. Přidána podpora pro sjednocenou hierarchii cgroup (cgroup2). Přidána funkce řadiče mrazničky, pomocí které můžete zastavit práci v cgroup a dočasně uvolnit některé zdroje (CPU, I/O a potenciálně i paměť) pro provádění jiných úkolů;
- Implementovaná infrastruktura pro odposlech systémových volání;
- Přidána podpora pro subsystém jádra "pidfd", navržený tak, aby zvládl situaci opětovného použití PID (pidfd je spojen s konkrétním procesem a nemění se, zatímco PID může být spojen s jiným procesem poté, co aktuální proces spojený s tímto PID skončí) ;
- Vylepšené vytváření a mazání síťových zařízení, stejně jako jejich přesun mezi jmennými prostory síťového subsystému;
- Byla implementována možnost přesouvat zařízení bezdrátové sítě (nl80211) do kontejnerů.
Klíč v LXD 4.0:
- Přidána podpora pro spouštění nejen kontejnerů, ale i virtuálních strojů;
- Pro segmentaci serverů LXD byl navržen koncept projektu, který zjednodušuje správu skupin kontejnerů a virtuálních strojů. Každý projekt může obsahovat vlastní sadu kontejnerů, virtuálních strojů, obrazů, profilů a oddílů úložiště. V souvislosti s projekty si můžete nastavit vlastní omezení a změnit nastavení;
- Přidána podpora pro zachycování systémových volání pro kontejnery;
- Implementováno vytváření záložních kopií prostředí a obnova z nich;
- Automatické vytváření snímků prostředí a diskových oddílů je poskytováno s možností nastavení životnosti snímku;
- Přidáno API pro monitorování stavu sítě (informace o síti lxc);
- Přidána podpora , virtuální FS pro mapování přípojných bodů do uživatelských jmenných prostorů;
- Byly navrženy nové typy síťových adaptérů „ipvlan“ a „routed“;
- Přidán backend pro použití úložiště založeného na CephFS;
- Pro clustery byla implementována podpora pro replikaci obrazů a konfigurace s více architekturami;
- Přidána kontrola přístupu na základě rolí (RBAC);
- Přidána podpora pro CGroup2;
- Přidána možnost konfigurovat MAC adresu a určit zdrojovou adresu pro NAT;
- Přidáno API pro správu vazeb DHCP (pronájmy);
- Přidána podpora pro Nftables.
Zdroj: opennet.ru