Byla představena třetí verze projektu Incus, v rámci které komunita Linux Containers vyvíjí fork systému pro správu kontejnerů LXD, vytvořený starým vývojovým týmem, který kdysi vytvořil LXD. Kód Incus je napsán v Go a distribuován pod licencí Apache 2.0.
Připomeňme, že komunita Linux Containers dohlížela na vývoj LXD předtím, než se Canonical rozhodl vyvinout LXD samostatně jako firemní projekt. Účelem vidlice je poskytnout nezávislou komunitou řízenou alternativu k projektu LXD řízenému společností Canonical. Projekt Incus také plánuje vyřešit některé koncepční chyby vzniklé během vývoje LXD, které dříve nebylo možné opravit bez narušení zpětné kompatibility.
Incus poskytuje nástroje pro centralizovanou správu kontejnerů a virtuálních strojů nasazených jak na jednom hostiteli, tak v clusteru několika serveryProjekt je implementován jako proces na pozadí, který přijímá síťové požadavky prostřednictvím REST API a podporuje různé úložné backendy (strom adresářů, ZFS, Btrfs, LVM), snapshoty se stavovými segmenty, živou migraci spuštěných kontejnerů z jednoho počítače na druhý a nástroje pro ukládání obrazů kontejnerů. Sada nástrojů LXC se používá jako běhové prostředí pro spouštění kontejnerů, včetně knihovny liblxc, sady utilit (lxc-create, lxc-start, lxc-stop, lxc-ls atd.), šablon pro vytváření kontejnerů a sady vazeb pro různé programovací jazyky. Izolace je dosažena pomocí standardních mechanismů linuxového jádra (jmenné prostory, cgroups, Apparmor, SELinux, Seccomp).
Nejvýraznější změny:
- Přidána podpora pro správu uživatelských oprávnění na základě modelu Relationship-Based Access Control, implementovaného pomocí procesu na pozadí OpenFGA, který je zodpovědný za rozhodování o udělení určitých pravomocí uživatelům. V kombinaci s poskytovatelem OpenID Connect vytváří podpora OpenFGA otevřený zásobník identit a autorizací, který umožňuje používat Incus jako kompletní náhradu za konfigurace LXD s Canonical RBAC. Pro konfiguraci přístupu k OpenFGA jsou navrženy následující parametry: openfga.api.token, openfga.api.url, openfga.store.id a openfga.store.model_id.
- Vylepšený nástroj lxd-to-incus, který automatizuje migraci z LXD na Incus. Nová verze přidává podporu distribucí s inicializačním systémem OpenRC, implementuje možnost migrovat úložiště Ceph a sítě OVN a poskytuje protokolování migrace a vytváření záložních kopií.
- В virtuální stroje Přidána podpora pro hot-plugging a hot-removing cest k souborům nebo jednotlivých oddílů namapovaných z hostitelského prostředí. Dříve takové mapování pomocí ovladače virtio-fs nebo FS 9p vyžadovalo zastavení virtuálního počítače. K překonání tohoto omezení bylo využito hot-plugging zařízení PCI v QEMU a montáž cesty v rámci hostovaného systému pomocí incus-agent.
Zdroj: opennet.ru
