Canonical ha publicado una versión del kit de herramientas de contenedor aislado LXC 5.0, que proporciona un tiempo de ejecución adecuado tanto para ejecutar contenedores con un entorno de sistema completo, cerca de máquinas virtuales, como para ejecutar contenedores de aplicaciones individuales (OCI) sin privilegios. LXC es un conjunto de herramientas de bajo nivel que opera a nivel de contenedores individuales. Para la gestión centralizada de contenedores implementados en un clúster de varios servidores, se está desarrollando el sistema LXD basado en LXC. La rama LXC 5.0 se clasifica como una versión de soporte a largo plazo, cuyas actualizaciones se generan durante un período de 5 años. El código LXC está escrito en C y tiene licencia GPLv2.
LXC incluye la biblioteca liblxc, un conjunto de utilidades (lxc-create, lxc-start, lxc-stop, lxc-ls, etc.), plantillas para crear contenedores y un conjunto de enlaces para varios lenguajes de programación. El aislamiento se lleva a cabo utilizando mecanismos estándar del kernel de Linux. Para aislar procesos, se utiliza la pila de red ipc, uts, ID de usuario y puntos de montaje, el mecanismo de espacios de nombres. Los cgroups se utilizan para limitar los recursos. Para reducir los privilegios y limitar el acceso, se utilizan funciones del kernel como perfiles Apparmor y SELinux, políticas Seccomp, Chroots (pivot_root) y capacidades.
Cambios importantes:
- Cambiamos de autotools al sistema de compilación Meson, que también se utiliza para crear proyectos como X.Org Server, Mesa, Lighttpd, systemd, GStreamer, Wayland, GNOME y GTK.
- Se agregaron nuevas opciones para configurar cgroup: lxc.cgroup.dir.container, lxc.cgroup.dir.monitor, lxc.cgroup.dir.monitor.pivot y lxc.cgroup.dir.container.inner, que le permiten definir explícitamente cgroup Rutas para contenedores, procesos de monitoreo y jerarquías de grupos c anidados.
- Se agregó soporte para espacios de nombres de tiempo para vincular un estado separado del reloj del sistema al contenedor, lo que le permite usar su propio tiempo en el contenedor, diferente al del sistema. Para la configuración, se proponen las opciones lxc.time.offset.boot y lxc.time.offset.monotonic, que le permiten determinar el desplazamiento del contenedor en relación con el reloj principal del sistema.
- Se implementa soporte VLAN para adaptadores Ethernet virtuales (Veth). Se ofrecen opciones para la administración de VLAN: veth.vlan.id para configurar la VLAN principal y veth.vlan.tagged.id para vincular VLAN etiquetadas adicionales.
- Para los adaptadores Ethernet virtuales, se agregó la capacidad de configurar el tamaño de las colas de recepción y transmisión utilizando las nuevas opciones veth.n_rxqueues y veth.n_txqueues.
Fuente: opennet.ru