Canonical a publié une version de la boîte à outils de conteneur isolé LXC 5.0, qui fournit un environnement d'exécution adapté à la fois à l'exécution de conteneurs avec un environnement système complet, proche des machines virtuelles, et à l'exécution de conteneurs d'applications individuelles (OCI) sans privilèges. LXC est une boîte à outils de bas niveau qui fonctionne au niveau de conteneurs individuels. Pour la gestion centralisée des conteneurs déployés dans un cluster de plusieurs serveurs, le système LXD est développé sur la base de LXC. La branche LXC 5.0 est classée comme une version de support à long terme, dont les mises à jour sont générées sur une période de 5 ans. Le code LXC est écrit en C et est sous licence GPLv2.
LXC comprend la bibliothèque liblxc, un ensemble d'utilitaires (lxc-create, lxc-start, lxc-stop, lxc-ls, etc.), des modèles pour créer des conteneurs et un ensemble de liaisons pour divers langages de programmation. L'isolation est effectuée à l'aide des mécanismes standard du noyau Linux. Pour isoler les processus, la pile réseau ipc, les uts, les ID utilisateur et les points de montage, le mécanisme des espaces de noms est utilisé. Les groupes de contrôle sont utilisés pour limiter les ressources. Pour réduire les privilèges et limiter l'accès, des fonctionnalités du noyau telles que les profils Apparmor et SELinux, les politiques Seccomp, les Chroots (pivot_root) et les capacités sont utilisées.
Les principaux changements:
- Nous sommes passés des outils automatiques au système de construction Meson, qui est également utilisé pour créer des projets tels que X.Org Server, Mesa, Lighttpd, systemd, GStreamer, Wayland, GNOME et GTK.
- Ajout de nouvelles options pour configurer le groupe de contrôle - lxc.cgroup.dir.container, lxc.cgroup.dir.monitor, lxc.cgroup.dir.monitor.pivot et lxc.cgroup.dir.container.inner, qui vous permettent de définir explicitement le groupe de contrôle. chemins pour les conteneurs, les processus de surveillance et les hiérarchies de groupes de contrôle imbriquées.
- Ajout de la prise en charge des espaces de noms temporels pour lier un état distinct de l'horloge système au conteneur, vous permettant d'utiliser votre propre heure dans le conteneur, différente de celle du système. Pour la configuration, les options lxc.time.offset.boot et lxc.time.offset.monotonic sont proposées, qui permettent de déterminer le décalage du conteneur par rapport à l'horloge système principale.
- La prise en charge VLAN est implémentée pour les adaptateurs Ethernet virtuels (Veth). Des options sont proposées pour la gestion des VLAN : veth.vlan.id pour définir le VLAN principal et veth.vlan.tagged.id pour lier des VLAN balisés supplémentaires.
- Pour les adaptateurs Ethernet virtuels, la possibilité de configurer la taille des files d'attente de réception et de transmission a été ajoutée à l'aide des nouvelles options veth.n_rxqueues et veth.n_txqueues.
Source: opennet.ru