Canonical publicou un lanzamento do kit de ferramentas de contedores illados LXC 5.0, que ofrece un tempo de execución axeitado tanto para executar contedores cun ambiente de sistema completo, preto de máquinas virtuais, como para executar contedores de aplicacións individuais (OCI) sen privilexios. LXC é un conxunto de ferramentas de baixo nivel que opera a nivel de contedores individuais. Para a xestión centralizada de contedores despregados nun clúster de varios servidores, estase a desenvolver o sistema LXD baseado en LXC. A rama LXC 5.0 clasifícase como unha versión de soporte a longo prazo, cuxa actualización se xera durante un período de 5 anos. O código LXC está escrito en C e ten licenza GPLv2.
LXC inclúe a biblioteca liblxc, un conxunto de utilidades (lxc-create, lxc-start, lxc-stop, lxc-ls, etc.), modelos para construír contenedores e un conxunto de enlaces para varias linguaxes de programación. O illamento realízase mediante mecanismos estándar do núcleo de Linux. Para illar procesos, a pila de rede ipc, uts, ID de usuario e puntos de montaxe, utilízase o mecanismo de espazos de nomes. cgroups úsanse para limitar recursos. Para reducir os privilexios e limitar o acceso, utilízanse funcións do núcleo como perfís Apparmor e SELinux, políticas de Seccomp, Chroots (pivot_root) e capacidades.
Principais cambios:
- Pasamos das ferramentas automáticas ao sistema de compilación Meson, que tamén se usa para construír proxectos como X.Org Server, Mesa, Lighttpd, systemd, GStreamer, Wayland, GNOME e GTK.
- Engadíronse novas opcións para configurar cgroup: lxc.cgroup.dir.container, lxc.cgroup.dir.monitor, lxc.cgroup.dir.monitor.pivot e lxc.cgroup.dir.container.inner, que che permiten definir explícitamente cgroup rutas para o contenedor, o proceso de supervisión e as xerarquías cgroup anidadas.
- Engadido soporte para espazos de nomes de tempo para vincular un estado separado do reloxo do sistema ao contedor, o que lle permite usar o seu propio tempo no contedor, diferente ao do sistema. Para a configuración, propóñense as opcións lxc.time.offset.boot e lxc.time.offset.monotonic, que permiten determinar a compensación do contedor en relación ao reloxo do sistema principal.
- O soporte VLAN está implementado para adaptadores Ethernet virtuais (Veth). Ofrécense opcións para a xestión de VLAN: veth.vlan.id para establecer a VLAN principal e veth.vlan.tagged.id para vincular VLAN etiquetadas adicionais.
- Para os adaptadores Ethernet virtuais, engadiuse a posibilidade de configurar o tamaño das colas de recepción e transmisión mediante as novas opcións veth.n_rxqueues e veth.n_txqueues.
Fonte: opennet.ru