Canonical heeft een release gepubliceerd van de LXC 5.0 geïsoleerde containertoolkit, die een runtime biedt die geschikt is voor zowel het draaien van containers met een volledige systeemomgeving, dicht bij virtuele machines, als voor het draaien van onbevoorrechte individuele applicatiecontainers (OCI). LXC is een low-level toolkit die opereert op het niveau van individuele containers. Voor gecentraliseerd beheer van containers die in een cluster van meerdere servers worden ingezet, wordt het LXD-systeem ontwikkeld op basis van LXC. De LXC 5.0-tak is geclassificeerd als een ondersteuningsrelease voor de lange termijn, waarvoor updates worden gegenereerd over een periode van 5 jaar. De LXC-code is geschreven in C en is gelicentieerd onder de GPLv2.
LXC bevat de liblxc-bibliotheek, een reeks hulpprogramma's (lxc-create, lxc-start, lxc-stop, lxc-ls, enz.), sjablonen voor het bouwen van containers en een reeks bindingen voor verschillende programmeertalen. Isolatie wordt uitgevoerd met behulp van standaard Linux-kernelmechanismen. Om processen, de ipc-netwerkstack, uts, gebruikers-ID's en koppelpunten te isoleren, wordt het naamruimtemechanisme gebruikt. cgroups worden gebruikt om bronnen te beperken. Om de privileges te verlagen en de toegang te beperken, worden kernelfuncties zoals Apparmor- en SELinux-profielen, Seccomp-beleid, Chroots (pivot_root) en mogelijkheden gebruikt.
Grote veranderingen:
- We zijn overgestapt van autotools naar het Meson build-systeem, dat ook wordt gebruikt om projecten te bouwen zoals X.Org Server, Mesa, Lighttpd, systemd, GStreamer, Wayland, GNOME en GTK.
- Nieuwe opties toegevoegd voor het configureren van cgroup - lxc.cgroup.dir.container, lxc.cgroup.dir.monitor, lxc.cgroup.dir.monitor.pivot en lxc.cgroup.dir.container.inner, waarmee u cgroup expliciet kunt definiëren paden voor containers, monitoringprocessen en geneste cgroup-hiërarchieën.
- Ondersteuning toegevoegd voor tijdnaamruimten om een afzonderlijke status van de systeemklok aan de container te koppelen, zodat u uw eigen tijd in de container kunt gebruiken, anders dan die van het systeem. Voor de configuratie worden de opties lxc.time.offset.boot en lxc.time.offset.monotonic voorgesteld, waarmee u de offset voor de container ten opzichte van de hoofdsysteemklok kunt bepalen.
- VLAN-ondersteuning is geïmplementeerd voor virtuele Ethernet-adapters (Veth). Er worden opties aangeboden voor VLAN-beheer: veth.vlan.id om het hoofd-VLAN in te stellen en veth.vlan.tagged.id om extra getagde VLAN's te binden.
- Voor virtuele Ethernet-adapters is de mogelijkheid toegevoegd om de grootte van ontvangst- en verzendwachtrijen te configureren met behulp van de nieuwe opties veth.n_rxqueues en veth.n_txqueues.
Bron: opennet.ru