Spoločenstva Linux Spoločnosť Containers vydala LXC 6.0, sadu nástrojov na správu izolovaných kontajnerov. Poskytuje runtime prostredie vhodné na spúšťanie kontajnerov s plným systémovým prostredím, podobne ako virtuálne počítače, aj na spúšťanie neprivilegovaných kontajnerov jednotlivých aplikácií (OCI). LXC je nízkoúrovňová sada nástrojov, ktorá funguje na úrovni kontajnera. Pre centralizovanú správu kontajnerov nasadených v klastri viacerých serverov sa na základe LXC vyvíjajú systémy Incus a LXD. LXC 6.0 je dlhodobá podporná verzia s aktualizáciami generovanými päť rokov (do roku 2029). LXC je napísaný v jazyku C a je licencovaný pod licenciou GPLv2.
LXC obsahuje knižnicu liblxc, sadu nástrojov (lxc-create, lxc-start, lxc-stop, lxc-ls atď.), šablóny na vytváranie kontajnerov a sadu väzieb pre rôzne programovacie jazyky. Izolácia sa dosahuje pomocou štandardných mechanizmov jadra. LinuxMenné priestory sa používajú na izoláciu procesov, sieťového zásobníka (IPC, UTS), ID používateľov a bodov pripojenia. C-skupiny sa používajú na obmedzenie zdrojov. Funkcie jadra, ako sú profily Apparmor a SE, sa používajú na zníženie privilégií a obmedzenie prístupu.Linux, politiky Seccomp, Chrooty (pivot_root) a možnosti.
Hlavné zmeny:
- Je možné vytvoriť univerzálny spustiteľný súbor lxc, ktorý v jednom nástroji kombinuje všetky príkazy predtým distribuované ako samostatné nástroje „lxc-*“. Na zostavenie súhrnného spustiteľného súboru sa navrhuje možnosť „tools-multicall=true“, po nastavení sa všetky staré jednotlivé nástroje vytvoria ako symbolické odkazy na nástroj lxc. Zostavenie vo forme jedného spustiteľného súboru môže výrazne znížiť spotrebu miesta na disku súpravou nástrojov, čo je dôležité pre vstavané systémy.
- Do knižnice liblxc bola pridaná funkcia set_timeout, ktorá umožňuje nastaviť časový limit pre akúkoľvek interakciu s monitorom LXC.
- V rozhraní sieťového mosta je lxcbr0 predvolene povolený. Podpora IPv6 s priradením adries z podsiete IPv6 ULA (Unique Local Address).
- Pridané možnosti "-u" a "-g" do lxc-usernsexec na zmenu identifikátorov používateľov a skupín (UID a GID).
- Pomocný program lxc-checkconfig teraz zobrazuje verziu iba vtedy, ak je prítomný príkaz lxc-start a pridáva informácie o maximálnom povolenom počte každého typu názvového priestoru.
- Pridaná podpora pre obrázky kontajnerov vo formáte OCI, v ktorom sa na kompresiu informácií používa Squashfs FS.
- Na interakciu so systemd cez D-Bus sa namiesto libsystemd používa samostatná knižnica libdbus-1.
- Podpora pre inicializačný systém Upstart bola ukončená.
Zároveň bol zverejnený projekt Incus, v rámci ktorého komunita Linux Containers je odnožou systému správy kontajnerov LXD, ktorú vytvoril pôvodný tím, ktorý vytvoril LXD. Incus je napísaný v jazyku Go a licencovaný pod licenciou Apache 2.0. Incus 6.0 je umiestnený ako prvá stabilná vetva, ktorá bude podporovaná dlhodobým (LTS) cyklom vydávania. Medzi kľúčové zmeny v Incus 6.0 patrí možnosť vytvárať sieťové rozhrania prostredníctvom rozhrania API bridge.external_interfaces, vylepšená podpora pre autentifikáciu JWT (JSON Web Token), podpora USB a zobrazenie podrobných systémových informácií prostredníctvom príkazu „incus info --resources“. Podpora pre vydanie LXD 5.21 je k dispozícii aj v utilite lxd-to-incus.
Incus a LXD poskytujú nástroje na centralizovanú správu kontajnerov a virtuálnych počítačov nasadených na jednom hostiteľovi aj v klastri niekoľkých serverovProjekt je implementovaný ako proces na pozadí, ktorý prijíma sieťové požiadavky prostredníctvom REST API a podporuje rôzne úložné backendy (strom adresárov, ZFS, Btrfs, LVM), snímky so stavovými segmentmi, živú migráciu spustených kontajnerov z jedného počítača na druhý a ukladanie obrazov kontajnerov. LXC sa používa ako runtime na spúšťanie kontajnerov. Izolácia sa dosahuje pomocou natívnych mechanizmov jadra. Linux (menné priestory, kontrolné skupiny, Apparmor, SELinux, Seccomp).
Spoločenstva Linux Spoločnosť Containers dohliadala na vývoj LXD predtým, ako sa spoločnosť Canonical rozhodla transformovať LXD na podnikový projekt. Cieľom tohto forku je poskytnúť nezávislú, komunitou riadenú alternatívu k projektu LXD, ktorý kontrolovala spoločnosť Canonical. Vytvorenie spoločnosti Incus tiež poskytlo príležitosť na riešenie niektorých koncepčných nedostatkov, ktoré sa objavili počas vývoja LXD a ktoré predtým nebolo možné riešiť bez narušenia spätnej kompatibility.
Canonical zverejnil novú verziu systému na správu kontajnerov LXD 5.21.1. Pobočka LXD 5.21 má označenie LTS a bude podporovaná do júna 2029. Kód, ktorý do LXD vložili zamestnanci spoločnosti Canonical, je licencovaný podľa AGPLv3, ale kód tretej strany, na ktorý spoločnosť Canonical nemá vlastnícke práva, zostáva pod Apache 2.0. Medzi funkčnými zmenami v LXD 5.21.1 môžeme zaznamenať presun balíka snap z LXD na vetvy LXC 6.0 a LXCFS 6.0. Rozšírenie storage_volumes_all a súvisiaci obslužný program /1.0/storage_volumes boli pridané do API na zobrazenie zoznamu všetkých oddielov úložného priestoru. Pridané rozšírenie instances_files_modify_permissions na zmenu prístupových práv k existujúcim súborom cez API.
K dispozícii je vydanie virtuálneho súborového systému LXCFS 6.0, ktoré sa používa na simuláciu v pseudo-FS kontajneroch /proc a /sys, ako aj virtualizovaná reprezentácia cgroupfs pre distribúcie bez podpory menných priestorov cgroup. Nová verzia pridáva možnosť „--enable-cgroup“ na kontrolu, či je vstavaná funkcia na vytváranie virtuálneho stromu croupfs povolená pre kontajnery používajúce cgroupv1 (väčšina distribúcií v súčasnosti podporuje priestory názvov pre croup poskytované jadrom, takže povolenie vstavaných- v alternatívnej implementácii už štandardne nemá zmysel a je teraz voliteľný). Okrem toho LXCFS 6.0 už nefiltruje CPU pri vytváraní súboru /sys/devices/system/cpu v závislosti od stavu online/offline.
Zdroj: opennet.ru
