Canonical har publicerat en utgåva av LXC 5.0-verktygssatsen för isolerade behållare, som ger en körtid som är lämplig för både körning av behållare med en fullständig systemmiljö, nära virtuella maskiner, och för körning av oprivilegierade individuella applikationsbehållare (OCI). LXC är en lågnivå verktygslåda som fungerar på nivån för enskilda containrar. För centraliserad hantering av behållare utplacerade i ett kluster av flera servrar utvecklas LXD-systemet baserat på LXC. LXC 5.0-grenen klassificeras som en långsiktig supportversion, vars uppdateringar genereras under en period av 5 år. LXC-koden är skriven i C och är licensierad under GPLv2.
LXC innehåller liblxc-biblioteket, en uppsättning verktyg (lxc-create, lxc-start, lxc-stop, lxc-ls, etc.), mallar för att bygga behållare och en uppsättning bindningar för olika programmeringsspråk. Isolering utförs med vanliga Linux-kärnmekanismer. För att isolera processer, ipc-nätverksstacken, uts, användar-ID och monteringspunkter, används namnutrymmesmekanismen. cgroups används för att begränsa resurser. För att sänka privilegier och begränsa åtkomst används kärnfunktioner som Apparmor- och SELinux-profiler, Seccomp-policyer, Chroots (pivot_root) och funktioner.
Huvudändringar:
- Vi bytte från autoverktyg till byggsystemet Meson, som även används för att bygga projekt som X.Org Server, Mesa, Lighttpd, systemd, GStreamer, Wayland, GNOME och GTK.
- Lade till nya alternativ för att konfigurera cgroup - lxc.cgroup.dir.container, lxc.cgroup.dir.monitor, lxc.cgroup.dir.monitor.pivot och lxc.cgroup.dir.container.inner, som gör att du explicit kan definiera cgroup sökvägar för container, övervakningsprocess och kapslade cgroup hierarkier.
- Lade till stöd för tidsnamnrymder för att binda ett separat tillstånd för systemklockan till behållaren, vilket gör att du kan använda din egen tid i behållaren, annorlunda än systemet. För konfiguration föreslås alternativen lxc.time.offset.boot och lxc.time.offset.monotona, som låter dig bestämma offset för behållaren i förhållande till huvudsystemklockan.
- VLAN-stöd är implementerat för virtuella Ethernet-adaptrar (Veth). Alternativ erbjuds för VLAN-hantering: veth.vlan.id för att ställa in huvud-VLAN och veth.vlan.tagged.id för att binda ytterligare taggade VLAN.
- För virtuella Ethernet-adaptrar har möjligheten att konfigurera storleken på mottagnings- och sändningsköer lagts till med de nya alternativen veth.n_rxqueues och veth.n_txqueues.
Källa: opennet.ru