lxc — нативные контейнеры Linux

[elve]

Спасибо вам за замечательную статью. Буквально несколько дней назад я сокрушался, что в репозитории gentoo самая свежая версия openVZ работает с ядром 2.6.27.
Теперь же, благодаря вашей подсказке, я смогу на свеженьком 2.6.31 запускать «виртуальные машины» =)

Конечно не все что вы объясняете было для меня прозрачно, но думаю, что это из-за отсутствия опыта и скоро мне все станет понятно.

[lasc]

chroot с memory limit?

[norguhtar]

Нет. Контейнер отличается большей степенью изоляции. К примеру ps внутри контейнера выводит только процессы контейнера, есть отдельная копия сетевого стека со своим роутингом, фаерволом и шейперами.

[l0gin]

К сказанному можно добавить, что lxc поддерживается в libvirt.

[xReaper]

Блин да разве виртуализация должна быть такой длинной, слишком много настроек. дайте гуй, или просто утилитку попроще. Когда серверов 5 еще пойдёт а когда больше надо пилить много.

[Shark]

А когда 50-60 серверов?) И на каждом по паре контейнеров? Один раз разобравшись в CLI можно сильно упростить дальнейшее администрирование.

[xReaper]

Значит должен быть один гуй на все ноды. Вон к ней даже есть либа libvirt + руби connector, надо конечно все эвенты обработать и завернуть в интерфейс, вышла бы конфетка.

[Deepwalker]

Вперед: )

[norguhtar]

use libvirt luke. Вообще это технология слишком свежая чтобы ее использовать в продакшене.

[Andrey_Rogovsky]

Бери и пиши, или бери и покупай. У тебя полная свобода, но тебе никто ничего не должен.

[non7top]

неплохо, надо глянуть поближе.

[Shark]

Vanilla kernel это здорово. Вот только дилемма: стабильность системы растет, т. к. нет левых патчей и одновременно падает, т. к. lxc еще не отточен :) По крайней мере наблюдается тенденция к улучшению.

[darvin]

вовремя вы статью написали — я думал что lxc это еще недоделка )
у меня как раз сейчас в проекте потребность в виртуализации.
подскажите, а lxc будет работать в openvz контейнере?

[norguhtar]

Разве что только в их devel ветке 2.6.27. В 2.6.18 нет namespaces.

[l0rda]

слишком много телодвижений :)

[norguhtar]

В OpenVZ не меньше, если нет адаптированого профиля.

[l0rda]

да как-то нифига, гораздо меньше

[norguhtar]

Хорошо возьмите stage3 от gentoo или установленный centos и адаптируйте их к OpenVZ. Потом поставьте OpenVZ из исходников.

[l0rda]

а нафига? если есть готовое. в чем смысл данного мероприятия?

[norguhtar]

А lxc похоже на что-то готовое?

[zed_0xff]

интересно нормально ли оно себя ведет на x86_64?
надо будет на досуге попробовать…

[norguhtar]

Да поидее разницы нет.

[rengel_system]

Вот что меня поражает. Это того что факт наличия в ядре это аргумент, то что оно «хорошое»…

[norguhtar]

Может расскажете где тут написано, что оно хорошее?

[rengel_system]

Мне показалось что Вы это подразумеваете исходя из того, что обратили внимания читателя об этом в первых строчках статьи. Кстати vserver разве не в ядре?

[norguhtar]

А что же тогда делает последний абзац? :)

[z123]

ну как же… если оно есть в ядре, значит оно получило священное благословение линуса торвальдса, а благослование линупсного бога для линупсоедов всегда означает «что-то хорошее» :)

[norguhtar]

Понятие хорошее растяжимо причем очень сильно. Если он в ядре то оно основное, а не хорошее.

[Pavel_Pronskiy]

Так top внутри контейнера показывает все процессоры и всю память, mount выводит точки смонтированные вне контейнера, а вызов установки времени изменяет его вне контейнера. Кроме этого нет квотирования используемого диского пространства и жесткого ограничения по использованию процессора. Работа над квотированием на данный момент ведется так что буду надеяться, что в скором времени для создания контейнеров не надо будет патчить ядро.

• 1. Точки монтирования находятся в /etc/mtab, этот файл можно модифицировать на своё усмотрение.
• 2. Квоты на размер диска для ноды можно создать при помощи loop определённого размера с fs, который монтируется при старте ноды.
• 3. Жесткое ограничение процессора даже в openvz не реализовано полноценно, подобие лимитирования процессора есть только в 2.6.18-el5 ядрах с патчами овз.
• 4. Cgroup можно использовать совместно с openvz.

Интересно было бы увидеть бенчмарки произодительности lxc на многоядерных процессорах.

[norguhtar]

Точки монтирования находятся в /etc/mtab, этот файл можно модифицировать на своё усмотрение.

Ага щаз! cat /proc/mounts сделайте.

Квоты на размер диска для ноды можно создать при помощи loop определённого размера с fs, который монтируется при старте ноды.

Можно, но потом увеличивать уменьшать будет сложновато.

Жесткое ограничение процессора даже в openvz не реализовано полноценно, подобие лимитирования процессора есть только в 2.6.18-el5 ядрах с патчами овз.

Ну в cgroup жесткое ограничение процессора реализуется через указание сколько квантов может быть использовано (зависимость от таймера).

Cgroup можно использовать совместно с openvz.

В 2.6.27 версии?

Интересно было бы увидеть бенчмарки произодительности lxc на многоядерных процессорах.

А что именно? Контекст?

[zed_0xff]

Cамый быстрый способ попробовать lxc:

1) конфигурим ядро как указано в самом начале поста

2) запускаем lxc-checkconfig, он должен показать что всё ОК, желательно чтобы все пункты были enabled, особенно «File capabilities», иначе будет ругаться на «failed to remove CAP_SYS_BOOT capability»

3) sudo mkdir -p /var/lxc/cgroup && sudo mount -t cgroup cgroup /var/lxc/cgroup

4) sudo brctl addbr br0
при желании добавляем сюда реальный интерфейс, как это сделать описано выше в оригинальном посте (посту? :)

5) sudo lxc-debian create
если «command not found: debootstrap» — то ставим пакет debootstrap, например «emerge debootstrap»
на этом шаге сначала скачаются ~50Mb необходимых пакетов, а потом создастся ~200Mb структура каталогов дебиана в ./rootfs.debian

6) sudo lxc-start debian

7) загрузится очень быстро, логин root, без пароля

[zed_0xff]

очепятка:
6) sudo lxc-start -n debian