наскоро Canonical обяви пускането на новата версия на изолирани контейнери LXC 5.0, който става новият клон на LTS и в който са направени голям брой корекции на грешки и преди всичко са направени различни подобрения.
За тези, които са нови в LXC, трябва да знаете, че LXC осигурява подходящо време за изпълнение както за изпълнение на контейнери с пълна системна среда в близост до виртуални машини, така и за изпълнение на контейнери с едно приложение (OCI) без привилегии.
LXC се отнася до инструменти от ниско ниво, които работят на ниво отделни контейнери.. За централизирано управление на контейнери, разположени в клъстер с няколко сървъра, LXD-базираната система е в процес на разработка.
LXC включва библиотеката liblxc, набор от помощни програми (lxc-create, lxc-start, lxc-stop, lxc-ls и др.), шаблони за изграждане на контейнери и набор от обвързвания за различни езици за програмиране. Изолирането се извършва с помощта на обикновените механизми на ядрото на Linux.
Механизмът на пространството от имена се използва за изолиране на процеси, ipc, uts мрежов стек, потребителски идентификатори и точки за монтиране на cgroups се използват за ограничаване на ресурсите. Функции на ядрото като профили на Apparmor и SELinux, политики на Seccomp, Chroots (pivot_root) и възможности се използват за намаляване на привилегиите и ограничаване на достъпа.
Основни новости на LXC 5.0
Този нов клон, който излиза от контейнери LXC 5.0 е класифициран като версия за дългосрочна поддръжка (LTS), който ще има актуализации, генерирани за период от 5 години (тоест до 2027 г.).
За частта от промените, които се открояват от тази нова версия на LXC 5.0, се споменава, че направи превключване от autotools към Meson build система, който също се използва за изграждане на проекти като X.Org Server, Mesa, Lighttpd, systemd, GStreamer, Wayland, GNOME, GTK и други.
В допълнение към това, той също се откроява в тази нова версия на LXC 5.0, която добавена поддръжка за времеви пространства от имена да обвърже отделно състояние на системния часовник към контейнера, който ви позволява да използвате собственото си време в контейнера, различно от системата. За конфигурация са предложени опциите lxc.time.offset.boot и lxc.time.offset.monotonic, които позволяват дефиниране на отместване на контейнера спрямо основния системен часовник.
Също така се откроява в тази нова версия на LXC 5.0 внедрена поддръжка на VLAN за виртуални Ethernet адаптери (Veth), плюс следните опции са предоставени за управление на VLAN: veth.vlan.id за конфигуриране на основната VLAN и veth.vlan.tagged.id за свързване на допълнителни маркирани VLAN.
За виртуални ethernet адаптери е добавена възможност за конфигуриране на размера на опашките за приемане и предаване с помощта на новите опции veth.n_rxqueues и veth.n_txqueues.
От друга страна, можем да го открием добавени нови опции за конфигурация на cgroup: lxc.cgroup.dir.container, lxc.cgroup.dir.monitor, lxc.cgroup.dir.monitor.pivot и lxc.cgroup.dir.container.inner, които ви позволяват изрично да дефинирате cgroup пътища за контейнери, процеси за наблюдение и вложени йерархии на cgroup.
Също така си струва да се спомене, че с пускането на този нов клон 5.0, LXC 4.0 вече ще премине към по-бавно темпо на поддръжка и ще получава само критични корекции на грешки и актуализации на сигурността.
От останалите промени които се открояват от тази нова версия:
- utils: коригиране на непроверена връщана стойност
- conf: коригиране на непроверена върната стойност
- utils: позволява разделяне между устройства
- conf: коригира манипулирането на монтирането въз основа на CAP_NET_ADMIN
- Команди: seccomp notification support check fix.
- тестове: поправка с активиран appamor.
- lxc-attach: активиране на контекстната конфигурация на SELinux
- макрос: увеличен MAX_GRBUF_SIZE до 2mb
- autotools: активиране на статични компилации за инструменти
- autotools: активиране на статични компилации за команди
- Фиксирана конструкция с Wstrict-прототипи -Wold-style-definition
- conf: коригиране на изтичане на памет
Накрая ако се интересувате да научите повече за това За тази нова версия можете да проверите подробностите в следваща връзка.