 | Эта статья требует дополнительных ссылок для проверки . ( ноябрь 2020 г. ) ( Узнайте, как и когда удалить это сообщение-шаблон ) |
Виртуализация на уровне ОС - это парадигма операционной системы, в которой ядро допускает существование нескольких изолированных экземпляров пользовательского пространства . Такие экземпляры, называемые контейнерами ( LXC , контейнеры Solaris , Docker ), зонами ( контейнеры Solaris ), виртуальными частными серверами ( OpenVZ ), разделами , виртуальными средами (VE), виртуальными ядрами ( DragonFly BSD ) или тюрьмами ( тюрьма FreeBSD илиchroot jail ), [1] может выглядеть как настоящий компьютер с точки зрения запущенных на нем программ. Компьютерная программа, работающая в обычной операционной системе, может видеть все ресурсы (подключенные устройства, файлы и папки, общие сетевые ресурсы , мощность процессора, поддающиеся количественной оценке аппаратные возможности) этого компьютера. Однако программы, работающие внутри контейнера, могут видеть только его содержимое и устройства, назначенные контейнеру.
В Unix-подобных операционных системах эту функцию можно рассматривать как расширенную реализацию стандартного механизма chroot , который изменяет видимую корневую папку для текущего запущенного процесса и его дочерних процессов. Помимо механизмов изоляции, ядро часто предоставляет функции управления ресурсами, чтобы ограничить влияние действий одного контейнера на другие контейнеры.
Термин контейнер , хотя чаще всего относится к системам виртуализации на уровне ОС, иногда неоднозначно используется для обозначения более полных сред виртуальных машин, работающих в разной степени согласованно с ОС хоста, например , контейнеров Microsoft Hyper-V .
Операция [ править ]
В обычных операционных системах для персональных компьютеров компьютерная программа может видеть (даже если она может не иметь доступа) все ресурсы системы. Они включают:
- Аппаратные возможности, которые можно использовать, такие как ЦП и сетевое соединение.
- Данные, которые можно читать или записывать, например файлы, папки и общие сетевые ресурсы.
- Подключенные периферийные устройства, с которыми он может взаимодействовать, например веб-камера , принтер, сканер или факс.
Операционная система может разрешать или запрещать доступ к таким ресурсам в зависимости от того, какая программа запрашивает их, и учетной записи пользователя, в контексте которой она запускается. Операционная система также может скрывать эти ресурсы, так что когда компьютерная программа перечисляет их, они не появляются в результатах перечисления. Тем не менее, с точки зрения программирования, компьютерная программа взаимодействовала с этими ресурсами, и операционная система управляла актом взаимодействия.
С помощью виртуализации операционной системы или контейнеризации можно запускать программы в контейнерах, которым выделяются только части этих ресурсов. Программа, ожидающая увидеть весь компьютер после запуска внутри контейнера, может видеть только выделенные ресурсы и считает, что это все, что доступно. В каждой операционной системе может быть создано несколько контейнеров, для каждой из которых выделяется подмножество ресурсов компьютера. Каждый контейнер может содержать любое количество компьютерных программ. Эти программы могут работать одновременно или по отдельности и даже могут взаимодействовать друг с другом.
Контейнеризация имеет сходство с виртуализацией приложений : в последнем случае только одна компьютерная программа помещается в изолированный контейнер, а изоляция применяется только к файловой системе.
Использует [ редактировать ]
Виртуализация на уровне операционной системы обычно используется в средах виртуального хостинга , где она полезна для безопасного распределения ограниченных аппаратных ресурсов среди большого числа пользователей, которые не доверяют друг другу. Системные администраторы также могут использовать его для консолидации серверного оборудования, перемещая службы на отдельных хостах в контейнеры на одном сервере.
Другие типичные сценарии включают разделение нескольких программ на отдельные контейнеры для повышения безопасности, независимости оборудования и дополнительных функций управления ресурсами. Однако улучшенная безопасность, обеспечиваемая использованием механизма chroot, далека от надежной. [2] Реализации виртуализации на уровне операционной системы с возможностью динамической миграции также могут использоваться для динамической балансировки нагрузки контейнеров между узлами в кластере.
Накладные расходы [ править ]
Виртуализация на уровне операционной системы обычно требует меньше накладных расходов, чем полная виртуализация, поскольку программы в виртуальных разделах уровня ОС используют обычный интерфейс системных вызовов операционной системы и не нуждаются в эмуляции или запуске на промежуточной виртуальной машине , как и случай с полной виртуализацией (например, VMware ESXi , QEMU или Hyper-V ) и паравиртуализацией (например, Xen или Linux в пользовательском режиме ). Эта форма виртуализации также не требует аппаратной поддержки для повышения производительности.
Гибкость [ править ]
Виртуализация на уровне операционной системы не такая гибкая, как другие подходы к виртуализации, поскольку она не может размещать гостевую операционную систему, отличную от хоста, или другое гостевое ядро. Например, для Linux подходят разные дистрибутивы, но другие операционные системы, такие как Windows, не могут быть размещены. Операционные системы, использующие систематику ввода переменных, имеют ограничения в рамках виртуализированной архитектуры. Методы адаптации, включая аналитику ретрансляции облачных серверов, поддерживают виртуальную среду на уровне ОС в этих приложениях. [3]
Solaris частично преодолевает описанные выше ограничения с помощью функции фирменных зон , которая обеспечивает возможность запускать среду в контейнере, имитирующем более старую версию Solaris 8 или 9 на хосте Solaris 10. Фирменные зоны Linux (называемые фирменными зонами «lx») также доступны в системах Solaris на базе x86 , обеспечивая полное пользовательское пространство Linux и поддержку выполнения приложений Linux; Кроме того, Solaris предоставляет утилиты, необходимые для установки дистрибутивов Red Hat Enterprise Linux 3.x или CentOS 3.x Linux внутри зон «lx». [4] [5] Однако в 2010 году фирменные зоны Linux были удалены из Solaris; в 2014 году они были повторно представлены в Illumos , форке Solaris с открытым исходным кодом, поддерживающем 32-разрядные ядра Linux . [6]
Хранилище [ править ]
Некоторые реализации предоставляют механизмы копирования при записи (CoW) на уровне файлов. (Чаще всего стандартная файловая система используется совместно между разделами, и те разделы, которые изменяют файлы, автоматически создают свои собственные копии.) Это легче выполнять резервное копирование, более эффективно использовать пространство и проще кэшировать, чем копирование на уровне блоков. -записывать схемы, общие для виртуализаторов всей системы. Однако виртуализаторы всей системы могут работать с неродными файловыми системами и создавать и откатывать моментальные снимки всего состояния системы.
Реализации [ править ]
| Механизм | Операционная система | Лицензия | Активно развивается с или между | Функции | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Изоляция файловой системы | Копирование при записи | Дисковые квоты | Ограничение скорости ввода / вывода | Ограничения памяти | Квоты ЦП | Сетевая изоляция | Вложенная виртуализация | Контрольная точка раздела и живая миграция | Изоляция привилегий root | ||||
| chroot | Большинство UNIX-подобных операционных систем | Зависит от операционной системы | 1982 г. | Частично [а] | Нет | Нет | Нет | Нет | Нет | Нет | да | Нет | Нет |
| Докер | Linux , [8] FreeBSD , [9] Windows x64 (Pro, Enterprise и Education) [10] macOS [11] | Лицензия Apache 2.0 | 2013 | да | да | Не прямо | Да (с версии 1.10) | да | да | да | да | Только в экспериментальном режиме с CRIU [1] | Да (с версии 1.10) |
| Linux-VServer (контекст безопасности) | Linux , Windows Server 2016 | GNU GPLv2 | 2001 г. | да | да | да | Да [b] | да | да | Частично [c] | ? | Нет | Частично [d] |
| lmctfy | Linux | Лицензия Apache 2.0 | 2013–2015 гг. | да | да | да | Да [b] | да | да | Частично [c] | ? | Нет | Частично [d] |
| LXC | Linux | GNU GPLv2 | 2008 г. | Да [13] | да | Частично [e] | Частично [f] | да | да | да | да | да | Да [13] |
| Сингулярность | Linux | Лицензия BSD | 2015 [14] | Да [15] | да | да | Нет | Нет | Нет | Нет | Нет | Нет | Да [16] |
| OpenVZ | Linux | GNU GPLv2 | 2005 г. | да | Да [17] | да | Да [г] | да | да | Да [ч] | Частично [i] | да | Да [j] |
| Virtuozzo | Linux , Windows | Пробная версия | 2000 [21] | да | да | да | Да [k] | да | да | Да [ч] | Частично [l] | да | да |
| Контейнеры Solaris (зоны) | illumos ( OpenSolaris ), Solaris | CDDL , проприетарный | 2004 г. | да | Да (ZFS) | да | Частично [м] | да | да | Да [n] [24] [25] | Частично [o] | Частично [p] [q] | Да [r] |
| FreeBSD тюрьма | FreeBSD , DragonFly BSD | Лицензия BSD | 2000 [27] | да | Да (ZFS) | Да [s] | да | Да [28] | да | Да [29] | да | Частично [30] [31] | Да [32] |
| vkernel | DragonFly BSD | Лицензия BSD | 2006 [33] | Да [34] | Да [34] | N / A | ? | Да [35] | Да [35] | Да [36] | ? | ? | да |
| sysjail | OpenBSD , NetBSD | Лицензия BSD | 2006–2009 | да | Нет | Нет | Нет | Нет | Нет | да | Нет | Нет | ? |
| WPAR | AIX | Коммерческое проприетарное программное обеспечение | 2007 г. | да | Нет | да | да | да | да | Да [т] | Нет | Да [38] | ? |
| Виртуальные учетные записи iCore | Windows XP | Бесплатное ПО | 2008 г. | да | Нет | да | Нет | Нет | Нет | Нет | ? | Нет | ? |
| Песочница | Окна | GNU GPLv3 | 2004 г. | да | да | Частичное | Нет | Нет | Нет | Частичное | Нет | Нет | да |
| systemd-nspawn | Linux | GNU LGPLv2.1 + | 2010 г. | да | да | Да [39] [40] | Да [39] [40] | Да [39] [40] | Да [39] [40] | да | ? | ? | да |
| Турбо | Окна | Freemium | 2012 г. | да | Нет | Нет | Нет | Нет | Нет | да | Нет | Нет | да |
| rkt | Linux | Лицензия Apache 2.0 | 2014 [41] –2018 | да | да | да | да | да | да | да | ? | ? | да |
См. Также [ править ]
- Контейнерная оркестровка
- Пространства имен Linux
- cgroups
- Песочница (разработка программного обеспечения)
- CoreOS
- Гипервизор
- Создатели портативных приложений
- runC
- Ядро разделения
- Бессерверные вычисления
- Гипервизор хранилища
- Виртуальный частный сервер (VPS)
- Разделение виртуальных ресурсов
Заметки [ править ]
- ^ Пользователь root может легко выйти из chroot. Chroot никогда не предполагалось использовать в качестве механизма безопасности. [7]
- ^ a b При использовании планировщика CFQ для каждого гостя создается отдельная очередь.
- ^ a b Сеть основана на изоляции, а не на виртуализации.
- ^ a b В контейнере безопасными считаются 14 пользовательских возможностей. Остальное не может быть предоставлено процессам в этом контейнере, не позволяя этому процессу потенциально мешать вещам за пределами этого контейнера. [12]
- ^ Дисковые квоты на контейнер возможны при использовании отдельных разделов для каждого контейнера с помощью LVM или когда базовая файловая система хоста - btrfs, и в этом случае автоматически используются подтомы btrfs.
- ^ Ограничение скорости ввода-вывода поддерживается при использовании Btrfs .
- ^ Доступно, начиная с ядра Linux 2.6.18-028stable021. Реализация основана на планировщике дискового ввода-вывода CFQ, но это двухуровневая схема, поэтому приоритет ввода-вывода определяется не для каждого процесса, а для каждого контейнера. [18]
- ^ a b Каждый контейнер может иметь свои собственные IP-адреса, правила брандмауэра, таблицы маршрутизации и так далее. Возможны три различные сетевые схемы: на основе маршрутов, на основе моста и с назначением реального сетевого устройства ( NIC ) контейнеру.
- ^ Контейнеры Docker могут работать внутри контейнеров OpenVZ. [19]
- ^ Каждый контейнер может иметь root-доступ, не затрагивая другие контейнеры. [20]
- ^ Доступно с версии 4.0, январь 2008 г.
- ^ Контейнеры Docker могут работать внутри контейнеров ПК Р- Виртуализация. [22]
- ^ Да, с иллюминаторами [23]
- ^ См. Дополнительные сведения в разделе « Виртуализация сети и управление ресурсами OpenSolaris» .
- ^ Только когда верхним уровнем является зона KVM (illumos) или зона kz (Oracle).
- ^ Начиная с бета-версии Solaris 11.3, зоны ядра Solaris могут использовать динамическую миграцию.
- ^ Реализована холодная миграция (выключение-перемещение-перезапуск).
- ^ Неглобальные зоны ограничены, поэтому они не могут влиять на другие зоны посредством подхода, ограничивающего возможности. Глобальная зона может управлять неглобальными зонами. [26]
- ^ Проверьте опцию "allow.quotas" и раздел "Jails and File Systems" на странице руководства FreeBSD jail для подробностей.
- ^ Доступно с 02 TL. [37]
Ссылки [ править ]
- ^ Хогг, Скотт (2014-05-26). «Программные контейнеры: используются чаще, чем думают» . Сетевой мир . Network World, Inc . Проверено 9 июля 2015 .
Существует множество других систем виртуализации на уровне ОС, таких как: Linux OpenVZ, Linux-VServer, FreeBSD Jails, разделы рабочей нагрузки AIX (WPAR), контейнеры HP-UX (SRP), контейнеры Solaris и другие.
- ^ Корфф, Янек; Надежда, Пако; Поттер, Брюс (2005). Освоение FreeBSD и OpenBSD Security . Серия О'Рейли. O'Reilly Media, Inc. стр. 59. ISBN 0596006268.
- Перейти ↑ Huang, D (2015). «Опыт использования виртуализации на уровне ОС для блочного ввода-вывода». Материалы 10-го семинара по параллельному хранению данных .
- ^ «Руководство системного администратора: Oracle Solaris Containers-Resource Management и Oracle Solaris Zones, Глава 16: Введение в зоны Solaris» . Корпорация Oracle . 2010 . Проверено 2 сентября 2014 .
- ^ «Руководство системного администратора: Oracle Solaris Containers-Resource Management и Oracle Solaris Zones, Глава 31: О типовых зонах и типовых зонах Linux» . Корпорация Oracle . 2010 . Проверено 2 сентября 2014 .
- ^ Брайан Кантрилл (2014-09-28). «Мечта жива! Запуск контейнеров Linux на ядре illumos» . slideshare.net . Проверено 10 октября 2014 .
- ^ «3.5. Ограничение среды вашей программы» . freebsd.org .
- ^ «Docker отбрасывает LXC как среду исполнения по умолчанию» . InfoQ .
- ^ «Докер приходит во FreeBSD» . FreeBSDNews.com . 9 июля 2015 года.
- ^ «Начало работы с Docker для Windows» . Докер .
- ^ «Начните работу с Docker Desktop для Mac» . Документация Docker . 6 декабря 2019.
- ^ «Бумага - Linux-VServer» . linux-vserver.org .
- ^ a b Грабер, Стефан (1 января 2014 г.). «LXC 1.0: Функции безопасности [6/10]» . Проверено 12 февраля 2014 .
LXC теперь поддерживает пространства имен пользователей.
[...] LXC больше не работает как root, поэтому даже если злоумышленнику удастся покинуть контейнер, он обнаружит, что имеет привилегии обычного пользователя на хосте.
- ^ "Sylabs приносит контейнеры сингулярности в коммерческие узлы суперкомпьютеров HPC | TOP500" . www.top500.org .
- ^ «Перенаправление…» . www.sylabs.io .
- ^ Курцер, Грегори М .; Сочат, Ванесса; Бауэр, Майкл В. (11 мая 2017 г.). «Сингулярность: научные контейнеры для мобильности вычислений» . PLOS ONE . 12 (5): e0177459. DOI : 10.1371 / journal.pone.0177459 . PMC 5426675 . PMID 28494014 - через журналы PLoS.
- ↑ Бронников, Сергей. «Сравнение на вики-странице OpenVZ» . OpenVZ Wiki . OpenVZ . Проверено 28 декабря 2018 .
- ^ «Приоритеты ввода-вывода для контейнеров» . OpenVZ Virtuozzo Containers Wiki .
- ^ «Докер внутри CT» .
- ^ «Контейнер» . OpenVZ Virtuozzo Containers Wiki .
- ^ «Первоначальный публичный предварительный выпуск Virtuozzo (в то время он назывался завершенным ASP)» .
- ^ «Parallels Virtuozzo теперь обеспечивает встроенную поддержку Docker» .
- ^ Пиевски, Билл. «Наш дроссель ввода-вывода ZFS» .
- ^ Часто задаваемые вопросы о сетевой виртуализации и контроле ресурсов (арбалет) Архивировано 1 июня 2008 г. на Wayback Machine
- ^ «Управление виртуализацией сети и сетевыми ресурсами в Oracle® Solaris 11.2» . docs.oracle.com .
- ^ Администрирование Oracle Solaris 11.1, Oracle Solaris Zones, Oracle Solaris 10 Zones and Resource Management E29024.pdf, стр. 356–360. Доступно в архиве .
- ^ «Сдерживайте свой энтузиазм - Часть вторая: тюрьмы, зоны, OpenVZ и LXC» .
Тюрьмы были впервые представлены во FreeBSD 4.0 в 2000 году.
- ^ «Иерархические_Ресурсы_Пределы - FreeBSD Wiki» . Wiki.freebsd.org. 2012-10-27 . Проверено 15 января 2014 .
- ^ «Реализация клонируемого сетевого стека в ядре FreeBSD» (PDF) . usenix.org. 13 июня 2003 г.
- ^ "VPS для FreeBSD" . Проверено 20 февраля 2016 .
- ^ "[Объявление] VPS // Виртуализация ОС // альфа-версия" . Проверено 20 февраля 2016 .
- ^ «3.5. Ограничение среды вашей программы» . Freebsd.org . Проверено 15 января 2014 .
- ^ Мэттью Диллон (2006). "sys / vkernel.h" . Перекрестная ссылка BSD . DragonFly BSD .
- ^ a b "vkd (4) - Диск виртуального ядра" . DragonFly BSD .
обрабатывает образ диска как копирование при записи.
- ^ a b Саша Вильднер (2007-01-08). «vkernel, vcd, vkd, vke - архитектура виртуального ядра» . Руководство по разной информации DragonFly . DragonFly BSD . Выложите резюме .
- ^ "vke (4) - Виртуальное ядро Ethernet" . DragonFly BSD .
- ^ «Информация о пакете исправлений IBM для: Изоляция сети WPAR - США» . ibm.com .
- ^ «Мобильность приложений в реальном времени в AIX 6.1» . www.ibm.com . 3 июня 2008 г.
- ^ a b c d "systemd-nspawn" . www.freedesktop.org .
- ^ a b c d «2.3. Изменение групп управления Red Hat Enterprise Linux 7» . Портал для клиентов Red Hat .
- ^ Полви, Алекс. «CoreOS создает среду выполнения контейнера, rkt» . Блог CoreOS . Проверено 12 марта 2019 .
Внешние ссылки [ править ]
- Введение в виртуализацию
- Краткое введение в три различных метода виртуализации
- Виртуализация и контейнеризация инфраструктуры приложений: сравнение , 22 июня 2015 г., Mathijs Jeroen Scheepers
- Контейнеры и постоянные данные , LWN.net , 28 мая 2015 г., Джош Беркус.
