14 Aug
2020
14 Aug
'20
1:08 p.m.
3. Lidem by se libila kontejnerizace od jakziva, ale
to by ji Linux
musel umet.
Jak komu :-) , já to radši zavřu do plnotučného virtuálu a tohle všechno
se rázem vyřeší samo z principu. I když taky jsem už podlehl a spouštím
si doma přes LXC popelnici na Steam. :-)
Jinak v soucasne dobe se kontejnerizaci v jadre venuje
jen par
premotivovanych lidi z Canonicalu, kteri ale nepremysli nad vecma
koncepcne, oni jsou na tom jeste hur - pro ne primarne existuji quick
hacky jako defaultni modus operandi, ne ze by jako my "nestihali". Treba
takovy Chris Brauner, jeho prace je vylozene bezkoncepcni hura-styl -
ono to asi s vanilla linuxem jinak nejde.
Tady bych si teda trochu rejpnul, protože hned to první řešení "prostě
nebudeme účtovat mapovanou paměť do memcg členů" je přesně takový quick
hack (a upřímně jsem docela čekal to, co je popsané hned o pár řádků níž
- že to udělá bordel někde jinde)
Proto se ujala driv a rozsirila tak moc... ne ze by
slo o nejakou
uzasnou security navic nebo tak (nakonec se ukazuje ve svetle Spectre a
podobnych zranitelnosti, ze to borci s tim tvrzenim, ze je fullvirt
bezpecnejsi, dost nabubrele prehaneli).
To je hodně zavádějící argument, kontejnery na Spectre a podobné trpí
úplně stejně jako plná virtualizace. Takže pro porovnávání zbývá jen to
ostatní a tam je na tom plná virtualizace pořád líp.