Jo, chapes to spatne ;)
1. s filesystemem to nesouvisi, souvislost se ZFS byla v jednom
konkretnim pripade, co jsem myslim dostatecne vysvetlil v prvnim mailu
:)
2. LXC je userspace technologie, v jadre jsou to vzdy jen namespaces a
cgroups, tedy pokud se tady o necem bavime, tak se hlavne bavime o
jadre. Kterym userspace programem je to spustene, je uplne jedno. Tj.
muze se to stavat i s Dockerem (ale tam neni obvykle limitovat pamet).
3. Lidem by se libila kontejnerizace od jakziva, ale to by ji Linux
musel umet.
Kdyz s tim prisli lidi z OpenVZ za jadernou komunitou, dostali strasny
hejt a od te doby nemaji motivaci, ti puvodni lide, co za OpenVZ stali,
s tim vubec neco delat.
Kir Kolyshkin treba presel pod Docker, aby vylozene mel klid. Najednou
mu stacilo lepit do kupy par tun spaget v Go, protoze se ukazalo, ze
Linuxaci vlastne vubec netusi, co to je kontejner, teda da se jim
procpat skoro cokoliv, co aspon trochu izoluje - a oni budou nadsene
tvrdit, ze to kontejner je :) A navic to dostal lip zaplacene.
Ze zbytku OpenVZ tymu dela na kontejnerizaci akorat Andrej Vagin, to je
borec, ktery dela spravne veci.
Jinak v soucasne dobe se kontejnerizaci v jadre venuje jen par
premotivovanych lidi z Canonicalu, kteri ale nepremysli nad vecma
koncepcne, oni jsou na tom jeste hur - pro ne primarne existuji quick
hacky jako defaultni modus operandi, ne ze by jako my "nestihali". Treba
takovy Chris Brauner, jeho prace je vylozene bezkoncepcni hura-styl -
ono to asi s vanilla linuxem jinak nejde.
Plna virtualizace je proste reseni na mnohem, mnohem min kodu.
Je to neco, co primo do Linuxu nevyzadovalo tolik zmen. Proste se pusti
QEMU jako user-space proces a jadro mu umozni kousek veci navic, aby
mohlo QEMU nechat bezet nejaky ten kod ""uplne"" oddelene,
virtualizovane.
Proto se ujala driv a rozsirila tak moc... ne ze by slo o nejakou
uzasnou security navic nebo tak (nakonec se ukazuje ve svetle Spectre a
podobnych zranitelnosti, ze to borci s tim tvrzenim, ze je fullvirt
bezpecnejsi, dost nabubrele prehaneli).
/snajpa