14 Aug
2020
14 Aug
'20
1:19 p.m.
Jak komu :-) , já to radši zavřu do plnotučného
virtuálu a tohle
všechno se rázem vyřeší samo z principu. I když taky jsem už podlehl a
spouštím si doma přes LXC popelnici na Steam. :-)
No jestli doma bezis s mitigations=off, tak Ti to muze byt sumak - taky
tak bezim virtualizovanou workstation. Jinak bych se teda KVM vyhnul
obrovskym obloukem, kdyz po tom reseni chci (jako vzdycky) vyladeny
pomer cena/vykon.
Jinak v soucasne dobe se kontejnerizaci v jadre
venuje jen par
premotivovanych lidi z Canonicalu, kteri ale nepremysli nad vecma
koncepcne, oni jsou na tom jeste hur - pro ne primarne existuji quick
hacky jako defaultni modus operandi, ne ze by jako my "nestihali".
Treba takovy Chris Brauner, jeho prace je vylozene bezkoncepcni
hura-styl - ono to asi s vanilla linuxem jinak nejde.
Tady bych si teda trochu rejpnul, protože hned to první řešení "prostě
nebudeme účtovat mapovanou paměť do memcg členů" je přesně takový
quick hack (a upřímně jsem docela čekal to, co je popsané hned o pár
řádků níž - že to udělá bordel někde jinde) Proto se ujala driv a rozsirila tak moc... ne ze
by slo o nejakou
uzasnou security navic nebo tak (nakonec se ukazuje ve svetle Spectre
a podobnych zranitelnosti, ze to borci s tim tvrzenim, ze je fullvirt
bezpecnejsi, dost nabubrele prehaneli).
To je hodně zavádějící argument, kontejnery na Spectre a podobné trpí
úplně stejně jako plná virtualizace. Takže pro porovnávání zbývá jen
to ostatní a tam je na tom plná virtualizace pořád líp.