Легкий вес изолировал среду Linux
Это - точно различие между /dev/random и /dev/urandom -- random использует энтропийный пул, который собирает шум от набора источников и отслеживает то, "сколько" шума в настоящее время находится в пуле, таким образом, random знает, сколько высококачественной случайности это может генерировать. Так как энтропийный пул имеет конечный уровень шума, читающий из random возможно, должен был бы заблокироваться, если нет достаточной доступной энтропии. urandom никогда блоки, но Вы могли бы получить "менее случайные" данные из него.
От random(4) страница справочника:
Когда считано,/dev/random устройство только возвратит случайные байты в предполагаемом числе битов шума в энтропийном пуле./dev/random должен подойти для использования, для которого нужна очень высококачественная случайность, такая как шифр Вернама или генерация ключей. То, когда энтропийный пул пуст, читает из/dev/random, заблокируется, пока дополнительный экологический шум не собран.
Чтение от/dev/urandom устройства не заблокирует ожидание большей энтропии. В результате, если нет достаточной энтропии в энтропийном пуле, возвращаемые значения теоретически уязвимы для криптографического нападения на алгоритмы, используемые драйвером.
Chroot является самой легкой средой веса, которая могла подойти Вам. Это позволяет Вам устанавливать другое распределение (или другая установка того же распределения), с теми же пользователями, с той же конфигурацией сети, и т.д. Chroot только обеспечивает некоторую сырую изоляцию на уровне файловой системы. Просматривание этого сайта для chroot могло бы помочь, если Вы все еще не уверены, какой chroot может и не может сделать.
Если Вы ищете следующее, повышаются, LXC теперь включен в магистраль ядра. У гостя LXC (названный контейнером) есть его собственная файловая система, процесс и сетевое пространство. Корень в контейнере является также корнем на хосте; LXC защищает от многих случайных действий гостевым корнем, но не против злонамеренного гостевого корня (это - запланированная функция, наблюдайте это пространство).
Другие технологии, которые несколько подобны LXC, являются VServer и OpenVZ. Важной функцией, которую OpenVZ обеспечивает, но не VServer или LXC, являются контрольные точки: можно взять снимок беговой дорожки и восстановить его позже. Еще один кандидат является Непривилегированным режимом Linux, который выполняет полную систему Linux в процессе, который работает как обычный пользователь в хосте.
В целях экспериментировать с другой установкой ОС, chroot прекрасен. Если Вы хотите выполнить сервисы в опытной установке или играть с сетями, пойдите для LXC. Если Вы хотите снимки, используйте OpenVZ. Если Вы хотите абсолютно отдельное ядро, но мало памяти наверху, пользовательский Непривилегированный режим Linux. Если Вы хотите снимки и отдельное ядро, используйте VirtualBox.
Изучите Контейнеры OpenVZ или Linux, оба из которых реализуют псевдовиртуализированную среду легкого веса с уникальными пространствами пользователя на общем ядре.
OpenVZ является более сформировавшимся на данном этапе.
-
1Да, даже используемый в напоминании... Я рекомендую Xen для более серьезных использований. – Aki 08.02.2012, 01:05
Возможно, это может помочь Вам: aufs: усовершенствованная много многоуровневая файловая система объединения
У Вас есть своя система на более низком уровне. Вдобавок к нему можно смонтировать aufs файловую систему. Модификации (записи) сделаны в этой aufs файловой системе только, не изменяя 'реальную' файловую систему внизу.
Докер делает LXC легче использовать:
Достойные внимания особенности
Изоляция файловой системы: каждый контейнер процесса работает в абсолютно отдельной корневой файловой системе.
Изоляция ресурса: системные ресурсы как CPU и память могут быть выделены по-другому каждому контейнеру процесса, с помощью cgroups.
Сетевая изоляция: каждый контейнер процесса работает в его собственном сетевом пространстве имен с виртуальным интерфейсным и собственным IP-адресом.
Копия на записи: корневые файловые системы создаются с помощью копии на записи, которая делает развертывание чрезвычайно быстрым, дешевым памятью и дешевым диском.
Вход: стандартные потоки (stdout/stderr/stdin) каждого контейнера процесса собраны и зарегистрированы для или пакетного извлечения в реальном времени.
Управление изменениями: изменения в файловой системе контейнера могут фиксироваться в новое изображение и снова использоваться для создания большего количества контейнеров. Никакая шаблонная обработка или ручная конфигурация не требуются.
Интерактивная оболочка: докер может выделить pseudo-tty и присоединение к стандартному входу любого контейнера, например, для выполнения одноразовой интерактивной оболочки.
Под капотом
Под капотом Докер основан на следующих компонентах:
cgroup и возможности пространства имен ядра Linux
AUFS, мощная файловая система объединения с поддержкой копии на записи
Язык программирования Движения
lxc, ряд сценариев удобства для упрощения создания контейнеров Linux.
-
1Это не предоставляет ответ на вопрос. Чтобы критиковать или запросить разъяснение от автора, оставьте комментарий ниже их сообщения. – Anthon 19.05.2013, 15:29
-
2@Anthon: Почему это не ответ? Требуемый был "изолирован (гость) среда Linux" что "то же ядро как мой хост". – Janus Troelsen 19.05.2013, 15:43
-
3@JanusTroelsen, “Ответы, которые существенно не отвечают на вопрос, могут быть удалены. Это включает ответы, которые являются … едва больше, чем ссылка на внешний сайт” – FAQ, объясните, что Докер делает и в том, что это отличается от другого подобного программного обеспечения. – manatwork 19.05.2013, 19:11