LXC có đủ an toàn cho lưu trữ VPS không?


8

Hiện tại tôi đang sử dụng Linux VServer để lưu trữ VPS. Nhưng nó thiếu một số chức năng tôi cần (ví dụ ảo hóa sử dụng cpu, hỗ trợ hạn ngạch cho khách, v.v.) vì vậy tôi đang suy nghĩ về việc chuyển sang OpenVZ hoặc trực tiếp sang LXC. Tôi ở đâu đó đọc LXC chưa được coi là an toàn (ví dụ: http://en.gentoo-wiki.com/wiki/LXC#MAJOR_T tạm_Probols_with_LXC _-_ READ_THIS ) - điều này có còn đúng không? Vì tôi không biết những người điều hành khách nên tôi thực sự phải chăm sóc an ninh.


có được (là ai?) cũng vấn đề với lọc / proc - xem bugs.launchpad.net/ubuntu/+source/lxc/+bug/645625 "lxc container có thể tắt nguồn máy chủ"
sendmoreinfo

không chính xác là một câu trả lời cho câu hỏi của bạn, nhưng bạn đã cân nhắc sử dụng một trình ảo hóa chưa? ví dụ. Xen hoặc KVM
Luke404

Xen và kvm có chi phí hoạt động cao hơn nhiều và do đó hiệu suất thấp hơn. Tôi chỉ sử dụng một trình ảo hóa khi tôi cần một kernel tùy chỉnh trong một khách, os máy chủ / khách khác nhau hoặc "các yêu cầu đặc biệt" khác.
gucki

Câu trả lời:


4

Đối với kiến ​​thức tốt nhất tại thời điểm viết bài này, vẫn còn những vấn đề quan trọng với việc lọc / Proc . Chúng nên được giải quyết trong Linux Kernel 3.6 trở lên.

Vì tôi đang đối mặt với cùng một vấn đề như bạn đã thực hiện một số điều tra và tôi chưa tin rằng LXC là một giải pháp thay thế cho Linux VServer .

Nếu bạn quyết định không chuyển sang LXC, hãy xem hỗ trợ nhóm của Linux Vserver dựa trên cùng mã với LXC và có thể là một tùy chọn cho thiết lập của bạn.


1
+1 với các nhóm, + selinux. KVM vẫn là sự thay thế tốt hơn.
GioMac

1

LXC đã thêm hỗ trợ bộ chứa không có đặc quyền từ phiên bản 1.0 và Ubuntu đã bổ sung thêm các quy tắc bổ trợ từ bản phát hành 14.04 LTS (5 năm) sử dụng kernel 3.13, (LTS sẽ thêm hỗ trợ cho hạt nhân từ không tưởng bây giờ, sống động trong vài tháng, v.v.)

nhiều thứ về bảo mật với LXC bây giờ là OLD (tương tự áp dụng cho Docker, dựa trên công nghệ container linux dựa trên cgroups) với tôi ít nhất là lxc trong Ubuntu bây giờ là một lựa chọn tốt. Tôi tưởng tượng rằng điều tương tự cũng áp dụng cho Debian.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.