Linux -VServer - Linux-VServer
 | |
| Vývojáři | Herbert Pötzl (komunitní projekt) |
|---|---|
| Stabilní uvolnění | 2.6.22.19-vs2.0.0.7 / 14. března 2008
|
| Náhled vydání | 4.9.195-vs2.3.9.8 / 5. října 2019
|
| Úložiště |
|
| Operační systém | Linux |
| Plošina | x86 , SPARC/64 , PA-RISC , S390/x , MIPS/64 , ARM , PowerPC/64 , Itanium |
| Typ | Virtualizace na úrovni OS |
| Licence | GNU GPL v.2 |
| webová stránka | linux-vserver |
Linux-VServer je implementace virtuálního soukromého serveru, která byla vytvořena přidáním možností virtualizace na úrovni operačního systému do jádra Linuxu . Je vyvíjen a distribuován jako open-source software .
Projekt zahájil Jacques Gélinas . Nyní jej udržuje Herbert Pötzl. To nesouvisí s Virtual Server Linux projektu, který realizuje síť vyvažování zátěže .
Linux-VServer je mechanismus vězení , který lze použít k bezpečnému rozdělení zdrojů na počítačový systém (jako je souborový systém , čas CPU, síťové adresy a paměť) takovým způsobem, že procesy nemohou připojit službu odmítnutí služby zaútočit na cokoli mimo jejich oddíl.
Každý oddíl se nazývá kontext zabezpečení a virtualizovaný systém v něm je virtuální soukromý server . K dispozici je nástroj podobný chroot pro sestupování do kontextů zabezpečení. Zavedení virtuálního soukromého serveru je pak jednoduše záležitostí startu init v novém kontextu zabezpečení; stejně tak jeho vypnutí jednoduše znamená zabití všech procesů s tímto kontextem zabezpečení. Samotné kontexty jsou dostatečně robustní, aby nabootovaly mnoho nemodifikovaných distribucí Linuxu , včetně Debianu a Fedory .
Virtuální soukromé servery se běžně používají ve webhostingových službách, kde jsou užitečné pro segregaci zákaznických účtů, sdružování zdrojů a omezení potenciálních narušení zabezpečení. Aby se při takových instalacích šetřilo místo, může být souborový systém každého virtuálního serveru vytvořen jako strom pevných odkazů na kopírování při zápisu do systému souborů „šablony“. Pevný odkaz je označen speciálním atributem systému souborů a při změně je bezpečně a transparentně nahrazen skutečnou kopií souboru.
Linux-VServer poskytuje dvě větve, stabilní (2.2.x) a devel (2.3.x) pro jádra řady 2.6 a jednu stabilní větev pro řadu 2.4. K dispozici je také samostatná stabilní větev integrující sadu oprav grsecurity.
Výhody
- Virtuální servery sdílejí stejné rozhraní systémových volání a nemají žádné režijní emulace .
- Virtuální servery nemusí být zálohovány neprůhlednými obrazy disků , ale mohou sdílet společný systém souborů a společné sady souborů (prostřednictvím pevných odkazů na kopírování při zápisu). To usnadňuje zálohování systému a sdílení místa na disku mezi virtuálními servery.
- Procesy na virtuálním serveru běží jako běžné procesy na hostitelském systému. Toto je poněkud efektivnější paměť a I/O než emulace celého systému, přestože balónování paměti a moderní virtuální počítače umožňují vrácení nevyužité paměti a sdílení mezipaměti disku s hostitelem a dalšími virtuálními servery.
- Procesy na virtuálním serveru jsou zařazeny do fronty na stejném plánovači jako na hostiteli, což umožňuje hostujícím procesům běžet souběžně na systémech SMP . To není triviální implementovat s emulací celého systému.
- Sítě jsou založeny spíše na izolaci než na virtualizaci, takže pro pakety neexistuje žádná další režie.
- Menší letadlo pro bezpečnostní chyby. Pouze jedno jádro s malou další kódovou základnou ve srovnání s 2+ jádry a velkými rozhraními mezi nimi.
- Bohaté funkce plánování Linuxu, jako jsou priority v reálném čase.
Nevýhody
- Vyžaduje, aby bylo hostitelské jádro opraveno.
- Není zahrnuta žádná schopnost klastrování ani migrace procesů , takže hostitelské jádro a hostitelský počítač jsou pro všechny virtuální servery stále jediným bodem selhání.
- Sítě jsou založeny na izolaci, nikoli na virtualizaci. Tím se zabrání tomu, aby si každý virtuální server vytvořil vlastní nastavení vnitřního směrování nebo brány firewall.
- Některá systémová volání (většinou související s hardwarem: např. Hodiny v reálném čase ) a části souborových systémů /proc a /sys zůstávají bez vizualizace.
- Nepovoluje přidělování šířky pásma disku I/O na základě virtuálního serveru.
