サンドボックス環境としてのLXCコンテナ

Question

最も安全な仮想化ソリューションではないため、LXCを選択した理由を明らかにしていません。私はKVM / XENとLXCを大量に使用していますが、1つのことができるのは、セキュリティに関してはLinuxコンテナ（LXC / OpenVZ / VServerに関係なく）を絶対に使用しないことです。 KVM / XENを使用する方が簡単で信頼性が高くなります。

パフォーマンスやハードウェア要件に関するものであれば、そうです。 LXCを試してみることはできますが、いくつかの規則に従う必要があります。

libvirtは、SELinuxを使用するときにコンテナが厳密に制限されることを保証します（LXC_driverのおかげで）。これがRHEL / Centos / Fedoraのケースであるかどうかはわかりません（私はUbuntu / Debianをあまり使用しません）。https://www.redhat.com/archives/libvir-list/2012-January/msg01006.html- したがって、SELinuxを使用するのは良い考えです。（私の考えにはこの場合「必須」と思います）
ゲストがホストを停止したり、他のコンテナに影響を与えたりしないように、厳密なcgroupルールを設定してください。
私はLVMベースのコンテナを使いたいです。常に「セキュリティ」の追加階層です。
ネットワークソリューションとアーキテクチャを考えてみましょう。これらのコンテナは互いに通信する必要がありますか？

読書から始めましょうこれ- 古代ですが、まだ - そこには多くの知識があります。そして - 会うユーザーネームスペース

結局、もう一度考えてみてください。 LXCを安全にプレイできる時間は本当にそんなに多いですか？ KVMははるかに簡単です...

Answer 1

最も安全な仮想化ソリューションではないため、LXCを選択した理由を明らかにしていません。私はKVM / XENとLXCを大量に使用していますが、1つのことができるのは、セキュリティに関してはLinuxコンテナ（LXC / OpenVZ / VServerに関係なく）を絶対に使用しないことです。 KVM / XENを使用する方が簡単で信頼性が高くなります。

パフォーマンスやハードウェア要件に関するものであれば、そうです。 LXCを試してみることはできますが、いくつかの規則に従う必要があります。

libvirtは、SELinuxを使用するときにコンテナが厳密に制限されることを保証します（LXC_driverのおかげで）。これがRHEL / Centos / Fedoraのケースであるかどうかはわかりません（私はUbuntu / Debianをあまり使用しません）。https://www.redhat.com/archives/libvir-list/2012-January/msg01006.html- したがって、SELinuxを使用するのは良い考えです。（私の考えにはこの場合「必須」と思います）
ゲストがホストを停止したり、他のコンテナに影響を与えたりしないように、厳密なcgroupルールを設定してください。
私はLVMベースのコンテナを使いたいです。常に「セキュリティ」の追加階層です。
ネットワークソリューションとアーキテクチャを考えてみましょう。これらのコンテナは互いに通信する必要がありますか？

読書から始めましょうこれ- 古代ですが、まだ - そこには多くの知識があります。そして - 会うユーザーネームスペース

結局、もう一度考えてみてください。 LXCを安全にプレイできる時間は本当にそんなに多いですか？ KVMははるかに簡単です...

サンドボックス環境としてのLXCコンテナ

ベストアンサー1

おすすめ記事