লিনাক্স এলএক্সসি বনাম ফ্রিবিএসডি জেল


62

সুরক্ষা, স্থিতিশীলতা ও পারফরম্যান্সের ক্ষেত্রে এলএক্সসি (লিনাক্স পাত্রে) এবং ফ্রিবিএসডি এর কারাগারের মধ্যে কি উল্লেখযোগ্য পার্থক্য রয়েছে ?

প্রথম চেহারাতে, উভয় পন্থা খুব একইরকম দেখায়।


1
এলএক্সসি বরং একটি নতুন প্রযুক্তি, তাই আমি জেলগুলির সাথে আরও ভাল সুরক্ষা এবং স্থায়িত্ব আশা করব would পারফরম্যান্স সম্পর্কে একটি অনুমানও নয়। এলএক্সসির সাথে কিছু সুরক্ষিত সমস্যা রয়েছে যা সেলিনাক্স ব্যবহার করে প্রশমিত করা যেতে পারে। যদিও আমি ব্যক্তিগতভাবে এলএক্সসি পছন্দ করি।
পাভেল Šিমেরদা

1
@ পাভেলিমারদা আমি কেবল আজ এলএক্সসির কথা শুনেছি, তবে হেরোকু এবং সম্ভবত গুগল অ্যাপ ইঞ্জিন উভয়ই ইতিমধ্যে এলএক্সসি ব্যবহার করেছে বলে আমার মুখের সন্ধান পাওয়া যায়।
ফিলিপ ক্লেইন

3
আপনি যদি মাত্র এলএক্সসিতে ঝাঁপিয়ে
কেভ

1
ডকার আর lxc ব্যবহার করে না।

1
@ নিউल्डনার এটি আর লাইব্ল্যাক্স ব্যবহার করে না, তবে এটি একই একই ধারণাটি ব্যবহার করে: কার্নেল নেমস্পেসগুলি।
0xC0000022L

উত্তর:


101

এখানে অভিনব নামটি ব্যবহৃত হোক না কেন, উভয়ই একটি নির্দিষ্ট সমস্যার সমাধান: ক্লাসিক ইউনিক্স ক্রুটের চেয়ে আরও ভাল বিভাজন সমাধান । অপারেটিং সিস্টেম-স্তরের ভার্চুয়ালাইজেশন, ধারকগুলি, অঞ্চলগুলি বা "স্টেরয়েড সহ ক্রুট" নাম বা বাণিজ্যিক শিরোনাম যা ব্যবহারকারীস্পেস বিভাজনের একই ধারণাটিকে সংজ্ঞায়িত করে তবে বিভিন্ন বৈশিষ্ট্যযুক্ত।

১৯৮২ সালের ১৮ মার্চ ৪.২ বিএসডি প্রকাশের কয়েক মাস আগে, ক্রোটটি এটির ইনস্টলেশন ও নির্মাণ ব্যবস্থা পরীক্ষা করার সরঞ্জাম হিসাবে চালু করা হয়েছিল, তবে আজও এটির ত্রুটি রয়েছে। যেহেতু ক্রুটের প্রথম উদ্দেশ্যটি কেবলমাত্র একটি নতুন পথ সরবরাহ করা ছিল, তাই সিস্টেমের অন্যান্য বিষয়গুলি যা বিচ্ছিন্ন বা নিয়ন্ত্রণ করার দরকার ছিল তা অনাবৃত হয়ে পড়ে (নেটওয়ার্ক, প্রক্রিয়া ভিউ, আই / ও থ্রুপুট)। এখানেই প্রথম পাত্রে (ব্যবহারকারী-স্তরের ভার্চুয়ালাইজেশন) উপস্থিত হয়েছিল।

উভয় প্রযুক্তিই (ফ্রিবিএসডি জেলস এবং এলএক্সসি) সুরক্ষার অন্য স্তর সরবরাহ করতে ইউজারস্পেস বিচ্ছিন্নতার ব্যবহার করে। এই বিভাগীয়করণ নিশ্চিত করবে যে একটি নির্ধারিত প্রক্রিয়া একই পাত্রে একই হোস্টের কেবলমাত্র অন্যান্য প্রক্রিয়াগুলির সাথে যোগাযোগ করবে এবং "বাইরের বিশ্বের" যোগাযোগ অর্জনের জন্য যদি কোনও নেটওয়ার্ক সংস্থান ব্যবহার করে, সমস্ত নির্ধারিত ইন্টারফেস / চ্যানেলে পাঠানো হবে যে এই ধারকটি হয়েছে।

বৈশিষ্ট্য

ফ্রিবিএসডি জেলগুলি:

  • স্থিতিশীল প্রযুক্তি হিসাবে বিবেচনা করা হয়, যেহেতু এটি 4.0 এর পর থেকে ফ্রিবিএসডি-র একটি বৈশিষ্ট্য;
  • এটি জেডএফএস ফাইল সিস্টেমের সেরা পয়েন্টে লাগে যেখানে আপনি জেলগুলি ক্লোন করতে এবং আরও বেশি জেল স্থাপন করতে সহজেই জেল টেমপ্লেট তৈরি করতে পারেন। আরও কিছু জেডএফএস উন্মাদনা ;
  • ভাল নথিভুক্ত , এবং বিকশিত ;
  • শ্রেণিবদ্ধ জেলগুলি আপনাকে জেলের অভ্যন্তরে জেল তৈরি করতে দেয় (আমাদের আরও গভীরতর প্রয়োজন!) To allow.mount.zfsআরও শক্তি অর্জনের সাথে একত্রিত হন এবং অন্যান্য ভেরিয়েবলগুলি children.maxসর্বাধিক শিশুদের জেলগুলি সংজ্ঞায়িত করে।
  • rctl (8) কারাগারগুলির রিসোর্স সীমা পরিচালনা করবে (মেমরি, সিপিইউ, ডিস্ক, ...);
  • ফ্রিবিএসডি জেলগুলি লিনাক্স ইউজারস্পেস পরিচালনা করে ;
  • এর সাথে নেটওয়ার্ক বিচ্ছিন্নতা vnet, প্রতিটি কারাগারের নিজস্ব নেটওয়ার্ক স্ট্যাক, ইন্টারফেস, ঠিকানা এবং রাউটিং টেবিল থাকতে দেয়;
  • nullfs প্রকৃত সার্ভারে অবস্থিত ফোল্ডারগুলিকে জেলের অভ্যন্তরে সংযুক্ত করতে সহায়তা করতে;
  • জেলগুলির ব্যাপক মোতায়েন ও পরিচালনা করতে ইজজাইল ইউটিলিটি;
  • প্রচুর কার্নেল টুনাবল ( sysctl)। security.jail.allow.*পরামিতিগুলি সেই জেলের রুট ব্যবহারকারীর ক্রিয়াকে সীমাবদ্ধ করবে।
  • হতে পারে, ফ্রিবিএসডি জেলগুলি নিকট ভবিষ্যতে লাইভ মাইগ্রেশনের মতো কিছু ভিপিএস প্রকল্প বৈশিষ্ট্য বাড়িয়ে দেবে ।
  • জেডএফএস এবং ডকার একীকরণের কিছু প্রচেষ্টা চলছে। এখনও পরীক্ষামূলক।
  • ফ্রিবিএসডি 12 কারাগারের অভ্যন্তরে ভাইভকে সমর্থন করে এবং কারাগারের ভিতরে পিএফ দিয়ে এই সরঞ্জামগুলিতে আরও বিচ্ছিন্নতা তৈরি করে
  • গত বছরগুলিতে প্রচুর আকর্ষণীয় সরঞ্জাম তৈরি হয়েছিল। তাদের মধ্যে কিছু এই ব্লগ পোস্টে ইনডেক্স করা হয় ।
  • বিকল্প: ফ্রিবিএসডি ভিপিএস প্রকল্প

লিনাক্স পাত্রে (LXC):

  • নতুন "কার্নেল" প্রযুক্তিতে তবে বড়দের দ্বারা অনুমোদিত (বিশেষত ক্যানোনিকাল);
  • এলএক্সসি ০.০ থেকে শুরু হওয়া সুবিধামতো কনটেইনারগুলি, পাত্রে অভ্যন্তরীণ সুরক্ষায় বড় পদক্ষেপ নেয়;
  • পাত্রে ভিতরে ইউআইডি এবং জিআইডি ম্যাপিং;
  • আইপিসি, মাউন্ট, পিড, নেটওয়ার্ক এবং ব্যবহারকারীদের পৃথককরণের জন্য কার্নেল নেমস্পেসগুলি। এই নেমস্পেসগুলি একটি বিচ্ছিন্ন উপায়ে পরিচালনা করা যায়, যেখানে কোনও নেটওয়ার্ক যা বিভিন্ন নেটওয়ার্ক নেমস্পেস ব্যবহার করে তা স্টোরেজের মতো অন্যান্য দিকগুলিতে অগত্যা বিচ্ছিন্ন হবে না;
  • সংস্থানগুলি পরিচালনা করতে এবং তাদের গোষ্ঠীভুক্ত করতে কন্ট্রোল গ্রুপ (সিগ্রুপ)। সিজি ম্যানেজার হ'ল এটি অর্জন করার লোক।
  • ধারক দ্বারা অ্যাক্সেসযোগ্য কার্নেল বৈশিষ্ট্যগুলি আরও কার্যকর করার জন্য অ্যাপারমার / সেলইনক্স প্রোফাইল এবং কার্নেল ক্ষমতা। ফিল্টার সিস্টেম কলগুলিতে সেকম্পম্পটি এলএক্সসি পাত্রেও পাওয়া যায়। অন্যান্য সুরক্ষা দিক এখানে
  • লাইভ মাইগ্রেশন কার্যকারিতা বিকশিত হচ্ছে। এটি কখন ব্যবহারের জন্য প্রস্তুত হবে তা বলা শক্ত, যেহেতু ডকার / এলএক্সসিকে ইউজারস্পেস প্রক্রিয়া বিরতি, স্ন্যাপশট, মাইগ্রেট এবং একীকরণ - রেফ 1 , রেফ 2 এর সাথে মোকাবেলা করতে হবে ।লাইভ মাইগ্রেশন কাজ করছে মৌলিক পাত্রে (কোন ডিভাইস পাসথ্রু তন্ন তন্ন জটিল নেটওয়ার্ক সেবা বা বিশেষ স্টোরেজ কনফিগারেশনের) সঙ্গে।
  • পাইথন 3 এবং 2, লুয়া, গো, রুবি এবং হাস্কেল-তে বিকাশ সক্ষম করার জন্য এপিআই-র বাইন্ডিং
  • কেন্দ্রীভূত "কী নতুন" অঞ্চল। আপনার যখনই কিছু বাগ ঠিক করা হয়েছে বা কোনও নতুন বৈশিষ্ট্য প্রতিশ্রুতিবদ্ধ হয়েছে কিনা তা পরীক্ষা করে নেওয়ার দরকার খুব দরকারী। এখানে
  • একটি আকর্ষণীয় বিকল্প lxd হতে পারে , হুডের অধীনে lxc এর সাথে কাজ করে তবে এর মধ্যে কিছু চমৎকার বৈশিষ্ট্য রয়েছে যেমন একটি REST এপিআই, ওপেনস্ট্যাক ইন্টিগ্রেশন ইত্যাদি features
  • আরেকটি মজার বিষয় যে উবুন্টু উপর পাত্রে জন্য ডিফল্ট ফাইল সিস্টেম যেমন ZFS শিপিং করা মনে হয় 16,04 । প্রকল্পগুলি সারিবদ্ধ রাখতে, lxd এটি 2.0 সংস্করণ চালু করেছে এবং এর কয়েকটি বৈশিষ্ট্য zfs সম্পর্কিত
  • বিকল্প : ওপেনভিজেড , ডকার
  • ডক-শ্রমিক । এখানে নোট করুন যে ডকার নেমস্পেসগুলি ব্যবহার করে, সিগ্রুপগুলি "প্রতি অ্যাপ্লিকেশন" / "প্রতি সফটওয়্যার" বিচ্ছিন্নতা তৈরি করে। মূল পার্থক্য এখানে । যখন LXC একাধিক প্রক্রিয়া সহ ধারক তৈরি করে, ডকার একটি একক প্রক্রিয়াতে যতটা সম্ভব একটি ধারক কমিয়ে দেয় এবং তারপরে ডকারের মাধ্যমে সেটি পরিচালনা করে।
  • সেলারাক্সের সাথে ডকারকে সংহত করার এবং এটি আরও সুরক্ষিত করার জন্য একটি ধারকটির ভিতরে ক্ষমতা হ্রাস করার প্রচেষ্টা - ডকার এবং সেলইনাক্স, ড্যান ওয়ালশ
  • ডকার, এলএক্সডি এবং এলএক্সসির মধ্যে পার্থক্য কী

ডকার আর lxc ব্যবহার করে না। তাদের কাছে এখন libcontainer নামে একটি নির্দিষ্ট lib রয়েছে যা নিম্ন-স্তরের কার্নেল নেমস্পেস এবং সিগ্রুপ বৈশিষ্ট্যগুলি সরাসরি সংহত করে।

উভয়ই প্রযুক্তি একটি সুরক্ষিত প্যানাসিয়া নয়, তবে উভয়ই এমন পরিবেশকে বিচ্ছিন্ন করার জন্য বেশ ভাল উপায় যা মিশ্র অপারেটিং সিস্টেমের অবকাঠামোর কারণে পূর্ণ ভার্চুয়ালাইজেশন প্রয়োজন হয় না। সুরক্ষাটি অনেকগুলি ডকুমেন্টেশন পড়ার পরে এবং কার্নেল টুনেবল, ম্যাক এবং বিচ্ছিন্নভাবে ওএস-স্তরের গুণাবলী আপনাকে যে অফার করে তা প্রয়োগ করার পরে আসবে।

আরো দেখুন:


1
বাক্সের বাইরে উল্লেখ করার মতো, সঠিক অতিথির বিচ্ছিন্নতা সরবরাহের জন্য lxc দ্বারা কোনও প্রচেষ্টা করা হয়নি। lxd তবে বিএসডি জেল বা সোলারিস জোনের মতো বিচ্ছিন্নতা দেওয়ার চেষ্টা করে।
allquixotic

lxd হ'ল এলএক্সসির একটি "আরও ভাল অভিজ্ঞতা", এর উপরে অন্যান্য বৈশিষ্ট্য রেখে। তবে এই ছোট্ট লোকটির এখানে উদ্ধৃতি দেওয়া ভাল বলে মনে হচ্ছে

@ allquixotic আপনার অর্থ যদি টেমপ্লেটগুলি থেকে তৈরি অপরিবর্তিত কনফিগারেশন ব্যবহার করে? সত্য, তবে অপরিকল্পিত (ব্যবহারকারী-সক্ষম) কন্টেনারগুলি LXC 1.x এর সাথে উপলব্ধ ছিল এবং এমনকি এটি সিস্টেম বুট-এ স্বয়ংক্রিয়ভাবে চালু করা যেতে পারে, তবে শর্ত থাকে যে তারা মালিকানাধীন ছিল root(এবং এইভাবে ধারকগুলির জন্য সিস্টেম-প্রশস্ত স্থানে অবস্থিত)।
0xC0000022L
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.