Re: Socket mezi dvema jaily

Tue, 29 Sep 2009 23:54:32 -0700 

Robert Kania napsal/wrote, On 09/29/09 23:01:

z meho pohledu se tim dost rozmazava rozdil jail/chroot



Z meho pohledu jail nikdy neprestal byt "work in progress" a stale jeste 
preferuju "postavte tam druhy pocitac" jako reseni prvni volby. 
Pripoustim, ze v pripade nekoho kdo poskytuje hosting je skutecne treba 
sahnout po nejake forme souziti na jednom pocitaci, ale to je vyjimka z 
naznaceneho pravidla.



A ja na zaklade podkladu, ktere mam k dispozici 
(handbook, man, konference) nejsem schopen rozhodnout jestli je to chyba 
(ohlasit ji a naucit se s ni zatim zit) nebo vlastnost (a naucit se s ni 
zit).


Spolecny jmenovatel je "naucit se s tim zit" - tak tim muzes zacit ;-)


Nicmene, tady ti zadne podklady nepomohou. Ani aktualni zdrojove kody 
ne. Musel bys nekde najit specifikaci toho, k cemu "jail" celkove 
smeruje. Nejlepe napsanou od toho, kdo ma podstatny vliv na zdrojovy kod 
teto feature.



Nic takoveho, pokud vim, neexistuje, takze je treba vychazet z 
"ramcoveho prohlaseni" a odhadovat, kam by to tak asi mohlo kracet. Ja 
bych se trochu bal postavit svoje reseni na vlastnosti, u ktere je dost 
nejasne, zda nahodou neni chybou a nebude odstranena.



A navic, jak uz tu padlo - chces-li mit moznost virtualni stroje volne 
stehovat ze stroje na stroj, jen tezko muzes procesy mezi nimi nechat 
komunikovat pomoci IPC.



Pouze v aktualni situaci jsem narazil
na vykonove omezeni, ktere by _mozna_ slo vyresit "pouze" tim, ze by
aplikace (jail a) nekomunikovala s databazi (jail b) pres TCP (jako je

tomu dosud) ale pres IPC. 



Neznam detaily, takze k tomu je obtizne neco rict. Ale predbezne bych se 
priklanel k nazoru, ze rozdil v komunikaci pres IPC a TCP (v ramci tehoz 
stroje) by nemel byt zasadni a takto tedy problem spis nevyresis.



Moje dalsi duvody pouziti jailu misto chrootu je vyhled na moznost 
nastavovani limitu cpu / pouzivane pameti - tj. dalsi krok k tomu, aby 
se toto pouziti dalo opravdu nazyvat virtualizaci.



Jail je a stale bude user-level virtualizaci. Vzhledem k stale se 
zvetsujici penetraci hardware, ktery v sobe ma hardwarovou podporu bych 
ocekaval odklon od jailu a nejakou formu podpory tohoto typu 
virtualizace. Tim nerikam, ze jaily zcela zmizi - jen, ze se zpomali 
vyvoj, pripadne se zmeni cil, ktereho maji jaily dosahovat.


To je ovsem vesteni z kristalove koule.

                                                Dan

--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l























					Odpovedet emailem