LXC — это система контейнерной изоляции на уровне операционной системы для запуска нескольких изолированных экземпляров операционной системы на одном узле.
- LXC не использует виртуальные машины, а создаёт виртуальное окружение с собственным пространством процессов и сетевым стеком;
- Все экземпляры LXC используют один экземпляр ядра операционной системы;
- LXC основана на технологии cgroups, входящей в ядро ОС;
Известная проблема доступа к ядру ОС, когда root-пользователь LXC-контейнера может выполнить произвольный код в родительской операционной системе (за счёт того, что uid 0 внутри контейнера совпадает с uid 0 базовой системы) решена введением (в версиях LXC начиная с 1.0) «непривилегированных контейнеров», где uid 0 в контейнере соответствует непривилегированному пользователю снаружи, и имеет расширенные права только на свои ресурсы.
Механизм cgroups (control group) — механизм ядра ОС, ограничивающий и изолирующий вычислительные ресурсы (процессорные, сетевые, ресурсы памяти, ресурсы ввода-вывода) для групп процессов.
Механизм позволяет образовывать иерархические группы процессов с заданными ресурсными свойствами, и обеспечивает программное управление ими.
Механизм cgroups предоставляет единый программный интерфейс к целому спектру средств управления процессами, начиная с контроля единичного процесса, и вплоть до полной виртуализации на уровне системы LXC.
Механизм cgroups предоставляет следующие возможности:
ограничение ресурсов (resource limiting): использование памяти, в том числе виртуальной;
распределение ресурсов: разным группам можно выделить разное количество процессорного ресурса и пропускной способности подсистемы ввода-вывода;
учёт: подсчёт затрат тех либо иных ресурсов группой;
изоляцию: разделение пространств имён для групп таким образом, что одной группе недоступны процессы, сетевые соединения и файлы другой;
управление: приостановку (freezing) групп, создание контрольных точек (checkpointing) и их перезагрузку.
Оригинальная документация LXC
Оригинальная документация LXC доступна по ссылке: https://linuxcontainers.org/lxc/documentation/