Проект Open Container Initiative (OCI) опубликовал версию спецификации OCI Runtime 1.3. Спецификация определяет поведение и конфигурационный интерфейс для запуска и управления изолированными контейнерами, унифицирующий взаимодействие с низкоуровневыми runtime-компонентами, такими как runc, crun, youki, gVisor и Kata Containers. OCI Runtime обеспечивает взаимозаменяемость подобных компонентов в высокоуровневых инструментариях, таких как containerd и CRI-O...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64185
А вот это по нашему. FreeBSD все больше становиться предпочтительным для исхода с дряхлеющего (pжaвеющeгo) линукса.
Конечно, фряха всегда была для putty.exe, но не всё ли равно в таком случае?
>А вот это по нашемуДа, по ретроградски
Мейк фрибызды грейт эген!
Можно еще и на импортозамещении заработать - методом Дениски Попова переименовав jails в какую-нибудь КПЗ по аналогии с "боцманом"(ТМ) или там "штурвалом"(ТМ). Хотя оне старое и по нонешним меркам излишне\избыточно сложное - автозамена по проекту может и не помочь...
Тонкий намёк на ULBSD? Вливайтесь на форум,вики это самое вкусное что там есть. Будете вдвоём пилить этот дистр.
ЕМНИП, АПКШ "Континент" как раз таки на fbsd запилен, если что ))
Изоляция в BSD есть с незапамятных времён (и механизм модулей куда более адекватный, а не для галочки), вся новость про признание какой-то левой организацией FreeBSD как достойной.
Именно признание это "левой" организацией и позволит прожить FreeBSD ещё некоторое время, в наш век облаков и контейнерной виртуализации.
У нас ещё век локалхоста и трёх серверов на ослиной тяге администрирования не прошел. Ну и вообще наш век идёт в обратную сторону, скоро "апдейтнимся" до альтлинукса или чего похуже добровольно, но принудительно.
Так что фряха для нас ещё ого-го!
Ваш век облаков погаснет, как тока придет мой знакомый электрик Вася и вырубит вам рубильник. У одних наших соседей этот век уже потихоньку заканчивается.
Так пусть заплатят долги по коммуналке.
Что помешает соседям врубить рубильник обратно? Нужно образование электрика что бы рубильники дёргать что ли?
Это еще на помощь не позвали Коляна - экскаваторщика, он с удовольствием кабели срежет. А еще есть Серега - электромонтер, тот за поллитруху на кроссе может покопаться.
Погаснет, но только у тебя в коммуналке. У операторов облачной инфраструктуры как раз и деньги на генератор есть, и на топливо для генератора тоже. Опасность не в криворуких электриках, опасность в кодерах, деплоящих в прод что попало.
>Изоляция в BSD есть с незапамятных времён (и механизм модулей куда более адекватный, а не для галочки)Да? А где докер для BSD? Как нет? Да не может быть.
А нахера в FreeBSD ваш ненужный докер?
Там уже есть контейнер, который конченый пользователь может использовать без доработки напильником? Вот хочу я, например, firefox в контейнер поместить и память ограничить. Сколько действий мне потребуется, чтобы это дело нормально заработало?
> Там уже есть контейнер, который конченый пользователь может использовать без доработки
> напильником? Вот хочу я, например, firefox в контейнер поместить и память
> ограничить. Сколько действий мне потребуется, чтобы это дело нормально заработало?Насколько помню, ограничение ресурсов прекрасно работает и без контейнеров. Догадываюсь, что не все это знают, так-как считают, что RTFM это для дидов из эпохи динозавров. Ну и на создание очередной клетки уходит времени меньше, чем для создания контейнера lxc, ибо туда система не скачивается, за ненужностью, тем более есть инструменты для управления клетками в портах. Ну и запихивание Фаерфокса в клетку наверно занимает столько же времени, если ставить из пакета.
>Насколько помню, ограничение ресурсов прекрасно работает и без контейнеров.Я не спрашиваю как это сделать без контейнеров. Добавим для полноты картины, что хотим по особому настроить в этом контейнере сеть.
>Ну и запихивание Фаерфокса в клетку наверно занимает столько же времени, если ставить из пакета.Ну и как это выглядит? Сколько команд и конфигов в консоли нужно набирать?
> Ну и как это выглядит? Сколько команд и конфигов в консоли нужно
> набирать?RTFM
ну то есть сам ты не знаешь
Над тобой похоже стебутся. Эта штука для поиска доков.
Лет наверное с 15 назад, когда я был молодой-глюпый - делал запуск браузера в клетке.
Основной фокус был с пробросом иксов (Для чего jail почти-совсем-но-еще-не) - и да, оно даже без ssh делалось, но какая-то залепуха с аутентификацией, помнится, была.А вот с новым-модным и docker'ом - я даже не знаю... VNC клиент в контейнер пихать каким-нибудь образом?
Э, вот ты не поверишь - примерно столько же, сколько и с linux'ом - ну, если ты им пользоваться планируешь, конечно а не вот "запускать"
Столько - это сколько? Если брать через условный докер, то достаточно репозиторий склонировать и выполнить одну команду, она запустит уже готовый браузер. Если брать условный nix - то там нужно в конфиг несколько строчек добавить, одной командой пересобрать и второй запустить.
> Столько - это сколько? Если брать через условный докер, то достаточно репозиторий
> склонировать и выполнить одну команду, она запустит уже готовый браузер. Если
> брать условный nix - то там нужно в конфиг несколько строчек
> добавить, одной командой пересобрать и второй запустить.Ну вот контейнер ты взял. Ага. Там даже firefox запустился - но это уже не точно. А как он к иксам на хостовой системе ходить будет? Сокет в контейнер монтировать? Я даже ХЗ, заработает ли оно. А если "не к иксам" - то как ты к нему из wayland'а? weston в контейнер пихать? VNC-сервер?
docker как бы это сказать... не очень-то "gui friendly"
>Ну вот контейнер ты взял. Ага. Там даже firefox запустился - но это уже не точно.Так весь смысл современного подхода в том, чтобы можно было несколькими командами подтянуть контейнер, и всё заработало. А не несколько дней сношаться с консолью, и так и остаться ни с чем.
>А как он к иксам на хостовой системе ходить будет?А хороший вопрос.
>Сокет в контейнер монтировать?На гну/линуксе я пробрасываю сокет.
>Я даже ХЗ, заработает ли оно.Да. Нужно авторизовать контейнер на хосте, либо установить ему такое же имя хоста, и пробросить /tmp/.X11-unix/, а так же файл XAUTHORITY.
>А если "не к иксам" - то как ты к нему из wayland'а? weston в контейнер пихать? VNC-сервер?Точно так-же пробросить сокет вейленда, что-то типа /run/user/1000/wayland-1. Что weston, что vnc для этого не нужны.
>docker как бы это сказать... не очень-то "gui friendly"Не удивлюсь, если для этого есть уже полностью готовая графическая обвёртка.
>>Ну вот контейнер ты взял. Ага. Там даже firefox запустился - но это уже не точно.
> Так весь смысл современного подхода в том, чтобы можно было несколькими командами
> подтянуть контейнер, и всё заработало. А не несколько дней сношаться с
> консолью, и так и остаться ни с чем.Да не, говорю же - то-на-то и выйдет. Создать jail (Для этого даже ничего "подтягивать" не надо) установить тудой firefox через pkg add - а дальше плюс-минус аналогично
>>А как он к иксам на хостовой системе ходить будет?
> А хороший вопрос.
>>Сокет в контейнер монтировать?
> На гну/линуксе я пробрасываю сокет.
>>Я даже ХЗ, заработает ли оно.
> Да. Нужно авторизовать контейнер на хосте, либо установить ему такое же имя
> хоста, и пробросить /tmp/.X11-unix/, а так же файл XAUTHORITY.Ну вот с jail'ом - примерно так же, только не к сокету а по сети было.
>>А если "не к иксам" - то как ты к нему из wayland'а? weston в контейнер пихать? VNC-сервер?
>>docker как бы это сказать... не очень-то "gui friendly"
> Не удивлюсь, если для этого есть уже полностью готовая графическая обвёртка.Кстати, может уже и "да" - но "зойчем"? "S" in "docker" stands for "security" ). Для изоляции GUI проще\правильней чего-то вроде firejail (Или как оно там?) использовать (И да, вот это - уже сильно проще, чем FreeBSD'ить).
>Да не, говорю же - то-на-то и выйдет.Ну судя по нескольким сообщениям, тянет примерно на lxc. Далеко не самый продвинутый инструмент.
>Для изоляции GUI проще\правильней чего-то вроде firejailfirejail - кривая автомагия. Для тонкой настройки вообще не подходит.
>>Да не, говорю же - то-на-то и выйдет.
> Ну судя по нескольким сообщениям, тянет примерно на lxc. Далеко не самый
> продвинутый инструмент.Неее... даже не на lxc который современный с lxd а вот вообще - openvz )
>>Для изоляции GUI проще\правильней чего-то вроде firejail
> firejail - кривая автомагия. Для тонкой настройки вообще не подходит.Оу, е. А для "толстой" - подходит, в отличие от docker'а ).
>Оу, е. А для "толстой" - подходит, в отличие от docker'а ).Докер хотя-бы работает предсказуемо. А firejail какие-то пути почему-то скрывает, какие-то - нет. По умолчанию он оставляет доступ к i3 ipc - кто хочет, сразу же выйдет из контейнера. Очень дырявая безопасность получается.
>>Оу, е. А для "толстой" - подходит, в отличие от docker'а ).
> Докер хотя-бы работает предсказуемо. А firejail какие-то пути почему-то скрывает, какие-то
> - нет. По умолчанию он оставляет доступ к i3 ipc -
> кто хочет, сразу же выйдет из контейнера. Очень дырявая безопасность получается.Ну - да. Только ничего полезного в контексте изоляции браузера не делает, а так - да, отлично всё.
> На гну/линуксе я пробрасываю сокет.Почему не взять flatpak.
Там тоже неймспейсы, только их bwrap создает а не runc.
Конченый пользователь который только может использовать без доработки напильником, что ты забыл на опеннете?
Так его и в, скажем, солярке не было - а механизм изоляции в виде zones - таки отменным образом БЫЛ.
Вот кстати пример настройки сети https://docs.freebsd.org/en/books/handbook/jails/#creating-v...Минимальная конфигурация, а уже сколько ручных действий.
>With the bridge created, it will be necessary to attach it to the em0 interface and bring both of them up by executing the following commands:И ручные манипуляции. Для сравнения, тот же докер настраивает сеть во-первых автоматически, во-вторых делкаративно.
Аж даже стало интересно, а если мне сразу три сети для контейнеров понадобится, это ж сколько команд в консоли вбивать потребуется?
А ведь здесь я не вижу ни настройки dns, на назначения контейнерам адреса.
Короче хорошая возможность поиграть в красноглазие и плохая - поработать.
> Короче хорошая возможность поиграть в красноглазие и плохая - поработать.Оу. Ну, если "поработать" - то запуск docker'а в rootless-режиме с userspace networking - сильно более сложный квест, чем вам может показаться. А ежели вам еще и какая-то производительность нужна будет - то дорожка приведет к podman'у старше определенной версии (Где slirp4net заменили на pssst) - и там тоже "не всё так однозначно".
\to be honest\ ХЗ как там с jail'ами подобные трюки делаются - может и вообще "никак", а может и сильно проще через какой netgraph. Проверять я, конечно же, не буду ).А в дефолтах docker (Если не в WSL, там с NAT'ом костыли) и впрямь, проще ))).
> Если не в WSL, там с NAT'ом костылиИ даже с этими костылями он работает без пританцовывания, включая IPv6 (который в «обычном» WSL до сих пор не работает). Для разработки на локалхосте достаточно, в прод это ставить естественно никто не будет.
>> Если не в WSL, там с NAT'ом костыли
> И даже с этими костылями он работает без пританцовывания, включая IPv6 (который
> в «обычном» WSL до сих пор не работает). Для разработки на
> локалхосте достаточно, в прод это ставить естественно никто не будет.Ну вот как-то так, да. "Для разработки на локалхосте - достаточно", а вот за пределами - страхъ, ужасъ и скрежет зубовный (Это мы еще compose'а с его 33 несовместимыми друг с другом версиями не коснулись - или вот интеграции управления с systemd - тоже так-то бохатая тема) - IRL как-то так оказалось, что k8s с его миллионом слоев абстракций оказывается _проще_ - хотя казалось бы...
Впрочем, это уже совсем другая история.
Просто позовите того, кто умеет настраивать компьютер.
Он всё "починит" и всё будет работать.
И да, это не бесплатно.
https://cgit.freebsd.org/ports/tree/sysutils/docker
Посмотри
podman есть. он запускает docker контейнеры.
Это же начало конца и не труЪ - внедрение подходов когда и не бсд будет запущено непонятно что в непойми кем собранном контейнере. Сейчас такого не бсд не запускают.
думаешь в FreeBSD jail можно запустить что-то отличное от собранного для FreeBSD?
Ээээ... Не, ну кой-чего можно (было) и через linuxulator запустить. Да, даже в jail!
Правда про "кой-чего ПОЛЕЗНОГО" врать не буду, если и пробовал - то забыл.
Не. Рулить jail'ами "совместимым С образом" уже можно - а вот про наличие переносимого формата\(де)централизованного репозитория этих самых jail'ов\инфраструктуры этих образов создания и т.д. - разговора (пока) не было ).
> Сейчас такого не бсд не запускают.Потому ее и нет нигде.
>изолированными контейнерамиБывают неизолированные контейнеры? Если нет, то масло масляное
Во FreeBSD другая идеология работы, непривычная для любителей "тяп-ляп и в продакшен".Во FreeBSD надо сначала прочесть документацию, потом настроить, проверить работоспособность и потом "не чинить то, что работает".
Необходимость чтения документации, и часто (о ужас!) на английском языке вызывает страх и стойкое отвращение у "войти-в-айтишников".
Остается единственно правильное решение — заплатить профессионалу чтобы он настроил систему и больше самим не ничего "не чинить".
Но это ударит по благополучию выпускников 3-х месячных курсов из серии "Освой прибыльную профессию в сфере IT за 3 месяца".
Им придется идти обратно в курьеры по доставке еды.Отсюда и паника.