Проект Open Container Initiative (OCI) опубликовал версию спецификации OCI Runtime 1.3. Спецификация определяет поведение и конфигурационный интерфейс для запуска и управления изолированными контейнерами, унифицирующий взаимодействие с низкоуровневыми runtime-компонентами, такими как runc, crun, youki, gVisor и Kata Containers. OCI Runtime обеспечивает взаимозаменяемость подобных компонентов в высокоуровневых инструментариях, таких как containerd и CRI-O...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64185
А вот это по нашему. FreeBSD все больше становиться предпочтительным для исхода с дряхлеющего (pжaвеющeгo) линукса.
Конечно, фряха всегда была для putty.exe, но не всё ли равно в таком случае?
>А вот это по нашемуДа, по ретроградски
Ться-тся, технарёк.
Спартак - чемпион!
Так зовут быка?
Мейк фрибызды грейт эген!
Можно еще и на импортозамещении заработать - методом Дениски Попова переименовав jails в какую-нибудь КПЗ по аналогии с "боцманом"(ТМ) или там "штурвалом"(ТМ). Хотя оне старое и по нонешним меркам излишне\избыточно сложное - автозамена по проекту может и не помочь...
Тонкий намёк на ULBSD? Вливайтесь на форум,вики это самое вкусное что там есть. Будете вдвоём пилить этот дистр.
Изоляция в BSD есть с незапамятных времён (и механизм модулей куда более адекватный, а не для галочки), вся новость про признание какой-то левой организацией FreeBSD как достойной.
Именно признание это "левой" организацией и позволит прожить FreeBSD ещё некоторое время, в наш век облаков и контейнерной виртуализации.
У нас ещё век локалхоста и трёх серверов на ослиной тяге администрирования не прошел. Ну и вообще наш век идёт в обратную сторону, скоро "апдейтнимся" до альтлинукса или чего похуже добровольно, но принудительно.
Так что фряха для нас ещё ого-го!
Ваш век облаков погаснет, как тока придет мой знакомый электрик Вася и вырубит вам рубильник. У одних наших соседей этот век уже потихоньку заканчивается.
Поэтому Васян, и управляет вращением планет.
Так пусть заплатят долги по коммуналке.
Что помешает соседям врубить рубильник обратно? Нужно образование электрика что бы рубильники дёргать что ли?
Это еще на помощь не позвали Коляна - экскаваторщика, он с удовольствием кабели срежет. А еще есть Серега - электромонтер, тот за поллитруху на кроссе может покопаться.
> одних наших соседей этот век уже потихоньку заканчивается.Угу, тактика прям как у фрицев.
Правда оказалось что в эту игру можно играть вдвоем, и теперь уже в некоторых наших областях как-то потемнело.
При этом соседи в выиграшной ситуации - у них есть рядом те, кто им в случае чего минимум света продаст. В отличии от нас.
И морозы у них не такие суровые.
>Изоляция в BSD есть с незапамятных времён (и механизм модулей куда более адекватный, а не для галочки)Да? А где докер для BSD? Как нет? Да не может быть.
А нахера в FreeBSD ваш ненужный докер?
Там уже есть контейнер, который конченый пользователь может использовать без доработки напильником? Вот хочу я, например, firefox в контейнер поместить и память ограничить. Сколько действий мне потребуется, чтобы это дело нормально заработало?
> Там уже есть контейнер, который конченый пользователь может использовать без доработки
> напильником? Вот хочу я, например, firefox в контейнер поместить и память
> ограничить. Сколько действий мне потребуется, чтобы это дело нормально заработало?Насколько помню, ограничение ресурсов прекрасно работает и без контейнеров. Догадываюсь, что не все это знают, так-как считают, что RTFM это для дидов из эпохи динозавров. Ну и на создание очередной клетки уходит времени меньше, чем для создания контейнера lxc, ибо туда система не скачивается, за ненужностью, тем более есть инструменты для управления клетками в портах. Ну и запихивание Фаерфокса в клетку наверно занимает столько же времени, если ставить из пакета.
>Насколько помню, ограничение ресурсов прекрасно работает и без контейнеров.Я не спрашиваю как это сделать без контейнеров. Добавим для полноты картины, что хотим по особому настроить в этом контейнере сеть.
>Ну и запихивание Фаерфокса в клетку наверно занимает столько же времени, если ставить из пакета.Ну и как это выглядит? Сколько команд и конфигов в консоли нужно набирать?
> Ну и как это выглядит? Сколько команд и конфигов в консоли нужно
> набирать?RTFM
ну то есть сам ты не знаешь
Над тобой похоже стебутся. Эта штука для поиска доков.
Лет наверное с 15 назад, когда я был молодой-глюпый - делал запуск браузера в клетке.
Основной фокус был с пробросом иксов (Для чего jail почти-совсем-но-еще-не) - и да, оно даже без ssh делалось, но какая-то залепуха с аутентификацией, помнится, была.А вот с новым-модным и docker'ом - я даже не знаю... VNC клиент в контейнер пихать каким-нибудь образом?
Э, вот ты не поверишь - примерно столько же, сколько и с linux'ом - ну, если ты им пользоваться планируешь, конечно а не вот "запускать"
Столько - это сколько? Если брать через условный докер, то достаточно репозиторий склонировать и выполнить одну команду, она запустит уже готовый браузер. Если брать условный nix - то там нужно в конфиг несколько строчек добавить, одной командой пересобрать и второй запустить.
> Столько - это сколько? Если брать через условный докер, то достаточно репозиторий
> склонировать и выполнить одну команду, она запустит уже готовый браузер. Если
> брать условный nix - то там нужно в конфиг несколько строчек
> добавить, одной командой пересобрать и второй запустить.Ну вот контейнер ты взял. Ага. Там даже firefox запустился - но это уже не точно. А как он к иксам на хостовой системе ходить будет? Сокет в контейнер монтировать? Я даже ХЗ, заработает ли оно. А если "не к иксам" - то как ты к нему из wayland'а? weston в контейнер пихать? VNC-сервер?
docker как бы это сказать... не очень-то "gui friendly"
>Ну вот контейнер ты взял. Ага. Там даже firefox запустился - но это уже не точно.Так весь смысл современного подхода в том, чтобы можно было несколькими командами подтянуть контейнер, и всё заработало. А не несколько дней сношаться с консолью, и так и остаться ни с чем.
>А как он к иксам на хостовой системе ходить будет?А хороший вопрос.
>Сокет в контейнер монтировать?На гну/линуксе я пробрасываю сокет.
>Я даже ХЗ, заработает ли оно.Да. Нужно авторизовать контейнер на хосте, либо установить ему такое же имя хоста, и пробросить /tmp/.X11-unix/, а так же файл XAUTHORITY.
>А если "не к иксам" - то как ты к нему из wayland'а? weston в контейнер пихать? VNC-сервер?Точно так-же пробросить сокет вейленда, что-то типа /run/user/1000/wayland-1. Что weston, что vnc для этого не нужны.
>docker как бы это сказать... не очень-то "gui friendly"Не удивлюсь, если для этого есть уже полностью готовая графическая обвёртка.
>>Ну вот контейнер ты взял. Ага. Там даже firefox запустился - но это уже не точно.
> Так весь смысл современного подхода в том, чтобы можно было несколькими командами
> подтянуть контейнер, и всё заработало. А не несколько дней сношаться с
> консолью, и так и остаться ни с чем.Да не, говорю же - то-на-то и выйдет. Создать jail (Для этого даже ничего "подтягивать" не надо) установить тудой firefox через pkg add - а дальше плюс-минус аналогично
>>А как он к иксам на хостовой системе ходить будет?
> А хороший вопрос.
>>Сокет в контейнер монтировать?
> На гну/линуксе я пробрасываю сокет.
>>Я даже ХЗ, заработает ли оно.
> Да. Нужно авторизовать контейнер на хосте, либо установить ему такое же имя
> хоста, и пробросить /tmp/.X11-unix/, а так же файл XAUTHORITY.Ну вот с jail'ом - примерно так же, только не к сокету а по сети было.
>>А если "не к иксам" - то как ты к нему из wayland'а? weston в контейнер пихать? VNC-сервер?
>>docker как бы это сказать... не очень-то "gui friendly"
> Не удивлюсь, если для этого есть уже полностью готовая графическая обвёртка.Кстати, может уже и "да" - но "зойчем"? "S" in "docker" stands for "security" ). Для изоляции GUI проще\правильней чего-то вроде firejail (Или как оно там?) использовать (И да, вот это - уже сильно проще, чем FreeBSD'ить).
>Да не, говорю же - то-на-то и выйдет.Ну судя по нескольким сообщениям, тянет примерно на lxc. Далеко не самый продвинутый инструмент.
>Для изоляции GUI проще\правильней чего-то вроде firejailfirejail - кривая автомагия. Для тонкой настройки вообще не подходит.
Так его и в, скажем, солярке не было - а механизм изоляции в виде zones - таки отменным образом БЫЛ.
Вот кстати пример настройки сети https://docs.freebsd.org/en/books/handbook/jails/#creating-v...Минимальная конфигурация, а уже сколько ручных действий.
>With the bridge created, it will be necessary to attach it to the em0 interface and bring both of them up by executing the following commands:И ручные манипуляции. Для сравнения, тот же докер настраивает сеть во-первых автоматически, во-вторых делкаративно.
Аж даже стало интересно, а если мне сразу три сети для контейнеров понадобится, это ж сколько команд в консоли вбивать потребуется?
А ведь здесь я не вижу ни настройки dns, на назначения контейнерам адреса.
Короче хорошая возможность поиграть в красноглазие и плохая - поработать.
> Короче хорошая возможность поиграть в красноглазие и плохая - поработать.Оу. Ну, если "поработать" - то запуск docker'а в rootless-режиме с userspace networking - сильно более сложный квест, чем вам может показаться. А ежели вам еще и какая-то производительность нужна будет - то дорожка приведет к podman'у старше определенной версии (Где slirp4net заменили на pssst) - и там тоже "не всё так однозначно".
\to be honest\ ХЗ как там с jail'ами подобные трюки делаются - может и вообще "никак", а может и сильно проще через какой netgraph. Проверять я, конечно же, не буду ).А в дефолтах docker (Если не в WSL, там с NAT'ом костыли) и впрямь, проще ))).
https://cgit.freebsd.org/ports/tree/sysutils/docker
Посмотри
Это же начало конца и не труЪ - внедрение подходов когда и не бсд будет запущено непонятно что в непойми кем собранном контейнере. Сейчас такого не бсд не запускают.
думаешь в FreeBSD jail можно запустить что-то отличное от собранного для FreeBSD?
Ээээ... Не, ну кой-чего можно (было) и через linuxulator запустить. Да, даже в jail!
Правда про "кой-чего ПОЛЕЗНОГО" врать не буду, если и пробовал - то забыл.
Не. Рулить jail'ами "совместимым С образом" уже можно - а вот про наличие переносимого формата\(де)централизованного репозитория этих самых jail'ов\инфраструктуры этих образов создания и т.д. - разговора (пока) не было ).
> Сейчас такого не бсд не запускают.Потому ее и нет нигде.