Socket mezi dvema jaily

Dan Lukes dan at obluda.cz
Wed Sep 30 08:54:25 CEST 2009

Previous message: Socket mezi dvema jaily
Next message: Socket mezi dvema jaily
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Robert Kania napsal/wrote, On 09/29/09 23:01:
> z meho pohledu se tim dost rozmazava rozdil jail/chroot

Z meho pohledu jail nikdy neprestal byt "work in progress" a stale jeste 
preferuju "postavte tam druhy pocitac" jako reseni prvni volby. 
Pripoustim, ze v pripade nekoho kdo poskytuje hosting je skutecne treba 
sahnout po nejake forme souziti na jednom pocitaci, ale to je vyjimka z 
naznaceneho pravidla.

> A ja na zaklade podkladu, ktere mam k dispozici 
> (handbook, man, konference) nejsem schopen rozhodnout jestli je to chyba 
> (ohlasit ji a naucit se s ni zatim zit) nebo vlastnost (a naucit se s ni 
> zit).

Spolecny jmenovatel je "naucit se s tim zit" - tak tim muzes zacit ;-)

Nicmene, tady ti zadne podklady nepomohou. Ani aktualni zdrojove kody 
ne. Musel bys nekde najit specifikaci toho, k cemu "jail" celkove 
smeruje. Nejlepe napsanou od toho, kdo ma podstatny vliv na zdrojovy kod 
teto feature.

Nic takoveho, pokud vim, neexistuje, takze je treba vychazet z 
"ramcoveho prohlaseni" a odhadovat, kam by to tak asi mohlo kracet. Ja 
bych se trochu bal postavit svoje reseni na vlastnosti, u ktere je dost 
nejasne, zda nahodou neni chybou a nebude odstranena.

A navic, jak uz tu padlo - chces-li mit moznost virtualni stroje volne 
stehovat ze stroje na stroj, jen tezko muzes procesy mezi nimi nechat 
komunikovat pomoci IPC.

> Pouze v aktualni situaci jsem narazil
> na vykonove omezeni, ktere by _mozna_ slo vyresit "pouze" tim, ze by
> aplikace (jail a) nekomunikovala s databazi (jail b) pres TCP (jako je
> tomu dosud) ale pres IPC. 

Neznam detaily, takze k tomu je obtizne neco rict. Ale predbezne bych se 
priklanel k nazoru, ze rozdil v komunikaci pres IPC a TCP (v ramci tehoz 
stroje) by nemel byt zasadni a takto tedy problem spis nevyresis.

> Moje dalsi duvody pouziti jailu misto chrootu je vyhled na moznost 
> nastavovani limitu cpu / pouzivane pameti - tj. dalsi krok k tomu, aby 
> se toto pouziti dalo opravdu nazyvat virtualizaci.

Jail je a stale bude user-level virtualizaci. Vzhledem k stale se 
zvetsujici penetraci hardware, ktery v sobe ma hardwarovou podporu bych 
ocekaval odklon od jailu a nejakou formu podpory tohoto typu 
virtualizace. Tim nerikam, ze jaily zcela zmizi - jen, ze se zpomali 
vyvoj, pripadne se zmeni cil, ktereho maji jaily dosahovat.

To je ovsem vesteni z kristalove koule.

						Dan

Previous message: Socket mezi dvema jaily
Next message: Socket mezi dvema jaily
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list