>Много удобнее chroot, спору нет. Но после активной работы с xen меня совершенно
>не тянет на них возвращаться.Фокус в том что взовые контейнеры по фичам могут запросто поспорить с многими виртуализаторами, а вот по легкости - как раз нечто типа jail. Что делает их достаточно уникальной штукой - можно поиметь кучу удобных плюшек не просирая в производительности и минимально проигрывая в оверхеде.
> ваш пентиум 4 прекрасно потянет.
Вопрос не в потяент - не потянет, а в оверхеде и итоговом "КПД" связки. Железка порезанная взой по свойствам мало отличается от железки без взы, что логично. А вот полновесные виртуализаторы некоторые операции изрядно тормозят в силу методов своей работы.
> это будет много более секьюрно и функционально чем система построенная на контейнерах.
А обосновать? Так, FYI, немного о секурити: я пытался долбать взовые контейнеры сплойтами для ядра - сие не работало нифига, в отличие от просто машин. Алсо, из контейнеров нельзя грузить модули ядра. Так что реально опасные руткиты - пролетают. Контейнеры можно невидимо мониторить с хоста, стопнув к такой-то фене при обнаружении незапланированной активности. При том процессы хоста вообще с контейнера не видны и хаксор понятия не будет иметь что там такое происходит, не сможет убить монитор или стереть его логи, etc. Гага, это к вопросу о безопасности. Есть дележ ресурсов и гарантии, так что атаки нацеленные на выжирон всех ресурсов - тоже пролетают, зиллионы юзверей на вдсках проверили эти механизмы во всех позах. Вообще, я что-то не припоминаю сообщений на секурити сайтах о взломе опенвзы. Как минимум за период который я оной интересуюсь. Более того - я не вижу очевидных и простых методов ее взломать зато вижу 100500 методов подсунуть хацкерам некое подобие "руткита" (невидимые ловушки и мониторы активности) заранее. А зачем бы вебсерверу скажем вызывать команду ls? Поадминистрячить его можно и с хоста, а вот если он сам вдруг вызвал такую команду - хакер, определенно, спалился :). При том - активность в рамках контейнера когда 1 контейнер на сервис - проста и предсказуема, мониторить левую активность намного проще чем в полной копии системы. Что до фич - ну, оно умеет дележ ресурсов и гарантии, снапшоты, миграцию на ходу на другой хост. Не любой полный виртуализатор то таким набором фич похвастает.