>Ксен - это паравиртуализация, и оверхед получается не сильно заметный. Не правда, внизу пояснено, почему. Кстати, KVM и ESX обладают вполне сравнимой (и часто большей) производительностью, при том, что не позиционируют себя как паравиртуализаторы, неожиданно?
>>> это будет много более секьюрно и функционально чем система построенная на контейнерах.
>>
>>А обосновать? Так, FYI, немного о секурити: я пытался долбать взовые контейнеры
>>сплойтами для ядра - сие не работало нифига, в отличие от
>>просто машин. Алсо, из контейнеров нельзя грузить модули ядра.
>
>Что тоже полный фейл кстати )
Ваш?
>>ресурсов и гарантии, так что атаки нацеленные на выжирон всех ресурсов
>>- тоже пролетают, зиллионы юзверей на вдсках проверили эти механизмы во
>>всех позах. Вообще, я что-то не припоминаю сообщений на секурити сайтах
>>о взломе опенвзы.
>
>Да не надо ломать собственно vz, скорее устройства и ioctl вызовы native
>ядра.
Что за глупость? Предлагаю почитать man vzctl
>>взломать зато вижу 100500 методов подсунуть хацкерам некое подобие "руткита" (невидимые
>>ловушки и мониторы активности) заранее. А зачем бы вебсерверу скажем вызывать
>>команду ls? Поадминистрячить его можно и с хоста, а вот если
>>он сам вдруг вызвал такую команду - хакер, определенно, спалился :).
>
>Какой ls из сервера, вы о чем? Если уж хотите безопасность -
>тот же php-fpm умеет chroot`ить себя после запуска.
>>дележ ресурсов и гарантии, снапшоты, миграцию на ходу на другой хост.
>>Не любой полный виртуализатор то таким набором фич похвастает.
chroot это не синоним безопасности(как, например, SELinux) и chroot, как и контейнеры, можно использовать внутри виртуалки, только вот тот же LXC даст гораздо больше плюшек, чем глупый и примитивный chroot, точно так же не запуская лишних бинарей (даже запуская их меньше, чем chroot)
>Дележ ресурсов в ксене сделан много более позитивно. С безопасностью - в
>случае, например, уязвимости одного из системных вызовов, которые непосредственно обрабатываются хостом
Это кто Вам такое рассказал :)?
>- ваш эксплоит получит доступ в адресное пространство хоста. В случае
>ксена или квм-а это будет только гость.
В Xen и ESX находили уязвимости. Что касается эсплойтов на OVZ, я предлагаю Вам написать его, или это просто ничего не значащие слова.
>того - и в случае потенциального взлома хоста добраться до содержимого
>контейнера или процессов запущенных в нем будет намного проще. Кстати, мне
>прекрасно удавалось трапать ядро хоста (!) из контейнера когда я игрался
>с бриджами внутри оных. Такие дела.
Номер бага, пожалуйста, или не было.