Доступен релиз инструментария для организации работы изолированных контейнеров LXC 2.0, который отнесён в выпускам с длительной поддержкой, обновления для которых формируются в течение 5 лет. Одновременно подготовлен релиз виртуальной ФС LXCFS, предназначенной для симуляции /proc и /sys/fs/cgroup в контейнерах. Готовые пакеты c LXC подготовлены для Ubuntu Linux. В состав инструментария LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux. Для изоляции процессов, сетевого стека ipc, uts и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities. Ключевые изменения ... Читать дальше »