108 lines
1.7 KiB
Markdown
108 lines
1.7 KiB
Markdown
|
# Voyage par conteneur
|
||
|
|
||
|
## Made in Unix
|
||
|
|
||
|
### Que doit-on isoler ?
|
||
|
|
||
|
* Matériel ?
|
||
|
* Processus ?
|
||
|
* Réseau ?
|
||
|
* Système de fichiers ?
|
||
|
* Utilisateurs et groupes ?
|
||
|
* Nom et domaine de la machine !
|
||
|
* IPC !
|
||
|
* Horloge ?
|
||
|
|
||
|
|
||
|
## Made in Linux
|
||
|
|
||
|
|
||
|
### Pour cette mission, vous disposerez de ...
|
||
|
|
||
|
TODO screen drôle de Spy 2015
|
||
|
|
||
|
----
|
||
|
|
||
|
. . .
|
||
|
|
||
|
#### Namespaces
|
||
|
|
||
|
Isolation des processus (PID Namespace), interface réseau (Network
|
||
|
Namespace), partitions montées (Mount Namespace), utilisateurs et
|
||
|
groupes (User Namespace), nom de machine (UTS Namespace), IPC.
|
||
|
|
||
|
#### CGroups
|
||
|
|
||
|
Statistiques sur l'utilisation des ressources et limitation.
|
||
|
|
||
|
http://kernel.org/doc/FIXME/cgroups.txt
|
||
|
|
||
|
#### Capabilities
|
||
|
|
||
|
Limitation de ce que `root` peut faire.
|
||
|
|
||
|
|
||
|
## pour les nuls
|
||
|
|
||
|
### Mais Jamie, comment ça marche ?
|
||
|
|
||
|
TODO screen C'est pas sorcier
|
||
|
|
||
|
----
|
||
|
|
||
|
#### Système de fichiers
|
||
|
|
||
|
Sous-arbre de la racine
|
||
|
|
||
|
* Union FileSystems
|
||
|
* Thin provisioning
|
||
|
|
||
|
#### Processus
|
||
|
|
||
|
Premier processus contenu = PID 1.
|
||
|
|
||
|
|
||
|
### Le réseau ...
|
||
|
|
||
|
TODO Câbles mélangés
|
||
|
|
||
|
----
|
||
|
|
||
|
#### Interface physique
|
||
|
|
||
|
Facile ! Mais il en faut beaucoup.
|
||
|
|
||
|
#### MAC-VLAN
|
||
|
|
||
|
* **VEPA :** tous les paquets sortants sortent, y compris ceux à destination
|
||
|
d'une autre machine locale. Le switch derrière doit rerouter les paquets vers
|
||
|
la machine.
|
||
|
* **Bridge :** le noyau analyse les paquets avant de les transmettre.
|
||
|
|
||
|
#### Virtual Ethernet
|
||
|
|
||
|
Interfaces virtuelles connectées à un bridge.
|
||
|
|
||
|
|
||
|
## En résumé
|
||
|
|
||
|
### Mais ! (il y a toujours un mais)
|
||
|
|
||
|
. . .
|
||
|
|
||
|
#### LXC stable
|
||
|
|
||
|
Prêt pour la production depuis le XX 2014.
|
||
|
|
||
|
Attention à la configuration et aux erreur de capabilities !
|
||
|
|
||
|
. . .
|
||
|
|
||
|
#### Partage des systèmes de fichiers
|
||
|
|
||
|
Optimise l'utilisation du cache :-)
|
||
|
|
||
|
. . .
|
||
|
|
||
|
N'optimise pas le travail de l'administrateur système :-(
|