# Voyage par conteneur

## Made in Unix

### Que doit-on isoler ?

* Matériel ?
* Processus ?
* Réseau ?
* Système de fichiers ?
* Utilisateurs et groupes ?
* Nom et domaine de la machine !
* IPC !
* Horloge ?


## Made in Linux


### Pour cette mission, vous disposerez de ...

TODO screen drôle de Spy 2015

----

. . .

#### Namespaces

Isolation des processus (PID Namespace), interface réseau (Network
Namespace), partitions montées (Mount Namespace), utilisateurs et
groupes (User Namespace), nom de machine (UTS Namespace), IPC.

#### CGroups

Statistiques sur l'utilisation des ressources et limitation.

http://kernel.org/doc/FIXME/cgroups.txt

#### Capabilities

Limitation de ce que `root` peut faire.


## pour les nuls

### Mais Jamie, comment ça marche ?

TODO screen C'est pas sorcier

----

#### Système de fichiers

Sous-arbre de la racine

* Union FileSystems
* Thin provisioning

#### Processus

Premier processus contenu = PID 1.


### Le réseau ...

TODO Câbles mélangés

----

#### Interface physique

Facile ! Mais il en faut beaucoup.

#### MAC-VLAN

* **VEPA :** tous les paquets sortants sortent, y compris ceux à destination
  d'une autre machine locale. Le switch derrière doit rerouter les paquets vers
  la machine.
* **Bridge :** le noyau analyse les paquets avant de les transmettre.

#### Virtual Ethernet

Interfaces virtuelles connectées à un bridge.


## En résumé

### Mais ! (il y a toujours un mais)

. . .

#### LXC stable

Prêt pour la production depuis le XX 2014.

Attention à la configuration et aux erreur de capabilities !

. . .

#### Partage des systèmes de fichiers

Optimise l'utilisation du cache :-)

. . .

N'optimise pas le travail de l'administrateur système :-(