Chroot es el entorno de peso más ligero que podría adaptarse a usted. Le permite instalar otra distribución (u otra instalación de la misma distribución), con los mismos usuarios, con la misma configuración de red, etc. Chroot solo proporciona un aislamiento básico a nivel del sistema de archivos. Explorar este sitio para chroot podría ayudar, si aún no está seguro de lo que chroot puede y no puede hacer.
Si está buscando el siguiente paso, LXC ahora está incluido en la línea principal del kernel. Un invitado LXC (llamado contenedor) tiene su propio sistema de archivos, proceso y espacio de red. La raíz en el contenedor también es raíz en el host; LXC protege contra muchas acciones accidentales por parte de una raíz invitada, pero no contra una raíz invitada maliciosa (esta es una función planificada, observe este espacio).
Otras tecnologías que son algo similares a LXC son VServer y OpenVZ. Una función importante que proporciona OpenVZ, pero no VServer o LXC, son los puntos de control:puede tomar una instantánea de una máquina en funcionamiento y restaurarla más tarde. Otro candidato más es Linux en modo de usuario, que ejecuta un sistema Linux completo dentro de un proceso que se ejecuta como un usuario normal en el host.
A los efectos de experimentar con otra instalación del sistema operativo, chroot está bien. Si desea ejecutar servicios en la instalación experimental o jugar con la red, elija LXC. Si desea instantáneas, use OpenVZ. Si desea un kernel completamente separado pero con poca sobrecarga de memoria, use User-mode Linux. Si desea instantáneas y un kernel separado, use VirtualBox.
Docker hace que LXC sea más fácil de usar:
Características notables
Aislamiento del sistema de archivos :cada contenedor de procesos se ejecuta en un sistema de archivos raíz completamente independiente.
Aislamiento de recursos :los recursos del sistema, como la CPU y la memoria, se pueden asignar de manera diferente a cada contenedor de procesos, utilizando cgroups.
Aislamiento de red :cada contenedor de procesos se ejecuta en su propio espacio de nombres de red, con una interfaz virtual y una dirección IP propias.
Copia en escritura :los sistemas de archivos raíz se crean mediante copia en escritura, lo que hace que la implementación sea extremadamente rápida, con poca memoria y disco.
Registro :los flujos estándar (stdout/stderr/stdin) de cada contenedor de proceso se recopilan y registran para su recuperación en tiempo real o por lotes.
Gestión de cambios :los cambios en el sistema de archivos de un contenedor se pueden enviar a una nueva imagen y reutilizar para crear más contenedores. No se requieren plantillas ni configuración manual.
Concha interactiva :docker puede asignar un pseudo-tty y adjuntarlo a la entrada estándar de cualquier contenedor, por ejemplo, para ejecutar un shell interactivo desechable.
Bajo el capó
Bajo el capó, Docker se basa en los siguientes componentes:
-
Las capacidades de cgroup y espacio de nombres del kernel de Linux
-
AUFS, un potente sistema de archivos de unión con capacidades de copia en escritura
-
El lenguaje de programación Go
-
lxc, un conjunto de scripts convenientes para simplificar la creación de contenedores de Linux.
Mire OpenVZ o Linux Containers, los cuales implementan un entorno pseudovirtualizado liviano con áreas de usuario únicas en un kernel común.
OpenVZ es más maduro en esta etapa.