Seminarium: Systemy Rozproszone
18 grudnia 2014, godzina 12:15, sala 4070
Maciej Matraszek

Metody izolacji w Linuksie

Niezależnie od tego, czy buszujemy po Internecie czy jesteśmy dostarczycielami rozwiązań typu IaaS w chmurze, mamy do czynienia z uruchamianiem niezaufanego kodu na swoim sprzęcie. Nie możemy przecież pozwolić, by taki kod coś zepsuł – potrzebujemy ograniczyć jego możliwości. Ale jak dać klientom pełną kontrolę nad systemem operacyjnym, a jednocześnie limitować i efektywnie wykorzystywać zasoby?

Zapraszam,
Maciej Matraszek

Wykorzystane prezentacje:

• Użyta prezentacja o KVM: Senthil, Puru, Prateek and Shashank Virtualization in Linux KVM + QEMU
• Użyta prezentacja o kontenerach (2013): Jérôme Petazzoni Lightweight Virtualization: LXC containers & AUFS

Bibliografia:

• Akademicki opis Linux-VServer (2007): Stephen Soltesz, Herbert Pötzl, Marc E. Fiuczynski, Marc E. Fiuczynski, Larry Peterson Container-based Operating System Virtualization: A Scalable, High-performance Alternative to Hypervisors
• Aktualne benchmarki (2014): Wes Felter, Alexandre Ferreira, Ram Rajamony, Juan Rubio An Updated Performance Comparison of Virtual Machines and Linux Containers
• Wprowadzenie do kontenerów (2014): Peter Ondrejka, Douglas Silas, Martin Prpič, Rüdiger Landmann Red Hat Enterprise Linux 7 Resource Management and Linux Containers Guide (głównie Ch. 5)
• Dokumentacja cgroups
• Opis implementacji virtio (interfejsu host-guest w KVM): Rusty Russell virtio: Towards a De-Facto Standard For Virtual I/O Devices
• Linux and Chrome OS Sandboxing
• Opis użycia seccomp-bpf
• Opis składowych LXC (2014): Stéphane Graber LXC 1.0: Security features
• Opis przestrzeni nazw: Jérôme Petazzoni PaaS under the hood, episode 1: kernel namespaces
• O bezpieczeństwie kontenerów (2013): Jérôme Petazzoni Containers & Docker: how secure are they?
• Prezentacja szczegółowo opisująca różne aspekty kotenerów (2014) Rami Rosen Linux Containers and the Future Cloud