Что выбрать, LXC или OpenVZ?

Question

[Алексей Ксензов]

Собственно суть вопроса., думаю ясна. Без всяких холливаров...
Почитал в интернете, каких то свежих сравнений нет, от 2011 года, 2014... А ведь разработка не стоит на месте, ни там, ни там.
Сейчас у меня XEN, и я хотел бы уйти на контейнеры, т.к. XEN, это виртуализация, и как результат, большее потребление ресурсов.

LXC - контейнеры работающие на апстрим ядре, без патчей и т.д. Вроде все работает, но не продакшн реди (или это уже не так?)
OpenVZ - на патченом ядре от RHEL6 (CentOS6, Scientific Linux6). На сколько я понимаю, для RHEL7 (CentOS7, Scientific Linux7) в качестве хост системы, OpenVZ еще не запилили. Но это не беда, т.к. версии пакетов и ядра хоть и старые, но всякие исправления бекпортируют. А в качестве "гостевых" систем, можно ставить современные версии дистрибутивов (Debian 8, CentOS 7 etc.). Плюс, если я все правильно помню, то в OpenVZ есть некие свои "круты фишки", которых нет в LXC.

Мне по сути нужно не много. контейнеры под сайты, какие то скрипты и т.д. Контора у нас не большая, поэтому не думаю, что контейнеров будет много.

Может есть у кого то опыт работы с обоими системами? Что же выбрать для "настроил и забыл", а потом только обновляй систему, добавляй или удаляй контейнеры и т.д.?

Answer 1

[Влад Животнев]

Тут только один критерий выбора - если в контейнеры будут иметь доступы люди, которым потенциально хочется навредить всем контейнерам разом (особенно, рутовый доступ) - то openvz.

Если "все свои" - то lxc.

Comments

[Алексей Ксензов]

В табличке, о которой написано выше:
Secure for using in public networks: OpenVZ - Yes, LXC - No
Т.е. LXC на "поиграться"?

[Влад Животнев]

Алексе Ксензов: у LXC недостаточная степень изоляции от основной системы.
При чём тут "public networks" - непонятно, linux он и в африке linux.

[Алексей Ксензов]

Влад Животнев: Ну на сколько я понял, под "public networks" понимается Интернет...

[Влад Животнев]

Алексе Ксензов: я понял, что под этим подразумевается. Я не понял, в чём отличие в жизни lxc-контейнера от обычной машины в сети.
Проблемы начинаются тогда, когда доступ в контейнер есть.

[Сергей Бронников]

Влад Животнев: притом что в LXC есть проблемы с безопасностью и если хотите использовать в публичных сетях, то будьте готовы к взломам ваших серверов.

[Влад Животнев]

Сергей: с точки зрения внешнего взлома LXC никаких новых проблем с безопасностью не добавляет.
Вот от локального пользователя там есть интересные векторы атаки.

[Алексей Ксензов]

Собственно, из всего выше сказанного, я так понимаю ждать OpenVZ 7, и использовать его.

Answer 2

[Сергей Бронников]

Таблица сравнения LXC vs OpenVZ {6,7}

> На сколько я понимаю, для RHEL7 (CentOS7, Scientific Linux7) в качестве хост системы, OpenVZ еще не запилили.

Финальный релиз будет анонсирован в ближайшее время, как раз собирали вопросы относительно релиза

Comments

[Алексей Ксензов]

Спасибо, не видел таблицу, хотя эту вики проглядывал. Видать не туда смотрел.
Судя по таблице, особо различий для меня нет.

Answer 3

[Sanes]

Если требуется жестко подрезать лимиты, то однозначно OpenVZ, в некоторых случаях может сгодиться LXD.

Answer 4

[Vadim Priluzkiy]

Возьмём открытые системы развёртывания и облачного управления виртуализацией/контейнеризацией (кроме Docker/Kubernetes) присутсвующие на рынке:
Proxmox VE -- LXC (Раньше был OpenVZ -- выпилили)
OpenNebula -- LXD
OpenStack -- Внезапно тоже нет OpenVZ
Но вам решать, в конце концов кто вам мешает взять тестовый стенд и погонять в песочнице и то и другое?