Компания Amazon объявила о реализации поддержки платформы Linux в инструментарии Finch, ранее доступном только для платформ Windows и macOS, и изначально развивавшемся для упрощения работы с Linux-контейнерами на хост-системах не на основе ядра Linux. Finch позволяет собирать, публиковать и запускать Linux-контейнеры в формате OCI (Open Container Initiative). Код Finch написан на языке Go и распространяется под лицензией Apache 2.0...Подробнее: https://www.opennet.me/opennews/art.shtml?num=62055
чем это лучше к8с?
чем apt лучше dpkg?
А как мне собрать microVM для безопасного запуска софта? Хотелось бы, чтобы префикснул команду шелла другой командой, загрузилась бы виртуалка, нужные файлы бы скопировались в образ FS, образ - примонтировался к виртуалке как ro, в виртуалке - overlayfs, запись - в другой образ. Программа обработала файлы, сконвертировала их в безопасные форматы, безопасные форматы записались в другой образ. Содержимое этого образа после работы виртуалки - извлеклось на хост-систему в нужные папки.Есть решения для этого?
В большинстве случаев для купирования бреда безопасности пациенту хватает firejail
Звучит как задача для примитивного баш скрипта и qemu.
поздравляю, вы изобрели систему разделения привилегий флатпака
Используй serverless контейнеры. Там будет только то, что нужно приложению. Еще не испозуй рут и так далее внутри.
В серверлес контейнере так же все рид онли, кроме рабочей папки
LXD virtual machines: an overview
амазон ещё сделал firecracker vm: есть даже firecracker-containerd, который делает именно это, но очень сырой продукт, тяжело заставить работать. но стартует за пару соток миллисекунд.
> в Finch применяется отдельная прослойка Lima, позволяющая использовать технологии виртуализации VF (Virtualization Framework) в macOS и WSL2 в Windows для реализации используемых в Linux примитивов изоляции. В версии Finch для Linux вместо Lima осуществляется прямое обращение к штатным возможностям ядра, таким как пространства имён и cgroup.Кхм, не проще было сразу добавить поддержку linux, так как это намного проще и не нужно строить эти велосипеды?
Очередной контейнер с контейнерами
Автор забыл дать ссылку на прошлогоднюю новость про Finch 1.0:
https://www.opennet.me/opennews/art.shtml?num=60034
>ранее доступном только для платформ Windows и macOSWindows и macOS - лучшие друзья DevOps!
Слишком мало прослоек, нужно больше!
И плевать, что название занято jabber клиентом. Назвали бы тогда top, тоже хорошее название.
Он вообже клиент чего угодно, и matrix, и steam, и skype до бана. Удобно держать на сервере, особенно когда других консольных клиентов тупо нет. И плагины тоже на чём хочешь.Но вот управление TUI и набор фич к TUI там откровенно сырые, потому люди и пользуют вместо него какой-нибудь profanity для джаббера.