在阅读有关systemd-nspawn,it is mentioned时,它不应该在生产环境中使用.原因似乎是缺乏管理和部署基础设施.实用性是唯一的原因,还是存在潜在的安全/功能原因?
解决方法:
您的来源描述了系统开发人员Lennart Poettering的演示. Lennart是Red Hat的员工. Red Hat Enterprise Linux和Fedora Linux社区发行版都使用SELinux.
systemd-nspawn和SELinux之间的集成似乎被打破了,例如另外,如果您尝试从Fedora Linux上的专用网络命名空间中启动的容器访问网络(使用systemd-nspawn @ .service时的默认设置),则为blocked by firewalld.
我的结论是,不支持systemd-nspawn将容器作为服务器运行.它可能恰好在非Red Hat系统上运行,但您不会受益于任何基于LSM的保护.除非你能自己解决问题.
请注意,其他众所周知的容器管理器包括基于LSM的保护.特别是Docker,但LXC还为AppArmor提供了一些策略.
生产就绪意味着人们正在审计,记录甚至营销如何安全地使用systemd-nspawn.我认为系统开发人员诚实地承认他们并没有真正这样做,至少目前是这样.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
