FreeBSD jail

容器系統

FreeBSD jail,一种作业系统层虚拟化技术,在FreeBSD作业系统中运作。利用这个技术,FreeBSD的系统管理者,可以创造出几个小型的软体系统,这些软体系统被称为监狱(jails)。

这个技术被Poul-Henning Kamp英语Poul-Henning Kamp采纳,加入FreeBSD系统中。2000年,伴随FreeBSD 4.0版的发布,正式对外公开。系统管理者可以使用jail(8)页面存档备份,存于互联网档案馆)这个命令来调用这个服务。

目标

这个技术的目标是:

  1. 虚拟化:每个软体监狱(jail)都是在主机机器上执行的一个虚拟环境,有它自己的档案系统,行程,使用者与超级使用者的帐户。在软体监狱内运行的行程,它面对的环境,跟实际的作业系统环境几乎是一样的。
  2. 安全性:每个软体监狱都是独立运作,与其他软体监狱隔离,因此能够提供额外的安全层级。
  3. 容易删除及创建:因为每个软体监狱的运作范围有限,这使得系统管理者可以在不影响整体系统的前提下,以超级使用者的权限,来删除在软体监狱下运作的行程。

这个技术是基于类Unix系统下的chroot机制,进一步发展而来。chroot jail限制行程只能存取某个部份的档案系统,但是FreeBSD jail机制限制了在软体监狱中运作的行程,不能够影响作业系统的其他部份。也就是说,在软体监狱中的行程,是运作在一个沙盒上。

外部链接