FreeBSD jail

容器系統

FreeBSD jail,一种操作系统层虚拟化技术,在FreeBSD操作系统中运作。利用这个技术,FreeBSD的系统管理者,可以创造出几个小型的软件系统,这些软件系统被称为监狱(jails)。

这个技术被Poul-Henning Kamp英语Poul-Henning Kamp采纳,加入FreeBSD系统中。2000年,伴随FreeBSD 4.0版的发布,正式对外公开。系统管理者可以使用jail(8)页面存档备份,存于互联网档案馆)这个命令来调用这个服务。

目标

这个技术的目标是:

  1. 虚拟化:每个软件监狱(jail)都是在主机机器上执行的一个虚拟环境,有它自己的文件系统,行程,用户与超级用户的账户。在软件监狱内运行的行程,它面对的环境,跟实际的操作系统环境几乎是一样的。
  2. 安全性:每个软件监狱都是独立运作,与其他软件监狱隔离,因此能够提供额外的安全层级。
  3. 容易删除及创建:因为每个软件监狱的运作范围有限,这使得系统管理者可以在不影响整体系统的前提下,以超级用户的权限,来删除在软件监狱下运作的行程。

这个技术是基于类Unix系统下的chroot机制,进一步发展而来。chroot jail限制行程只能存取某个部分的文件系统,但是FreeBSD jail机制限制了在软件监狱中运作的行程,不能够影响操作系统的其他部分。也就是说,在软件监狱中的行程,是运作在一个沙盒上。

外部链接