@tjm 没考虑过所谓轻度隔离那档子事 😂
@horo 那你目的是啥🌝 为了安全还是为了一个干净的环境?
@tjm 🤔 可能都有吧(嘛其实就是没听说过啥轻度隔离于是直接就 VM 了😂 )
@horo 要是你觉得kernel 0-day不在威胁模型里,那就上LXC啊🌝 如果想要快速部署+版本控制也可以上docker啊
@tjm 那 GUI 怎么办( 🤔
@horo 看你是想用X还是wayland了🌝
@tjm 😂 意思是 Wayland 会炸?
@horo 不一定,X最好搞,wayland费点事儿,但不是搞不定
@tjm 对了还有 LXC LXD 和 systemd-nspawn 都有些啥区别 😂
@horo LXC是kernel API一个用户接口, 算是比较底层的实现罢……同时也用到了namespace和cgroup,算是内核级的隔离。
LXD是给LXC加了一些用户友好的封装与API,不需要每次配置狂翻文档。
systemd-nspawn是systemd提供的, 对标的是chroot(虽然起了个新的namespace……)……systemd-nspawd主要功能是systemd作为init提供的,所以如果systemd有洞的话……不排除打穿的可能。
总之啦……systemd-nspawn比lxc更轻量,不过你可以试试如果gust environment是OpenRC的话可以nspawn咩……
@horo KVM冇HALs,性能更加🌝
话说轻度隔离完全可以LXC啊