FreeBSD 中文社区

17.2.jail 的类型

一些管理员将jail分成不同类型,尽管底层技术是相同的。每个管理员将不得不评估在每种情况下创建什么类型的jail,这取决于他们要解决的问题。

下面可以找到不同类型、其特点和使用注意事项的列表。

17.2.1. 厚jail

厚jail是 FreeBSDJail的传统形式。在厚jail中,基本系统的完整副本被复制到jail的环境中。这意味着jail有自己独立的 FreeBSD 基本系统实例,包括库、可执行文件和配置文件。可以将jail看作几乎完全独立的 FreeBSD 安装,但在主机系统的限制内运行。这种隔离确保jail中的进程与主机和其他jail中的进程保持分隔。

厚jail的优势:

  • 隔离程度高: jail内的进程与主机系统和其他jail隔离开来。

  • 独立性: 厚jail可以具有不同版本的库、配置和软件,与主机系统或其他jail不同。

  • 安全性:由于jail包含自己的基本系统,影响jail环境的漏洞或问题不会直接影响主机或其他jail。

Thick jail的缺点:

  • 资源开销:因为每个jail都维护自己独立的基本系统,厚jail消耗比瘦jail更多资源。

  • 维护: 每个 jail 都需要针对其基本系统组件进行维护和更新。

17.2.2. 薄 jail

薄 jail 使用来自模板的 OpenZFS 快照或 NullFS 挂载共享基本系统。每个薄 jail 仅复制基本系统的最小子集,与厚 jail 相比,资源消耗较少。但这也意味着薄 jail 与厚 jail 相比,隔离性和独立性较差。共享组件的更改可能同时影响多个薄 jail。

简而言之,FreeBSD Thin Jail 是 FreeBSD 中的一种类型,它在隔离环境中复制了大部分但不是全部的基本系统。

Thin jail 的优势:

  • 资源效率:与厚实的 jail 相比,Thin jail 更节约资源。由于它们共享大部分基本系统,它们占用较少的磁盘空间和内存。这使得在相同硬件上运行更多的 jail 成为可能,而不会消耗过多资源。

  • 更快的部署:创建和启动薄 jail 通常比厚 jail 更快。当你需要快速部署多个实例时,这可能特别有优势。

  • 统一维护:由于薄 jail 与主机系统共享大部分基础系统,只需要在主机上对共同的基础系统组件(如库和二进制文件)进行一次更新和维护。与为每个厚 jail 维护单独的基础系统相比,这简化了维护流程。

  • 共享资源:薄 jail 可以更容易地与主机系统共享常见资源,如库和二进制文件。这可能导致更高效的磁盘缓存和提高 jail 内应用程序的性能。

Thin jail的缺点:

  • 降低隔离性:薄jail的主要缺点是与厚jail相比,它们提供的隔离性较差。由于它们共享模板基础系统的相当部分,影响共享组件的漏洞或问题可能会同时影响多个jail。

  • 安全性关注:薄jail中的减少隔离性可能会带来安全风险,因为一个jail中的妥协可能会更有可能影响其他jail或主机系统。

  • 依赖冲突:如果多个薄jail需要不同版本的相同库或软件,管理依赖关系可能变得复杂。在某些情况下,这可能需要额外的工作来确保兼容性。

  • 兼容性挑战:薄jail中的应用程序可能会遇到兼容性问题,如果它们假定与模板提供的共享组件不同的某个特定基本系统环境。

17.2.3. 服务jail

一个服务jail直接与主机分享完整的文件系统树(jail根路径为/),因此可以访问和修改主机上的任何文件,并与主机共享相同的用户账户。默认情况下,它无法访问网络或在jail中受限制的其他资源,但可以配置为重用主机的网络并移除部分jail限制。服务jail的用例是自动限制服务/守护程序在jail中进行最小配置,并且无需了解此类服务/守护程序所需的文件。自 FreeBSD 15 以来就存在服务jail。

服务jail的优势:

  • 无需管理:已准备好的服务jail仅需要在/etc/rc.conf 中的一行配置,而未准备就绪的服务需要两行配置。

  • 资源效率: 服务 jail 相较于瘦 jail 更加资源高效,因为它们不需要任何额外的磁盘空间或网络资源。

  • 快速部署: 创建和启动服务 jail 通常比瘦 jail 更快,如果只需要将不同的服务/守护进程禁闭,并且不需要同一服务/守护进程的并行实例。

  • 共享资源: 服务 jail 与主机系统共享所有资源,如库和二进制文件。这可能导致更高效的磁盘缓存和提升 jail 内应用程序的性能。

  • 进程隔离:服务 jail 隔离特定服务时,即使在同一用户账户中运行,它也无法看到不是服务 jail 的子进程。

缺点 jail 服务的:

  • 隔离降低:与厚或薄 jail 相比,服务 jail 的主要缺点是它们不提供文件系统隔离。

  • 安全问题:服务jail中减少的隔离可能存在安全风险,因为一个jail中的妥协可能会对主机系统上的所有内容产生更大的影响。

下面讨论的jail大部分配置对服务jail不是必需的。为了了解jail的工作原理,建议了解这些配置可能性。关于配置服务jail所需的详细信息在配置服务jail中。

17.2.4. VNET jail

一个 FreeBSD VNET jail是一个虚拟化环境,能让对在其中运行的进程的网络资源进行隔离和控制。它通过为jail内部的进程创建单独的网络堆栈,提供了高级别的网络分割和安全性,确保jail内的网络流量与主机系统和其他jail隔离。

本质上,FreeBSD VNET jail添加了网络配置机制。这意味着 VNET jail可以被创建为厚的或薄的Jail。

17.2.5. Linux jail

一个 FreeBSD Linux Jail 是 FreeBSD 操作系统中的一个功能,它可以在 FreeBSD jail 中启用 Linux 二进制文件和应用程序的使用。通过引入一个兼容层来实现此功能,该兼容层能让将某些 Linux 系统调用和库进行转换并在 FreeBSD 内核上执行。Linux Jail 的目的是在不需要单独的 Linux 虚拟机或环境的情况下,促进在 FreeBSD 系统上执行 Linux 软件。

上一页17.1.概述下一页17.3.主机配置

最后更新于

FreeBSD 中文社区