17.2.jail 的类型
一些管理员将jail分成不同类型,尽管底层技术是相同的。每个管理员将不得不评估在每种情况下创建什么类型的jail,这取决于他们要解决的问题。
下面可以找到不同类型、其特点和使用注意事项的列表。
17.2.1. 厚jail
厚jail是 FreeBSDJail的传统形式。在厚jail中,基本系统的完整副本被复制到jail的环境中。这意味着jail有自己独立的 FreeBSD 基本系统实例,包括库、可执行文件和配置文件。可以将jail看作几乎完全独立的 FreeBSD 安装,但在主机系统的限制内运行。这种隔离确保jail中的进程与主机和其他jail中的进程保持分隔。
厚jail的优势:
隔离程度高: jail内的进程与主机系统和其他jail隔离开来。
独立性: 厚jail可以具有不同版本的库、配置和软件,与主机系统或其他jail不同。
安全性:由于jail包含自己的基本系统,影响jail环境的漏洞或问题不会直接影响主机或其他jail。
Thick jail的缺点:
资源开销:因为每个jail都维护自己独立的基本系统,厚jail消耗比瘦jail更多资源。
维护: 每个 jail 都需要针对其基本系统组件进行维护和更新。
17.2.2. 薄 jail
薄 jail 使用来自模板的 OpenZFS 快照或 NullFS 挂载共享基本系统。每个薄 jail 仅复制基本系统的最小子集,与厚 jail 相比,资源消耗较少。但这也意味着薄 jail 与厚 jail 相比,隔离性和独立性较差。共享组件的更改可能同时影响多个薄 jail。
简而言之,FreeBSD Thin Jail 是 FreeBSD 中的一种类型,它在隔离环境中复制了大部分但不是全部的基本系统。
Thin jail 的优势:
资源效率:与厚实的 jail 相比,Thin jail 更节约资源。由于它们共享大部分基本系统,它们占用较少的磁盘空间和内存。这使得在相同硬件上运行更多的 jail 成为可能,而不会消耗过多资源。
更快的部署:创建和启动薄 jail 通常比厚 jail 更快。当你需要快速部署多个实例时,这可能特别有优势。
统一维护:由于薄 jail 与主机系统共享大部分基础系统,只需要在主机上对共同的基础系统组件(如库和二进制文件)进行一次更新和维护。与为每个厚 jail 维护单独的基础系统相比,这简化了维护流程。
共享资源:薄 jail 可以更容易地与主机系统共享常见资源,如库和二进制文件。这可能导致更高效的磁盘缓存和提高 jail 内应用程序的性能。
Thin jail的缺点:
降低隔离性:薄jail的主要缺点是与厚jail相比,它们提供的隔离性较差。由于它们共享模板基础系统的相当部分,影响共享组件的漏洞或问题可能会同时影响多个jail。
安全性关注:薄jail中的减少隔离性可能会带来安全风险,因为一个jail中的妥协可能会更有可能影响其他jail或主机系统。
依赖冲突:如果多个薄jail需要不同版本的相同库或软件,管理依赖关系可能变得复杂。在某些情况下,这可能需要额外的工作来确保兼容性。
兼容性挑战:薄jail中的应用程序可能会遇到兼容性问题,如果它们假定与模板提供的共享组件不同的某个特定基本系统环境。
17.2.3. 服务jail
一个服务jail直接与主机分享完整的文件系统树(jail根路径为/),因此可以访问和修改主机上的任何文件,并与主机共享相同的用户账户。默认情况下,它无法访问网络或在jail中受限制的其他资源,但可以配置为重用主机的网络并移除部分jail限制。服务jail的用例是自动限制服务/守护程序在jail中进行最小配置,并且无需了解此类服务/守护程序所需的文件。自 FreeBSD 15 以来就存在服务jail。
服务jail的优势:
无需管理:已准备好的服务jail仅需要在/etc/rc.conf 中的一行配置,而未准备就绪的服务需要两行配置。
资源效率: 服务 jail 相较于瘦 jail 更加资源高效,因为它们不需要任何额外的磁盘空间或网络资源。
快速部署: 创建和启动服务 jail 通常比瘦 jail 更快,如果只需要将不同的服务/守护进程禁闭,并且不需要同一服务/守护进程的并行实例。
共享资源: 服务 jail 与主机系统共享所有资源,如库和二进制文件。这可能导致更高效的磁盘缓存和提升 jail 内应用程序的性能。
进程隔离:服务 jail 隔离特定服务时,即使在同一用户账户中运行,它也无法看到不是服务 jail 的子进程。
缺点 jail 服务的:
隔离降低:与厚或薄 jail 相比,服务 jail 的主要缺点是它们不提供文件系统隔离。
安全问题:服务jail中减少的隔离可能存在安全风险,因为一个jail中的妥协可能会对主机系统上的所有内容产生更大的影响。
下面讨论的jail大部分配置对服务jail不是必需的。为了了解jail的工作原理,建议了解这些配置可能性。关于配置服务jail所需的详细信息在配置服务jail中。
17.2.4. VNET jail
一个 FreeBSD VNET jail是一个虚拟化环境,能让对在其中运行的进程的网络资源进行隔离和控制。它通过为jail内部的进程创建单独的网络堆栈,提供了高级别的网络分割和安全性,确保jail内的网络流量与主机系统和其他jail隔离。
本质上,FreeBSD VNET jail添加了网络配置机制。这意味着 VNET jail可以被创建为厚的或薄的Jail。
17.2.5. Linux jail
一个 FreeBSD Linux Jail 是 FreeBSD 操作系统中的一个功能,它可以在 FreeBSD jail 中启用 Linux 二进制文件和应用程序的使用。通过引入一个兼容层来实现此功能,该兼容层能让将某些 Linux 系统调用和库进行转换并在 FreeBSD 内核上执行。Linux Jail 的目的是在不需要单独的 Linux 虚拟机或环境的情况下,促进在 FreeBSD 系统上执行 Linux 软件。
最后更新于