# 17.2.jail 的类型 一些管理员会将 jail 分为不同的类型,尽管它们在底层技术上是相同的。每位管理员需要根据所要解决的问题来评估应创建哪种类型的 jail。 以下列出了不同类型的 jail,它们的特征,以及使用时需要考虑的事项。 ## 17.2.1. 厚 jail(Thick Jails) 厚 jail 是 FreeBSD Jail 的传统形式。在厚 jail 中,会在 jail 环境中复制一整套基本系统。这意味着 jail 拥有一套独立的 FreeBSD 基本系统实例,包括库、可执行文件和配置文件。这个 jail 可以被视为一个几乎完整、独立的 FreeBSD 安装实例,但它运行在宿主系统的控制之下。这种隔离确保 jail 内部的进程与宿主系统和其他 jail 相互独立。 **厚 jail 的优点:** * **高度隔离**:jail 内部的进程与宿主系统和其他 jail 保持隔离。 * **独立性**:厚 jail 可以拥有与宿主系统或其他 jail 不同版本的库、配置和软件。 * **安全性**:由于 jail 拥有自己的基本系统,影响 jail 环境的漏洞或问题不会直接影响宿主或其他 jail。 **厚 jail 的缺点:** * **资源开销**:由于每个 jail 都维护一套独立的基本系统,与薄 jail 相比会消耗更多资源。 * **维护成本**:每个 jail 的基本系统组件都需要独立维护和更新。 ## 17.2.2. 薄 jail(Thin Jail) 薄 jail 使用 OpenZFS 快照或 NullFS 挂载,从模板中共享基本系统。每个薄 jail 只复制基本系统的最小子集,因此相比厚 jail 消耗的资源更少。但这也意味着薄 jail 的隔离性和独立性较差。共享组件的变动可能会同时影响多个薄 jail。 简而言之,FreeBSD 薄 jail 是一种在隔离环境中复制了大量(但不是全部)基本系统的 FreeBSD Jail 类型。 **薄 jail 的优点:** * **资源效率高**:薄 jail 相比厚 jail 更节省资源。由于大部分基本系统是共享的,磁盘空间和内存占用较少。这使得可以在同一硬件上运行更多 jail,而不会消耗过多资源。 * **部署更快**:创建和启动薄 jail 通常比厚 jail 更快速,尤其适合快速部署多个实例。 * **维护统一**:由于大部分基本系统是与宿主共享的,像库和二进制等通用组件的更新只需在宿主系统中进行一次。与为每个厚 jail 独立维护基本系统相比,这大大简化了维护工作。 * **资源共享**:薄 jail 更容易与宿主系统共享库和二进制文件,这可能带来更高效的磁盘缓存,并提升 jail 中应用的性能。 **薄 jail 的缺点:** * **隔离性较差**:薄 jail 的主要缺点是隔离性较弱。由于共享大量模板基本系统,如果这些共享组件存在漏洞或问题,可能会同时影响多个 jail。 * **安全隐患**:隔离性降低可能带来安全风险,一个 jail 被攻破后,可能对其他 jail 或宿主系统造成更大影响。 * **依赖冲突**:如果多个薄 jail 需要不同版本的库或软件,依赖管理可能会变得复杂,有时需要额外的努力以确保兼容性。 * **兼容性问题**:在薄 jail 中运行的应用,若假设存在某些特定的基本系统环境,而这些组件可能在模板中未包含或版本不同,则可能引发兼容性问题。 ## 17.2.3. 服务 jail(Service Jails) 服务 jail 直接与宿主系统共享整个文件系统树(jail 的根路径为 **/**),因此可以访问并修改宿主上的任何文件,同时也与宿主系统共享相同的用户账户。默认情况下,它无法访问网络或其他 jail 所限制的资源,但可以配置为复用宿主的网络,并移除部分 jail 限制。服务 jail 的使用场景是,在无需对服务或守护进程所需文件有任何了解的情况下,自动将其限制在一个 jail 中,且几乎无需配置。服务 jail 从 FreeBSD 15 开始可用。 **服务 jail 的优点:** * **零管理**:一个已支持服务 jail 的服务只需在 **/etc/rc.conf** 中写一行配置;不支持的服务则需要写两行。 * **资源效率高**:服务 jail 比薄 jail 更节省资源,因为它们不需要额外的磁盘空间或网络资源。 * **部署更快**:如果只是将不同的服务或守护进程隔离,而不需要运行同一服务/守护进程的多个实例,那么服务 jail 的创建和启动速度通常比薄 jail 更快。 * **资源共享**:服务 jail 与宿主系统共享所有资源(如库和二进制文件),这可能带来更高效的磁盘缓存和更好的应用性能。 * **进程隔离**:服务 jail 会隔离特定服务,它无法看到不是其子进程的其他进程,即使它们运行在同一用户账户下。 **服务 jail 的缺点:** * **隔离性较差**:服务 jail 与厚 jail 或薄 jail 相比没有文件系统隔离。 * **安全隐患**:由于隔离性差,一个 jail 的被攻破可能会对宿主系统上的所有内容造成影响。 下面将讨论的大多数 jail 配置内容对于服务 jail 来说并不适用。为了理解 jail 的工作原理,建议首先了解这些配置选项。关于配置服务 jail 的具体细节,请参见 [配置服务 jail](https://docs.freebsd.org/en/books/handbook/jails/#service-jails-config)。 ## 17.2.4. VNET Jail FreeBSD 的 VNET jail 是一种虚拟化环境,允许对 jail 中运行的进程进行网络资源的隔离与控制。它通过为 jail 中的进程创建一个独立的网络协议栈,实现了高度的网络分段与安全性,从而确保 jail 中的网络流量不会与宿主系统或其他 jail 混合。 本质上,FreeBSD 的 VNET jail 增加了一套网络配置机制。这意味着 VNET jail 可以作为厚 jail 或薄 jail 创建。 ## 17.2.5. Linux Jail FreeBSD 的 Linux Jail 是 FreeBSD 操作系统中的一项功能,能在 jail 中运行 Linux 二进制文件和应用程序。通过集成一层兼容层,将部分 Linux 系统调用和库转换为可由 FreeBSD 内核执行的形式,从而实现此功能。Linux Jail 的目的是在无需单独部署 Linux 虚拟机或运行环境的情况下,使 FreeBSD 系统能运行 Linux 软件。