>В Jails v2 сделали только для привязки к ядрам процессоров:Это очень грубо, хотя уже лучше, чем совсем никак.
>- cpuset(1) способен привязывать набор процессоров к определенному jailid или irq
В линуксе есть и taskset(1), и irqbalance(1) (последний, правда, распределяет автоматом).
>Винчестеры как ресурсы пока невозможно привязать к конкретным jailid.
Актуальней процессор/память. Ещё сейчас довольно горячая тема -- расшаривание идентичных страниц (например, mmap'ленных копий libc).
>Вложенные контейнеры виртуализации полезны там, где крутятся иерархические процессы.
Не знаю, что это такое -- можно определение/пример?
>Ради управляемости и распределённой по уровням степени надёжности.
Типичное железо всё-таки тянет ну несколько сотен контейнеров максимум (и IMHO максимум немного десятков в более типичном для наличия дивергенции надёжности случае). Это не то количество, которое обязательно просится в иерархию. А на большом железе и так аппаратный partitioning, внутри которого уже можно разводить (например, тот же ovz есть на PPC64).
>к примеру, глупо было бы обеспечивать максимальную степень надёжности и доступности
>какому-то тестовому Web-серверу, отнимая ресурсы у более важных сервисов
Вот и пусть сидит в отдельном контейнере, не отсвечивая ни по процессору, ни по памяти, ни по диску. По-моему, тут адекватный контроль потребления ресурсов куда важнее вложенности.
>почему бы не сунуть его поглубже в jail-окружение группы разработчиков и передать
>права по управлению этим сервисом им, а на верхние уровни управления вывести
>изолированные окружения жизненно-важных для организации департаментов.
Ну этот пример вполне укладывается в xen+openvz, например, хотя мне кажется серьёзно притянутым за уши. Пример с критичным терминальным сервером и фоновыми сборочницами уже привёл, с делегированием прав проблем за время эксплуатации так и не обнаружено.
PS: извиняюсь, но кажется, я спамлю тему офтопиком. :(