> А почему вы считаете, что в бзд они не мейнтенятся?Я считаю что я не понимаю бсдшные подходы и какой за ними рациональный смысл в контексте современных реалий использования компьютеров.
> И что мешает сделать то же самое в бзд?
Херовый тулинг и отсутствие культуры работы с пакетниками и понимания самых базовых вещей о том как это делать вменяемо. Хотя-бы аналог debootstrap покажешь, для начала? (у редхатобразных тоже IIRC есть похожий тул). Чтоб этим быстро набрать минимальный rootfs (из готовых пакетов) достаточный для запуска пакетника. А потом этим пакетником нарулить остальное "как обычно".
> Конкретные претензии будут?
Тут кадр утверждает что в фряшном пакетнике нет деления на -dev и просто пакеты. Е-ть ко-ть, серьезно? Еще и рантайм какой-то - "base" на 110 мегабайт. Ого, почти дотнет.
> Только чур, возможность выбора утилиты (из нескольких) по вкусу — за претензию не катит.
А это зависит от того как эти утилиты между собой интегрированы. Если я рулю системой через пакетник - в системе ВСЕ ФАЙЛЫ кроме всяких юзерских данных - ТРЕКАЮТСЯ ПАКЕТНИКОМ. И всегда понятно какое файло откуда взялось и кому принадлежит. Потуги юзать пакетник пополам с другими тулзами приводят к неуправляемой помойке. Возможность понять откуда и почему взялся тот или иной файл - жирная фича. Если этого нет - нафига такой пакетник и такое управление софтом?
> freebsd-update обновит целиком, без "геморроев", c плюшками типа "rollback".
> Но если вам так хочется "единообразия" и "одинаковости", пожалуйста,
> никто не запрещает использовать пакетный менеджер.
Если я буду использовать два разных тула - как они между собой будут дружить? Я реально хочу понимать какой пакет приволок вот этот файл. Если файл не принадлежит пакету - это мусор в системе. Для меня это индикатор: something seriously fucked up. Удобно для обнаружения порушеных или похаканых систем. При том эффективно это обломать хакерам сложно даже при помощи руткита - усы будут отклеиваться и довольно заметно.
Донавесить эффективный rollback например снапшотом btrfs мне как-то сильно проще чем донавесить эффективный трекинг всех файлов в системе чем-то вместо пакетного менеджера (такие утили есть но при апдейтах софта пакетником истошно вопят на замену файлов, что ожидаемо но не удобно нифига).
> FreeBSD-runtime|base|110MiB
"Всего" 110 метров? Ж8-[ ] Поди еще и mandatory? Так, на подумать - у меня весь бутабельный образ демьяна может быть легче чем один этот пакет. Это не пакет, это морской контейнер целый.
> А что я, гадать должен, какие управления ресурсами вам нужны?
Самое очевидное: RAM, CPU (в чем-то типа процентов а не абсолютное время, мы не в 70х), бандвиз сети, дисковая активность (бандвиз, iops). Количество процессов в помойке, а может и сокетов.
> network interfaces, addresses, routing table , etc.
В это etc попадают хотя-бы отдельные рулесы фаера для каждого контейнера и настройки шейпинга траффика? Или ты это даже не проверял?
> И?
Это так, для понимания насколько я этим реально пользуюсь по факту в повседневной активности. Для галочки мне этого не надо, это реально работать должно и желательно без глупых граблин на ровном месте (пингвин в этом не идеален, там есть что улучшить).
> from this directory.
> Ну а там, что этому джейлу дашь, то у него и будет.
Говорю же - не шибко гибко. Во многих линуксных запускалках поверх namespaces (например том же firejail) можно файлуху компоновать более продвинуто. И совсем отдельную, и используя существующую ФС за основу (но например наглухо readonly) и что там еще. Namespace у файлух может быть и общий и отдельный. И если например стоит цель отрезать проге только сеть - файлуху можно резать менее кардинально. Позволяет балансировать желаемый уровень изоляции vs затраты на подъем контейнера. А если ты хотел меня удивить маном - в лине я могу показывать вполне эффектные фокусы, с скоростным подъемом пачки контейнеров или виртуалок так что они как бы и независимые но при этом и не копируются 20 раз в сторонку. И все это опять же 1-2 командами.
> А насчет PID и т.д — вообще-то все это доступно в том же хэндбукe:
А как насчет виртуализации IPC, mounts и прочих имен хоста? Да и виртуализация pid штука многогранная. Что именно под этим понимается? Отдельный proc? Надлежащая фильтрация сисколов? И то и другое? Ман это не уточняет а проверять лениво, потому что про запуск фри в виртуалке тут уже сказали.
> Пока что вы демонстрировали явную неосведомленность насчет бздшных фич,
Правильно, я смотрел на это пару лет назад. Линух втыкал уже тогда. И оно не умело даже отдельные правила фаера и маршруты.
> так что нельзя ли поконкретнее?
Как в этой штуке IOPS урезать и/или бандвиз диска ограничить? Или независимые правила фаеру в контейнере дать. А то ваш ман про такие вещи почему-то молчит в тряпочку. Ну или мне нужны очки.
> Не знаю, когда вы там изволили что видеть, но ipfw внутри виртуалки
> запускается давно. С pf были проблемы, не спорю.
А как насчет полисовки траффика? В контейнерах линя можно как-то так: cgroups'ами поделить на хосте, а в гуесте его шейперы будут работать как будто это независимая машина. С скоростью сети как в упомянутых лимитах, а шейперы - свои, местные. Это просто для руления с хоста и просто для руления в гуесте. Это и позволяет всяким паралелсам чуть донадстроив это продавать это как впски. В таком виде рулить этим довольно просто.
> А рулить "снаружи" … ну вон даже джейлид в правилах можно задавать. Что
> вам еще одтельного нужно, право не знаю.
Мне нужно чтобы хост и контейнеры друг другу не мешали, очевидно. Удобнее всего когда они ведут себя как отдельные машины со своей сетью, маршрутами, правилами фаера, полисовкой траффика и проч. Это все уже можно, в именно таком виде?
>> Или вы контейнеры как натоящий бсдшник видели только в манах, на картинке?
> Опять вы не угадали. Но да, доказать не могу.
Джентльменам принято верить на слово :)
> Вы конечно не поверите, но тот же poudriere (Port build and test
> system, это то, чем обычно собирают пакеты для реп) вполне себе
> штатно предполагает работу в джейле.
Вы конечно не поверите, но debootstrap вообще надо только указать какой реп брать за основу и куда это раскатать. Будет ли это контейнер или нет, будет ли это чьим-то rootfs и прочее - ему все-равно. Он отстреляется за несколько минут - просто скачает пакеты и распакует. Дальше есть еще post-install scripts, и тут есть разные варианты. Некоторые из них довольно забавные, когда хочется какому-нибудь ARM-у образ на x86 машине выкатить. Но реально вся процедурка занимает несколько минут. После этого у меня есть минимальная заготовочка под rootfs, от нее можно танцевать как от печки. Эта заготовочка, если ее забутявить в контейнере/vm/на железяке - good enough для старта пакетника. Дальнейшее очевидно.
Плюс всего этого - я могу получить довольно кастомный образ за весьма минимальное время. Ничего не канпелируя и даже всякие контейнеры, VM и железки - опциональны и возможны разные варианты. Реально оно формирует начальную файловую иерархию достаточную для взлета пакетника из указанной репы. Это казалось бы так просто, но оно гениально в своем сочетании простоты и полезности. А еще за столько лет до дебианщиков доперло что случаи бывают разные и поэтому минимальный образ - и правда достаточно минимальный. Самое жирное что там есть - список пакетов из репы :)) (к вопросу о числе пакетов)
> Ну, то есть ему задаешь версию фир и архитектуру, а он сам создает
> контейнер со всем нужным для сборки.
Debootstrap вообще ничего не собирает. Качает пакеты и распаковывает куда укажешь. Может postinstall скрипты прогнать если условия позволяют. А может предоставить target'у поупираться при первой загрузке, если мой компьютер и его софт на target совсем не похожи. Поскольку это лишь скачивание нескольких файлов и распаковка - это не напрягает даже весьма скромный лаптоп. Такой тип тулзов - логичное продолжение пакетника. Он пакетами оперирует. И это пожалуй самый простой и быстрый способ сделать респин системы который я встречал. По поводу чего и пользуюсь им :P.
>> сети. Выглядит как отдельная машина и усы в этой части совсем
>> не отклеиваются, в отличие от.
> Так можно все же глянуть списочек этих отличий?
Слушайте, у меня есть идея. Вы вот сказали что пользовались контейнерами. Ок, если вы ими пользуетесь - у вас наверное более актуальный view как оно здесь и сейчас. Вот и расскажите честно - чем отличается от железяки на вид. Могу то же самое для пингвинов рассказать. Так наверное конструктивнее будет - у нас более up to date views по своим системам. Иначе получается какой-то трэш, когда вы не понимаете что мне не нравится в половинчатом использовании пакетника а я могу оперировать устаревшми данными. Заодно и докажете делом что активно пользовались jail :)
