>>См., например, vzctl(8).
>Какая-то "плоская" среда над chrotМожно конкретнее? Там, например, реализован двуслойный скедулер -- сперва процессоры на контейнеры, потом в пределах контейнеров между задачами. Чтоб один контейнер с тремя сотнями процессов не досил соседние с по полсотни на брата.
>никаких преимуществ перед jail(8), кроме выделения ресурсов, не увидел.
Вы всерьёз полагаете, что этого мало?
Ладно, давайте попробую объяснить на пальцах. Под OpenVZ у меня на старом офисе до сих пор благополучно живёт терминальный сервер, пара сборочниц (32/64-bit) и ещё по мелочи. Сборка является io/cpu intensive, бишь на локальном десктопе может заметно притормаживать всё. Так вот разнесения по шпинделям плюс расставления приоритетов контейнеров (--cpuunits/--ioprio) хватило, чтобы весьма серьёзная загрузка (три одновременных процесса сборки, сейчас там всего-то dualcore) практически не замечалась при работе с тонких клиентов.
Сделайте такое на jail, а я посмотрю -- мало это "кроме" или всё-таки различие между великом и мокиком.
>У vzctl(8) нету даже securelevel -- впрочем, у Linux этого нет изначально.
_Уже_ нету. Года три как. Благо хватает полноценных систем RBAC/MAC.
>Вложенные контейнеры vzctl(8) хотя бы умеет?
Нет, но OpenVZ живёт и под Xen (domU/dom0), и как минимум рядом с kvm. Только вот в моей практике ещё не встречалось ни одного случая, когда захотелось бы засовывать -- и так сервисы, работающие в VE-шках, ещё и по чрутам сидят. Причём нередко ещё и с privsep'ом.