Last Updated on 21/02/2023 by administrator
Proxmox – privilégovaný a neprivilégovaný LXC kontejner
Proxmox VE (Virtual Environment) nabízí dva typy kontejnerů – privilégovaný a neprivilégovaný. Rozdíl mezi nimi spočívá v tom, jak jsou kontejnery konfigurovány a jakým způsobem komunikují s hostitelským systémem.
Neprivilégovaný kontejner
Neprivilégovaný kontejner (také známý jako LXC 2.0) je kontejner s omezeným přístupem k systémovým zdrojům hostitelského systému. Tyto kontejnery se chovají jako samostatné operační systémy s vlastními procesy a soubory. Neprivilégované kontejnery se často používají jako bezpečný prostor pro spuštění aplikací, které nejsou důvěryhodné nebo které by mohly poškodit hostitelský systém.
V závislosti na potřebách a požadavcích na vaše prostředí můžete volit mezi privilégovanými a neprivilégovanými kontejnery. Obecně platí, že neprivilégované kontejnery jsou bezpečnější, ale mohou mít omezené funkce, zatímco privilégované kontejnery nabízejí více možností, ale mohou být méně bezpečné.
Mezi výhody patří:
- Snadná správa a využití prostředků – Neprivilegované kontejnery využívají stejné jádro operačního systému jako hostitelský server, což usnadňuje správu a optimalizaci využití systémových prostředků.
- Větší bezpečnost – Neprivilegované kontejnery mají omezený přístup k hostitelskému serveru, což může snížit riziko útoku na hostitelský systém.
- Vyšší Rychlost – Neprivilegované kontejnery jsou běžně rychlejší než privilégované kontejnery, protože nepotřebují emulovat hardwarové prostředí.
- Snadná migrace – Neprivilegované kontejnery jsou snadno přenosné a mohou být snadno migrovány na jiné servery.
Vytvoření neprivilégovaného kontejneru:
Privilégovaný kontejner:
Privilégovaný kontejner (také známý jako LXC 1.0) má plný přístup k systémovým zdrojům hostitelského systému, včetně kernelu, sítě a hardware. Tyto kontejnery mohou spustit jakýkoliv software, včetně náročných aplikací a operačních systémů. Privilégované kontejnery jsou vhodné pro vývoj a testování aplikací, které vyžadují plný přístup k systémovým zdrojům.
Mezi výhody patří:
- Přístup k jádru: Kontejner má přístup k jádru hostitelského systému, což mu umožňuje spouštět aplikace, které vyžadují přímý přístup k hardwaru.
- Vyšší výkon: Vzhledem k tomu, že privilégovaný kontejner má větší přístup k prostředkům hostitelského systému, může poskytnout vyšší výkon pro aplikace spuštěné uvnitř.
- Lepší izolace: Ačkoli privilégovaný kontejner má větší přístup k hostitelskému systému, stále poskytuje izolaci pro aplikace spuštěné uvnitř. To umožňuje snadnější správu a údržbu celého systému.
Vytvoření privilégovaného kontejneru:
Pokud to není nutné je obecně je doporučeno vytvářet neprivilegiovanéný kontejnery, což je při vytváření kontejneru defaulní nastavení. V praxi byl využit privilegiovanéný kontejner pro VPN služby ke kterým byl napsán článek. Důvody privilegiovaného kontejneru jsou sepsány v jednotlivých článcích:
Konfigurace StrongSwan VPN server Ubuntu 22.04
Proxmox PPTP VPN server – instalace a konfigurace + L2 Broadcast
