Binnenkort jail binnen een jail in FreeBSD

Het jails-systeem van FreeBSD zorgt voor virtualisatie op besturingssysteemsniveau: toepassingen binnen een jail denken dat ze op een standalone FreeBSD-systeem draaien, omdat ze volledig geïsoleerd zijn van toepassingen in een andere jail. In realiteit draaien alle jails op één FreeBSD-kernel, wat betekent dat deze virtualisatieoplossing een verwaarloosbare impact heeft op de performance van het systeem.

In FreeBSD 8 zullen de virtualisatiecontainers een nieuwe mogelijkheid krijgen: gebruikers kunnen in de nieuwe versie een jail binnen een jail opstarten. Op de freebsd-jail mailing list kondigde ontwikkelaar Jamie Gritton de eerste code aan.

Het opstarten van een jail binnen een jail is handig voor providers die virtuele machines leveren aan klanten. Die klanten kunnen dan zelf ook virtuele machines aanmaken op hun server. Die server kan nooit meer rechten krijgen dan de bovenliggende jail.

Wanneer er een jail binnen een jail is aangemaakt, is die eerste zichtbaar voor zijn ouder en mogelijke ouders van die laatste. Elke jail heeft bepaalde rechten en die kunnen in een kind alleen maar verder beperkt worden. Het fysieke systeem heeft dus alle rechten en kan jails opstarten met minder rechten, om services in te perken die op hun beurt jails kunnen opstarten met nog minder rechten om deelservices verder in te perken. Als de rechten van een bepaalde jail worden ingeperkt, worden de rechten van de jails daaronder onmiddellijk ook ingeperkt. Maar de rechten van een subjail blijven intact als de rechten van een jail worden uitgebreid.

Het jails-subsysteem kreeg in de recente release FreeBSD 7.2 al een fikse update, onder andere door de ondersteuning van meerdere IP-adressen. Het ziet er dus naar uit dat FreeBSD van zijn jails meer wil maken dan een "chroot on steroids" en beetje bij beetje de beperkingen wil aanpakken.

Bron: Techworld