Не тратим время на Docker — контейнеры systemd-nspawn (Михаил Новосёлов, OSDAY-2025)

Не тратим время на Docker — контейнеры systemd-nspawn (Михаил Новосёлов, OSDAY-2025) Михаил Новоселов ------------- Контейнеризация в Linux традиционно ассоциируется с , предоставляющим ключевые преимущества: Минимизация нагрузки (совместное использование ядра ОС хоста) Быстрое развертывание (мгновенное создание/уничтожение контейнеров) Стандартизация образов для переносимости между системами Linux Высокая производительность и плотность размещения рабочих нагрузок (отсутствие гипервизора) Популярность обусловлена: Автоматизацией жизненного цикла через Готовыми решениями без проектирования инфраструктуры Обширным сообществом и интеграциями Однако имеет существенные недостатки: Высокий порог входа (требует глубокого изучения технологий) Ограничение одним процессом на контейнер (многокомпонентные системы требуют оркестрации) Небезопасная изоляция по умолчанию (процессы запускаются от без ''user namespaces'') Инструмент '''systemd-nspawn''' предлагает альтернативный подход: Запуск полноценной ОС в контейнере с поддержкой множества сервисов (например, + веб-сервер) Работа с файлами напрямую без сложных образов и систем хранения Безопасная изоляция через ''user namespaces'' ( на хосте) Простое резервное копирование (''тарболлы'', ''squashfs'', ''rsync'', снимки ) Низкий порог входа (не требует изучения сложных технологий) В докладе рассматривается практическое применение '''systemd-nspawn''' для контейнеризации рабочих нагрузок с примерами использования, а также методы обеспечения изоляции и безопасности.