http://amarao-san.livejournal.com/ ([identity profile] amarao-san.livejournal.com) wrote in [personal profile] vitus_wagner 2015-09-23 09:53 pm (UTC)

Нет. namespace, это возможность порезать ресурс на кусочек. Есть несколько namespace'ов. Наиболее полезный - network namespace, который позволяет ограничить приложение по списку доступных ей сетевых интерфейсов. Не силами iptables, а "вообще". То есть приложение в сетевом namespace видит только lo (на котором никто не слушает) и те интерфейсы, которые явно в namespace добавишь.

Есть ещё куча других (включая user namespace, pid namespace), которые вместе с cgroups позволяют организовать контейнеры. Там есть нюансы, в основном потому, что часть системы трудно резать между пользователями (те же dmesg'и).

А vitus_wagner не слушай. У него обычное ретроградство и неприятие нового.
(76 comments)

Post a comment in response:

This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting
 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.