加载失败
标题描述 NetBSD 推出基于内核强制隔离与原生资源控制的 jails 实现,讨论围绕它与现有 FreeBSD jails(FreeBSD 的内核级隔离机制)及容器生态(Docker 与 OCI)之间的关系展开。评论者假定熟悉 FreeBSD jails 的语义和现有工具(如 bastille 与 podman),因此要求更详尽的功能对比表和抽象/层次图以评估是否为移植或新设计。社区争论还涉及项目定位:作者倾向于轻量、无外部依赖的实现,而部分用户则更关心能否直接利用现有 Docker/OCI 工具链以便采纳。OCI 被指出是高层规范,位于内核隔离机制之上,暗示内核实现与高层兼容性是两个相关但不同的问题。
多位评论者要求清楚说明 NetBSD 的 jails 与 FreeBSD jails 有何不同,否则会引起混淆并误导用户。有人建议直接改名为 'cells' 或 'tiles',认为这些词在组合式(leaf/tree/forest)语义上更利于创作性使用且避免历史包袱。评论中明确提出需要功能对照表(feature table)和抽象/层次图来展示实现边界与设计取舍,以便判断是否为 FreeBSD jails 的移植或全新实现。缺乏这些技术性对比资料会让社区难以评估兼容性与移植成本,从而阻碍 adoption。
有评论指出,如果实现能兼容 OCI(Open Container Initiative)或 Docker 生态,NetBSD 的 jails 会更容易被更广泛采用,因为绝大多数用户依赖 Docker 镜像与工具链。有人具体询问是否能按现有方式移植 bastille 或 podman 之类的管理/运行工具,以评估现有工作流能否无缝迁移。另一条回应强调 OCI 是位于隔离机制之上的高层规范,说明内核级隔离实现与 OCI 兼容性并非同一件事;内核机制决定隔离能力,OCI 决定镜像与 runtime 接口。总体争点在于:支持 OCI/镜像与 runtime 接口会显著提升采纳,但这更多涉及工具链与用户空间的对接,而非单纯内核实现。
作者据称将若干功能标为 out of scope,目标是提供“轻量且稳健、尽量不依赖外部工具”的 jails,实现尽量靠内核完成的隔离与资源控制。对此部分评论认为:如果不能运行常见的管理与运行工具(例如 bastille、podman 等),那么新实现对普通用户就缺乏实用性,甚至有人直言“没用”。反驳者指出当前实现尚未完成,但理论上可以运行所有在 NetBSD 上能运行的程序,只是运行方式可能不同;有人认为完善 NetBSD 基础比追随现有工具链更有价值。是否以及何时会有外部工具移植以利用这些内核接口仍是未知,需要等待实现稳定后再评估。
jails: 一种在内核层面实现的轻量级隔离机制(BSD jails),用于限制文件系统、进程、网络和资源访问,最早在 FreeBSD 中成熟并用于多租户或容器化场景。
OCI (Open Container Initiative): 一个开放标准组织,定义容器镜像格式与运行时规范(image/runtime spec),旨在使不同容器引擎和工具在镜像与运行时上互操作。
bastille: Bastille(或 BastilleBSD)是 FreeBSD 生态中用于创建和管理 jails 的自动化/管理工具,代表一种用户空间的 jails 管理方案。
podman: podman 是一个无守护进程的容器引擎,兼容 Docker CLI 与 OCI 镜像格式,可在不运行 Docker daemon 的情况下管理容器与 pods。