Не тратим время на Docker — контейнеры systemd-nspawn (Михаил Новосёлов, OSDAY-2025)

Короткая ссылка: 20250619H

Докладчик: Михаил Новоселов

Контейнеризация в Linux традиционно ассоциируется с Docker, предоставляющим ключевые преимущества:

Минимизация нагрузки (совместное использование ядра ОС хоста)

Быстрое развертывание (мгновенное создание/уничтожение контейнеров)

Стандартизация образов для переносимости между системами Linux

Высокая производительность и плотность размещения рабочих нагрузок (отсутствие гипервизора)

Популярность Docker обусловлена:

Автоматизацией жизненного цикла через Dockerfile

Готовыми решениями без проектирования инфраструктуры

Обширным сообществом и интеграциями

Однако Docker имеет существенные недостатки:

Высокий порог входа (требует глубокого изучения технологий)

Ограничение одним процессом на контейнер (многокомпонентные системы требуют оркестрации)

Небезопасная изоляция по умолчанию (процессы запускаются от root без user namespaces)

Инструмент systemd-nspawn предлагает альтернативный подход:

Запуск полноценной ОС в контейнере с поддержкой множества сервисов (например, MySQL + веб-сервер)

Работа с файлами напрямую без сложных образов и систем хранения

Безопасная изоляция через user namespaces (root в контейнере ≠ root на хосте)

Простое резервное копирование (тарболлы, squashfs, rsync, снимки BTRFS)

Низкий порог входа (не требует изучения сложных технологий)

В докладе рассматривается практическое применение systemd-nspawn для контейнеризации рабочих нагрузок с примерами использования, а также методы обеспечения изоляции и безопасности.