在阅读有关systemd-nspawn,it is mentioned时,它不应该在生产环境中使用.原因似乎是缺乏管理和部署基础设施.实用性是唯一的原因,还是存在潜在的安全/功能原因？

解决方法:

您的来源描述了系统开发人员Lennart Poettering的演示. Lennart是Red Hat的员工. Red Hat Enterprise Linux和Fedora Linux社区发行版都使用SELinux.

systemd-nspawn和SELinux之间的集成似乎被打破了,例如另外,如果您尝试从Fedora Linux上的专用网络命名空间中启动的容器访问网络(使用systemd-nspawn @ .service时的默认设置),则为blocked by firewalld.

我的结论是,不支持systemd-nspawn将容器作为服务器运行.它可能恰好在非Red Hat系统上运行,但您不会受益于任何基于LSM的保护.除非你能自己解决问题.

请注意,其他众所周知的容器管理器包括基于LSM的保护.特别是Docker,但LXC还为AppArmor提供了一些策略.

生产就绪意味着人们正在审计,记录甚至营销如何安全地使用systemd-nspawn.我认为系统开发人员诚实地承认他们并没有真正这样做,至少目前是这样.