а. Таким чином, даже у разі размещения на сервері Тільки одного СЕРВіСУ, віправдано его приміщення у віртуальний контейнер.
Гарантовані ресурси
Апаратні ресурси, доступні віртуальному контейнеру, повінні буті гарантовано больше Деяк мінімального значення. У ряді віпадків звітність, надаті Клієнтам СЕРВіСУ деякі Гарантії якості обслужіваніяш (QoS, quality of service). Прикладом Такої сітуації может служити телефонна розмова: после з «єднання клієнт отрімує гарантію, что во время Розмови НЕ закінчаться ресурси каналу зв» язку и розмова НЕ перерветься. Інший приклад, уже з области системного сплата: дуже бажано гарантуваті, что даже при максимальному навантаженні на сервері (у тому чіслі в сітуації DoS-атак), у СЕРВіСУ SSH буде Достатньо ресурсів, щоб Забезпечити віддаленій вхід на сервер системного адміністратора, Який МІГ бі Вжити терміновіх ЗАХОДІВ. Щоб Забезпечити Якість обслуговування для СЕРВіСУ, адміністраторові звітність, гарантуваті достатній ОБСЯГИ апаратних ресурсів для цього СЕРВіСУ, тоб віключіті сітуації збою СЕРВіСУ через фізичний брак ресурсів у Системі. І тут можна використовуват віртуалізацію сервісів. Если сервіс працює у віртуальному контейнері, то гарантія мінімального уровня ресурсів зводіться до того, что Процеси, что їх поза даного контейнера, в сумі НЕ зажадають больше ресурсів, чем різніця между ОБСЯГИ ресурсів системи и ресурсами даного контейнера. Так, ЯКЩО в Системі паралельно віконується кілька сервісів, КОЖЕН з якіх поміщеній в окремому віртуальному контейнері, то Завдання адміністратора - обмежитися ресурси шкірного контейнера таким чином, щоб сума віділеніх їм ресурсів НЕ перевіщувала всех ресурсів системи, и при цьом віділені шкірному СЕРВіСУ ресурси були достатні для его нормальної роботи.
У разі, ЯКЩО програми НЕ поміщені у Віртуальні контейнери, домогти гарантованої ніжньої Межі доступних ресурсів можна Тільки в тому випадка, ЯКЩО на одному фізічному сервері віконується Тільки один сервіс. У Іншому випадка працює правило «хто перший встав, того и тапки», тоб будь-який з сервісів может в Якийсь момент зайнятості великий ОБСЯГИ вільніх ресурсів, так что остался НЕ вистача Іншому СЕРВіСУ для нормальної роботи. Інакше Кажучи, в розділяється середовіщі Неможливо гарантуваті окремому СЕРВіСУ нижню межу доступних ресурсів, І, отже, Неможливо дати Гарантії Клієнтам Щодо якості обслуговування.
Ізоляція ergo захіщеність
Default deny - найважлівішій принцип ІНФОРМАЦІЙНОЇ БЕЗПЕКИ: всяка Взаємодія, Яке НЕ є завідомо необхідною, має буті за замовчуванням Заборонена.
Сервіс, что пріймає Предложения від зовнішніх КЛІЄНТІВ, є одним з класичності джерел для різного роду вразливостей в безпеці системи. Найчастіше несанкціонованій доступ до ОС здійснюється самє через експлуатацію вразливостей Деяк СЕРВіСУ. Если піддався атаці сервіс поміщеній у віртуальний контейнер, Наслідки злому могут буті однозначно Менш руйнівнімі, чем у випадка, коли сервіс віконується безпосередно в операційній Системі сервера. У последнего випадка ОС сервера может буті Зламал через один з сервісів, а под удар підставляються всі віконуються Сервіси.
У разі віртуалізованого СЕРВіСУ, зломщік может отріматі доступ Тільки в рамках віртуального контейнера, так что даже ЯКЩО на сервері паралельно віконуються Інші Сервіси (в других віртуальніх контейнерах), то їх...
