Изоляция виртуальных хостов Apache с помощью контейнера linux
У меня есть хост веб-сервера (Apache в Linux), на котором запущено множество виртуальных хостов, которые предлагают CGI и FastCGI, используя chroot для разделения процессов друг от друга. По ряду причин я подумываю заменить каждое chroot-окружение контейнером Linux. Удивительно, но я почти ничего не нашел об этой идее! Я единственный, у кого есть такая идея ?? Это плохая идея? (Может ли пользователь сбежать из контейнера?) Кто-нибудь заинтересован поделиться со мной своими мыслями (или ссылками) по этому поводу?
К сожалению, контейнер можно использовать только для CGI и FastCGI, потому что процесс / поток (в данном случае Apache) не может войти в контейнер, выполнить свою работу и уйти. Он должен выйти на этом этапе, верно? Или есть уловка?
Если я прав, результатом вашей идеи будет то, что apache будет своего рода контейнерным демоном. Какая должна быть польза? Apache лучше всего справляется с сетевыми запросами.
Поскольку операции ввода-вывода процессов в ваших контейнерах доступны только через виртуальную сеть, они должны быть подключены к сетевому интерфейсу в контейнере. Таким образом, cgi/fastcgi не будет работать, поскольку их интерфейс представляет собой процессы и каналы.
Если (специализированный) apache внутри контейнера слишком «большой» для вас, может быть, подойдет netcat?
Поищите в Интернете «микросервис» подход!