Caleb Tennis（infrastructure nut）撰写的这篇文章展示了CloudBees的LXC设置—它是什么以及我们如何应用它。使用像我们这样的托管产品的一大优势云开发Jenkins服务是Cloudbees负责软件、安全和维护更新，以保持系统的高可用性。最近，我们对Jenkins基础设施的安全性进行了更新，从外部来看这并不一定明显，我们想借此机会强调一下这个围绕使用LXC的Linux容器构建的新体系结构。LXC提供了一种轻量级的方法，将正在运行的Linux操作系统的各个方面划分为更小的逻辑分组子集，这些逻辑分组隔离了资源。简而言之，这意味着我们可以在同一台Linux机器上运行多个Jenkins实例，但是要使它们彼此隔离，这样就不允许它们访问同一台机器上其他Jenkins实例的任何资源。既然一张照片值一千个字，那就让我们来看看这是怎么回事普莱门特德：把每个詹金斯都联系起来容器接收它自己的专用IP地址，这个地址是特定于那个容器的。（见要点）这些容器是桥接在一起的，并且可以从主运行的Linux实例访问，恰好在一个完全不同的网络中：（见要点）容器外部的防火墙用于阻止Jenkins实例之间的通信，严格地保持它们孤立的。在另外，容器中只有几个端口是打开的：（参见要点）在本例中，监听的是3个用于Jenkins服务、ssh和mail的端口服务。就这样。这些端口被隔离到这个命名空间中，并且只在上面列出的私有IP地址上可用，这样他们就不会和其他詹金斯大师跑同一辆车机器加工isolation快速查看容器中运行的进程：（参见要点）这是从Jenkins的角度来看可以看到的全部可视性。在本例中，使用systemd、java进程本身、提供webdav/private目录的davfs挂载程序和sshd/bash/"ps aux"来启动和管理容器中的进程，并运行命令进行演示。将这与从容器外部看到的完全相同的东西进行比较：（见要点）可以看到完全相同的过程，但过程不同IDs.文件系统隔离我们非常小心地将文件系统级别的内容隔离到容器中，以便只提供/允许访问运行Jenkins和其子流程。例如，让我们看看在同一台机器上，容器内的/etc目录与没有容器的/etc目录之间的区别：（see gist）在：（see gist）同样，system/home di教区长：外面容器：（见gist）和容器内：（见gist）结论LXC用于集装箱喷气机的测试和迁移路径一个半年的过程，从最初的概念和图纸，到第一轮的实现，在我们的测试环境中的推广，再到在所有生产客户中的一次偶然展示。随着我们了解到更多更好地实现我们想要提供的安全性和隔离性的技巧和技巧，我们将继续将它们添加到我们的基础设施中，并且您将继续从使用我们的托管Jenkins中获益服务。Caleb（CloudBees的基础设施狂热分子）。