>[оверквотинг удален]
>Я не спорю что иногда контейнеры удобны, в той же bsd jail`ы
>использовал не единожды. Много удобнее chroot, спору нет. Но после активной
>работы с xen меня совершенно не тянет на них возвращаться. По
>поводу ресурсов - легковесный Dom0 построенный на Debian или даже на
>чем-то embedded ориентированном (ну тот же опенврт) может быть запущен с
>минимумом доступных ресурсов и достаточно неплохой производительностью. Никакого спец. железа для
>domU не требуется, ваш пентиум 4 прекрасно потянет. Ну и кроме
>того - это будет много более секьюрно и функционально чем система
>построенная на контейнерах. Да и ноды могут быть любые, хоть с
>разными ОС если надо. Мы занимаемся и контейнерами, и гипервизорами. Лучшее, сочитать и то, и то. Не нужно из гипервизора пытаться делать враппер для каждого сервиса, а в каждый контейнер сажать тяжелые сервисы, и делить ноду на 5-6 частей, это как раз лучше получается у гипервизоров.
И, повторюсь, в ряде случаев очень выгодно использовать контейнеры внутри виртуалки.
А еще, апстримный Jails ну никак не то, что можно сравнивать с OVZ, PVC или LXC, они просто несравнимы по функционалу, как http-сервер в vsftpd, и Apache2 :)
Про безопасность, чушь. Дырки находили даже в ESX, а в OVZ не работал ни один из последних Linux-эсплойтов в паблик-доступе, да и десятки тысяч PVC инсталляций по всему миру клиенты-VPS-ки не рутают, хотя если есть код, в нем есть и дыры :)
Да, KVM и Xen умеют применять SELinux на гостевые системы, но нужно ли это где-то кроме особенно критичных систем, которые в контейнерах уж точно не стоит крутить?