Чем LXC отличается от KVM?

KVM — полноценная виртуализация с отдельным ядром в каждой виртуалке. LXC — контейнер, он делит ядро с хостом и запускает только пространство пользователя. За счёт этого LXC потребляет в разы меньше памяти и процессора, стартует за секунды, но ограничен Linux-гостями той же архитектуры.

Стоит ли запускать Docker внутри LXC?

Можно, но контейнер должен быть непривилегированным с ключами keyctl=1, nesting=1 и FUSE. На практике проще выделить отдельную виртуалку Debian/Ubuntu под Docker — меньше проблем с cgroups v2 и overlay2.

Привилегированные или непривилегированные контейнеры?

Всегда используйте непривилегированные. Они используют user namespace, и root внутри контейнера превращается в UID 100000 на хосте, что кардинально повышает безопасность. Привилегированные нужны только для специфических задач с NFS или шифрованным диском.

Можно ли мигрировать LXC между узлами Proxmox?

Офлайн-миграция — да, в том числе между нодами кластера с разными типами хранилища. Онлайн-миграция LXC на lxc.apparmor.profile по умолчанию не поддерживается, в отличие от KVM. Для критичных сервисов, где нужен live migration, выбирайте виртуалку.

Как ограничить RAM и CPU контейнера?

Команда pct set VMID --memory 2048 --swap 1024 --cores 2 --cpulimit 1.5 задаёт 2 ГБ RAM, 1 ГБ swap, 2 доступных ядра и лимит 150 процентов использования CPU. Лимиты применяются сразу без перезапуска контейнера.

Proxmox 22 июля 2025 · 14 мин чтения

LXC-контейнеры в Proxmox: лёгкая изоляция для офисных сервисов без лишних накладных расходов

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет обслуживания корпоративных инфраструктур я перевёл десятки офисов с «один сервис — одна физическая машина» на гипервизор, а потом с тяжёлых KVM-виртуалок на смесь KVM и LXC. И знаю из практики: на типовом офисном Dell Xeon Platinum 8280 правильно настроенные LXC позволяют запустить в три раза больше сервисов, чем на виртуалках, с той же RAM. А запускаются они за 2 секунды вместо минуты.

Что такое LXC и почему он быстрее KVM

LXC (Linux Containers) — это механизм изоляции процессов на одном ядре Linux через namespaces и cgroups. В отличие от KVM, где каждая виртуалка имеет своё ядро, BIOS и полный стек устройств, контейнер использует ядро хоста напрямую. Это даёт три ключевых плюса: моментальный старт, низкое потребление памяти и прозрачный доступ к ресурсам хоста через bind-mount.

В Proxmox VE LXC интегрирован в веб-интерфейс наравне с KVM. Вы создаёте контейнер из шаблона (CT Template), настраиваете сеть и диск, получаете готовую Linux-среду.

Параметр	LXC	KVM
Старт	1–3 секунды	30–60 секунд
Минимум RAM	128 МБ	512 МБ
Оверхед CPU	0–2%	5–15%
Гостевая ОС	Только Linux	Любая
Live migration	Нет (offline)	Да
Изоляция ядра	Общее ядро	Полная

Когда выбирать LXC, а когда виртуалку

Я всегда задаю себе три вопроса перед созданием сервиса.

Нужна ли отдельная ОС? Если да (Windows, FreeBSD, старый CentOS 6) — только KVM.
Критичен ли live migration? Если сервис должен переезжать без остановки — KVM.
Запускается ли Docker/Kubernetes? Хотя LXC умеет, проще выделить виртуалку — меньше проблем с nesting и cgroups v2.

Всё остальное (DNS, веб, мониторинг Zabbix/Prometheus, Nextcloud, GitLab Runner, Pi-hole, VPN, почтовые реле) — идеальные кандидаты для LXC. Экономия в разы.

Создание контейнера: pct и веб-интерфейс

Сначала скачиваем шаблон. Proxmox хранит шаблоны в /var/lib/vz/template/cache/.

# Обновить каталог шаблонов
pveam update

# Посмотреть доступные
pveam available --section system | grep debian

# Скачать Debian 12
pveam download local debian-12-standard_12.7-1_amd64.tar.zst

# Создать контейнер CTID 201, 2 ядра, 2 ГБ RAM
pct create 201 local:vztmpl/debian-12-standard_12.7-1_amd64.tar.zst \
  --hostname dns01 \
  --cores 2 --memory 2048 --swap 512 \
  --rootfs local-lvm:8 \
  --net0 name=eth0,bridge=vmbr0,ip=192.168.10.53/24,gw=192.168.10.1 \
  --nameserver 1.1.1.1 \
  --password \
  --unprivileged 1 \
  --features nesting=0,keyctl=0 \
  --onboot 1 \
  --ostype debian

# Запустить
pct start 201

# Войти в консоль
pct enter 201

Сети: bridge, VLAN, firewall

В Proxmox сетевая модель LXC идентична KVM: вы привязываете виртуальный интерфейс контейнера к бриджу хоста. Стандартный vmbr0 смотрит в офисную сеть, дополнительные бриджи — в DMZ, лабораторию, резервный аплинк.

# Добавить VLAN-тег к сети контейнера
pct set 201 --net0 name=eth0,bridge=vmbr0,tag=20,ip=192.168.20.53/24,gw=192.168.20.1

# Включить файрвол на конкретный контейнер
pct set 201 --firewall 1

# Правила задаются в /etc/pve/firewall/201.fw

На наших проектах я всегда выношу контейнеры с публичными сервисами (VPN, почтовый relay) в отдельный бридж с собственным WAN-портом, чтобы файрвол Proxmox отрезал их от внутренней сети на уровне L2.

Лимиты ресурсов и приоритеты

Один из ключевых плюсов LXC — мгновенная смена лимитов без перезагрузки. Мне часто приходится увеличивать RAM у контейнера с Zabbix в пиковые часы, и это делается одной командой.

# Установить лимиты
pct set 201 --memory 4096 --swap 1024 --cores 4 --cpulimit 2.0 --cpuunits 2048

# Ограничить IO на диск (в байтах/сек)
pct set 201 --rootfs local-lvm:vm-201-disk-0,mp=/,size=16G,mbps_rd=200,mbps_wr=100

# Посмотреть использование ресурсов
pct status 201 --verbose
pct cpusets

Bind-mounts: общие каталоги с хостом

Иногда нужно дать контейнеру доступ к большому хранилищу на хосте (например, NFS-шаре с файлами пользователей). Для этого используются bind-mounts.

# Примонтировать /srv/backup с хоста в /mnt/backup контейнера
pct set 201 --mp0 /srv/backup,mp=/mnt/backup,backup=0,ro=0

# Для непривилегированных контейнеров нужен сдвиг UID/GID
# UID 1000 в контейнере = UID 101000 на хосте
chown -R 101000:101000 /srv/backup/contaniner201-data

Флаг backup=0 исключает точку монтирования из дампов vzdump — иначе при бэкапе контейнера вы утащите и файлы, которые вообще не относятся к нему.

Бэкапы и восстановление

У Proxmox встроенная система бэкапов vzdump, которая одинаково работает для KVM и LXC. Я всегда настраиваю ежедневный дамп в PBS (Proxmox Backup Server) или на NFS.

# Ручной бэкап
vzdump 201 --storage pbs-office --mode snapshot --compress zstd

# Восстановление на другой узел или CTID
pct restore 301 /mnt/pbs/dump/vzdump-lxc-201-2026_04_10-03_00_00.tar.zst \
  --storage local-lvm --unprivileged 1

Кейс: консолидация 14 сервисов на один узел Proxmox

В феврале 2026 к нам обратилась инженерная компания из Москвы: 48 рабочих мест, 6 физических серверов разного возраста под разные задачи (DNS, мониторинг, веб-портал, GitLab, Nextcloud, Pi-hole, резервные задачи). Электричество и место в серверной давили на бюджет. Заказчик планировал купить новый Dell Xeon Platinum 8280 с 256 ГБ DDR4 и уйти в виртуализацию.

Мы установили Proxmox VE 8.3 на этот сервер, перенесли 3 Windows-задачи в KVM (1С, файловый, AD), а остальное — в 14 непривилегированных LXC-контейнеров. Суммарное потребление RAM после консолидации — 38 ГБ вместо 112 ГБ на старых машинах. Размер дампа всех 14 контейнеров — 8,4 ГБ, восстановление одного — 40 секунд. Сэкономили 5 юнитов в стойке и порядка 80 000 руб/год на электричестве. Проект занял 9 рабочих дней, стоимость внедрения — 210 000 руб.

Типичные ошибки и как их избежать

Запуск всего под root в привилегированном контейнере. Если контейнер взломают, уязвимость ядра превращается в root на хосте. Используйте unprivileged=1.
Забытые снапшоты на LVM-thin. Накапливаются быстро, занимают место — настройте pve-zsync или вручную удаляйте старые.
Bind-mount без ro=1 для логов. Контейнер может случайно перезаписать хостовые логи — всегда монтируйте read-only там, где возможно.
Nesting для Docker без keyctl. Docker в контейнере не поднимется — нужны оба флага.
Один сетевой бридж на всё. Сегментируйте VLAN-ами, иначе один взломанный контейнер открывает всю офисную сеть.

Развёртывание Proxmox и LXC для офиса

Проектирование, миграция старых физических серверов на гипервизор с KVM и LXC, настройка бэкапов на PBS, кластеры с HA — под ключ. Работаю с инсталляциями от 1 узла до 5-нодовых кластеров на Dell Xeon Platinum 8280 в дата-центре МТС.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — LXC в Proxmox

Чем LXC отличается от KVM?: KVM — полноценная виртуализация с отдельным ядром. LXC делит ядро с хостом и запускает только пространство пользователя, за счёт чего потребляет меньше ресурсов и стартует за секунды.
Стоит ли запускать Docker внутри LXC?: Можно, но нужны nesting=1 и keyctl=1. На практике проще выделить отдельную виртуалку под Docker.
Привилегированные или непривилегированные контейнеры?: Всегда непривилегированные. User namespace превращает root внутри в UID 100000 на хосте.
Можно ли мигрировать LXC между узлами Proxmox?: Офлайн-миграция — да. Онлайн-миграция LXC не поддерживается по умолчанию.
Как ограничить RAM и CPU контейнера?: Командой pct set с ключами --memory, --swap, --cores, --cpulimit. Лимиты применяются сразу.