Какие аспекты следует учитывать при принятии решения о том, какого гостя посадить в тюрьму (& ldquo; full & rdquo;), а какого в LXC?

В настоящее время я мигрирую на новый сервер. Старый работал 10.04 в качестве хост-системы и еще несколько 10.04 и Debian 6 в качестве гостей KVM. Это было хорошо, потому что процессор имел поддержку виртуализации. Производительность была приемлемой. Память была узким местом для этого случая.

На новом сервере у меня больше оперативной памяти, больше дисков, лучший процессор, и я думаю, что не будет проблемой справиться с нагрузкой (нагрузка, которую старый мог бы принять без проблем). Однако теперь я хотел бы разделить гостей на некоторых с мелкой тюрьмой lxc и некоторых с полной виртуализацией под KVM / libvirt, что обеспечивает мне большую уверенность (в плане безопасности), чем chroot, но большую производительность чем libvirt / kvm за счет недостатков безопасности.

Некоторые из гостей получат свои IP-адреса (v4 и v6) «напрямую» через Интернет (как минимум, два веб-сервера), в то время как другие будут предоставлять услуги только «внутренней сети». Также будет один nginx экземпляр, который действует как веб-интерфейс для нескольких веб-серверов, которые не становятся доступными напрямую. Должен ли это быть руководящим фактором, хотя? Факт, являются ли гости "веб-лицом"?

Моя главная забота - безопасность, сопровождаемая работой.

Вопрос: Какие аспекты следует учитывать при принятии решения, какой из них попадает в тюрьму LXC, а какой становится полным гостем KVM?