Как Cloud Foundry справляется с изоляцией процессов?

Я задал этот вопрос в списке рассылки. Вот что я получил в ответ:

Если ваш DEA настроен для работы в безопасном режиме, то каждое приложение запускается как отдельный пользователь, и для их защиты используется изоляция процессов. Мы движемся к модели использования контрольных групп Linux http://en.wikipedia.org/wiki/Cgroups в Linux, используя обертки контрольной группы, которые уже есть в нашем исходном дереве.

Изоляция на основе виртуальной машины для одного приложения довольно тяжела, но у нас есть долгосрочные планы по предоставлению этого для приложений, которые в этом нуждаются/желают. (В отличие от работы надзирателя/контрольной группы, которая является краткосрочным проектом)

Поскольку это связано с открытым исходным кодом для создания облачных сервисов, вы можете попробовать задать свой вопрос на странице https://groups.google.com/a/cloudfoundry.org/group/vcap-dev

Вы должны получить быстрый ответ там!