nixp.ru v3.0

22 августа 2017,
вторник,
08:12:29 MSK

DevOps с компанией «Флант»
6 июля, 07:42

Oracle представила микроконтейнеры и три Open Source-утилиты для них: smith, crashcart, railcar

Иллюстрация микроконтейнера Oracle
Иллюстрация микроконтейнера Oracle
Иллюстрация с сайта Blogs.Oracle.Com

В конце июня Виш Абрамс (Vish Abrams), архитектор облачного подразделения Oracle, анонсировал открытие исходного трёх своих проектов для контейнеров, используемых в облачных окружениях корпорации: smith, crashcart, railcar.

При работе с контейнерами Docker в Oracle выявили ряд проблем (большие образы, превышение привилегий, Overlayfs и др.), обобщённое решение которых привело к созданию новой концепции под названием «микроконтейнеры» (см. Microcontainer Manifesto). Как подчёркивают в Oracle, эта концепция не приносит новый формат контейнеров, потому что она о методе создания контейнеров, который призван сделать их более безопасными и стабильными. Особенности микроконтейнера Oracle таковы:

  • содержит единственный исполняемый файл и его зависимости (нет shell’а, нет процесса init);
  • корневая файловая система — в режиме только для чтения (записи изолированы и обслуживаются примонтированными томами);
  • у файловой системы нет пользователя или группы-владельца (всем владеет единственный пользователь, у него есть доступ на чтение всего);
  • отключены timestamps и capabilities для файловой системы;
  • сборка воспроизводится и каждый раз создаёт только такой же образ.

Для работы с такими контейнерами — микроконтейнерами Oracle — и предназначены утилиты, исходный код которых был открыт:

  1. smith — написанная на Go утилита для сборки микроконтейнеров из пакетов RPM (и репозиториев yum) или готовых контейнеров Docker, результатом становится образ в формате OCI (Open Container Initiative), а также поддерживается работа с образами из репозиториев Docker;
  2. crashcart — написанная на Rust утилита для загрузки (sideload) в существующий контейнер образа с Linux-приложениями (бинарными файлами) для отладки приложения внутри контейнера;
  3. railcar — написанная на Rust реализация спецификации исполняемой среды контейнера (oci-runtime), т.е. аналог эталонного решения runC, но позиционируемый авторами как более безопасный.

Исходный код всех проектов распространяется под двумя Open Source-лицензиями: Universal Permissive License 1.0 и Apache License 2.0.

Постоянная ссылка к новости: https://www.nixp.ru/news/14104.html. Дмитрий Шурупов по материалам Blogs.Oracle.Com.

fb twitter vk
ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.