The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

10.07.2014 22:45  Red Hat и Docker развивают систему изолированных контейнеров для десктоп-приложений

Кристиан Шаллер (Christian Schaller), возглавляющий группу по развитию десктоп-систем в компании Red Hat, рассказал о работе над технологией изолированного выполнения десктоп-приложений для GNOME, которая развивается для Fedora Workstation совместными усилиями разработчиков из Red Hat и проекта Docker.

Суть проекта в подготовке средств, которые бы позволили использовать Docker для создания контейнеров для десктоп-приложений, по аналогии с существующими средствами создания контейнеров для серверных и web-приложений. При этом в случае десктоп-приложений возникает необходимость организации взаимодействия из контейнера с API графической подсистемы и обеспечение доступа к данным пользователя. В настоящее время уже подготовлен прототип контейнера для запуска приложения Cheese, в котором используется концепция "порталов", предоставляющих доступ к ресурсам вне контейнера через API DBus. Например, для Cheese таким способом обеспечен доступ к web-камере и микрофону.

Одновременно, Алан Дей (Allan Day), сотрудник компании Red Hat и член команды дизайнеров GNOME, рассказал о мотивах использования дополнительной изоляции и некоторых идеях по распространению, установке и обновлению десктоп-приложений, оформленных в виде самодостаточных контейнеров. Выполняемые в контейнере приложения смогут получить доступ только к ограниченному набору системных интерфейсов. При необходимости работы с дополнительными API (например, работа камерой, GPS, микрофоном) или обращения к данным пользователя предлагается запрашивать у пользователя подтверждение полномочий.

Кроме повышения уровня безопасности и приватности контейнеры позволят задействовать для приложения зависимости, которые не предоставляются текущей операционной системой, а также отделить установку и обновление контейнеров от основной операционной системы. Например, если программа требует более новый выпуск библиотеки, то её поставка в контейнере избавит от необходимости перехода всей системы на новую библиотеку с обновлением всех зависимостей. Поставка в контейнерах также даст возможность не нагромождать систему лишними зависимостями, так как вместо доустановки в систему зависимостей, необходимых только одному приложению, проще использовать данное приложение в форме контейнера.

Разработчики приложений, особенно тех, что не включены в штатные репозитории дистрибутивов, смогут распространять программы в виде контейнеров, включающих все зависимости, что избавит от необходимости формирования отдельных сборок для каждого дистрибутива. Пользователь же получит дополнительные гарантии, что оформленное в виде контейнера приложение не выйдет за границы дозволенного и будет полностью подконтрольно при выполнении операций с его данными.

  1. Главная ссылка к новости (http://blogs.gnome.org/uraeus/...)
  2. OpenNews: Первый стабильный выпуск cистемы управления контейнерной виртуализацией Docker
  3. OpenNews: Обсуждение развития GNOME, как привязанной к Linux системы
  4. OpenNews: Разработчики GNOME собираются реализовать самодостаточные пакеты приложений, не зависимые от дистрибутивов
  5. OpenNews: Представлена начальная реализация системы управления установкой приложений для GNOME
  6. OpenNews: Коллекция самодостаточных Linux-приложений, оформленных в виде одного файла
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: gnome, sandbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, sysstartd, 23:33, 10/07/2014 [ответить] [смотреть все]
  • +2 +/
    всё к этому и ишло, если попрёт то через пару лет больше половины дистрибутивов просто вымрет
     
     
  • 2.3, Crazy Alex, 23:38, 10/07/2014 [^] [ответить] [смотреть все] [показать ветку]
  • –12 +/
    Например Redhat
     
     
  • 3.12, sysstartd, 00:50, 11/07/2014 [^] [ответить] [смотреть все]
  • +2 +/
    по правде говоря у Ubuntu намного больше шансов утонуть чем у Redhat, возьмем к ... весь текст скрыт [показать]
     
     
  • 4.21, ананим, 03:02, 11/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Это в федора-тим такое поверие что ли Даже если в убунту будет системд, вяленый... весь текст скрыт [показать]
     
     
  • 5.24, Perl_Jam, 03:11, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    у меня crux с LAMP взлетает быстрее, нежели arch с тем же набором к чему бы э... весь текст скрыт [показать]
     
     
  • 6.25, Perl_Jam, 03:12, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    подсказка arch на systemd, у cruxa свой bsd-like init... весь текст скрыт [показать]
     
     
  • 7.29, ананим, 03:23, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну дык Каждому своё А у меня шаблоны на генту с опенрк тот же init в основе, ... весь текст скрыт [показать]
     
     
  • 8.31, Perl_Jam, 03:40, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    на опенрц я уже много лет и проблем не испытываю, когда-то был еще init-ng, помн... весь текст скрыт [показать]
     
     
  • 9.34, ананим, 03:49, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Да usr то ладно Тут хоть думку думать надо D А tmp Вообще ж нафиг не нужна... весь текст скрыт [показать]
     
  • 9.35, Аноним, 03:53, 11/07/2014 [^] [ответить] [смотреть все]  
  • –5 +/
    одминоватники итт, не способные в документацию и саморазвитие мусолят свои субъе... весь текст скрыт [показать]
     
     
  • 10.59, Владимир, 10:32, 11/07/2014 [^] [ответить] [смотреть все]  
  • +5 +/
    Говсподин Кличко, залогинтесь
     
  • 8.83, Аноним, 15:48, 12/07/2014 [^] [ответить] [смотреть все]  
  • +/
    А отмонтировать tmp в дистре с systemd не все могут Вернее, могут не только ли... весь текст скрыт [показать]
     
  • 5.33, sysstartd, 03:47, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    по правде говоря ни федора ни редхат никогда на железе у меня не стояли, предпоч... весь текст скрыт [показать]
     
     
  • 6.38, ананим, 04:03, 11/07/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    А ещё деб-срц с кучей софта различных версий и вариантов И можешь дальше ёрнича... весь текст скрыт [показать]
     
     
  • 7.44, Perl_Jam, 04:17, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    строго говоря, это ubuntu-based Linux Mint ... весь текст скрыт [показать]
     
     
  • 8.45, ананим, 04:39, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну дык и я о чём В свою очередь убунту 8212 дебиан-бэйзед И никакие системд... весь текст скрыт [показать]
     
  • 5.66, Аноним, 13:09, 11/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Вот так и рождаются инновационные продукты Хочу заметить ... весь текст скрыт [показать]
     
  • 5.82, анонисимус, 09:47, 12/07/2014 [^] [ответить] [смотреть все]  
  • +/
    с лора заглянул дурачок?
     
  • 2.5, vitalif, 23:41, 10/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Да это только гемор лишний, нужный для проприетарщины А проприетарщины нам тут ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, sysstartd, 00:57, 11/07/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    проприетарщина может и без контейнеров спокойно себя чувствовать Docker это все... весь текст скрыт [показать]
     
     
  • 4.16, Crazy Alex, 01:51, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    На кой мне вендекапец с виндовыми проблемами, перелезшими в линукс?
     
     
  • 5.20, sysstartd, 02:59, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Цель любой более-менее распостранённой ОС быть удобной для массового пользовател... весь текст скрыт [показать]
     
     
  • 6.26, ананим, 03:14, 11/07/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    И в чём удобство то Чиз в контейнере гонять Вот скайп проприетарь в контейне... весь текст скрыт [показать]
     
     
  • 7.32, ананим, 03:42, 11/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Зыж добавлю дело за малым 8212 заставить мс со своим скайпом да и всех остал... весь текст скрыт [показать]
     
  • 6.27, Perl_Jam, 03:18, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    и превращения системы в адскую помойку но shared libs никто не отменял давайте,... весь текст скрыт [показать]
     
  • 6.46, jOKer, 05:09, 11/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну, тогда я предпочитаю не шибко распространенyю Gentoo, ибо для меня Linux - эт... весь текст скрыт [показать]
     
  • 2.9, Аноним, 00:27, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Потому что можно будет запаковать свою софтину в контейнер, и она будет работать... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, vitalif, 00:30, 11/07/2014 [^] [ответить] [смотреть все]  
  • –4 +/
    Ага, только судя по тому, что эти технологии с контейнерами выдумывает каждый ко... весь текст скрыт [показать]
     
     
  • 4.30, Stax, 03:26, 11/07/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Вы вообще в курсе, что такое docker - или так, лишь бы написать что-то Это штук... весь текст скрыт [показать]
     
     
  • 5.37, Аноним, 04:02, 11/07/2014 [^] [ответить] [смотреть все]  
  • –4 +/
    коллега, вы бисер мечите - тяжёло ожидать от одминоватников прочтения более трёх... весь текст скрыт [показать]
     
  • 5.74, anonymousZ, 16:52, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Docker - это Docker По сути еще один API еще один велосипед для работы с вир... весь текст скрыт [показать]
     
  • 3.28, Perl_Jam, 03:22, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    а еще можно гвозди забивать микроскопом... весь текст скрыт [показать]
     
  • 1.8, Аноним, 23:53, 10/07/2014 [ответить] [смотреть все]  
  • +7 +/
    Давно пора. Линукс становится действительно тортом для десктопа. Скоро разрабам можно будет спокойненько паковать свои прожекты в контейнер и не парится где он там будет запущен с какой конфигурацией чего и какими либами. Выстрелил и забыл. Если конечно счастье наступит.
     
     
  • 2.11, vitalif, 00:31, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Нене Нормальный софт распространяется в исходниках и пересобирается под новые в... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Аноним, 01:41, 11/07/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    или не собирается с новыми версиями и тихонько гниет... весь текст скрыт [показать]
     
     
  • 4.17, Crazy Alex, 01:52, 11/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Альтернатива - таскать старые дырявые и бажные либы - нравится больше?
     
  • 3.42, fyfx, 04:09, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Совершенно верно, пересобирается под новые версии либ и помещается в контейнер.
     
  • 3.55, еще 1 аноним, 09:33, 11/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    я бы сказал что не винда а osx budles
     
     
  • 4.56, еще 1 аноним, 09:35, 11/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    *bundles
     
  • 1.13, rob pike, 00:55, 11/07/2014 [ответить] [смотреть все]  
  • +/
    > доступ только к ограниченному набору системных интерфейсов. При необходимости работы с дополнительными API (например, работа камерой, GPS, микрофоном) или обращения к данным пользователя предлагается запрашивать у пользователя подтверждение полномочий.

    В Андроиде и, частично, в Windows > Vista (UAC) эта модель уже показала свою несостоятельность для массового пользователя.
    Как в виде подтверждения доступа при установке программы, так и в виде подтверждения конкретного действия.

     
     
  • 2.18, Crazy Alex, 01:52, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Причем оно умудряется совмещать оба типа неудобств - паршивую защиту и раздражен... весь текст скрыт [показать] [показать ветку]
     
  • 2.19, Аноним, 01:56, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Кто о чем Кто о контейнерах, а кто о контроле учетных записей пользователей со... весь текст скрыт [показать] [показать ветку]
     
  • 2.22, rshadow, 03:05, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    UAC это винда, и этим все сказано В андроиде сделано топорно Лучшая реализация... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, ryoken, 09:17, 11/07/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    В порядке бреда UAC это United Aerospace Corporation, к чему её опыты доводят,... весь текст скрыт [показать]
     
  • 3.72, AlexYeCu, 13:54, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Вы описали работу SuperSU в Андроид Должен заметить, в сравнении с настройками ... весь текст скрыт [показать]
     
  • 1.52, AV, 08:31, 11/07/2014 [ответить] [смотреть все]  
  • –2 +/
    Простая тема - программы для людей, и люди полюбят Вас с Вашим результатом труда.

    Ещё бывают программы для себя лично, в кругу единомышленников. Но они мало кому нужны. Сколько там процентов Linux десктопов. 1-5% ? Вот им они и нужны в том виде, как есть.

    Кто-то пытается приспособить накопленное для людей. Таких довольно много и много пользы от их труда.

    Т.е., в общем, оно всё полезное, во всех видах. :)

     
  • 1.57, arsenicum, 09:55, 11/07/2014 [ответить] [смотреть все]  
  • +/
    Господа комментаторы, причём тут Windows? Это же чистой воды яблочный App Sandbox.
     
  • 1.58, iZEN, 10:10, 11/07/2014 [ответить] [смотреть все]  
  • –3 +/
    --- Кроме повышения уровня безопасности и приватности контейнеры позволят зад... весь текст скрыт [показать]
     
     
  • 2.61, ананим, 10:59, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Да когда тебе стыдно то было?
    Не шмагла ты, вот и усё.
     
  • 2.63, Пончик, 11:21, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ну ты за всех то не отвечай Как минимум один BSD-шник делает ту же самую идейку... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.76, iZEN, 19:20, 11/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Неплохо ... весь текст скрыт [показать]
     
  • 1.60, жабабыдлокодер, 10:41, 11/07/2014 [ответить] [смотреть все]  
  • –1 +/
    То есть, с использованием Докера можно будет держать несколько разных версий одной программы на компьютере? Даже если совсем старая версия будет ссылаться на совсем старые библиотеки?
     
     
  • 2.70, AlexYeCu, 13:47, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это можно и сейчас без всяких докеров.
     
  • 2.84, одмин, 20:41, 13/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    chroot сто лет в обед docker - это chroot на стероидах Тоесть проблемы и решен... весь текст скрыт [показать] [показать ветку]
     
  • 1.62, Аноним, 11:02, 11/07/2014 [ответить] [смотреть все]  
  • –1 +/
    А разве SELinux и AppArmor не тем-же самым занимаются Ну за исключением подтяги... весь текст скрыт [показать]
     
     
  • 2.65, Аноним, 12:36, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я тоже не понял почему решили отказаться от SELinux и пр , если основная задача ... весь текст скрыт [показать] [показать ветку]
     
  • 2.67, Аноним, 13:16, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вся суть Линукса в ядре Все остальное к Линуксу не относится Сколько раз уже м... весь текст скрыт [показать] [показать ветку]
     
  • 1.64, Аноним, 11:45, 11/07/2014 [ответить] [смотреть все]  
  • +5 +/
    Только меня пугают перспективы security апдейтов контейнеров Скажем нашли heart... весь текст скрыт [показать]
     
     
  • 2.71, AlexYeCu, 13:49, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Фиг знает, если только все не проектоспецифичные либы будут хард линками на баз... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.75, anonymousZ, 17:28, 11/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Нет там линков Это буратины разработчики докера придумали сделать базовый обр... весь текст скрыт [показать]
     
  • 1.68, Ник, 13:22, 11/07/2014 [ответить] [смотреть все]  
  • +1 +/
    Мне кажется, это решение подойдет для защиты массового хостинга, админы которых настолько тупы, что до сих пор не смогли освоить неймспейсы и цгруппы =)

    В остальном будет дикий оверхед от одновременно подгруженных в память 100500 одинаковых либ, для каждого ПО своим инитом и прочим хламом, который сейчас разделяемый.

     
  • 1.69, AlexYeCu, 13:47, 11/07/2014 [ответить] [смотреть все]  
  • +1 +/
    В Андроиде тоже своего рода контейнеры — там каждое приложение от своего пользователя запускается, без рута может писать только свой каталог, куча разрешений и т.д. Но считать эту систему безопасной я лично не могу, а вот уровень безопасности прочих никс-подобных меня более-менее устраивает.
     
  • 1.77, Seyko, 19:21, 11/07/2014 [ответить] [смотреть все]  
  • +/
    Как через D-bus можно выйти из контейнера? И как этот выход отражается в хост-системе (именованные каналы или что)?
     
  • 1.78, via, 19:32, 11/07/2014 [ответить] [смотреть все]  
  • +/
    Что такое "Fedora Workstation"?

    Этим ребятам на заметку. Если в lxc гостя поставить xorg, и логиниться туда ssh -X, это почти что готовый контейнер для "десктоп приложений". С весны с выходом 14.04LTS c LXC1.0 он еще и "продакшин-реди" (а вообще это все работало и в 12шке )

    lxc конечно не так понтово звучит, как ДОКЕР. И репозитария готовой +100500 ботвы в сети я не припомню... Но все-же, все же, мне представляется данная конкретная затея очередным велосипедостроительством by fedora&gnome team.

     
     
  • 2.81, Аноним, 22:16, 11/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ну так, ведь для redhat важен и wayland Поэтому приходится переизобретать сетев... весь текст скрыт [показать] [показать ветку]
     
  • 1.79, Anonym0uz, 19:34, 11/07/2014 [ответить] [смотреть все]  
  • +3 +/
    Идея с контейнерами вроде как передовая, но по сути это "избавление от зависимостей" есть путь к инсталляторам-блобам, то что используется уже в макоси и виндовс, когда вместо разбиения программы на зависимости, которые реюзаются разным по, каждая программа тащит это всё в себе. Да, конечно это передовая реализация на новом технологическом уровне и всё такое, но сути это не меняет — регресс, шаг назад от идей пакетных систем дистрибуции.
     
     
  • 2.85, puresaredager, 12:00, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну как же вы не понимаете Никто у Вас не отнимает пакетный менеджер Я согласен... весь текст скрыт [показать] [показать ветку]
     
  • 1.80, Аноним, 20:22, 11/07/2014 [ответить] [смотреть все]  
  • +/
    Ubuntu со своим SDK и рядом не валялась, да.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList