The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

01.12.2014 22:00  Проект CoreOS представил Rocket, конкурирующий с Docker инструментарий управления контейнерами

Проект CoreOS, развивающий основанное идеях контейнерной изоляции серверное окружение, анонсировал создание нового инструментария для управления созданием, запуском и выполнением изолированных контейнеров - Rocket, выступающего в качестве более безопасной, переносимой и адаптированной для серверного применения альтернативы Docker. Rocket нацелен на манипуляцию контейнерами, построенными в соответствии со спецификацией App Container, также предложенной проектом CoreOS и нацеленной на создание универсального переносимого формата контейнеров.

Наиболее существенные отличия Rocket от Docker заключаются в использовании иной модели выполнения, позволяющей достигнуть значительно более высокого уровня защищённости. В Docker все операции проводятся с участием одного централизованного фонового процесса, что создаёт серьезные потенциальные проблемы с безопасностью, устранить которые можно лишь путём полной переработки организации работы. Также утверждается, что последнее время Docker отклонился от первоначальных задач и стал развивать функции, выходящие за рамки средств управления контейнерами, превращаясь в излишне усложнённую платформу.

Rocket сосредоточен только на управлении контейнерами и обеспечении их максимальной переносимости. В Rocket применяется многоуровневая модульная архитектура, разделяющая операции работы с контейнером, на отдельные стадии, отдельно обрабатывающие этапы настройки файловой системы, подготовки исполняемого окружения и запуска приложений в контейнере. Кроме безопасности подобный подход также позволяет добиться хорошей расширяемости за счёт возможности реализации дополнительных функций через подключение дополнений.

Выделяются три основные стадии запуска контейнера:

  • Нулевая стадия, обработка которой производится силами утилиты rkt без привлечения дополнительных средств. На данной стадии производится начальная подготовка контейнера: генерация UUID и манифеста, создания файловой системы для контейнера, настройка директорий для выполнения следующих стадий, копирование исполняемого файла первой стадии в ФС контейнера, извлечение заданных ACI (App Container Image), распаковка образов и копирование приложений в директории третьей стадии;
  • Первая стадия, работа которой обеспечивается отдельным исполняемым файлом, имеющим полномочия настройки cgroups, запуска процессов и выполнения операций под пользователем root. На данной стадии осуществляется создание исполняемой группы на основе ФС, подготовленной в нулевой стадии, установка cgroups, пространств имён и точек монтирования. Настройка производится через генерацию unit-файлов systemd и использование systemd-nspawn для организации работы окружения;
  • Вторая стадия, на которой производится непосредственный запуск приложения в подготовленном контейнере. В частности, на данной стадии выполняется процесс инициализации содержимого контейнера, описанный в манифесте запуска приложения (Application Manifest).

Основные компоненты Rocket:

  • App Container Image - определяет образ, содержащий все необходимые элементы для запуска контейнера приложения. Для защиты применяется проверка по цифровой подписи и опционально шифрование, что позволяет использовать для распространения образов публичные сети хранения и BitTorrent;
  • App Container Runtime - определяет окружение для запуска контейнера приложения;
  • App Container Discovery - федеративный протокол для поиска и загрузки образов контейнеров приложений.

Для создания контейнеров и организации их изолированного выполнения применяются те же штатные механизмы ядра Linux, что в Docker - пространства имён (namespaces) и группы управления (cgroups). При этом, для управления контейнером используются средства запуска изолированных окружений, предоставляемые системным менеджером systemd. Для управления предложена новая консольная утилита rkt, предоставляющая набор команд, похожий на docker. Как и Docker, код Rocket написан на языке Go и поставляется под лицензией Apache 2.0.

Следование универсальной спецификации App Container, определяющей окружающие контейнер службы, позволяет создавать независимые собственные реализации, совместимые с Rocket. Более того, в будущем, когда App Container достигнет зрелости, планируется подготовить реализацию данной спецификации для Docker, что позволит обеспечить переносимость обоих проектов.

  1. Главная ссылка к новости (https://coreos.com/blog/rocket...)
  2. OpenNews: Первый стабильный выпуск серверной Linux-системы CoreOS
  3. OpenNews: Red Hat представил Atomic, концепцию модульной ОС на базе изолированных контейнеров
  4. OpenNews: Выпуск cистемы управления контейнерной виртуализацией Docker 1.3
  5. OpenNews: Canonical и Docker развивают LXD, гипервизор для изолированных контейнеров (дополнено)
  6. OpenNews: Обновление Docker 1.3.2 с устранением критических уязвимостей
Лицензия: CC-BY
Тип: Программы
Ключевые слова: coreos, roket
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:20, 01/12/2014 [ответить] [смотреть все]
  • –1 +/
    Ну и кто кого уже? :)
     
     
  • 2.3, Аноним, 22:38, 01/12/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Хрен их разберет Куча систем, ни одна нормально не поддерживается в популярных ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, Bizdelnick, 22:47, 01/12/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Ага aptitude versions docker io Пакет docker io ... весь текст скрыт [показать]
     
  • 3.7, Аноним, 23:17, 01/12/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    На презентации RH7 Тоттон больше получаса распинался о полной коммерческой подде... весь текст скрыт [показать]
     
  • 3.14, Michael Shigorin, 00:11, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    docker изначально почему-то не вызывал особого доверия, а стопка детских дырок э... весь текст скрыт [показать]
     
     
  • 4.21, Аноним, 06:11, 02/12/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Я думал на GO можно писать без дырок.
     
     
  • 5.34, Xaionaro, 08:28, 02/12/2014 [^] [ответить] [смотреть все]  
  • +6 +/
    > Я думал на GO можно писать без дырок.

    Я бы скорее сказал, что на всём можно писать с дырками.

     
  • 1.2, th3m3, 22:37, 01/12/2014 [ответить] [смотреть все]  
  • –3 +/
    Реально то какая польза от всех этих докеров Я почитал про эти контейнеры Спло... весь текст скрыт [показать]
     
     
  • 2.6, Аноним, 23:05, 01/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Вы в конце 2014 года узнали о контейнерах Так сказать, после первой успешной SQ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, vitalif, 23:32, 01/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну для борьбы с этим, положим, контейнеры - overkill, обычного чрута достаточно ... весь текст скрыт [показать]
     
     
  • 4.11, Аноним, 23:45, 01/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Вы знаете модное слово overkill, но не знаете что с точки зрения безопасности ch... весь текст скрыт [показать]
     
     
  • 5.16, Michael Shigorin, 00:13, 02/12/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Не бесполезен, но рута в чруте лучше считать эквивалентом рута в хосте Как выра... весь текст скрыт [показать]
     
  • 5.24, Аноним, 07:32, 02/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Почему админы в РФ упорто считают срадствами безопасной изоляции, то средства ви... весь текст скрыт [показать]
     
     
  • 6.30, Аноним, 08:12, 02/12/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Гарантирует что атакующий не сможет исчерпать всю память или файловые дескриптор... весь текст скрыт [показать]
     
     
  • 7.37, grec, 09:37, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    RES_CPU - CPU time in milliseconds RES_FSIZE - Maximum file size in by... весь текст скрыт [показать]
     
  • 6.39, Аноним, 09:45, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    chroot Разработан в 1982 Изоляция ФС - частичная Copy on write - нет Дисковые к... весь текст скрыт [показать]
     
     
  • 7.41, Аноним, 09:47, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    http en wikipedia org wiki Operating_systemБ level_virtualization парсер лох ... весь текст скрыт [показать]
     
  • 7.44, anonymous, 09:58, 02/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    gt оверквотинг удален Посмотрите посты выше Большая часть этих механизмов в c... весь текст скрыт [показать]
     
     
  • 8.46, Аноним, 10:09, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Не вижу. Покажите.
     
  • 5.64, vitalif, 15:37, 02/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Это под рутом Но имея рута, ты вылезешь и из LXC А без рута ты и chroot не пок... весь текст скрыт [показать]
     
  • 4.12, Аноним, 23:48, 01/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Особенно интересно узнать как chroot помешает атакующему открыть 25 110 etc порт... весь текст скрыт [показать]
     
     
  • 5.25, Аноним, 07:38, 02/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Правильной настройкой iptables ... весь текст скрыт [показать]
     
     
  • 6.56, Аноним, 11:07, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Я верю что с помощью большого количества костылей можно превратить детскую коляс... весь текст скрыт [показать]
     
  • 5.65, vitalif, 15:39, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Что значит открыть Как открытие поможет рассылке спама И как к спаму вообщ... весь текст скрыт [показать]
     
  • 4.15, Michael Shigorin, 00:12, 02/12/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    chroot -- не средство безопасности Как минимум в openvz это сильно не так ... весь текст скрыт [показать]
     
     
  • 5.23, Аноним, 06:41, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    > chroot -- не средство безопасности.

    А что тогда?

     
     
  • 6.26, Аноним, 07:42, 02/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    https en wikibooks org wiki Grsecurity Appendix Grsecurity_and_PaX_Configurati... весь текст скрыт [показать]
     
     
  • 7.29, Xaionaro, 08:11, 02/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Не понял я, это был сарказм или вы серьёзно, но на всякий случай отвечу Если вы... весь текст скрыт [показать]
     
     
  • 8.50, Аноним, 10:40, 02/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Это слёзы Укреплённые технологии chroot и jail сегодня дают больше гарантий б... весь текст скрыт [показать]
     
     
  • 9.52, Аноним, 10:47, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ПОСТАВЛЯЕТСЯ КАК ЕСТЬ ЕЕ ПОСТАВЩИКИ ОТКАЗЫВАЮТСЯ ОТ ВС... весь текст скрыт [показать]
     
  • 8.58, bOOster, 11:47, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    И все эти костыли в купе еще современные плюшки как то виртуализация IP стека ... весь текст скрыт [показать]
     
  • 7.35, Аноним, 09:16, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    При чем тут grsecurity Это совершенно независимый набор патчей затыкающих кучку... весь текст скрыт [показать]
     
     
  • 8.42, grec, 09:53, 02/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Причем тут независимость Разговор не об этом, а об контейнерах vs grsec selinux... весь текст скрыт [показать]
     
     
  • 9.43, Xaionaro, 09:57, 02/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    В контейнерной виртуализации вас никто не ограничивает в применяемых технологиях... весь текст скрыт [показать]
     
     
  • 10.47, Аноним, 10:20, 02/12/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Большинство так и делает grsec виртуализация grsec RBAC grsec chroot ... весь текст скрыт [показать]
     
     
  • 11.48, Аноним, 10:25, 02/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    >grsec + chroot

    Только для домашнего использования.

     
     
  • 12.51, Аноним, 10:44, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    http www opennet ru openforum vsluhforumID3 100446 html 50 ... весь текст скрыт [показать]
     
     
  • 13.54, Аноним, 10:56, 02/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Правильно настроеный chroot гарантирует безопасную изоляцию процессов -Аноним... весь текст скрыт [показать]
     
     
  • 14.57, Аноним, 11:29, 02/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Но он же... три восклицательных знака ...
     
  • 11.76, Xaionaro, 10:40, 03/12/2014 [^] [ответить] [смотреть все]  
  • +/
    IMHO, очень странная у вас выборка, если в ней большинство использует grsec ... весь текст скрыт [показать]
     
  • 9.45, Аноним, 10:06, 02/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Где Я вижу только Что полная чушь Почему vs Why not both не вижу ничего что... весь текст скрыт [показать]
     
     
  • 10.53, Аноним, 10:54, 02/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    man limits conf man ulimit grsec Dec 2 10 00 03 xxxxx kernel grsec deni... весь текст скрыт [показать]
     
     
  • 11.55, Аноним, 11:05, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Ты видишь тут ulimit Нет А он есть Why not cgroups LXC docker cgroup... весь текст скрыт [показать]
     
  • 6.27, Xaionaro, 08:00, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Это средство для смены корневой директории не безвозвратно IIRC, изначально с... весь текст скрыт [показать]
     
  • 6.49, Аноним, 10:31, 02/12/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    chroot это средство безопасности В той же мере как носок средство контрацепции ... весь текст скрыт [показать]
     
  • 5.66, vitalif, 15:40, 02/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Вот именно - в OpenVZ-то это не так, а в LXC именно так ... весь текст скрыт [показать]
     
  • 3.18, th3m3, 03:15, 02/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Да, в 2014 году прочитал Подумал, мало ли, может я чего-то упускаю Что-то модн... весь текст скрыт [показать]
     
     
  • 4.32, Xaionaro, 08:17, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    А что вы используете для изоляции окружений Гипервизорные виртуальные системы ... весь текст скрыт [показать]
     
  • 4.33, Аноним, 08:19, 02/12/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Замените 2014 на 1914 и вы получите типичные рассуждения интеллигенции начала ве... весь текст скрыт [показать]
     
     
  • 5.69, cmp, 16:22, 02/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    А замените 2014 на 2004, контейнеры на ява, и смысл сохранится, или если хотите ... весь текст скрыт [показать]
     
  • 3.22, Аноним, 06:39, 02/12/2014 [^] [ответить] [смотреть все]  
  • –3 +/
    ЩИТО ... весь текст скрыт [показать]
     
     
  • 4.28, Аноним, 08:07, 02/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    MySQL SQL Injection Cheat Sheet UNION ALL SELECT LOAD_FILE 8216 etc passwd... весь текст скрыт [показать]
     
  • 3.72, Typhoon, 22:34, 02/12/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    бред... весь текст скрыт [показать]
     
  • 1.4, Bizdelnick, 22:43, 01/12/2014 [ответить] [смотреть все]  
  • +3 +/
    Этого следовало ожидать. Docker прибит гвоздями к их инфраструктуре, а это не может всех устраивать. Есть, правда, опасения, что и с этим Rocket будет то же самое, только с привязкой к другому вендору, но рано или поздно кто-нибудь положит этому конец. Так что конкуренция здесь - однозначно позитивное явление.
     
  • 1.8, Аноним, 23:22, 01/12/2014 [ответить] [смотреть все]  
  • +3 +/
    Переносимость и завязанность на systemd как-то противоречат друг лругу.
     
     
  • 2.40, Аноним, 09:47, 02/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Переносимость и завязанность на linux как-то противоречат друг другу
     
     
  • 3.67, Аноним, 16:03, 02/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Совершенно никак. Ни капельки.
     
  • 1.20, Бутират, 05:50, 02/12/2014 [ответить] [смотреть все]  
  • –1 +/
    Что за идиотская традиция писать системные утилиты на Go
     
     
  • 2.31, Xaionaro, 08:15, 02/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А вы пробовали этот go 1, 2 IMHO, он намного лучше подходит для системных зад... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, anonymous, 12:33, 02/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    1 perl появился для автоматизации обработки текста позволяет легко прочитать фа... весь текст скрыт [показать]
     
     
  • 4.61, csdoc, 13:11, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    при желании - можно писать скрипты на Go https wiki ubuntu com gorun ... весь текст скрыт [показать]
     
     
  • 5.63, anonymous, 15:32, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    неужели так все просто в С С уже целую пачку систем сборок понаписывали autot... весь текст скрыт [показать]
     
     
  • 6.84, prostoqw, 09:48, 08/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Да, просто Именно для этого Go и проектировался Чтобы все было просто - крайне... весь текст скрыт [показать]
     
  • 4.68, vitalif, 16:12, 02/12/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    1 perl код очень слабо читаем МИФ Читаемость вода - вопрос криворукости, а не ... весь текст скрыт [показать]
     
     
  • 5.70, anonymous, 17:17, 02/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    во многом это так проблема в том, что в перле присутсвуют экстравагантные возмож... весь текст скрыт [показать]
     
  • 5.71, Ordu, 19:40, 02/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Не путайте приведение типов и динамичность типизации Динамическая типизация тож... весь текст скрыт [показать]
     
     
  • 6.73, vitalif, 01:01, 03/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Да слышал я это, понты это гнилые, про строгую динамическую типизацию Она стр... весь текст скрыт [показать]
     
  • 6.74, vitalif, 02:41, 03/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    т е если строгая типизация отсутствие любых неявных преобразований типов ... весь текст скрыт [показать]
     
     
  • 7.77, Ordu, 18:56, 03/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Ах пичаль-пичаль Непонятно Ознакомьтесь с каким-нибудь ЯП отличным от пэха... весь текст скрыт [показать]
     
     
  • 8.78, vitalif, 22:34, 05/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты на личности-то на переходи. Лучше по существу скажи чо-нить.
     
     
  • 9.79, Ordu, 22:54, 05/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Что именно тебе сказать Ссылку кинуть на учебник по лиспу Гугл подойдёт, в кач... весь текст скрыт [показать]
     
     
  • 10.80, vitalif, 23:34, 06/12/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты что ли серьёзно думаешь, что я на C и C не писал По существу - это какие р... весь текст скрыт [показать]
     
     
  • 11.81, Ordu, 00:33, 07/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    А какое это имеет отношение к динамической типизации Но вообще, я не думаю, что... весь текст скрыт [показать]
     
     
  • 12.82, vitalif, 00:31, 08/12/2014 [^] [ответить] [смотреть все]  
  • +/
    Ага, а то, что объект любого класса можно использовать как объект любого класса, если у него всего лишь оказался метод с определённым именем - это не противоречит строгой типизации?

    А удобство при том, что те или иные фичи языков программирования только для удобства (удобства выполнения каких-то задач) и нужны...

     
     
  • 13.83, Ordu, 01:15, 08/12/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Противоречит, наверное Я хз, но это уже нерелевантные терминологические игрища ... весь текст скрыт [показать]
     
  • 2.36, Аноним, 09:29, 02/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Никто не хочет второго Heartbleed ... весь текст скрыт [показать] [показать ветку]
     
  • 1.38, Cotan, 09:41, 02/12/2014 [ответить] [смотреть все]  
  • +2 +/
    У Докера бабахнуло http://blog.docker.com/2014/12/initial-thoughts-on-the-rocket-announcement/
     
  • 1.62, Аноним, 13:22, 02/12/2014 [ответить] [смотреть все]  
  • –2 +/
    Зоопарк, когда уже порядок наведут?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList