The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.07.2014 22:45  Red Hat и Docker развивают систему изолированных контейнеров для десктоп-приложений

Кристиан Шаллер (Christian Schaller), возглавляющий группу по развитию десктоп-систем в компании Red Hat, рассказал о работе над технологией изолированного выполнения десктоп-приложений для GNOME, которая развивается для Fedora Workstation совместными усилиями разработчиков из Red Hat и проекта Docker.

Суть проекта в подготовке средств, которые бы позволили использовать Docker для создания контейнеров для десктоп-приложений, по аналогии с существующими средствами создания контейнеров для серверных и web-приложений. При этом в случае десктоп-приложений возникает необходимость организации взаимодействия из контейнера с API графической подсистемы и обеспечение доступа к данным пользователя. В настоящее время уже подготовлен прототип контейнера для запуска приложения Cheese, в котором используется концепция "порталов", предоставляющих доступ к ресурсам вне контейнера через API DBus. Например, для Cheese таким способом обеспечен доступ к web-камере и микрофону.

Одновременно, Алан Дей (Allan Day), сотрудник компании Red Hat и член команды дизайнеров GNOME, рассказал о мотивах использования дополнительной изоляции и некоторых идеях по распространению, установке и обновлению десктоп-приложений, оформленных в виде самодостаточных контейнеров. Выполняемые в контейнере приложения смогут получить доступ только к ограниченному набору системных интерфейсов. При необходимости работы с дополнительными API (например, работа камерой, GPS, микрофоном) или обращения к данным пользователя предлагается запрашивать у пользователя подтверждение полномочий.

Кроме повышения уровня безопасности и приватности контейнеры позволят задействовать для приложения зависимости, которые не предоставляются текущей операционной системой, а также отделить установку и обновление контейнеров от основной операционной системы. Например, если программа требует более новый выпуск библиотеки, то её поставка в контейнере избавит от необходимости перехода всей системы на новую библиотеку с обновлением всех зависимостей. Поставка в контейнерах также даст возможность не нагромождать систему лишними зависимостями, так как вместо доустановки в систему зависимостей, необходимых только одному приложению, проще использовать данное приложение в форме контейнера.

Разработчики приложений, особенно тех, что не включены в штатные репозитории дистрибутивов, смогут распространять программы в виде контейнеров, включающих все зависимости, что избавит от необходимости формирования отдельных сборок для каждого дистрибутива. Пользователь же получит дополнительные гарантии, что оформленное в виде контейнера приложение не выйдет за границы дозволенного и будет полностью подконтрольно при выполнении операций с его данными.

  1. Главная ссылка к новости (http://blogs.gnome.org/uraeus/...)
  2. OpenNews: Первый стабильный выпуск cистемы управления контейнерной виртуализацией Docker
  3. OpenNews: Обсуждение развития GNOME, как привязанной к Linux системы
  4. OpenNews: Разработчики GNOME собираются реализовать самодостаточные пакеты приложений, не зависимые от дистрибутивов
  5. OpenNews: Представлена начальная реализация системы управления установкой приложений для GNOME
  6. OpenNews: Коллекция самодостаточных Linux-приложений, оформленных в виде одного файла
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: gnome, sandbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, sysstartd (ok), 23:33, 10/07/2014 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    всё к этому и ишло, если попрёт то через пару лет больше половины дистрибутивов просто вымрет
     
     
  • 2.3, Crazy Alex (??), 23:38, 10/07/2014 [^] [ответить]    [к модератору]
  • –12 +/
    Например Redhat
     
     
  • 3.12, sysstartd (ok), 00:50, 11/07/2014 [^] [ответить]     [к модератору]
  • +2 +/
    по правде говоря у Ubuntu намного больше шансов утонуть чем у Redhat, возьмем к ... весь текст скрыт [показать]
     
     
  • 4.21, ананим (?), 03:02, 11/07/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Это в федора-тим такое поверие что ли Даже если в убунту будет системд, вяленый... весь текст скрыт [показать]
     
     
  • 5.24, Perl_Jam (?), 03:11, 11/07/2014 [^] [ответить]    [к модератору]  
  • +/
    у меня crux с LAMP взлетает быстрее, нежели arch с тем же набором... к чему бы это? =)
     
     
  • 6.25, Perl_Jam (?), 03:12, 11/07/2014 [^] [ответить]    [к модератору]  
  • +/
    > у меня crux с LAMP взлетает быстрее, нежели arch с тем же
    > набором... к чему бы это? =)

    подсказка: arch на systemd, у cruxa свой bsd-like init

     
     
  • 7.29, ананим (?), 03:23, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну дык Каждому своё А у меня шаблоны на генту с опенрк тот же init в основе, ... весь текст скрыт [показать]
     
     
  • 8.31, Perl_Jam (?), 03:40, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    на опенрц я уже много лет и проблем не испытываю, когда-то был еще init-ng, помн... весь текст скрыт [показать]
     
     
  • 9.34, ананим (?), 03:49, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    Да usr то ладно Тут хоть думку думать надо D А tmp Вообще ж нафиг не нужна... весь текст скрыт [показать]
     
  • 9.35, Аноним (-), 03:53, 11/07/2014 [^] [ответить]     [к модератору]  
  • –5 +/
    одминоватники итт, не способные в документацию и саморазвитие мусолят свои субъе... весь текст скрыт [показать]
     
     
  • 10.59, Владимир (??), 10:32, 11/07/2014 [^] [ответить]    [к модератору]  
  • +5 +/
    Говсподин Кличко, залогинтесь
     
  • 8.83, Аноним (-), 15:48, 12/07/2014 [^] [ответить]    [к модератору]  
  • +/
    > не могу размонтировать /tmp

    А отмонтировать /tmp в дистре с systemd не все могут. Вернее, могут не только лишь все, мало кто сможет это сделать.

     
  • 5.33, sysstartd (ok), 03:47, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    по правде говоря ни федора ни редхат никогда на железе у меня не стояли, предпоч... весь текст скрыт [показать]
     
     
  • 6.38, ананим (?), 04:03, 11/07/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    А ещё деб-срц с кучей софта различных версий и вариантов И можешь дальше ёрнича... весь текст скрыт [показать]
     
     
  • 7.44, Perl_Jam (?), 04:17, 11/07/2014 [^] [ответить]    [к модератору]  
  • +/
    >> Даже сейчас многие предпочитают Мяту
    > А мята — это от слова "федора"? Не?

    строго говоря, это ubuntu-based Linux Mint


     
     
  • 8.45, ананим (?), 04:39, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну дык и я о чём В свою очередь убунту 8212 дебиан-бэйзед И никакие системд... весь текст скрыт [показать]
     
  • 5.66, Аноним (-), 13:09, 11/07/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    >а системд решает те проблемы, которых до него и не было
    >...
    > и не решает те, которые были решены уже лет дцать

    Вот так и рождаются инновационные продукты. Хочу заметить. ;)

     
  • 5.82, анонисимус (?), 09:47, 12/07/2014 [^] [ответить]    [к модератору]  
  • +/
    с лора заглянул дурачок?
     
  • 2.5, vitalif (ok), 23:41, 10/07/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    Да это только гемор лишний, нужный для проприетарщины. А проприетарщины нам тут извините, не надо)
     
     
  • 3.14, sysstartd (ok), 00:57, 11/07/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    проприетарщина может и без контейнеров спокойно себя чувствовать.
    Docker это всего лишь удобный инструмент который может приблизить вендекапец.
     
     
  • 4.16, Crazy Alex (ok), 01:51, 11/07/2014 [^] [ответить]    [к модератору]  
  • +/
    На кой мне вендекапец с виндовыми проблемами, перелезшими в линукс?
     
     
  • 5.20, sysstartd (ok), 02:59, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    Цель любой более-менее распостранённой ОС быть удобной для массового пользовател... весь текст скрыт [показать]
     
     
  • 6.26, ананим (?), 03:14, 11/07/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    И в чём удобство то Чиз в контейнере гонять Вот скайп проприетарь в контейне... весь текст скрыт [показать]
     
     
  • 7.32, ананим (?), 03:42, 11/07/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Зыж добавлю дело за малым 8212 заставить мс со своим скайпом да и всех остал... весь текст скрыт [показать]
     
  • 6.27, Perl_Jam (?), 03:18, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    и превращения системы в адскую помойку но shared libs никто не отменял давайте,... весь текст скрыт [показать]
     
  • 6.46, jOKer (ok), 05:09, 11/07/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну, тогда я предпочитаю не шибко распространенyю Gentoo, ибо для меня Linux - эт... весь текст скрыт [показать]
     
  • 2.9, Аноним (-), 00:27, 11/07/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Потому что можно будет запаковать свою софтину в контейнер, и она будет работать на любом дистре, который умеет в контейнеры?
     
     
  • 3.10, vitalif (ok), 00:30, 11/07/2014 [^] [ответить]    [к модератору]  
  • –4 +/
    Ага, только судя по тому, что эти технологии с контейнерами выдумывает каждый кому не лень - будет ещё 10 разных конкурирующих видов контейнеров.
     
     
  • 4.30, Stax (ok), 03:26, 11/07/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    Вы вообще в курсе, что такое docker - или так, лишь бы написать что-то Это штук... весь текст скрыт [показать]
     
     
  • 5.37, Аноним (-), 04:02, 11/07/2014 [^] [ответить]     [к модератору]  
  • –4 +/
    коллега, вы бисер мечите - тяжёло ожидать от одминоватников прочтения более трёх... весь текст скрыт [показать]
     
  • 5.74, anonymousZ (?), 16:52, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    Docker - это Docker По сути еще один API еще один велосипед для работы с вир... весь текст скрыт [показать]
     
  • 3.28, Perl_Jam (?), 03:22, 11/07/2014 [^] [ответить]    [к модератору]  
  • +/
    > Потому что можно будет запаковать свою софтину в контейнер, и она будет
    > работать на любом дистре, который умеет в контейнеры?

    а еще можно гвозди забивать микроскопом

     
     ....нить скрыта, показать (31)

  • 1.8, Аноним (-), 23:53, 10/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    Давно пора. Линукс становится действительно тортом для десктопа. Скоро разрабам можно будет спокойненько паковать свои прожекты в контейнер и не парится где он там будет запущен с какой конфигурацией чего и какими либами. Выстрелил и забыл. Если конечно счастье наступит.
     
     
  • 2.11, vitalif (ok), 00:31, 11/07/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    Нене Нормальный софт распространяется в исходниках и пересобирается под новые в... весь текст скрыт [показать]
     
     
  • 3.15, Аноним (-), 01:41, 11/07/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    >пересобирается под новые версии либ

    или не собирается с новыми версиями и тихонько гниет

     
     
  • 4.17, Crazy Alex (ok), 01:52, 11/07/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Альтернатива - таскать старые дырявые и бажные либы - нравится больше?
     
  • 3.42, fyfx (?), 04:09, 11/07/2014 [^] [ответить]    [к модератору]  
  • +/
    Совершенно верно, пересобирается под новые версии либ и помещается в контейнер.
     
  • 3.55, еще 1 аноним (?), 09:33, 11/07/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    я бы сказал что не винда а osx budles
     
     
  • 4.56, еще 1 аноним (?), 09:35, 11/07/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    *bundles
     
  • 1.13, rob pike (?), 00:55, 11/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > доступ только к ограниченному набору системных интерфейсов. При необходимости работы с дополнительными API (например, работа камерой, GPS, микрофоном) или обращения к данным пользователя предлагается запрашивать у пользователя подтверждение полномочий.

    В Андроиде и, частично, в Windows > Vista (UAC) эта модель уже показала свою несостоятельность для массового пользователя.
    Как в виде подтверждения доступа при установке программы, так и в виде подтверждения конкретного действия.

     
     
  • 2.18, Crazy Alex (ok), 01:52, 11/07/2014 [^] [ответить]    [к модератору]  
  • +5 +/
    Причем оно умудряется совмещать оба типа неудобств - паршивую защиту и раздражение пользователя.
     
  • 2.19, Аноним (-), 01:56, 11/07/2014 [^] [ответить]    [к модератору]  
  • +5 +/
    Кто о чем.. Кто о контейнерах, а кто о контроле учетных записей пользователей совершенно другой ОС.
     
  • 2.22, rshadow (ok), 03:05, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    UAC это винда, и этим все сказано В андроиде сделано топорно Лучшая реализация... весь текст скрыт [показать]
     
     
  • 3.54, ryoken (?), 09:17, 11/07/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    > UAC это винда, и этим все сказано.

    (В порядке бреда)
    UAC это United Aerospace Corporation, к чему её опыты доводят, тоже хорошо известно.


     
  • 3.72, AlexYeCu (ok), 13:54, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    Вы описали работу SuperSU в Андроид Должен заметить, в сравнении с настройками ... весь текст скрыт [показать]
     
  • 1.52, AV (??), 08:31, 11/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Простая тема - программы для людей, и люди полюбят Вас с Вашим результатом труда.

    Ещё бывают программы для себя лично, в кругу единомышленников. Но они мало кому нужны. Сколько там процентов Linux десктопов. 1-5% ? Вот им они и нужны в том виде, как есть.

    Кто-то пытается приспособить накопленное для людей. Таких довольно много и много пользы от их труда.

    Т.е., в общем, оно всё полезное, во всех видах. :)

     
  • 1.57, arsenicum (??), 09:55, 11/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Господа комментаторы, причём тут Windows? Это же чистой воды яблочный App Sandbox.
     
  • 1.58, iZEN (ok), 10:10, 11/07/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    --- Кроме повышения уровня безопасности и приватности контейнеры позволят зад... весь текст скрыт [показать]
     
     
  • 2.61, ананим (?), 10:59, 11/07/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    Да когда тебе стыдно то было?
    Не шмагла ты, вот и усё.
     
  • 2.63, Пончик (?), 11:21, 11/07/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну ты за всех то не отвечай. Как минимум один BSD-шник делает ту же самую идейку: http://www.bsdstore.ru/ru/xorg_in_jail.html
     
     
  • 3.76, iZEN (ok), 19:20, 11/07/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > Ну ты за всех то не отвечай. Как минимум один BSD-шник делает
    > ту же самую идейку: http://www.bsdstore.ru/ru/xorg_in_jail.html

    Неплохо.


     
  • 1.60, жабабыдлокодер (ok), 10:41, 11/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    То есть, с использованием Докера можно будет держать несколько разных версий одной программы на компьютере? Даже если совсем старая версия будет ссылаться на совсем старые библиотеки?
     
     
  • 2.70, AlexYeCu (ok), 13:47, 11/07/2014 [^] [ответить]    [к модератору]  
  • +/
    Это можно и сейчас без всяких докеров.
     
  • 2.84, одмин (?), 20:41, 13/07/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    chroot сто лет в обед.
    docker - это chroot на стероидах. Тоесть проблемы и решения теже что и при использовании chroot, только в новой, экологически-чистой упаковке.
     
  • 1.62, Аноним (-), 11:02, 11/07/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    А разве SELinux и AppArmor не тем-же самым занимаются Ну за исключением подтяги... весь текст скрыт [показать]
     
     
  • 2.65, Аноним (-), 12:36, 11/07/2014 [^] [ответить]    [к модератору]  
  • +/
    Я тоже не понял почему решили отказаться от SELinux и пр., если основная задача состоит в изоляции
     
  • 2.67, Аноним (-), 13:16, 11/07/2014 [^] [ответить]    [к модератору]  
  • +/
    >разработчики забыли, что linux не является ни первым, ни
    > вторым и у него свой путь.

    Вся суть Линукса в ядре. Все остальное к Линуксу не относится. Сколько раз уже можно об этом писать?!

     
  • 1.64, Аноним (64), 11:45, 11/07/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +5 +/
    Только меня пугают перспективы security апдейтов контейнеров Скажем нашли heart... весь текст скрыт [показать]
     
     
  • 2.71, AlexYeCu (ok), 13:49, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    Фиг знает, если только все не проектоспецифичные либы будут хард линками на баз... весь текст скрыт [показать]
     
     
  • 3.75, anonymousZ (?), 17:28, 11/07/2014 [^] [ответить]     [к модератору]  
  • +/
    Нет там линков Это буратины разработчики докера придумали сделать базовый обр... весь текст скрыт [показать]
     
  • 1.68, Ник (??), 13:22, 11/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Мне кажется, это решение подойдет для защиты массового хостинга, админы которых настолько тупы, что до сих пор не смогли освоить неймспейсы и цгруппы =)

    В остальном будет дикий оверхед от одновременно подгруженных в память 100500 одинаковых либ, для каждого ПО своим инитом и прочим хламом, который сейчас разделяемый.

     
  • 1.69, AlexYeCu (ok), 13:47, 11/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    В Андроиде тоже своего рода контейнеры — там каждое приложение от своего пользователя запускается, без рута может писать только свой каталог, куча разрешений и т.д. Но считать эту систему безопасной я лично не могу, а вот уровень безопасности прочих никс-подобных меня более-менее устраивает.
     
  • 1.77, Seyko (?), 19:21, 11/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как через D-bus можно выйти из контейнера? И как этот выход отражается в хост-системе (именованные каналы или что)?
     
  • 1.78, via (??), 19:32, 11/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что такое "Fedora Workstation"?

    Этим ребятам на заметку. Если в lxc гостя поставить xorg, и логиниться туда ssh -X, это почти что готовый контейнер для "десктоп приложений". С весны с выходом 14.04LTS c LXC1.0 он еще и "продакшин-реди" (а вообще это все работало и в 12шке )

    lxc конечно не так понтово звучит, как ДОКЕР. И репозитария готовой +100500 ботвы в сети я не припомню... Но все-же, все же, мне представляется данная конкретная затея очередным велосипедостроительством by fedora&gnome team.

     
     
  • 2.81, Аноним (-), 22:16, 11/07/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну так, ведь для redhat важен и wayland. Поэтому приходится переизобретать сетевую прозрачность :)
     
  • 1.79, Anonym0uz (?), 19:34, 11/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Идея с контейнерами вроде как передовая, но по сути это "избавление от зависимостей" есть путь к инсталляторам-блобам, то что используется уже в макоси и виндовс, когда вместо разбиения программы на зависимости, которые реюзаются разным по, каждая программа тащит это всё в себе. Да, конечно это передовая реализация на новом технологическом уровне и всё такое, но сути это не меняет — регресс, шаг назад от идей пакетных систем дистрибуции.
     
     
  • 2.85, puresaredager (?), 12:00, 24/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Ну как же вы не понимаете? Никто у Вас не отнимает пакетный менеджер. Я согласен - у контейнеров есть свои минусы, но и плюсов тоже дофига. Вот и используйте их в зависимости от ситуации. Например мне всё равно какой версии у меня обычные программы(плеер, браузер и т.д.) мне главное использовать последнюю версию например графического редактора. Так вот благодаря контейнерам можно не трогая свою стабильную настроенную систему установить только редактор, зная что ты получишь новые плюшки но при этом скажем другие программы не полетят к черту или не изменят своё поведение(да-да, на каком-нибудь стабильном Centos'e или Debian'e поставить Krita 2.9 и не париться с компиляцией, чрутом и всякой фигнёй).
     
  • 1.80, Аноним (-), 20:22, 11/07/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ubuntu со своим SDK и рядом не валялась, да.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor