The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

01.12.2014 22:00  Проект CoreOS представил Rocket, конкурирующий с Docker инструментарий управления контейнерами

Проект CoreOS, развивающий основанное идеях контейнерной изоляции серверное окружение, анонсировал создание нового инструментария для управления созданием, запуском и выполнением изолированных контейнеров - Rocket, выступающего в качестве более безопасной, переносимой и адаптированной для серверного применения альтернативы Docker. Rocket нацелен на манипуляцию контейнерами, построенными в соответствии со спецификацией App Container, также предложенной проектом CoreOS и нацеленной на создание универсального переносимого формата контейнеров.

Наиболее существенные отличия Rocket от Docker заключаются в использовании иной модели выполнения, позволяющей достигнуть значительно более высокого уровня защищённости. В Docker все операции проводятся с участием одного централизованного фонового процесса, что создаёт серьезные потенциальные проблемы с безопасностью, устранить которые можно лишь путём полной переработки организации работы. Также утверждается, что последнее время Docker отклонился от первоначальных задач и стал развивать функции, выходящие за рамки средств управления контейнерами, превращаясь в излишне усложнённую платформу.

Rocket сосредоточен только на управлении контейнерами и обеспечении их максимальной переносимости. В Rocket применяется многоуровневая модульная архитектура, разделяющая операции работы с контейнером, на отдельные стадии, отдельно обрабатывающие этапы настройки файловой системы, подготовки исполняемого окружения и запуска приложений в контейнере. Кроме безопасности подобный подход также позволяет добиться хорошей расширяемости за счёт возможности реализации дополнительных функций через подключение дополнений.

Выделяются три основные стадии запуска контейнера:

  • Нулевая стадия, обработка которой производится силами утилиты rkt без привлечения дополнительных средств. На данной стадии производится начальная подготовка контейнера: генерация UUID и манифеста, создания файловой системы для контейнера, настройка директорий для выполнения следующих стадий, копирование исполняемого файла первой стадии в ФС контейнера, извлечение заданных ACI (App Container Image), распаковка образов и копирование приложений в директории третьей стадии;
  • Первая стадия, работа которой обеспечивается отдельным исполняемым файлом, имеющим полномочия настройки cgroups, запуска процессов и выполнения операций под пользователем root. На данной стадии осуществляется создание исполняемой группы на основе ФС, подготовленной в нулевой стадии, установка cgroups, пространств имён и точек монтирования. Настройка производится через генерацию unit-файлов systemd и использование systemd-nspawn для организации работы окружения;
  • Вторая стадия, на которой производится непосредственный запуск приложения в подготовленном контейнере. В частности, на данной стадии выполняется процесс инициализации содержимого контейнера, описанный в манифесте запуска приложения (Application Manifest).

Основные компоненты Rocket:

  • App Container Image - определяет образ, содержащий все необходимые элементы для запуска контейнера приложения. Для защиты применяется проверка по цифровой подписи и опционально шифрование, что позволяет использовать для распространения образов публичные сети хранения и BitTorrent;
  • App Container Runtime - определяет окружение для запуска контейнера приложения;
  • App Container Discovery - федеративный протокол для поиска и загрузки образов контейнеров приложений.

Для создания контейнеров и организации их изолированного выполнения применяются те же штатные механизмы ядра Linux, что в Docker - пространства имён (namespaces) и группы управления (cgroups). При этом, для управления контейнером используются средства запуска изолированных окружений, предоставляемые системным менеджером systemd. Для управления предложена новая консольная утилита rkt, предоставляющая набор команд, похожий на docker. Как и Docker, код Rocket написан на языке Go и поставляется под лицензией Apache 2.0.

Следование универсальной спецификации App Container, определяющей окружающие контейнер службы, позволяет создавать независимые собственные реализации, совместимые с Rocket. Более того, в будущем, когда App Container достигнет зрелости, планируется подготовить реализацию данной спецификации для Docker, что позволит обеспечить переносимость обоих проектов.

  1. Главная ссылка к новости (https://coreos.com/blog/rocket...)
  2. OpenNews: Первый стабильный выпуск серверной Linux-системы CoreOS
  3. OpenNews: Red Hat представил Atomic, концепцию модульной ОС на базе изолированных контейнеров
  4. OpenNews: Выпуск cистемы управления контейнерной виртуализацией Docker 1.3
  5. OpenNews: Canonical и Docker развивают LXD, гипервизор для изолированных контейнеров (дополнено)
  6. OpenNews: Обновление Docker 1.3.2 с устранением критических уязвимостей
Лицензия: CC-BY
Тип: Программы
Ключевые слова: coreos, roket
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 22:20, 01/12/2014 [ответить] [смотреть все]    [к модератору]
  • –1 +/
    Ну и кто кого уже? :)
     
     
  • 2.3, Аноним, 22:38, 01/12/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +2 +/
    Хрен их разберет Куча систем, ни одна нормально не поддерживается в популярных ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, Bizdelnick, 22:47, 01/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ага aptitude versions docker io Пакет docker io ... весь текст скрыт [показать]
     
  • 3.7, Аноним, 23:17, 01/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    На презентации RH7 Тоттон больше получаса распинался о полной коммерческой подде... весь текст скрыт [показать]
     
  • 3.14, Michael Shigorin, 00:11, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    docker изначально почему-то не вызывал особого доверия, а стопка детских дырок э... весь текст скрыт [показать]
     
     
  • 4.21, Аноним, 06:11, 02/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Я думал на GO можно писать без дырок.
     
     
  • 5.34, Xaionaro, 08:28, 02/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    > Я думал на GO можно писать без дырок.

    Я бы скорее сказал, что на всём можно писать с дырками.

     
  • 1.2, th3m3, 22:37, 01/12/2014 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Реально то какая польза от всех этих докеров Я почитал про эти контейнеры Спло... весь текст скрыт [показать]
     
     
  • 2.6, Аноним, 23:05, 01/12/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Вы в конце 2014 года узнали о контейнерах Так сказать, после первой успешной SQ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, vitalif, 23:32, 01/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ну для борьбы с этим, положим, контейнеры - overkill, обычного чрута достаточно ... весь текст скрыт [показать]
     
     
  • 4.11, Аноним, 23:45, 01/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вы знаете модное слово overkill, но не знаете что с точки зрения безопасности ch... весь текст скрыт [показать]
     
     
  • 5.16, Michael Shigorin, 00:13, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Не бесполезен, но рута в чруте лучше считать эквивалентом рута в хосте Как выра... весь текст скрыт [показать]
     
  • 5.24, Аноним, 07:32, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Почему админы в РФ упорто считают срадствами безопасной изоляции, то средства ви... весь текст скрыт [показать]
     
     
  • 6.30, Аноним, 08:12, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Гарантирует что атакующий не сможет исчерпать всю память или файловые дескриптор... весь текст скрыт [показать]
     
     
  • 7.37, grec, 09:37, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    RES_CPU - CPU time in milliseconds RES_FSIZE - Maximum file size in by... весь текст скрыт [показать]
     
  • 6.39, Аноним, 09:45, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    chroot Разработан в 1982 Изоляция ФС - частичная Copy on write - нет Дисковые к... весь текст скрыт [показать]
     
     
  • 7.41, Аноним, 09:47, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    http en wikipedia org wiki Operating_systemБ level_virtualization парсер лох ... весь текст скрыт [показать]
     
  • 7.44, anonymous, 09:58, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    gt оверквотинг удален Посмотрите посты выше Большая часть этих механизмов в c... весь текст скрыт [показать]
     
     
  • 8.46, Аноним, 10:09, 02/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не вижу. Покажите.
     
  • 5.64, vitalif, 15:37, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Это под рутом Но имея рута, ты вылезешь и из LXC А без рута ты и chroot не пок... весь текст скрыт [показать]
     
  • 4.12, Аноним, 23:48, 01/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Особенно интересно узнать как chroot помешает атакующему открыть 25 110 etc порт... весь текст скрыт [показать]
     
     
  • 5.25, Аноним, 07:38, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Правильной настройкой iptables ... весь текст скрыт [показать]
     
     
  • 6.56, Аноним, 11:07, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я верю что с помощью большого количества костылей можно превратить детскую коляс... весь текст скрыт [показать]
     
  • 5.65, vitalif, 15:39, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что значит открыть Как открытие поможет рассылке спама И как к спаму вообщ... весь текст скрыт [показать]
     
  • 4.15, Michael Shigorin, 00:12, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    chroot -- не средство безопасности Как минимум в openvz это сильно не так ... весь текст скрыт [показать]
     
     
  • 5.23, Аноним, 06:41, 02/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > chroot -- не средство безопасности.

    А что тогда?

     
     
  • 6.26, Аноним, 07:42, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    https en wikibooks org wiki Grsecurity Appendix Grsecurity_and_PaX_Configurati... весь текст скрыт [показать]
     
     
  • 7.29, Xaionaro, 08:11, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Не понял я, это был сарказм или вы серьёзно, но на всякий случай отвечу Если вы... весь текст скрыт [показать]
     
     
  • 8.50, Аноним, 10:40, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Это слёзы Укреплённые технологии chroot и jail сегодня дают больше гарантий б... весь текст скрыт [показать]
     
     
  • 9.52, Аноним, 10:47, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ПОСТАВЛЯЕТСЯ КАК ЕСТЬ ЕЕ ПОСТАВЩИКИ ОТКАЗЫВАЮТСЯ ОТ ВС... весь текст скрыт [показать]
     
  • 8.58, bOOster, 11:47, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И все эти костыли в купе еще современные плюшки как то виртуализация IP стека ... весь текст скрыт [показать]
     
  • 7.35, Аноним, 09:16, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    При чем тут grsecurity Это совершенно независимый набор патчей затыкающих кучку... весь текст скрыт [показать]
     
     
  • 8.42, grec, 09:53, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Причем тут независимость Разговор не об этом, а об контейнерах vs grsec selinux... весь текст скрыт [показать]
     
     
  • 9.43, Xaionaro, 09:57, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    В контейнерной виртуализации вас никто не ограничивает в применяемых технологиях... весь текст скрыт [показать]
     
     
  • 10.47, Аноним, 10:20, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Большинство так и делает grsec виртуализация grsec RBAC grsec chroot ... весь текст скрыт [показать]
     
     
  • 11.48, Аноним, 10:25, 02/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    >grsec + chroot

    Только для домашнего использования.

     
     
  • 12.51, Аноним, 10:44, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    http www opennet ru openforum vsluhforumID3 100446 html 50 ... весь текст скрыт [показать]
     
     
  • 13.54, Аноним, 10:56, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Правильно настроеный chroot гарантирует безопасную изоляцию процессов -Аноним... весь текст скрыт [показать]
     
     
  • 14.57, Аноним, 11:29, 02/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Но он же... три восклицательных знака ...
     
  • 11.76, Xaionaro, 10:40, 03/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    IMHO, очень странная у вас выборка, если в ней большинство использует grsec ... весь текст скрыт [показать]
     
  • 9.45, Аноним, 10:06, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Где Я вижу только Что полная чушь Почему vs Why not both не вижу ничего что... весь текст скрыт [показать]
     
     
  • 10.53, Аноним, 10:54, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    man limits conf man ulimit grsec Dec 2 10 00 03 xxxxx kernel grsec deni... весь текст скрыт [показать]
     
     
  • 11.55, Аноним, 11:05, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ты видишь тут ulimit Нет А он есть Why not cgroups LXC docker cgroup... весь текст скрыт [показать]
     
  • 6.27, Xaionaro, 08:00, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это средство для смены корневой директории не безвозвратно IIRC, изначально с... весь текст скрыт [показать]
     
  • 6.49, Аноним, 10:31, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    chroot это средство безопасности В той же мере как носок средство контрацепции ... весь текст скрыт [показать]
     
  • 5.66, vitalif, 15:40, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Вот именно - в OpenVZ-то это не так, а в LXC именно так ... весь текст скрыт [показать]
     
  • 3.18, th3m3, 03:15, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Да, в 2014 году прочитал Подумал, мало ли, может я чего-то упускаю Что-то модн... весь текст скрыт [показать]
     
     
  • 4.32, Xaionaro, 08:17, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А что вы используете для изоляции окружений Гипервизорные виртуальные системы ... весь текст скрыт [показать]
     
  • 4.33, Аноним, 08:19, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Замените 2014 на 1914 и вы получите типичные рассуждения интеллигенции начала ве... весь текст скрыт [показать]
     
     
  • 5.69, cmp, 16:22, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А замените 2014 на 2004, контейнеры на ява, и смысл сохранится, или если хотите ... весь текст скрыт [показать]
     
  • 3.22, Аноним, 06:39, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    ЩИТО ... весь текст скрыт [показать]
     
     
  • 4.28, Аноним, 08:07, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    MySQL SQL Injection Cheat Sheet UNION ALL SELECT LOAD_FILE 8216 etc passwd... весь текст скрыт [показать]
     
  • 3.72, Typhoon, 22:34, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    бред... весь текст скрыт [показать]
     
  • 1.4, Bizdelnick, 22:43, 01/12/2014 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Этого следовало ожидать. Docker прибит гвоздями к их инфраструктуре, а это не может всех устраивать. Есть, правда, опасения, что и с этим Rocket будет то же самое, только с привязкой к другому вендору, но рано или поздно кто-нибудь положит этому конец. Так что конкуренция здесь - однозначно позитивное явление.
     
  • 1.8, Аноним, 23:22, 01/12/2014 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Переносимость и завязанность на systemd как-то противоречат друг лругу.
     
     
  • 2.40, Аноним, 09:47, 02/12/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Переносимость и завязанность на linux как-то противоречат друг другу
     
     
  • 3.67, Аноним, 16:03, 02/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Совершенно никак. Ни капельки.
     
  • 1.20, Бутират, 05:50, 02/12/2014 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Что за идиотская традиция писать системные утилиты на Go
     
     
  • 2.31, Xaionaro, 08:15, 02/12/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    А вы пробовали этот go 1, 2 IMHO, он намного лучше подходит для системных зад... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, anonymous, 12:33, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    1 perl появился для автоматизации обработки текста позволяет легко прочитать фа... весь текст скрыт [показать]
     
     
  • 4.61, csdoc, 13:11, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    при желании - можно писать скрипты на Go https wiki ubuntu com gorun ... весь текст скрыт [показать]
     
     
  • 5.63, anonymous, 15:32, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    неужели так все просто в С С уже целую пачку систем сборок понаписывали autot... весь текст скрыт [показать]
     
     
  • 6.84, prostoqw, 09:48, 08/05/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да, просто Именно для этого Go и проектировался Чтобы все было просто - крайне... весь текст скрыт [показать]
     
  • 4.68, vitalif, 16:12, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    1 perl код очень слабо читаем МИФ Читаемость вода - вопрос криворукости, а не ... весь текст скрыт [показать]
     
     
  • 5.70, anonymous, 17:17, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    во многом это так проблема в том, что в перле присутсвуют экстравагантные возмож... весь текст скрыт [показать]
     
  • 5.71, Ordu, 19:40, 02/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не путайте приведение типов и динамичность типизации Динамическая типизация тож... весь текст скрыт [показать]
     
     
  • 6.73, vitalif, 01:01, 03/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Да слышал я это, понты это гнилые, про строгую динамическую типизацию Она стр... весь текст скрыт [показать]
     
  • 6.74, vitalif, 02:41, 03/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    т е если строгая типизация отсутствие любых неявных преобразований типов ... весь текст скрыт [показать]
     
     
  • 7.77, Ordu, 18:56, 03/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ах пичаль-пичаль Непонятно Ознакомьтесь с каким-нибудь ЯП отличным от пэха... весь текст скрыт [показать]
     
     
  • 8.78, vitalif, 22:34, 05/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ты на личности-то на переходи. Лучше по существу скажи чо-нить.
     
     
  • 9.79, Ordu, 22:54, 05/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что именно тебе сказать Ссылку кинуть на учебник по лиспу Гугл подойдёт, в кач... весь текст скрыт [показать]
     
     
  • 10.80, vitalif, 23:34, 06/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ты что ли серьёзно думаешь, что я на C и C не писал По существу - это какие р... весь текст скрыт [показать]
     
     
  • 11.81, Ordu, 00:33, 07/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А какое это имеет отношение к динамической типизации Но вообще, я не думаю, что... весь текст скрыт [показать]
     
     
  • 12.82, vitalif, 00:31, 08/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Ага, а то, что объект любого класса можно использовать как объект любого класса, если у него всего лишь оказался метод с определённым именем - это не противоречит строгой типизации?

    А удобство при том, что те или иные фичи языков программирования только для удобства (удобства выполнения каких-то задач) и нужны...

     
     
  • 13.83, Ordu, 01:15, 08/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Противоречит, наверное Я хз, но это уже нерелевантные терминологические игрища ... весь текст скрыт [показать]
     
  • 2.36, Аноним, 09:29, 02/12/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Никто не хочет второго Heartbleed ... весь текст скрыт [показать] [показать ветку]
     
  • 1.38, Cotan, 09:41, 02/12/2014 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    У Докера бабахнуло http://blog.docker.com/2014/12/initial-thoughts-on-the-rocket-announcement/
     
  • 1.62, Аноним, 13:22, 02/12/2014 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Зоопарк, когда уже порядок наведут?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor