The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +/
Сообщение от opennews (??) on 13-Апр-17, 09:08 
После двух лет разработки увидела свет (http://rancher.com/press-release-rancheros-ga/) операционная система RancherOS 1.0 (http://rancher.com/rancher-os/), предоставляющая средства для изолированного выполнения приложений. RancherOS 1.0 преподносится как первый стабильный выпуск, готовый к широкому внедрению.  Проект основан (http://rancher.com/about/) несколькими известными разработчиками из компании  Citrix и бывшими руководителями Cloud.com. Код системы написан на языке Go и распространяется (https://github.com/rancherio/os) под лицензией Apache.

Размер загрузочного образа (https://github.com/rancherio/os/releases/) RancherOS  составляет всего 54 Мб. Кроме  установки на отдельный сервер, система также может быть развёрнута в окружении облачных платформ и систем виртуализации Amazon EC2, Digital Ocean, Docker Machine, GCE, KVM, OpenStack, Packet, Vagrant, VMware и VirtualBox.


RancherOS предоставляет минимальную обвязку для запуска изолированных контейнеров и по решаемым задачам напоминает проекты Atomic (https://www.opennet.me/opennews/art.shtml?num=39583) и CoreOS (https://www.opennet.me/opennews/art.shtml?num=40275), отличаясь от них отказом от  системного менеджера systemd в пользу собственной системы инициализации, построенной  непосредственно на базе инструментария Docker. Запуск сервисов в RancherOS осуществляется (https://docs.rancher.com/os/quick-start-guide/) через запуск готовых контейнеров с  использованием compose-файлов (docker-compose.yml).


ОС RancherOS реализована (http://docs.rancher.com/os/) в виде набора контейнеров, которыми управляет системное окружение на базе ядра Linux, образа начальной загрузки (initrd) и  минимального инструментария, необходимого для запуска контейнеров на базе системы Docker. Всё остальное, включая udev, dhcp, ntp, cloud-init и rsyslog, запускается внутри отдельных системных контейнеров. Над контейнерами функционирует только процесс Docker, выполняемый с PID 1. Пользовательский инструментарий и демон dockerd для запуска пользовательских контейнеров также выполняется в отдельном контейнере User Docker.


Имеется также специальный системный контейнер Сonsole, предоставляющий пользовательское окружения для управления RancherOS в консольном режиме. По умолчанию консольное окружение доступно по ssh и сформировано с использованием инструментария Busybox, но при желании в качестве консоли можно подключить полноценные программные окружения на основе Ubuntu, CentOS или Fedora. Для настройки также можно использовать web-интерфейс Rancher.io (https://github.com/rancherio/rancher).

Обновление производится атомарно на уровне обновления целых контейнеров. В форме образов docker также обновляются ядро и образ начальной загрузки (initrd). Между перезапусками сохраняется только содержимое разделов /opt и /home, всё остальное возвращается в исходное состояние. Конфигурация окружения передаётся во время загрузки через механизм cloud-init или определяется командой "rancherctl config" и затем сохраняется в специальный файл конфигурации.

URL: http://rancher.com/press-release-rancheros-ga/
Новость: http://www.opennet.me/opennews/art.shtml?num=46370

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +2 +/
Сообщение от Аноним (??) on 13-Апр-17, 09:08 
Эта дурная мода на "кружочки" теперь и в презентации переползла, тьфу. Понятное дело, что в могильном интерфейсе круглые кнопки ближе к форме пальцев, но на десктопах выглядит неуместно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +/
Сообщение от hoopoe email(ok) on 13-Апр-17, 09:53 
да ладно, по большому счёту покер в какой формы кнопари мышом тыкать... кстати, сейчас большинство ноутов идут с тач экранами, тоже, по сути, почти могильный интерфейс :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +/
Сообщение от Аноним (??) on 13-Апр-17, 15:38 
Проще попасть в кнопку большей площади. Площадь прямоугольника больше, чем площадь круга.
Хотя к картинкам в презенташке это никакого отношения не имеет.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +/
Сообщение от Аноним (??) on 13-Апр-17, 21:22 
только область касания все равно имеет форму круга
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

2. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +9 +/
Сообщение от Аноним (??) on 13-Апр-17, 09:50 
Интересно, это мода (помешательство, одержимость) докеризировать всё, что (шевелится :)) докеризируется или в этом есть реальный смысл и необходимость? В каких проектах такое может понадобится, что аж даже "Всё остальное, включая udev, dhcp, ntp, cloud-init и rsyslog, запускается внутри отдельных системных контейнеров" ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +1 +/
Сообщение от Аноним (??) on 13-Апр-17, 09:56 
IMHO, баловство всё это и оправдано только если а контейнере нет доступа с правами root. Если в контейнере есть возможность выполнить код под root, то создаётся лишь видимость защиты. Особенно радует user namespace для которого уже нашли с десяток уязвимостей позволяющих от "псевдорута" в контейнере подняться до полноценного root на стороне хост-системы.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +2 +/
Сообщение от J.L. on 13-Апр-17, 10:51 
> Особенно радует user namespace для которого уже нашли с десяток уязвимостей позволяющих от "псевдорута" в контейнере подняться до полноценного root на стороне хост-системы.

так нашли же и пофиксили
или нашлись какие-то концептуальные архитектурные уязвимости ?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

22. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +2 +/
Сообщение от derlafff (ok) on 14-Апр-17, 08:28 
Проблема не в концептуальных архитектурных уязвимостях, проблема в том, что весь ядерный код писался без оглядки на эти самые user namespaces. Поэтому, пока коды нормально не перечитают, подобные уязвимости продолжат появляться довольно часто. Т.е. еще несколько лет -- точно.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +1 +/
Сообщение от Аноним (??) on 13-Апр-17, 11:33 
> IMHO, баловство всё это и оправдано только если а контейнере нет доступа
> с правами root. Если в контейнере есть возможность выполнить код под
> root, то создаётся лишь видимость защиты. Особенно радует user namespace для
> которого уже нашли с десяток уязвимостей позволяющих от "псевдорута" в контейнере
> подняться до полноценного root на стороне хост-системы.

Так ограничьте права. И не запускайте что не попадя от root

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +/
Сообщение от J.L. on 13-Апр-17, 13:22 
>> IMHO, баловство всё это и оправдано только если а контейнере нет доступа
>> с правами root. Если в контейнере есть возможность выполнить код под
>> root, то создаётся лишь видимость защиты. Особенно радует user namespace для
>> которого уже нашли с десяток уязвимостей позволяющих от "псевдорута" в контейнере
>> подняться до полноценного root на стороне хост-системы.
> Так ограничьте права. И не запускайте что не попадя от root

контейнер к вам может попасть через жирный_пакет какой нить "как есть", с настройками контейнерного рута внутри

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

7. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  –2 +/
Сообщение от VoDA (ok) on 13-Апр-17, 11:19 
Смысл в том, что контейнер в котором разработано приложение и запускается пользователем.

Вместе с приложением максимально переносится окружение.

Это позволяет избежать части багов появляющихся из-за разности в конфигурациях dev и prod.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +/
Сообщение от anon13 on 13-Апр-17, 11:49 
Главный фактор - это лень.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +1 +/
Сообщение от VoDA (ok) on 13-Апр-17, 12:03 
> Главный фактор - это лень.

Лень чинить баги - правильный фактов. Заставляет заранее снижать их количество ;)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

8. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +1 +/
Сообщение от VoDA (ok) on 13-Апр-17, 11:20 
Минорный плюс - контейнеры stateless. Для серверных приложений это позволяет динамически расширять и сжимать боевой кластер прямо на ходу.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +/
Сообщение от Аноним (??) on 13-Апр-17, 12:30 
Шо опять?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +/
Сообщение от Аноним (??) on 13-Апр-17, 12:58 
Нет..
Снова
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +2 +/
Сообщение от theoneandonly on 13-Апр-17, 13:36 
> отличаясь от них отказом от системного менеджера systemd в пользу собственной системы инициализации

heretics!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  –2 +/
Сообщение от J.L. on 13-Апр-17, 16:18 
>> отличаясь от них отказом от системного менеджера systemd в пользу собственной системы инициализации
> heretics!

killing it by fire!!!!

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +/
Сообщение от Аноним (??) on 13-Апр-17, 14:24 
Когда уже сделают экзоядро уже?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +1 +/
Сообщение от Петр Ильин on 13-Апр-17, 21:35 
Это опять процессоры слишком мощные и памяти завались?
Т.е. сейчас все будет даже ls в контейнерахзапускаться? Модно типа?
А потом сделают контейнер на уровне CPU
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +1 +/
Сообщение от Аноним (??) on 14-Апр-17, 07:29 
> Это опять процессоры слишком мощные и памяти завались?

Процессоры и память не причём, это к виртуализации.

Основной смысл современных систем управления о оркестровки - разорвать зависимость от локального хоста и запускать приложение на кластере, так же просто, как сейчас запускаем приложение на процессоре с несколькими ядрами.

http://web.eecs.umich.edu/~mosharaf/Readings/DC-Computer.pdf
https://youtu.be/CESGogWbjeI

ОС и системные сервисы, это просто среда и транспорт: https://youtu.be/HhNIttd87xs
Полезную работу делают приложения.

ls как таковой не нужен в качестве приложения и смысла его в контейнере запускать нет.

Другое дело, что ls работает с файловой системой и если у нас в кластере несколько распределённых файловых систем, то может быть удобно просматривать списки файлов в каталогах запуская команду ls в контейнере, который запущен в группе с настроенной файловой системой. Запускаться этот ls может как внутри существующего контейнера, так и в отдельном (это задача обслуживания, а не реальной работы приложения, поэтому не так важно где).

> А потом сделают контейнер на уровне CPU

http://www.lowrisc.org/downloads/lowRISC-memo-2014-001.pdf
Есть наработки с тегированной памятью, но это ближе к системам типа selinux.

Уроверь CPU как раз слишком низкий, нужен уровень нескольких вычислительных узлов. Времена, когда в стойку влезает несколько тысяч ядер/компьютеров уже наступили и одним локалхостом не обойтись.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  –2 +/
Сообщение от Oinari (ok) on 16-Апр-17, 12:01 
Лучше бы микроядра пилили.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Первый стабильный выпуск RancherOS, минималистичной ОС на ба..."  +/
Сообщение от JL2001 email(ok) on 19-Апр-17, 16:55 
> Лучше бы микроядра пилили.

нужно и то и сабж (и не факт что нужно вместе, но кому как)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру