Allgemeine Betriebssysteme integrieren eine große Anzahl von Software und aktivieren standardmäßig viele Dienste. Die meisten dieser Software und Dienste sind für die Containerumgebung nicht erforderlich. Daher erhöht die Bereitstellung von Containerdiensten auf Basis eines allgemeinen Betriebssystems nicht nur den Systemaufwand, sondern führt auch zu Instabilität der Umgebung und einer Vergrößerung der Sicherheitsangriffsfläche. Im Vergleich zu herkömmlichen Allzweck-Betriebssystemen sind Container-Betriebssysteme umfassend auf Container-Anwendungen zugeschnitten und optimiert und bieten eine schlanke, minimale Betriebsumgebung für Container. In diesem Artikel werden einige der Versuche von China Mobile mit Containersystemen und einige seiner Erfolge vorgestellt.
China Mobile startete 2017 die Forschung und Entwicklung eines auf Container zugeschnittenen Betriebssystems, passte es umfassend auf der Grundlage des Big-Cloud-Betriebssystems BC-LINUX an und veröffentlichte im Mai desselben Jahres offiziell Version 1.0 mit dem Namen „Big Cloud Containerized Operating System“. ". BC-LINUX ist ein universelles Linux-Betriebssystem auf Unternehmensebene, das unabhängig von der CentOS-Open-Source-Community entwickelt wurde und die offenen Vorteile der Open-Source-Technologie durch maßgeschneiderte Mittel nutzt. Derzeit wurden fast 20.000 Einheiten bei China Mobile eingesetzt . Auf der Grundlage des allgemeinen Systems bietet das Container-Betriebssystem von Dayun durch Kerneloptimierung und Systemanpassung sowie andere technische Mittel eine optimierte Container-Betriebsumgebung, verbessert die Betriebsgeschwindigkeit des Systems und erreicht eine Systemminimierung und Leistungsoptimierung.
Das Container-Betriebssystem Dayun schafft ein Gleichgewicht zwischen Benutzerfreundlichkeit und Einfachheit und schneidet irrelevante Softwarepakete und Dienste aus, während grundlegende Systemfunktionen erhalten bleiben. Auf der Grundlage der Bereitstellung einer minimalen Betriebsumgebung für Container stellt das Container-Betriebssystem von Dayun sicher, dass gemeinsame Dienste und Funktionen des Betriebssystems nicht fehlen, reduziert den Systemaufwand und verringert die Schwierigkeit des Systembetriebs und der Systemwartung im Vergleich zu allgemeinen Systemen, Dayun Containerisiertes Betriebssystem Die Anzahl der Systemsoftwarepakete wurde von 3723 auf 376 reduziert, die Anzahl der Dienste wurde von 254 auf 143 reduziert und die Größe des Installationsabbilds wurde von 4,31 G auf 770 MB reduziert, wie in der Abbildung dargestellt.
Das Container-Betriebssystem Dayun integriert Docker-Komponenten und bietet 11 Mainstream-Open-Source-Middleware-Container-Images für den sofort einsatzbereiten Einsatz. Wir bieten Versionsaktualisierungen, Sicherheitswarnungen, Schwachstellenbehebungen und technische Supportdienste für diese 11 Open-Source-Komponenten an und scannen und aktualisieren regelmäßig, um Sicherheitslücken in Container-Images zu beheben, um sicherzustellen, dass es keine Sicherheitsprobleme in Container-Images gibt, wie in der Abbildung dargestellt .
Für Container-Nutzungsszenarien bietet das Container-Betriebssystem Dayun einen optimierten, angepassten Kernel. Der angepasste Kernel wird auf der Grundlage der neuesten Langzeit-Support-Version 4.9 der Kernel-Community angepasst und entwickelt. Der Kernel ist auf das Container-Geschäft zugeschnitten und bietet zahlreiche Funktionserweiterungen und Leistungsoptimierungen für das Dayun-Container-Betriebssystem Unterstützt den Overlay2-Speichertreiber. Im Vergleich zu Overlay ist das Overlay2 des Dayun-Container-Betriebssystems hinsichtlich der Inode-Nutzung effizienter. Darüber hinaus werden dem angepassten Kernel mehrere Patches für Container von China Mobile hinzugefügt, die die Trennung einiger Netzwerkkonfigurationsparameter des Containers und des Hostsystems realisieren und die Optimierungsanforderungen des Container-Geschäftssystems in Szenarien mit hoher Netzwerk-Parallelität erfüllen in der Abbildung dargestellt.
Das Big-Cloud-Containerisierungssystem reduziert die Sicherheitsangriffsfläche des Systems, indem es unnötige Dienste ausschaltet. Gleichzeitig verfügt das System über eine integrierte, von China Mobile unabhängig entwickelte Sicherheitshärtungssoftware, die das System umfassend auf Sicherheitslücken und Sicherheitskonfigurationsprobleme scannen, Sicherheitsbewertungsergebnisse und Reparaturvorschläge liefern und das System mit einem Klick härten kann und schalten Sie den Systemsicherheitsmodus ein.
Der angepasste Kernel basiert auf dem 4.9-Kernel. Die höhere Version des Kernels behebt viele Sicherheitslücken, wie z. B. die Schwachstelle Dirty Cow (CVE-2016-5195) zur Eskalation von Kernelprivilegien. Ein System mit dieser Schwachstelle kann die Sicherheitsrichtlinie des Systems im Container umgehen und Root-Berechtigungen des Hostsystems erhalten. Dann kann es alle Dateien im Host anzeigen, ändern oder sogar löschen, was zu Sicherheitsrisiken für den Host und andere Container führt.
Als Reaktion auf das Problem der Betriebsunterbrechung, die durch dynamische Bibliotheks- und Kernel-Upgrades bei herkömmlichen Upgrade-Methoden verursacht wird, hat das Container-Betriebssystem Dayun die Hot-Patch-Technologie eingeführt. Die Hot-Patch-Technologie ist eine Online-Technologie zur Reparatur von Fehlern und Schwachstellen, die keine Auswirkungen auf das Unternehmen hat. Sie kann Online-Upgrades von dynamischen Bibliotheken und Kerneln durchführen, ohne die Systemleistung zu unterbrechen und die Systemstabilität erheblich zu verbessern und Verfügbarkeit.
Insbesondere löst das dynamische Bibliotheks-Hot-Upgrade das Problem des dynamischen Bibliotheks-Upgrades aller Prozesse. Es ist einfach und bequem zu bedienen, weist eine hohe Zuverlässigkeit auf und unterstützt mehrere Wiedereintritts- und Rückwärtsoperationen. wie in der Abbildung gezeigt.
Kernel-Hot-Upgrade-Technologie, basierend auf dem Ftrace-Mechanismus des Kernels, fügt dynamisch Erkennungspunkte hinzu, um einen Online-Ersatz von Ausführungsprozessen auf Funktionsebene zu realisieren. Diese Technologie ermöglicht Kernel-Upgrades ohne Neustart des Systems und minimiert so Systemausfallzeiten. Bei wichtigen Sicherheitslücken kann das Container-Betriebssystem Dayun schnell reagieren. Gleichzeitig unterstützt das System Rollback-Vorgänge und kann den Kernel schnell in den Zustand vor dem Upgrade zurückversetzen.
Für Container-Betriebssysteme kann Dayun kontinuierliche Systemaktualisierungen und technische Supportdienste bereitstellen, Sicherheitslücken im Betriebssystem, insbesondere in Docker-Komponenten, verfolgen und Sicherheitswarnungen und Schwachstellen-Update-Patchpakete ausgeben, wie in der Abbildung dargestellt.
Seit seiner Veröffentlichung wurde das Container-Betriebssystem Dayun bei China Mobile kommerziell beworben. Es nutzt die Container-Management-Plattform Kubernetes und unterstützt 5.000 Container Das Produkt, seine Stabilität und Zuverlässigkeit wurden im Projekt vollständig überprüft.
Das obige ist der detaillierte Inhalt vonAnalyse des Container-angepassten Linux-Betriebssystems von China Mobile. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!