Компания Amazon подготовила вариант своего Linux-окружения, оформленный в виде, пригодном для обособленной установки на машинах пользователей или в сторонних системах контейнерной виртуализации (например, можно использовать с Docker). Ранее AMI-сборки Linux от Amazon были доступны только для развёртывания в облачных окружениях Amazon EC2. Предполагается, что обособленная установка Linux-окружения Amazon может оказаться полезной для разработки и тестирования работы приложений, которые планируется использовать в облаке EC2. Сборка создана на основе тех же пакетов, что и штатный AMI-образ с Linux для Amazon EC2. Предоставлена возможность создания своих образов контейнеров на основе предоставленной сборки. Linux-окружение Amazon примечательно особым отношением к обеспечению безопасности, например, там представлен только минимально необходимый набор приложений, нет пользователя root, а аутентификация осуществляется только при помощи SSH-ключей.
Компания Google представила проект Cilium, в рамках которого подготовлена система для обеспечения сетевого взаимодействия и применения политик безопасности для изолированных контейнеров, основанная на применении загружаемых в ядро Linux программ eBPF, генерируемых на лету. Проект создан в результате эксперимента по применению для контейнерной изоляции новых технологий ядра Linux, таких как BPF (Berkeley Packet Filter) и XDP (eXpress Data Path). Исходные тексты компонентов, работающих на уровне пользователя, написаны на языке Go и распространяются под лицензией Apache 2.0. Загружаемые в ядро Linux сценарии BPF доступны под лицензией GPLv2.
Cilium состоит из специализированного фонового процесса, набора BPF-программ и модулей интеграции. Фоновый процесс работает в пространстве пользователя и выполняет работу по генерированию и компилированию BPF-программ, а также взаимодействует с runtime, обеспечивающим работу контейнеров. В форме BPF-программ реализованы системы обеспечения связности контейнеров, интеграции с сетевой подсистемой (физические и виртуальные сети, VXLAN, Geneve) и балансировки нагрузки. Модули интеграции предоставляются для CNI, Kubernetes и Docker.
eBPF представляет собой встроенный в ядро Linux интерпретатор байткода, позволяющий создавать обработчики сетевых операций, контролировать доступ и отслеживать работу систем, в том числе BPF-программы могут применяться для низкоуровневой обработки входящих/исходящих пакетов, принятия решений о перенаправлении пакетов, перехвата системных вызовов, контроля доступа и использования kprobes. XDP предоставляет средства для запуска BPF-программ на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов, что позволяет создавать высокопроизводительные обработчики для работы в условиях большой сетевой нагрузки.
Программы для eBPF могут определяться на подмножестве языка C, компилироваться при помощи специального бэкенда LLVM и загружаться в ядро. Перед выполнением интерпретатор eBPF проверяет байткод на предмет применения разрешённых инструкций и налагает определённые правила на код (например, отсутствие циклов). Благодаря применению JIT-компиляции, байткод на лету транслируется в машинные инструкции и выполняется с производительностью нативного кода. При помощи программ BPF в Cilium реализованы такие возможности, как NAT64, балансировщики для сетевых уровней L3/L4, механизм отслеживания соединений, система маппинга сетевых портов, средства управления доступом, обработчики запросов NDisc и ARP, инкапсуляция пакетов через VXLAN, Geneve и GRE.
Из преимуществ применения Cilium для контейнерной изоляции отмечается:
● Простота: каждому контейнеру назначен адрес IPv6 (опционально IPv4), все контейнеры соединены с одним общим виртуальным сетевым пространством с изоляцией через систему меток, привязанных к контейнерам. IPv6 выбран в качестве основной модели адресации с поддержкой IPv4 для обеспечения обратной совместимости; ● Расширяемость: пользователи могут дополнить или адаптировать для своих нужд любой аспект работы BPF-программ. Возможности перенаправления и фильтрации пакетов не ограничиваются версией ядра и могут расширяться добавлением новых типов статистики, не поддерживаемых ядром, новыми обработчиками протоколов, внесением изменений в методы отслеживания соединений, реализацией дополнительной логики перенаправления пакетов; ● Высокая производительность: JIT-компилятор позволяет добиться эффективного выполнения BPF-программ. Для каждого контейнера генерируются отдельные программы BPF, обеспечивающие только необходимую функциональность, что позволяет уменьшить размер выполняемого кода; ● Возможность внесения изменений и исправлений в компоненты, отвечающие за обработку и перенаправление пакетов, без перезагрузки ядра, без разрыва установленных соединений и без остановки работающих контейнеров; ● Интеграция эффективной системы мониторинга, которая может включаться по необходимости во время работы. Возможность отслеживать сетевую активность контейнеров в условиях высокой сетевой нагрузки без внесения задержек при обработке соединений.
После более двух лет разработки состоялся релиз пакетного менеджера RPM 4.13.0. Проект RPM4 развивается компанией Red Hat и используется в таких дистрибутивах, как RHEL (включая производные проекты CentOS, Scientific Linux, AsiaLinux, Red Flag Linux, Oracle Linux), Fedora, SUSE, openSUSE, ALT Linux, Mageia, PCLinuxOS, Tizen и многих других. Параллельно независимой командой разработчиков развивается проект RPM5, который непосредственно не связан с RPM4.
Наиболее заметные улучшения в RPM 4.13:
● Поддержка файловых триггеров, привязываемых к различным событиям скриптов, которые можно определить внутри spec-файла пакета. Например, триггер "%filetriggerin -- /usr/lib /lib" выполнит после установки привязанный к триггеру скрипт, если пакет содержит файл, путь которого начинается с /usr/lib или /lib. ● Поддержка двоичных зависимостей, позволяющих применять логические выражения над всеми зависимостями внутри блоков Requires, Recommends, Suggests, Supplements, Enhances и Conflicts. Например, при определении обязательных зависимостей можно указать "Requires: ((pkgA and pkgB) or pkgC or pkg)"; ● Поддержка задания цифровых подписей для файлов в xattr security.ima; ● Новые параметры формирования запроса: --whatrecommends, --whatsuggests, --whatsupplements, --whatenhances, --filetriggers; ● Конструкция "rpmbuild --addsign" объявлена устаревшей, вместо неё следует использовать утилиту "rpmsign"; ● Поддержка "rpmbuild -r[abpcils] SRPM" для выполнения всех стадий сборки исходного пакета.
Компания Collabora объявила в выходе второй версии платформы CODE (Collabora Online Development Edition), в рамках которой развивается специализированный дистрибутив для быстрого развёртывания платформы LibreOffice Online и организации совместной удалённой работы с офисным пакетом через Web. CODE включает все компоненты, необходимые для работы сервера LibreOffice Online и предоставит разработчикам и пользователям, интересующимся редакцией LibreOffice для Web, возможность быстрого запуска и ознакомления с текущим состоянием продукта. Дистрибутив оформлен в виде преднастроенного контейнера для системы Docker.
Если первый выпуск CODE был ограничен возможностью работы с документами, электронными таблицами и презентациями через web-браузер, то во втором выпуске добавлена поддержка совместной работы нескольких пользователей, которые могут одновременно вносить изменения в документ, оставлять комментарии и отвечать на вопросы. Вклад каждого пользователя и текущие правки, а также позиция курсора и выделенные области наглядно отмечаются цветом.
Другим важным улучшением является отказ от привязки к определённой платформе для организации облачного хранения документов. Для совместного доступа к документам и синхронизации файлов в CODE 2.0 на выбор могут использоваться системы Nextcloud, ownCloud, Seafile и Pydio. В дальнейшем на базе CODE планируется сформировать комбинированный коммерческий продукт Collabora Online 2.0, похожий по решаемым задачам на Google Docs и Office 365. Используемые в продукте наработки размещаются в общедоступных репозиториях LibreOffice, LibreOfficeKit, loolwsd (Web Services Daemon) и loleaflet (web-клиент).
Отображаемый в браузере интерфейс редактирования формируется с использованием штатного движка LibreOffice и позволяет добиться полностью идентичного отображения структуры документа с версией для настольных систем. Формирование интерфейса в браузере осуществляется при помощи HTML5-бэкенда библиотеки GTK+, предназначенного для отрисовки вывода GTK-приложений в окне web-браузера. Для вычислений, мозаичной отрисовки и многослойной компоновки документа применяется штатный LibreOfficeKit. Для организации серверного взаимодействия с браузером, передачи изображений с частями интерфейса, организации кэширования кусочков изображений и работы с хранилищем документов задействован специальный Web Services Daemon. #delvin#opennet#news#system#docker#os
Территория Linux
:الدب النووي
Подборка новостей Opennet.
Компания Amazon подготовила вариант своего Linux-окружения, оформленный в виде, пригодном для обособленной установки на машинах пользователей или в сторонних системах контейнерной виртуализации (например, можно использовать с Docker). Ранее AMI-сборки Linux от Amazon были доступны только для развёртывания в облачных окружениях Amazon EC2. Предполагается, что обособленная установка Linux-окружения Amazon может оказаться полезной для разработки и тестирования работы приложений, которые планируется использовать в облаке EC2.
Сборка создана на основе тех же пакетов, что и штатный AMI-образ с Linux для Amazon EC2. Предоставлена возможность создания своих образов контейнеров на основе предоставленной сборки. Linux-окружение Amazon примечательно особым отношением к обеспечению безопасности, например, там представлен только минимально необходимый набор приложений, нет пользователя root, а аутентификация осуществляется только при помощи SSH-ключей.
Cilium состоит из специализированного фонового процесса, набора BPF-программ и модулей интеграции. Фоновый процесс работает в пространстве пользователя и выполняет работу по генерированию и компилированию BPF-программ, а также взаимодействует с runtime, обеспечивающим работу контейнеров. В форме BPF-программ реализованы системы обеспечения связности контейнеров, интеграции с сетевой подсистемой (физические и виртуальные сети, VXLAN, Geneve) и балансировки нагрузки. Модули интеграции предоставляются для CNI, Kubernetes и Docker.
eBPF представляет собой встроенный в ядро Linux интерпретатор байткода, позволяющий создавать обработчики сетевых операций, контролировать доступ и отслеживать работу систем, в том числе BPF-программы могут применяться для низкоуровневой обработки входящих/исходящих пакетов, принятия решений о перенаправлении пакетов, перехвата системных вызовов, контроля доступа и использования kprobes. XDP предоставляет средства для запуска BPF-программ на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов, что позволяет создавать высокопроизводительные обработчики для работы в условиях большой сетевой нагрузки.
Программы для eBPF могут определяться на подмножестве языка C, компилироваться при помощи специального бэкенда LLVM и загружаться в ядро. Перед выполнением интерпретатор eBPF проверяет байткод на предмет применения разрешённых инструкций и налагает определённые правила на код (например, отсутствие циклов). Благодаря применению JIT-компиляции, байткод на лету транслируется в машинные инструкции и выполняется с производительностью нативного кода. При помощи программ BPF в Cilium реализованы такие возможности, как NAT64, балансировщики для сетевых уровней L3/L4, механизм отслеживания соединений, система маппинга сетевых портов, средства управления доступом, обработчики запросов NDisc и ARP, инкапсуляция пакетов через VXLAN, Geneve и GRE.
Из преимуществ применения Cilium для контейнерной изоляции отмечается:
● Простота: каждому контейнеру назначен адрес IPv6 (опционально IPv4), все контейнеры соединены с одним общим виртуальным сетевым пространством с изоляцией через систему меток, привязанных к контейнерам. IPv6 выбран в качестве основной модели адресации с поддержкой IPv4 для обеспечения обратной совместимости;
● Расширяемость: пользователи могут дополнить или адаптировать для своих нужд любой аспект работы BPF-программ. Возможности перенаправления и фильтрации пакетов не ограничиваются версией ядра и могут расширяться добавлением новых типов статистики, не поддерживаемых ядром, новыми обработчиками протоколов, внесением изменений в методы отслеживания соединений, реализацией дополнительной логики перенаправления пакетов;
● Высокая производительность: JIT-компилятор позволяет добиться эффективного выполнения BPF-программ. Для каждого контейнера генерируются отдельные программы BPF, обеспечивающие только необходимую функциональность, что позволяет уменьшить размер выполняемого кода;
● Возможность внесения изменений и исправлений в компоненты, отвечающие за обработку и перенаправление пакетов, без перезагрузки ядра, без разрыва установленных соединений и без остановки работающих контейнеров;
● Интеграция эффективной системы мониторинга, которая может включаться по необходимости во время работы. Возможность отслеживать сетевую активность контейнеров в условиях высокой сетевой нагрузки без внесения задержек при обработке соединений.
Наиболее заметные улучшения в RPM 4.13:
● Поддержка файловых триггеров, привязываемых к различным событиям скриптов, которые можно определить внутри spec-файла пакета. Например, триггер "%filetriggerin -- /usr/lib /lib" выполнит после установки привязанный к триггеру скрипт, если пакет содержит файл, путь которого начинается с /usr/lib или /lib.
● Поддержка двоичных зависимостей, позволяющих применять логические выражения над всеми зависимостями внутри блоков Requires, Recommends, Suggests, Supplements, Enhances и Conflicts. Например, при определении обязательных зависимостей можно указать "Requires: ((pkgA and pkgB) or pkgC or pkg)";
● Поддержка задания цифровых подписей для файлов в xattr security.ima;
● Новые параметры формирования запроса: --whatrecommends, --whatsuggests, --whatsupplements, --whatenhances, --filetriggers;
● Конструкция "rpmbuild --addsign" объявлена устаревшей, вместо неё следует использовать утилиту "rpmsign";
● Поддержка "rpmbuild -r[abpcils] SRPM" для выполнения всех стадий сборки исходного пакета.
Если первый выпуск CODE был ограничен возможностью работы с документами, электронными таблицами и презентациями через web-браузер, то во втором выпуске добавлена поддержка совместной работы нескольких пользователей, которые могут одновременно вносить изменения в документ, оставлять комментарии и отвечать на вопросы. Вклад каждого пользователя и текущие правки, а также позиция курсора и выделенные области наглядно отмечаются цветом.
Другим важным улучшением является отказ от привязки к определённой платформе для организации облачного хранения документов. Для совместного доступа к документам и синхронизации файлов в CODE 2.0 на выбор могут использоваться системы Nextcloud, ownCloud, Seafile и Pydio. В дальнейшем на базе CODE планируется сформировать комбинированный коммерческий продукт Collabora Online 2.0, похожий по решаемым задачам на Google Docs и Office 365. Используемые в продукте наработки размещаются в общедоступных репозиториях LibreOffice, LibreOfficeKit, loolwsd (Web Services Daemon) и loleaflet (web-клиент).
Отображаемый в браузере интерфейс редактирования формируется с использованием штатного движка LibreOffice и позволяет добиться полностью идентичного отображения структуры документа с версией для настольных систем. Формирование интерфейса в браузере осуществляется при помощи HTML5-бэкенда библиотеки GTK+, предназначенного для отрисовки вывода GTK-приложений в окне web-браузера. Для вычислений, мозаичной отрисовки и многослойной компоновки документа применяется штатный LibreOfficeKit. Для организации серверного взаимодействия с браузером, передачи изображений с частями интерфейса, организации кэширования кусочков изображений и работы с хранилищем документов задействован специальный Web Services Daemon.
#delvin #opennet #news #system #docker #os