Analyse du système d'exploitation Linux personnalisé pour conteneurs de China Mobile

Les systèmes d'exploitation à usage général intègrent un grand nombre de logiciels et activent de nombreux services par défaut. La plupart de ces logiciels et services ne sont pas nécessaires pour l'environnement de conteneur. Par conséquent, le déploiement de services de conteneurs basés sur un système d’exploitation général augmentera non seulement la surcharge du système, mais entraînera également une instabilité environnementale et une expansion de la surface d’attaque de sécurité. Par rapport aux systèmes d'exploitation traditionnels à usage général, les systèmes d'exploitation de conteneurs sont profondément adaptés et optimisés pour les applications de conteneurs, offrant ainsi un environnement d'exécution minimal et léger pour les conteneurs. Cet article présente certaines des tentatives de China Mobile en matière de systèmes conteneurisés et certaines de ses réalisations.

China Mobile a lancé la recherche et le développement d'un système d'exploitation personnalisé pour les conteneurs en 2017, l'a profondément personnalisé sur la base du système d'exploitation Big Cloud BC-LINUX et a officiellement publié la version 1.0 en mai de la même année, nommée « Système d'exploitation conteneurisé Big Cloud ». ". BC-LINUX est un système d'exploitation Linux à usage général au niveau de l'entreprise développé indépendamment par China Mobile, basé sur la communauté open source CentOS et tirant parti des avantages ouverts de la technologie open source par des moyens personnalisés. Actuellement, près de 20 000 unités ont été déployées au sein de China Mobile. . Sur la base du système général, le système d'exploitation conteneurisé Dayun fournit un environnement d'exploitation de conteneur rationalisé grâce à l'optimisation du noyau et à l'adaptation du système et à d'autres moyens techniques, améliore la vitesse de fonctionnement du système, réalise une minimisation du système et une optimisation des performances, comme le montre l'image.

Le système d'exploitation conteneurisé Big Cloud présente les fonctionnalités et avantages suivants par rapport aux systèmes à usage général.

Système simplifié

Trouvant un équilibre entre la facilité d'utilisation et la simplicité du système, le système d'exploitation conteneurisé Dayun supprime les progiciels et les services non pertinents tout en conservant les fonctions de base du système. Sur la base de la fourniture d'un environnement d'exploitation minimum pour les conteneurs, le système d'exploitation conteneurisé Dayun garantit que les services et fonctions communs du système d'exploitation ne manquent pas, réduit la surcharge du système et réduit la difficulté d'exploitation et de maintenance du système par rapport aux systèmes généraux de Dayun. système d'exploitation conteneurisé Le nombre de packages logiciels système a été réduit de 3 723 à 376, le nombre de services a été réduit de 254 à 143 et la taille de l'image d'installation a été réduite de 4,31 Go à 770 Mo, comme le montre la figure.

Prêt à l'emploi dès la sortie de la boîte

Le système d'exploitation conteneurisé Dayun intègre des composants Docker et fournit 11 images de conteneurs middleware open source grand public pour une utilisation prête à l'emploi. Nous fournissons des mises à jour de version, des avertissements de sécurité, des correctifs de vulnérabilités et des services d'assistance technique pour ces 11 composants open source, et analysons et mettons régulièrement à jour pour corriger les vulnérabilités de sécurité dans les images de conteneurs afin de garantir qu'il n'y a aucun problème de sécurité dans les images de conteneurs, comme le montre la figure. .

Amélioration des performances

Pour les scénarios d'utilisation de conteneurs, le système d'exploitation conteneurisé Dayun fournit un noyau personnalisé optimisé. Le noyau personnalisé est personnalisé et développé sur la base de la dernière version de support à long terme 4.9 de la communauté du noyau. Le noyau est adapté au secteur des conteneurs et ajoute de nombreuses améliorations de fonctions et optimisations de performances pour XFS, Btrfs et Overlayfs. prend en charge le pilote de stockage overlay2. Par rapport à l'overlay, l'overlay2 du système d'exploitation conteneurisé Dayun est plus efficace en termes d'utilisation des inodes. De plus, les multiples correctifs de China Mobile pour les conteneurs sont ajoutés au noyau personnalisé, qui réalise la séparation de certains paramètres de configuration réseau du conteneur et du système hôte, et répond aux besoins de réglage du système commercial des conteneurs dans des scénarios de concurrence de réseau élevée, comme montré sur la figure.

Renforcement de sécurité

Le système de conteneurisation Big Cloud réduit la surface d'attaque de sécurité du système en supprimant les services inutiles. Dans le même temps, le système dispose d'un logiciel de renforcement de la sécurité intégré développé indépendamment par China Mobile, qui peut analyser de manière exhaustive le système à la recherche de vulnérabilités de sécurité et de problèmes de configuration de sécurité, fournir des résultats d'évaluation de sécurité et des suggestions de réparation, et peut renforcer le système en un seul clic. et activez le mode de sécurité du système.
Le noyau personnalisé est basé sur le noyau 4.9 et les versions supérieures du noyau ont corrigé de nombreuses vulnérabilités de sécurité, telles que la vulnérabilité d'élévation des privilèges du noyau Dirty Cow (CVE-2016-5195). Un système présentant cette vulnérabilité peut contourner la politique de sécurité du système dans le conteneur et obtenir les autorisations root du système hôte, puis afficher, modifier ou même supprimer tous les fichiers de l'hôte, posant ainsi des risques de sécurité pour l'hôte et les autres conteneurs.

Mise à niveau chaude

En réponse au problème de l'interruption des activités causée par les mises à niveau dynamiques de la bibliothèque et du noyau dans les méthodes de mise à niveau traditionnelles, le système d'exploitation conteneurisé Dayun a lancé la technologie de correctifs chauds. La technologie de correctif à chaud est une technologie de réparation en ligne des défauts et des vulnérabilités qui n'affecte pas l'entreprise. Elle peut réaliser des mises à niveau en ligne des bibliothèques et des noyaux dynamiques sans interrompre les services ni redémarrer le système. Elle n'affecte pas les performances du système et améliore considérablement les performances de l'entreprise. et la disponibilité.
Plus précisément, la mise à niveau dynamique de la bibliothèque résout le problème de la mise à niveau dynamique de la bibliothèque des programmes commerciaux. Elle est simple et pratique à utiliser, et prend en charge plusieurs opérations de rentrée et d'inversion. comme le montre la figure.

La technologie de mise à niveau à chaud du noyau, basée sur le mécanisme ftrace du noyau, ajoute dynamiquement des points de détection pour réaliser le remplacement en ligne des processus d'exécution au niveau des fonctions. Cette technologie permet les mises à niveau du noyau sans redémarrer le système, minimisant ainsi les temps d'arrêt du système. Pour les vulnérabilités de sécurité importantes, le système d’exploitation conteneurisé Dayun peut réagir rapidement. Dans le même temps, le système prend en charge les opérations de restauration et peut rapidement restaurer le noyau à l'état avant la mise à niveau.

Continuellement mis à jour

Pour les systèmes d'exploitation conteneurisés, Dayun peut fournir des mises à jour continues du système et des services d'assistance technique, suivre les vulnérabilités de sécurité du système d'exploitation, en particulier les composants Docker, et émettre des avertissements de sécurité et des packages de correctifs de mise à jour des vulnérabilités, comme le montre la figure.

Depuis sa sortie, le système d'exploitation conteneurisé Dayun a été commercialisé au sein de China Mobile. L'échelle de déploiement actuelle a atteint près de 200 nœuds. Il utilise la plate-forme de gestion de conteneurs Kubernetes et fonctionne de manière stable depuis 6 mois, prenant en charge 5 000 conteneurs. est hautement sécurisé, la stabilité et la fiabilité ont été entièrement vérifiées dans le projet.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!