China Mobile のコンテナカスタマイズされた Linux オペレーティング システムの分析

一般的なオペレーティング システムには多数のソフトウェアが統合されており、デフォルトで多くのサービスが有効になっていますが、これらのソフトウェアやサービスのほとんどはコンテナ環境には必要ありません。したがって、一般的なオペレーティング システムに基づいてコンテナ サービスを展開すると、システムのオーバーヘッドが増加するだけでなく、環境が不安定になり、セキュリティ攻撃対象領域が拡大します。従来の汎用オペレーティング システムと比較して、コンテナ オペレーティング システムは、コンテナ アプリケーション向けに詳細に調整および最適化されており、軽量で最小限の実行環境をコンテナに提供します。この記事では、チャイナモバイルのコンテナ化システムへの試みとその成果の一部を紹介します。

China Mobile は、2017 年にコンテナにカスタマイズされたオペレーティング システムの研究開発を開始し、Big Cloud オペレーティング システム BC-LINUX に基づいて深くカスタマイズし、同年 5 月に「Big Cloud Containerized」という名前のバージョン 1.0 を正式にリリースしました。オペレーティング·システム"。 BC-LINUX は、CentOS オープン ソース コミュニティに基づいてチャイナ モバイルによって独自に開発されたエンタープライズ レベルの汎用 Linux オペレーティング システムであり、カスタマイズされた手段を通じてオープン ソース テクノロジのオープン性の利点を活用しています。現在、チャイナ モバイル内で約 20,000 ユニットが導入されています。 。一般的なシステムに基づいて、Dayun コンテナ化オペレーティング システムは、図に示すように、カーネルの最適化、システムの調整、その他の技術的手段を通じて合理化されたコンテナ操作環境を提供し、システムの動作速度を向上させ、システムの最小化とパフォーマンスの最適化を実現します。

汎用システムと比較して、Dayun コンテナ化オペレーティング システムには次のような特徴と利点があります。

システムの合理化

システムの使いやすさとシンプルさのバランスを取るために、Dayun コンテナ化オペレーティング システムは、システムの基本機能を保持しながら、無関係なソフトウェア パッケージとサービスを削除します。 Dayun コンテナ化オペレーティング システムは、コンテナに最小限の動作環境を提供することに基づいて、オペレーティング システムの共通サービスと機能が欠落していないことを保証し、システムのオーバーヘッドを削減し、システムの運用と保守の困難さを軽減します。コンテナ化されたオペレーティング システム 図に示すように、システム ソフトウェア パッケージの数は 3723 から 376 に、サービスの数は 254 から 143 に、インストール イメージのサイズは 4.31G から 770M に減少しました。

箱から出してすぐに使用可能

Dayun コンテナ化オペレーティング システムは、Docker コンポーネントを統合し、すぐに使用できる 11 の主流のオープンソース ミドルウェア コンテナ イメージを提供します。これら 11 個のオープン ソース コンポーネントのバージョン アップデート、セキュリティ警告、脆​​弱性修正、テクニカル サポート サービスを提供し、図に示すように、定期的にスキャンとアップデートを行ってコンテナ イメージのセキュリティ脆弱性を修正し、コンテナ イメージにセキュリティ上の問題がないことを確認します。 。

パフォーマンスの向上

コンテナー使用シナリオの場合、Dayun コンテナー化オペレーティング システムは、最適化されたカスタマイズされたカーネルを提供します。カスタマイズされたカーネルは、カーネル コミュニティの最新の長期サポート バージョン 4.9 に基づいてカスタマイズおよび開発されており、カーネルはコンテナ ビジネス向けに調整されており、XFS、Btrfs、および Overlayfs の多くの機能拡張とパフォーマンスの最適化が追加されています。オーバーレイ 2 ストレージ ドライバーをサポートしています。オーバーレイと比較して、Dayun コンテナー化オペレーティング システムのオーバーレイ 2 は、inode 使用率の点でより効率的です。さらに、チャイナモバイルのコンテナ用の複数のパッチがカスタマイズされたカーネルに追加され、これによりコンテナとホストシステムの一部のネットワーク構成パラメータの分離が実現され、ネットワーク同時実行性の高いシナリオでのコンテナビジネスシステムのチューニングニーズが満たされます。図に示されています。

セキュリティ強化

大規模なクラウドのコンテナ化システムは、不要なサービスを削除することでシステムのセキュリティ攻撃対象領域を減らします。同時に、システムにはチャイナモバイルが独自に開発したセキュリティ強化ソフトウェアが組み込まれており、システムのセキュリティ脆弱性やセキュリティ構成の問題を包括的にスキャンし、セキュリティ評価結果と修復提案を提供し、ワンクリックでシステムを強化できます。そしてシステムセキュリティモードをオンにします。
カスタマイズされたカーネルは 4.9 カーネルに基づいており、カーネルの上位バージョンでは、カーネル権限昇格の脆弱性 Dirty Cow (CVE-2016-5195) など、多くのセキュリティ脆弱性が修正されています。この脆弱性のあるシステムは、コンテナ内のシステムのセキュリティ ポリシーをバイパスしてホスト システムの root 権限を取得し、ホスト内のファイルを表示、変更、さらには削除できるため、ホストや他のコンテナにセキュリティ リスクが生じる可能性があります。

ホットアップグレード

従来のアップグレード方法における動的ライブラリとカーネルのアップグレードによって引き起こされるビジネス中断の問題に対応して、Dayun コンテナ化オペレーティング システムはホット パッチ テクノロジを導入しました。ホットパッチ技術とは、ビジネスに影響を与えないオンラインの欠陥・脆弱性修復技術です サービスの中断やシステムの再起動をすることなく、動的ライブラリやカーネルのオンラインアップグレードを実現します システムパフォーマンスに影響を与えず、ビジネスパフォーマンスを大幅に向上させます システムの安定性そして可用性。
具体的には、ダイナミック ライブラリ ホット アップグレードは、ビジネス プログラムのダイナミック ライブラリ アップグレードの問題を解決します。すべてのプロセスのダイナミック ライブラリ アップグレードに適しています。操作が簡単で便利で、信頼性が高く、複数のリエントリおよびリバース操作をサポートします。図に示すように。

カーネル ホット アップグレード テクノロジは、カーネルの ftrace メカニズムに基づいており、検出ポイントを動的に追加して、機能レベルの実行プロセスのオンライン置き換えを実現します。このテクノロジーにより、システムを再起動せずにカーネルのアップグレードが可能になり、システムのダウンタイムが最小限に抑えられます。重要なセキュリティ脆弱性に対して、Dayun コンテナ化オペレーティング システムは迅速に対応できます。同時に、システムはロールバック操作をサポートし、カーネルをアップグレード前の状態に迅速に復元できます。

継続的に更新されます

コンテナ化されたオペレーティング システムの場合、図に示すように、Dayun は継続的なシステム アップデートとテクニカル サポート サービスを提供し、オペレーティング システム、特に Docker コンポーネントのセキュリティ脆弱性を追跡し、セキュリティ警告と脆弱性アップデート パッチ パッケージを発行できます。

リリース以来、Dayun コンテナ化オペレーティング システムはチャイナ モバイル内で商業的に推進されてきました。現在の導入規模は 200 ノード近くに達しています。Kubernetes コンテナ管理プラットフォームを使用しており、6 か月間安定して実行されており、5,000 のコンテナをサポートしています。製品の安全性、安定性、信頼性はプロジェクトで十分に検証されています。

以上がChina Mobile のコンテナカスタマイズされた Linux オペレーティング システムの分析の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。