차이나모바일의 컨테이너 맞춤형 리눅스 운영체제 분석
- WBOY앞으로
- 2024-02-24 21:22:181165검색
범용 운영 체제는 다수의 소프트웨어를 통합하고 기본적으로 많은 서비스를 활성화합니다. 이러한 소프트웨어와 서비스의 대부분은 컨테이너 환경에 필요하지 않습니다. 따라서 일반 운영체제를 기반으로 컨테이너 서비스를 배포하게 되면 시스템 오버헤드가 증가할 뿐만 아니라, 환경 불안정과 보안 공격 표면 확대로 이어진다. 기존 범용 운영 체제와 비교하여 컨테이너 운영 체제는 컨테이너 애플리케이션에 맞게 심층적으로 맞춤화되고 최적화되어 컨테이너에 대한 경량의 최소 실행 환경을 제공합니다. 이 기사에서는 컨테이너화된 시스템에 대한 China Mobile의 시도와 그 성과를 소개합니다.
China Mobile은 2017년 컨테이너 맞춤형 운영 체제 연구 개발을 시작하여 Big Cloud 운영 체제 BC-LINUX를 기반으로 심층적인 맞춤형 운영 체제를 개발했으며, 그해 5월 "Big Cloud Containerized Operating System"이라는 이름의 버전 1.0을 공식 출시했습니다. ". BC-LINUX는 CentOS 오픈 소스 커뮤니티를 기반으로 China Mobile이 독자적으로 개발하고 맞춤형 수단을 통해 오픈 소스 기술의 개방형 이점을 활용하는 기업용 범용 Linux 운영 체제입니다. 현재 거의 20,000개가 China Mobile 내에 배포되었습니다. . 일반 시스템을 기반으로 다윤 컨테이너 운영 체제는 커널 최적화, 시스템 조정 및 기타 기술적 수단을 통해 간소화된 컨테이너 운영 환경을 제공하고, 시스템 운영 속도를 향상시키며, 그림에서 볼 수 있는 것처럼 시스템 최소화 및 성능 최적화를 달성합니다.
시스템 사용 편의성과 단순성 간의 균형을 유지하는 Dayun 컨테이너형 운영 체제는 기본 시스템 기능을 유지하면서 관련 없는 소프트웨어 패키지와 서비스를 잘라냅니다. 다윤 컨테이너화된 운영 체제는 컨테이너에 대한 최소한의 운영 환경을 제공하는 것을 기반으로 운영 체제의 공통 서비스와 기능이 누락되지 않도록 보장하고 시스템 오버헤드를 줄이며 일반 시스템에 비해 시스템 운영 및 유지 관리의 어려움을 줄여줍니다. 컨테이너화된 운영 체제 그림과 같이 시스템 소프트웨어 패키지 수는 3723개에서 376개로, 서비스 수는 254개에서 143개로, 설치 이미지 크기는 4.31G에서 770M로 줄었습니다.
다윤 컨테이너화된 운영 체제는 Docker 구성 요소를 통합하고 즉시 사용 가능한 11개의 주류 오픈 소스 미들웨어 컨테이너 이미지를 제공합니다. 우리는 이러한 11가지 오픈소스 구성 요소에 대해 버전 업데이트, 보안 경고, 취약점 수정 및 기술 지원 서비스를 제공하며, 그림과 같이 컨테이너 이미지에 보안 문제가 없는지 확인하기 위해 정기적으로 스캔 및 업데이트하여 컨테이너 이미지의 보안 취약점을 수정합니다. .
컨테이너 사용 시나리오의 경우 Dayun 컨테이너형 운영 체제는 최적화된 맞춤형 커널을 제공합니다. 맞춤형 커널은 커널 커뮤니티의 최신 장기 지원 버전 4.9를 기반으로 맞춤화 및 개발되었으며 XFS, Btrfs 및 Overlayfs에 대한 많은 기능 향상 및 성능 최적화를 추가합니다. overlay2 스토리지 드라이버를 지원합니다. 오버레이에 비해 Dayun 컨테이너 운영 체제의 오버레이2는 inode 사용 측면에서 더 효율적입니다. 또한 China Mobile의 컨테이너용 여러 패치가 맞춤형 커널에 추가되어 컨테이너와 호스트 시스템의 일부 네트워크 구성 매개변수의 분리를 실현하고 높은 네트워크 동시성 시나리오에서 컨테이너 비즈니스 시스템의 조정 요구를 충족합니다. 그림에 표시되어 있습니다.
빅 클라우드 컨테이너화 시스템은 불필요한 서비스를 차단하여 시스템의 보안 공격 표면을 줄입니다. 동시에 시스템에는 China Mobile이 독자적으로 개발한 보안 강화 소프트웨어가 내장되어 있어 시스템의 보안 취약성과 보안 구성 문제를 종합적으로 검사하고 보안 평가 결과와 수리 제안을 제공하며 한 번의 클릭으로 시스템을 강화할 수 있습니다. 시스템 보안 모드를 켜세요.
맞춤형 커널은 4.9 커널을 기반으로 하며, 커널의 상위 버전에서는 커널 권한 상승 취약점 Dirty Cow(CVE-2016-5195)와 같은 많은 보안 취약점이 수정되었습니다. 이 취약점이 있는 시스템은 컨테이너의 시스템 보안 정책을 우회하고 호스트 시스템의 루트 권한을 획득한 후 호스트의 모든 파일을 보거나 수정하거나 삭제할 수 있으므로 호스트 및 다른 컨테이너에 보안 위험이 발생할 수 있습니다.
기존 업그레이드 방식에서 동적 라이브러리 및 커널 업그레이드로 인해 발생하는 업무 중단 문제에 대응하여 컨테이너화된 운영 체제인 다윤이 핫 패치 기술을 출시했습니다. 핫 패치 기술은 비즈니스에 영향을 주지 않는 온라인 결함 및 취약점 복구 기술로, 서비스를 중단하거나 시스템을 다시 시작하지 않고도 동적 라이브러리 및 커널을 온라인으로 업그레이드할 수 있으며 시스템 성능을 크게 향상시킵니다. 그리고 가용성.
특히 동적 라이브러리 핫 업그레이드는 비즈니스 프로그램의 동적 라이브러리 업그레이드 문제를 해결합니다. 작동이 간단하고 편리하며 신뢰성이 높으며 다중 재진입 및 역방향 작업을 지원합니다. 그림과 같이.
커널의 ftrace 메커니즘을 기반으로 하는 커널 핫 업그레이드 기술은 감지 지점을 동적으로 추가하여 기능 수준 실행 프로세스의 온라인 교체를 실현합니다. 이 기술을 사용하면 시스템을 다시 시작하지 않고도 커널을 업그레이드할 수 있어 시스템 가동 중지 시간이 최소화됩니다. 중요한 보안 취약점에 대해서는 컨테이너화된 운영 체제인 다윤이 신속하게 대응할 수 있습니다. 동시에 시스템은 롤백 작업을 지원하고 커널을 업그레이드 전 상태로 신속하게 복원할 수 있습니다.
컨테이너화된 운영 체제의 경우 Dayun은 그림과 같이 지속적인 시스템 업데이트 및 기술 지원 서비스를 제공하고 운영 체제, 특히 Docker 구성 요소의 보안 취약점을 추적하고 보안 경고 및 취약점 업데이트 패치 패키지를 발행할 수 있습니다.
다윤 컨테이너화된 운영 체제는 출시 이후 차이나 모바일 내에서 상업적으로 홍보되었습니다. 현재 배포 규모는 거의 200개 노드에 도달했으며 6개월 동안 안정적으로 실행되어 5,000개의 컨테이너를 지원합니다. 제품의 안정성과 신뢰성은 프로젝트에서 완전히 검증되었습니다.
위 내용은 차이나모바일의 컨테이너 맞춤형 리눅스 운영체제 분석의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!