Компания Intel анонсировала (http://blogs.intel.com/evangelists/2015/05/19/clear-linux/) проект Clear Linux (https://clearlinux.org/), в рамках которого предпринята попытка создания платформы для полноценной изоляции контейнеров приложений с использованием гипервизора KVM. Кроме обеспечения более высокого уровня безопасности, целью разработки является сокращение времени запуска виртуализированного окружения до значений, приемлемых для запуска контейнеров приложений по требованию, а также сокращение потребления памяти в условиях работы большого числа типовых виртуальных машин.
В итоге были получены достаточно интересные результаты, демонстрирующие характеристики, близкие к системам контейнерной изоляции (namespaces, cgroups), но реализованные (http://lwn.net/SubscriberLink/644675/54520a696ff9cddc/) в условиях полноценной виртуализации (KVM). Например, в Clear Linux время запуска виртуальнго окружения составляет всего 200мс, что позволяет на лету запускать упакованные в виртуальные окружения приложения, в моменты, когда в них возникает необходимость.
Что касается потребления памяти, то при запуске типовых виртуальных окружений Clear, накладные расходы на каждое последующее окружение составляет всего 18-20 Мб, что даёт возможность уместить 3500 виртуальных машин на сервере с 128 Гб ОЗУ. Для уменьшения потребления памяти в Clear Linux задействован механизм ядра Linux DAX (http://lwn.net/Articles/610174/), позволяющий организовать совместное использование ресурсов хост-системы и подключить к разным гостевым системам общий шаблон пользовательского окружения. Для дедупликации одинаковых областей памяти применяется технология KSM (http://lwn.net/Articles/330589/).
Развёртывания нового типа контейнеров производится при помощи специализированного дистрибутива Clear Linux, системный образ которого занимает (https://download.clearlinux.org/) около 200 Мб. Для тестирования также предлагается демонстрационный набор контейнеров (http://download.clearlinux.org/demos/containers/). Дистрибутив не содержит ничего лишнего, кроме базовых компонентов, необходимых для запуска и управления контейнерами Clear. Расширенные возможности могут быть интегрированы через наборы "bundle", в каждом из которых реализуется готовая функциональность, независимо от того, сколько программных компонентов её образуют. Bundle и образ системного окружения формируются на основе репозитория RPM-пакетов (https://download.clearlinux.org/current/x86_64/os/Packages/), но поставляются без разделения на пакеты. Внутри контейнеров также выполняется специально оптимизированная копия Clear Linux, содержащая необходимые для запуска целевого приложения наборы bundle.
В системе предлагается (https://clearlinux.org/features/software-update) использовать атомарные обновления, при которых разом обновляется всё системное окружение, по аналогии с CoreOS (http://www.opennet.me/opennews/art.shtml?num=40275), Atomic Host (http://www.opennet.me/opennews/art.shtml?num=41795), ChromeOS, Photon (http://www.opennet.me/opennews/art.shtml?num=42075), RancherOS (http://www.opennet.me/opennews/art.shtml?num=41728) и Ubuntu Core (http://www.opennet.me/opennews/art.shtml?num=41223). Обновление системы могут производится в двух режимах: наложение исправлений на работающую систему и полное обновление системы через установку нового образа в отдельный снапшот Btrfs и замену активного снапшота на новый. В Clear Linux применяется (https://clearlinux.org/features/stateless) stateless-подход к определению конфигурации, подразумевающий, что система не сохраняет своё состояние (stateless) и после установки не содержит каких-либо настроек в директории /etc, а генерирует настройки на лету на основе указанных при запуске шаблонов.
URL: http://blogs.intel.com/evangelists/2015/05/19/clear-linux/
Новость: http://www.opennet.me/opennews/art.shtml?num=42272
Наплевательское отношение к безопасности в Docker подмочило репутацию контейнерам.
Свет клином сошёлся?
> Свет клином сошёлся?Да нет. Просто разочарование папуаса в блестючих бусах.
Потому что не надо быть хайповой обезьяной.
Много что подмочило. Особенно нереальных размеров хайп и упорное передергивание всего что связано с LXC - мол это такой низкий уровень, да этим пользоваться невозможно, вот то ли дело мы. Особенно пока всё это ездило исключительно на LXC.Тут, кстати, на днях один там Марк много чего заявил по поводу LXD vs KVM, не в пользу последнего, и довольно громко http://www.zdnet.com/article/canonical-claims-lxd-crushes-kvm/
Ещё один аргумент в пользу KVM. <_<
Вы подобными аргументами при оценке любой технологии пользуетесь?А то поинтересуйтесь разными там статистическими методами за авторством Пирсона, и тем когда и зачем он их изобретал, например.
Не знаю что именно этот конкретный год вам объясняет.
http://en.wikipedia.org/wiki/Karl_Pearson#Politics_and_eugenics
http://onlinelibrary.wiley.com/doi/10.1111/j.1469-1809.1925....
> В 1934 году. Да, это многое объясняет. Спасибо.Ой, блин, а ДВС, электродвигатели и трансформаторы в основном придумали в XIX веке аж. Ты по этому поводу уже начал ходить пешком и прекратил пользоваться электричеством?
> Ещё один аргумент в пользу KVM. <_<Сравнивать контейнеры с full виртуализатором - это надо ума палату иметь. В смысле, нафига это Шатлворту - я еще понимаю, он все-таки бизнесмен и на сравнении сладкого с горячим может слегонца навариться :). А вот нафуя это вам?
> Наплевательское отношение к безопасности в Docker подмочило репутацию...Docker, и только.
Оно было бы так, кабы для подавляющего большинства IT-люда понятия "контейнеры" и "Docker" не воспринимались бы как синонимы.«Мы говорим — Ленин, подразумеваем — партия, мы говорим — партия, подразумеваем — Ленин»
> "Docker" не воспринимались бы как синонимы.Это вы про какой люд? Хомячков с их хайпом? Так они обычно кроме хайпа ничего и не умеют.
Зависит от определения слова "уметь". С вашей точки зрения может и не умеют, а пол-интернета из их творений на php-шных CMS состоит, тем не менее.
Годнота, но не оверкил ли?
вполне себе, можете зайти в RusNet на #linux и посмотреть как sh бот отрабатывает, он там тоже на каждых запрос инстанс восстанавливает и бежит в kvm.
> бот отрабатывает, он там тоже на каждых запрос инстанс восстанавливает и бежит в kvm.Интересно, интересно. И сколько запусков VM в секунду он вытянет? :)
Докер, рокет, докер, докер, докер, докер, докер, докер, докер.
Нужно БОЛЬШЕ уровней абстракции, мы будем делать виртуалку в виртуалке!Я не говорю, что это плохо, но этот безумный ХАЙП уже достал.
> мы будем делать виртуалку в виртуалке!Я ставил в Ubuntu VMware, в нее Ubuntu с VirtualBox, в которой тоже Ubuntu, а ней QEMU. Не спрашивай зачем.
Я спрошу.Расскажите, как в ынтеловских камнях nested virtualization заработала. В АМД, насколько помню несколько лкт назад запускал виртуалбох в 3 этажа вложенности, пока памяти хватало, а с вынтелом - не получилось.
в vmware всё работает без проблем
В vmware - полная виртуализация и не спрашивай, почему ему так не жалко проца
http://bash.im/quote/59325mordaha:
Это старкон2, запущенный в DosBox, под иксами в Дебиане, который запущен в VMWare, которая в WinXP
Куда мне вопрос о неработающем звуке задавать? )))))gregory_777:
Санитарам.
> Санитарам.Во-во. Starcon II (нынче Ur-Quan Masters) нынче работает и в дебиане, и в XP. Нативно.
ХАЙП в смысле hipe? Или какое слово вы имеете ввиду?
Нет. https://ru.wiktionary.org/wiki/%D1%85%D0%...
Там два варианта значения... Какое же всё-таки?
> Там два варианта значения... Какое же всё-таки?Шумиха.
просто слово "шумиха" не такое хайповое
Ушел ставить Clear Linux в Docker...
Что ж, объективная потребность есть. Тема интересная хотя бы в плане создания узкоспециализированных сборок сервисов. Ожидаемо.
>В Clear Linux применяется stateless-подход к определению конфигурациигоднота
NixOS забыли в списке референсов/конкурентов
>>В Clear Linux применяется stateless-подход к определению конфигурации
> NixOS забыли в списке референсов/конкурентовИ "How We Put Linux Systems" обязательно.
И мадам Рутковскую не забыть вспомнить.
NixOS полудохлый проект без будущего. У Рутковсой вообще на другом акцент.
> У Рутковсой вообще на другом акцент.На "пш" или "ч"?
Нозвание та какое пафосное!1 Прям срочно захотелось запилить бастард линух..
А где собственно сырцы? Выложены только, дефолтные никому не нужные, srpms центоса.
OpenStack - лесом
OpenShift - полем
В чем фишка? Если Интел бекдоры аппаратно встроит - как спасет?
> В чем фишка? Если Интел бекдоры аппаратно встроит - как спасет?Разве Интел собирается "спасать" от анбшечки?
Зачем тогда нужна виртальная память, когда можно прям на программном уровне фигачить контейнеры с целой системой внутри!? Берём "плоско" адресуемую память, сколько есть реально, создаём в ней контейнеры и дело сделано. Никто ни к кому не лезет - процессы ограничены рамками адресации своего контейнера. Получилась этакая DOS с многозадачностью, которой управляет программа-гипервизор. Аппаратная поддержка виртуальной памяти не нужна.
> Зачем тогда нужна виртальная память, когда можно прям на программном уровне фигачить
> контейнеры с целой системой внутри!? Берём "плоско" адресуемую память, сколько есть
> реально, создаём в ней контейнеры и дело сделано. Никто ни к
> кому не лезет - процессы ограничены рамками адресации своего контейнера. Получилась
> этакая DOS с многозадачностью, которой управляет программа-гипервизор. Аппаратная поддержка
> виртуальной памяти не нужна.Любопытная мысль. Подозреваю, что вполне вероятно, что и реализуют её Интел/АМД в виде спец.процессоров с упрощённым MMU. Вфигачил в фирмварю гипервизор килобайт на 20 и вперёд, а тот уже пущай всю эту шляпу рулит.
..хотя ессно всё это нафиг никому не упало, кроме жалких фанбоев Поттеринга/systemd начитавшегося обоссатого маркетоидного BS
> Берём "плоско" адресуемую память, сколько есть реально, создаём в ней контейнеры и дело сделано. Никто ни к кому не лезет - процессы ограничены рамками адресации своего контейнера. Получилась этакая DOS с многозадачностью, которой управляет программа-гипервизор.А ещё получилась IBM AS/400 (сейчас - IBM i) с её концепцией единой памяти.
> Зачем тогда нужна виртальная память, когда можно прям на программном уровне фигачить
> контейнеры с целой системой внутри!?Поздравляю, изя. Ты только что осознал что обычная операционка - виртуализует состяния проца для разных программ, так что даже если проц один, а программ десять - они не замечают этот факт и не парятся по поводу того что во время работы проца еще 9 программ кроме них изменяют его состояние.
А виртуальная память как таковая появилась по 2 причинам:
1) Атрибуты страниц технически хранить несколько проще и быстрее чем иметь дело с дофуя сегментов.
2) Можно добить недостающую память swap-ом. Сейчас это уже менее злободневно, но раньше это был очень весомый аргумент.
Дайте-ка угадаю, работает только с Интело-недовиртуализацией ? Уже есть такие же бесполезные дистрибутивчики https://www.qubes-os.org/
А много вы видели серверов на AMD или других x86/amd64? И вообще, Intel'у надо они сделали для себя, в чем претензия?
> А много вы видели серверов на AMD или других x86/amd64?Ну вот у меня на AMD пашет дофуя виртуалок. И???
Ну вот. Товарищи игрались-игрались, а потом пришел Интел и сделал как надо. Нужность затеи лично мне всё равно не очень понятна, но здесь хотя бы есть надежда на вменяемый уровень изоляции.
А дальше-то что? Интел у нас имеет обширный опыт создания сообществ пользователей и разработчиков для своих открытых программынх продуктов? Или может поддержки своих программных решений? Или передачи своих технологий тем кто имеет что-то из вышеперечисленного?
Интел много чего имеет. Правда, обычно он это делает в каких-нибудь консорциумах. Взять OpenStack тот же. Вот в OpenStack оно, скорее всего, и попадёт, кстати.
Потому и делает в консорциумах, что не имеет.
А насчёт OpenStack - да, будет наверное проталкивать.
Ну так разработчиков у интела всегда хватало - коммиты почти во всех больших проектах видны - ядро, гипервизоры, glibc... даже автор проклятого вейланда там работает. А инфраструктура и организационная поддержка - с этим OpenStack вполне справится.Собственно, меня в этом всём греет то, что лишний раз подтвердилось - если кто-то мелкий говорит "о, вот занятная и удобная мне штука - гляньте, вдруг захотите повозиться" - есть шанс, что вырастет что-то стоящее. Если большая контора (неважно, коммерческая или нет) заявила, что она создала что-то великое - шансов, что это правда, мало, но они есть. Но если об изобретении великого заявляет какая-то мелочь - это практически гарантированная липа. Поэтому хайп вокруг докера и ему подобных адски раздражает. Не бывает в нынешнем мире чудес и гениальных прорывов одиночек. Либо оно в воздухе носится и параллельных проектов десятки - либо требуются большие вложения - человеческие, финансовые, какие угодно.
Вместо того чтобы плеваться и зря тратить время на пустую болтовню, стоит просто попробовать.
> Clear Linux задействован механизм ядра Linux DAXС Ultra KSM (UKSM) должно еще круче работать!
http://www.opennet.me/opennews/art.shtml?num=34240
Там где совместная память везде дырка найдется xD
> Там где совместная память везде дырка найдется xDСовершенно не обязатально - там copy on write. Т.е. как только память начинает отличаться, этот кусок перестает быть совместным.