Analisis sistem pengendalian Linux tersuai kontena China Mobile

Sistem pengendalian tujuan am menyepadukan sejumlah besar perisian dan mendayakan banyak perkhidmatan secara lalai Kebanyakan perisian dan perkhidmatan ini tidak diperlukan untuk persekitaran kontena. Oleh itu, menggunakan perkhidmatan kontena berdasarkan sistem pengendalian umum bukan sahaja akan meningkatkan overhed sistem, tetapi juga membawa kepada ketidakstabilan alam sekitar dan pengembangan permukaan serangan keselamatan. Berbanding dengan sistem pengendalian tujuan am tradisional, sistem pengendalian kontena sangat disesuaikan dan dioptimumkan untuk aplikasi kontena, menyediakan persekitaran berjalan minimum yang ringan untuk bekas. Artikel ini memperkenalkan beberapa percubaan China Mobile pada sistem kontena dan beberapa pencapaiannya.

China Mobile melancarkan penyelidikan dan pembangunan sistem pengendalian tersuai kontena pada tahun 2017, menyesuaikannya dengan mendalam berdasarkan sistem pengendalian Awan Besar BC-LINUX, dan mengeluarkan versi 1.0 secara rasmi pada bulan Mei tahun itu, dinamakan "Sistem Pengendalian Kontena Awan Besar ". BC-LINUX ialah sistem pengendalian Linux tujuan am peringkat perusahaan yang dibangunkan secara bebas oleh China Mobile berdasarkan komuniti sumber terbuka CentOS dan memanfaatkan kelebihan keterbukaan teknologi sumber terbuka melalui cara tersuai Pada masa ini, hampir 20,000 unit telah digunakan dalam China Mobile . Berdasarkan sistem umum, sistem pengendalian kontena Dayun menyediakan persekitaran operasi kontena yang diperkemas melalui pengoptimuman kernel dan jahitan sistem dan cara teknikal lain, meningkatkan kelajuan operasi sistem, mencapai pengecilan sistem dan pengoptimuman prestasi seperti yang ditunjukkan dalam gambar.

Sistem pengendalian kontena Big Cloud mempunyai ciri dan kelebihan berikut berbanding dengan sistem tujuan umum.

Sistem diperkemas

Menyeimbangkan antara kemudahan penggunaan dan kesederhanaan sistem, sistem pengendalian bekas Dayun memotong pakej dan perkhidmatan perisian yang tidak berkaitan sambil mengekalkan fungsi asas sistem. Atas dasar menyediakan persekitaran operasi minimum untuk bekas, sistem pengendalian bekas Dayun memastikan perkhidmatan dan fungsi biasa sistem pengendalian tidak hilang, mengurangkan overhed sistem, dan mengurangkan kesukaran pengendalian dan penyelenggaraan sistem Berbanding dengan sistem umum, Dayun sistem pengendalian kontena Bilangan pakej perisian sistem telah dikurangkan daripada 3723 kepada 376, bilangan perkhidmatan telah dikurangkan daripada 254 kepada 143, dan saiz imej pemasangan telah dikurangkan daripada 4.31G kepada 770M, seperti yang ditunjukkan dalam rajah.

Sedia untuk digunakan di luar kotak

Sistem pengendalian bekas Dayun menyepadukan komponen Docker dan menyediakan 11 imej bekas perisian tengah sumber terbuka arus perdana untuk kegunaan luar kotak. Kami menyediakan kemas kini versi, amaran keselamatan, pembetulan kerentanan dan perkhidmatan sokongan teknikal untuk 11 komponen sumber terbuka ini, serta mengimbas dan mengemas kini secara kerap untuk membetulkan kelemahan keselamatan dalam imej kontena untuk memastikan tiada isu keselamatan dalam imej kontena, seperti yang ditunjukkan dalam rajah .

Peningkatan prestasi

Untuk senario penggunaan bekas, sistem pengendalian bekas Dayun menyediakan kernel tersuai yang dioptimumkan. Kernel tersuai disesuaikan dan dibangunkan berdasarkan versi sokongan jangka panjang terkini 4.9 komuniti kernel. Kernel disesuaikan untuk perniagaan kontena dan menambahkan banyak peningkatan fungsi dan pengoptimuman prestasi untuk sistem pengendalian kontena The Dayun menyokong pemacu storan tindanan2 Berbanding dengan tindanan, tindanan2 sistem pengendalian bekas Dayun adalah lebih cekap dari segi penggunaan inod. Selain itu, tampung berbilang China Mobile untuk bekas ditambah pada kernel tersuai, yang merealisasikan pemisahan beberapa parameter konfigurasi rangkaian kontena dan sistem hos, dan memenuhi keperluan penalaan sistem perniagaan kontena dalam senario konkurensi rangkaian tinggi, sebagai ditunjukkan dalam rajah.

Tetulang keselamatan

Sistem kontena Awan Besar mengurangkan permukaan serangan keselamatan sistem dengan memotong perkhidmatan yang tidak diperlukan. Pada masa yang sama, sistem ini mempunyai perisian pengerasan keselamatan terbina dalam yang dibangunkan secara bebas oleh China Mobile, yang boleh mengimbas sistem secara menyeluruh untuk mengesan kelemahan keselamatan dan isu konfigurasi keselamatan, memberikan hasil penilaian keselamatan dan cadangan pembaikan, dan boleh mengeraskan sistem dengan satu klik dan hidupkan mod keselamatan sistem.
Kernel tersuai adalah berdasarkan kernel 4.9, dan versi kernel yang lebih tinggi telah membetulkan banyak kelemahan keselamatan, seperti kerentanan peningkatan keistimewaan kernel Dirty Cow (CVE-2016-5195). Sistem dengan kerentanan ini boleh memintas dasar keselamatan sistem dalam bekas dan mendapatkan kebenaran root sistem hos, dan kemudian boleh melihat, mengubah suai atau memadam sebarang fail dalam hos, sekali gus menimbulkan risiko keselamatan kepada hos dan bekas lain.

Naik taraf panas

Sebagai tindak balas kepada masalah gangguan perniagaan yang disebabkan oleh perpustakaan dinamik dan peningkatan kernel dalam kaedah naik taraf tradisional, sistem pengendalian bekas Dayun telah melancarkan teknologi tampalan panas. Teknologi tampalan panas ialah teknologi pembaikan kecacatan dan kerentanan dalam talian yang tidak menjejaskan perniagaan Ia boleh mencapai peningkatan dalam talian perpustakaan dan kernel tanpa mengganggu perkhidmatan atau memulakan semula sistem. Ia tidak menjejaskan prestasi sistem dengan ketara dan ketersediaan.
Khususnya, naik taraf perpustakaan dinamik menyelesaikan masalah naik taraf perpustakaan dinamik bagi program perniagaan Ia sesuai untuk naik taraf perpustakaan dinamik bagi semua proses. seperti yang ditunjukkan dalam rajah.

Teknologi peningkatan panas kernel, berdasarkan mekanisme ftrace kernel, secara dinamik menambah titik pengesanan untuk merealisasikan penggantian dalam talian proses pelaksanaan peringkat fungsi. Teknologi ini membenarkan peningkatan kernel tanpa memulakan semula sistem, meminimumkan masa henti sistem. Untuk kelemahan keselamatan yang penting, sistem pengendalian bekas Dayun boleh bertindak balas dengan cepat. Pada masa yang sama, sistem menyokong operasi rollback dan boleh memulihkan kernel dengan cepat kepada keadaan sebelum naik taraf.

Kemas kini secara berterusan

Untuk sistem pengendalian kontena, Dayun boleh menyediakan kemas kini sistem berterusan dan perkhidmatan sokongan teknikal, menjejaki kelemahan keselamatan dalam sistem pengendalian, terutamanya komponen Docker, dan mengeluarkan amaran keselamatan dan pakej patch kemas kini kerentanan, seperti yang ditunjukkan dalam rajah.

Sejak dikeluarkan, sistem pengendalian kontena Dayun telah dipromosikan secara komersil dalam China Mobile Skala penggunaan semasa telah mencapai hampir 200 nod Ia menggunakan platform pengurusan kontena Kubernetes dan telah berjalan dengan stabil selama 6 bulan, menyokong 5,000 kontena adalah sangat selamat, kestabilan dan kebolehpercayaan telah disahkan sepenuhnya dalam projek.

Atas ialah kandungan terperinci Analisis sistem pengendalian Linux tersuai kontena China Mobile. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!