Szerző: Hlács Ferenc

2018. május 2. 17:00

gVisor: nyílt forrású sandbox futtatókörnyezetet mutatott a Google

A KubeConon a cég a Stackdriver Kubernetes Monitoring bétáját is leleplezte.

Nyílt forrású sandbox futtatókörnyezettel rukkolt elő a Google a koppenhágai KubeCon konferencián. A frissen bejelentett, gVisor névre hallgató termékkel a vállalat igyekszik megfelelő védelem mellett elkülöníteni az egyes konténereket, erőforrásigényes virtuális gépek nélkül - mindezt Docker és Kubernetes integráció mellett.

A gVisorról a keresőóriás blogposztban is megemlékezett, eszerint a termék jóval kevesebb erőforrást igényel mint a hagyományos VM-ek, viszont azokhoz hasonló biztonságot nyújt. A megoldás alapja egy hagyományos, privilégiumok nélküli folyamatként futó, Góban íródott kernel, amely a legtöbb Linuxon ismert rendszerhívást támogatja. A vállalat kifejezetten azért választotta az egyébként házon belül fejlesztett programnyelvet, mert az a memória- és típuskezelés terén kiemelten biztonságosnak számít. A gVisor sandboxban futó appok a VM-ekhez hasonlóan saját kernelt kapnak, egy sor virtualizált eszközzel, amelyek teljesen elkülönülnek mind a futtatókörnyezetnek otthont adó rendszertől, mind pedig más sandboxoktól.

gvisor

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Ellentétben a virtuális gépekkel, amelyek adott erőforráskeretből dolgoznak, a gVisor a változó szabad kapacitáshoz is képes alkalmazkodni, a Linux folyamatokhoz hasonlóan. Ezért a rugalmasságért cserébe ugyanakkor nagyobb overheaddel kell számolni egy-egy rendszerhívás esetén. A Google új futtatókörnyezete az OCI (Open Container Initiative) runtime API-nak megfelelően integrálható a Dockerrel és Kubernetesszel is, érdemes ugyanakkor észben tartani, hogy egyelőre nem az összes Linux rendszerhívást támogatja, jelenleg a lista nagyjából 200 hívásra tehető, de folyamatosan bővül. Ennek megfelelően nem minden alkalmazás futtatható gVisoron, ugyanakkor a Node.js, Java 8, MySQL, Jenkins, Apache, Redis, MondoDB és sok hasonló eszköz gond nélkül használható rajta.

Az érdeklődőknek mindenképp érdemes felkeresni a projekt GitHub oldalát, ahol részletes útmutató is található a gVisor használatba vételéről, illetve műszaki részleteiről. A keresőóriás továbbá egy Google Groups csoportot is létrehozott, ahol a megoldás használói megvitathatják észrevételeiket.

Ugyancsak említést érdemes a vállalat egy másik KubeConon tett bejelentése, méghozzá a Stackdriver Kubernetes Monitoring béta címkés rajtja. Ez utóbbi a Kubernetes környezetek ellenőrzésének összetett, több eszközt és számos adatforrást igénylő folyamatát hivatott egyszerűsíteni, a fejlesztők és üzemeltetők számára egyaránt. Az eszközzel különféle Kubernetes objektumok vehetők górcső alá, a klaszterektől a konténereken át a szolgáltatásokig egy-egy alkalmazásban. A megoldás a jelenlegi legnépszerűbb nyílt forrású monitoring eszközzel, a Prometheusszal is integrálható. Az egyelőre béta verzióban elérhető Stackdriver Kubernetes Monitoring ugyancsak kapott saját Google Groupot, a vállalat itt várja a visszajelzéseket az érdeklődőktől.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról