Konténerizáció: Az Apple kiadta saját "Distrobox"-át vagy "WSL"-jét, hogy Linux disztribúciókat futtathasson konténerekben

  • Az Apple keretrendszere minden konténert egy ultra-pehelysúlyú virtuális gépen futtat, teljes elszigeteltséget és fokozott biztonságot nyújtva.
  • A megoldás az Apple Silicon technológiáját használja ki a konténerek milliszekundumok alatti elindításához és az erőforrások dinamikus kezeléséhez.
  • A szabványos OCI-képek és munkafolyamatok támogatása megmarad, megkönnyítve a Dockerből és más rendszerekből való migrációt.
  • A megközelítés minimalizálja a támadási felületet és javítja a hatékonyságot más virtualizációs és konténerizációs környezetekhez képest.
Pablinux

10 perc

konténer

Néhány órával ezelőtt elkezdődött a WWDC25, egy esemény, amelyen az Apple bemutatta operációs rendszereinek új verzióit. alaphang Az iOS, iPadOS, tvOS, macOS, watchOS és visionOS rendszerekről röviden esett szó, és most egységesítették a számozásukat, és mindegyik a 26-os számot viseli. Ezeknek a konferenciáknak a hossza nem teszi lehetővé, hogy a rendszereik számos funkciójáról beszéljenek, és vannak más dolgok is, amelyeket csak más módon lehet felfedezni. Többek között, konténeres, ami nem egy disztró doboz sem Apple WSL, de mindkét koncepcióhoz egy kicsit közel áll.

A virtualizáció és a konténerizáció forradalmasította az alkalmazásfejlesztést, lehetővé téve a csapatok számára, hogy létrehozzanak teljesen izolált és reprodukálható környezetek a szoftverek hatékony telepítése és az erőforrások hatékony kezelése érdekében. Az Apple, tudatában e technológiák fontosságának mind a fejlesztésben, mind a gyártásban, előrelépést tett azzal, hogy elindította saját konténerizációs keretrendszerét, amelyet az Apple Silicon eszközökre és processzorokra optimalizáltak.

Mit jelent a konténerizáció az Apple szerint?

El Konténerizációs keretrendszer Az Apple egy nyílt forráskódú szoftvercsomag, amelyet Swift nyelven fejlesztettek ki, és amely... lehetővé teszi az alkalmazások számára, hogy közvetlenül a macOS rendszeren kezeljék a Linux konténereket az Apple Silicon eszközökön (a márka jól ismert ARM chipjein). A hagyományos rendszerekkel ellentétben, ahol több konténer osztozik egyetlen gazda operációs rendszer kernelen vagy egy nagy virtuális gépen, Az Apple úgy dönt, hogy minden konténert a saját könnyűsúlyú virtuális gépén futtat.

Ez a megközelítés egyedi egyensúlyt teremt: Megőrzi a konténerek hatékonyságát és hordozhatóságát, de hozzáadja a virtuális gépek robusztusságát és elszigeteltségét. Minden konténer a saját virtuális környezetében fut, anélkül, hogy megosztaná a kernelt a többivel vagy a gazdagéppel, ami rendkívül megnehezíti a konténer eszkalációját vagy a szivárgásos támadásokat a konténerek között.

Motiváció és háttér: Konténerek macOS rendszeren

Az Apple megoldásának megjelenéséig a Mac-eket használó és Linux környezetre szoruló fejlesztők alternatívákhoz folyamodtak, mint például Docker, Podman, Orbstack vagy LimaEzek az eszközök azonban jelentős korlátokkal küzdöttek a teljesítmény, az erőforrás-fogyasztás és különösen a biztonság terén, mivel monolitikus virtuális gépeket használtak, amelyek több konténert üzemeltettek, és intenzív kernelmegosztást végeztek.

Érzékeny környezetben, Izolációs problémák és lehetséges folyamatszivárgás számos vállalatot és szervezetet arra késztetett, hogy ezeket a rendszereket éles üzemben használják. Saját keretrendszerének bevezetésével az Apple betölti ezeket a hiányosságokat, és igyekszik mércévé tenni magát a Linux konténerek biztonságos és hatékony Mac-es végrehajtásában.

A konténerizációs keretrendszer technikai jellemzői

  • Teljes szigetelés tartályonként: Minden konténer egy független, ultra-pehelysúlyú virtuális gépen belül fut, biztosítva a kernel szintű elszigeteltséget, és megakadályozva a behatolásokat vagy illetéktelen hozzáférési kísérleteket, amelyek más környezeteket vagy a gazdagépet érinthetnék.
  • Optimalizálás Apple Siliconra: A keretrendszer Swift nyelven íródott, és a Virtualization.frameworkre támaszkodik, kihasználva az Apple ARM CPU-inak hardveres gyorsítását, aminek eredményeként a konténerek a másodperc töredéke alatt, nagyon alacsony erőforrás-felhasználással indulnak el.
  • Fejlett kép- és hálózatkezelés: A rendszer lehetővé teszi a képfájlok OCI szabvány szerinti kezelését, a távoli rendszerleíró adatbázisokkal való interakciót, valamint az egyes konténerekhez dedikált IP-címek hozzárendelését, kiküszöbölve a portleképezés bonyolultságát, és megkönnyítve a szolgáltatások felderítését és kiegyensúlyozását.
  • Egyéni kernel konfiguráció: A fejlesztők konténerenként kiválaszthatják a kívánt kernel konfigurációkat, így az egyes környezeteket az alkalmazásaik pontos követelményeihez igazíthatják, és ellenőrizhetik a verziók közötti kompatibilitást.
  • Az alaprendszer minimalizálása: Minden virtuális gép egy minimális alaprendszert futtat, amely csak a vminitd-t tartalmazza, egy statikusan lefordított init rendszert dinamikus függvénykönyvtárak vagy általános segédprogramok nélkül, csökkentve a támadási felületet.
  • Rosetta 2 támogatás: Lehetővé teszi az x86_64 rendszerképek ARM számítógépeken történő futtatását érzékelhető hátrányok nélkül, megkönnyítve az átmenetet és a vegyes vagy régi környezetek karbantartását.

Az Apple által javasolt architektúra előnyei

  1. Megerősített biztonság: A kernelek és függőségek megosztásának hiányával minden konténer teljesen elszigetelt, összhangban a zéró bizalom biztonsági elveivel. Az init rendszer extrém minimalizmusa és a kihasználható eszközök hiánya drasztikusan csökkenti a jogosultságok eszkalációjának vagy az adatszivárgás kockázatát.
  2. Az erőforrások felhasználásának hatékonysága: Az ultra-pehelysúlyú virtuális gépek csak aktív állapotban fogyasztanak erőforrásokat. Nincs szükség RAM-ra vagy CPU-ra lefoglalni egy esetleg tétlen konténerkészlet számára, így optimalizálva a rendszer teljes kihasználtságát.
  3. Egyszerűsített és rugalmas hálózat: A dedikált IP-címkiosztás kiküszöböli a portleképezés és a konténerekben a belső hálózatkezelés korábbi problémáit, megkönnyítve a mikroszolgáltatások összekapcsolását és horizontális skálázását.
  4. Kompatibilitás és hordozhatóság: A szabványos OCI-lemezképek támogatása és a beállításjegyzékekkel való zökkenőmentes integráció lehetővé teszi, hogy ugyanazok a CI/CD-folyamatok és konténereszközök közvetlenül Mac gépeken is működjenek, bármilyen módosítás vagy testreszabás nélkül.

Apple keretrendszer-összetevők

  • Konténerizációs Swift csomag: Az alapkönyvtár, amely API-kat biztosít a lemezképek, beállításjegyzékek, fájlrendszerek, folyamatok kezeléséhez, valamint a natív init rendszerrel és egyéni kernelekkel való integrációhoz.
  • vminitd: Egy minimalista init rendszer, Swift nyelven írva és a Static Linux SDK-val lefordítva, amely minden virtuális gép első folyamataként fut. Nem igényel dinamikus könyvtárakat vagy rendszereszközöket, és egy gRPC API-t tesz elérhetővé vsock-on keresztül a folyamatok életciklusainak és a környezet konfigurációjának vezérléséhez.
  • Optimalizált kernelek: Minimalizált Linux kernelek, gyors rendszerindítási időre és minimális energiafogyasztásra hangolva, bár lehetőség van egyéni konfigurációk kiválasztására vagy fordítására haladó felhasználási esetekre.
  • Felhasználói eszközök: cctl Ez a fő CLI eszköz, amely lehetővé teszi a képek kezelését, a konténerek indítását és a keretrendszer API egyszerű tesztelését, hasonlóan a szokásos Docker parancsokhoz.

Hogyan működik a gyakorlatban: a kódtól a telepítésig

A keretrendszer API-kat és CLI eszközöket kínál a következő folyamatokhoz:

  • OCI képkezelés és -manipuláció.
  • Biztonságos interakció távoli nyilvántartásokkal.
  • Ext4 fájlrendszerek létrehozása és formázása.
  • Fejlett hálózatkezelés Netlink aljzatokon és egyedi IP-cím hozzárendelésen keresztül.
  • A konténereken belüli folyamatok végrehajtása és monitorozása a saját fejlesztésű init rendszernek köszönhetően.
  • Futási környezetek kezelése virtuális gépenként, API-kkal a kernel, a verziókövetés és a konténerspecifikus konfigurációk kiválasztásához.
  • Integráció a Rosetta 2-vel x86_64 képek Apple Silicon rendszereken történő használatához és keresztkompatibilitás-ellenőrzéshez.

Minden konténer indítása azonnali (másodperc alatti), sok esetben felülmúlva a Docker vagy a Podman indítási élményét, és az erőforrás-kezelés teljesen dinamikus.

Követelmények és kompatibilitás

Az Apple keretrendszer használatához a következőkre van szükséged:

  • Van egy Mac-ed Apple Siliconnal? (M1, M2 sorozattól kezdődően).
  • macOS 15 vagy újabb, bár az összes lehetőség kihasználása és a korlátozások elkerülése érdekében, macOS 26 Beta 1-et ajánlok.
  • Xcode 26 béta és frissített Swift build eszközök.

Bizonyos funkciók, például a konténer-konténer kommunikáció ugyanazon hálózati szegmensen belül, csak a macOS 26-os és újabb verzióiban érhetők el teljes mértékben.

Fejlesztői adatok és munkafolyamat

Egy fejlesztő tipikus folyamata ezzel a keretrendszerrel a következőket tartalmazza:

  • Telepítsd az ajánlott függőségeket: Swiftly, Swift, Static Linux SDK, valamint a grpc-swift és a swift-protobuf megfelelő verzióit.
  • Fordítsd le a csomagot forrásból a mellékelt szkriptek és segédprogramok segítségével.
  • A cctl használata képfájlok teszteléséhez és kezeléséhez, konténerek indításához, root fájlrendszerek kezeléséhez, valamint telepítési vagy tesztelési feladatok automatizálásához.
  • Szabja testre a kernelt, ha olyan speciális funkcióra van szükség, amely nem szerepel az alapértelmezett konfigurációban, a tároló dokumentációját követve.
  • Integráció a szabványos CI/CD folyamatokhoz és beállításjegyzékekhez az együttműködésen alapuló fejlesztési folyamatokhoz és a vegyes csapatokban történő telepítéshez.

A hivatalos dokumentáció lépésről lépésre útmutatást nyújt a kezdeti beállításhoz, a gyakori hibaelhárításhoz és a gyakori munkafolyamatok automatizálásához.

Összehasonlítás más megoldásokkal: Docker, Podman és az Apple modell

Dokkmunkás és más megoldások lehetővé teszik konténerek futtatását Macen, de ezt egyetlen Linux virtuális gépen keresztül teszik, ahol az összes konténer található, ami a következőket jelenti:

  • Magasabb alap erőforrás-fogyasztás (a virtuális gép mindig aktív).
  • Fegyverzetesség és összetettség a fájlok gazdagép, virtuális gép és tárolók közötti megosztásakor.
  • Nagyobb támadási felület és izolációs problémák, mivel egy hiba az összes rezidens konténert érintheti.
  • Nehézségek az egyedi IP-címek kiosztásában, valamint a konténerek és a hosztszolgáltatások közötti kommunikációban.

Az Apple modellje, amely konténerenként hoz létre virtuális gépeket, kiküszöböli ezeket a szűk keresztmetszeteket. Bár elsőre kevésbé hatékonynak tűnhet, az ultra-pehelysúlyú virtuális gépek és a szelektív erőforrás-kihasználás a biztonság és a rugalmasság szempontjából kiváló modellé teszi, különösen olyan környezetekben, ahol az elszigeteltség és a megfelelőség prioritás.

Meglévő munkafolyamatok kompatibilitása és migrálása

Az új technológiákra való áttérés egyik gyakori problémája a az eszközök és a munkafolyamatok kompatibilitása. Az Apple keretrendszere teljes mértékben kompatibilis a szabványos OCI-képekkel, ami azt jelenti, hogy a meglévő képfájlok működni fognak, és a beállításjegyzékek és a folyamatok változatlanok maradhatnak. Az olyan eszközök, mint a cctl A Dockerhez hasonló parancsokat használnak, így a tanulási görbe csekély.

WizOS
Kapcsolódó cikk:
WizOS: Az új, biztonságos és könnyűsúlyú megoldás vállalati konténerekhez

Hozzájárulások és közösség

A projekt nyílt forráskódú, és külső közreműködőket is szívesen fogad, ami a moduláris Swift architektúrának és a világos közreműködési irányelveknek köszönhetően megkönnyíti a részvételt. A csomag karbantartói ösztönzik a kódhozzájárulásokat, a javasolt fejlesztéseket és a problémák jelentését a fejlesztés és az adaptáció felgyorsítása érdekében.

A verziókövetési modell garantálja a bináris stabilitást a kisebb kiadások között, így magabiztosságot adva azoknak, akik a keretrendszert az életciklusának korai szakaszában szeretnék bevezetni.

Ideális felhasználási esetek és alkalmazások

Az Apple konténerizációs keretrendszere különösen érdekes a következők szempontjából:

  • Fejlesztők, akiknek Linux alkalmazásokat kell natív módon és biztonságosan tesztelniük és telepíteniük Mac számítógépen.
  • Cégek és szervezetek, ahol biztonság és elszigeteltség kötelezőek (pénzügyi szektor, egészségügy, mesterséges intelligencia stb.).
  • Olyan szervezetek, amelyek OCI-folyamatokba fektettek be, és kompatibilitási kockázatok nélkül szeretnék kihasználni a meglévő folyamatokat.
  • Vegyes csapatok, amelyek x86-ról ARM architektúrára váltanak, és zökkenőmentes átmenetet igényelnek.
  • Olyan projektek, amelyek különböző kernelt vagy egyéni konfigurációkat igényelnek a különböző konténerekhez.

Rugalmasság, inherens biztonság és alacsony üzemeltetési költségek a keretrendszert nagyon vonzó lehetőséggé teszik a munkafolyamatok modernizálására, valamint az adat- és rendszervédelem javítására.

A projekt korlátai és állapota

A keretrendszer benne van version 0.1.0, ami azt jelenti, hogy még kezdeti fázisban van, bár teljes mértékben működőképes kísérletezéshez és ellenőrzött telepítésekhez. Néhány speciális funkció, például a konténer-konténer hálózatkezelés a macOS 15-ben, csak a macOS 26-os és újabb verziókban érhető el teljes mértékben.

Az Apple figyelmeztet, hogy az API stabilitása csak a kisebb kiadások között garantált, ezért a korai felhasználóknak át kell tekinteniük a kiadási megjegyzéseket, és helyesen kell megadniuk a függőségeket, hogy elkerüljék a problémákat a jövőbeli frissítésekben.

Konténerizáció iOS mobil környezetekben

A konténerizáció az iOS-eszközök kezelésében és biztonságában is tükröződik, ahol a rendszergazdák MDM (mobileszköz-kezelési) rendszerek segítségével korlátozhatják az alkalmazások közötti kommunikációt, bizonyos szolgáltatásokhoz való hozzáférést, konfigurációk és tanúsítványok telepítését, valamint korlátozhatják a jogosulatlan alkalmazások és a nem biztonságos kapcsolatok telepítését. Ezek a szabályzatok, bár eltérnek a hagyományos szoftveres konténerizációtól, célja, hogy védi a vállalati információkat és megakadályozzák az adatszivárgást az alkalmazások és szolgáltatások között az Apple ökoszisztémáján belül.

A konténerizáció jövője az Apple szerint

Az Apple lépése a keretrendszer megnyitásával és saját eszközeinek népszerűsítésével egy előtte-utána korszakot jelölhet ki a biztonságos alkalmazások fejlesztésének és telepítésének módjában a Mac ökoszisztémában. Előnyök a biztonság, a hatékonyság és a kompatibilitás terén A nyílt szabványokkal nyomást gyakorolnak a hagyományos szereplőkre, és ösztönzik az új megoldások és fejlesztések megjelenését az ágazatban.

DistroShelf
Kapcsolódó cikk:
DistroShelf: Új felület Linux konténerek gyors és egyszerű kezeléséhez.

Az Apple konténerizációja nem csupán egy alternatíva, hanem a hagyományos modell továbbfejlesztése, amelyet a mai biztonsági és mobilitási igények kielégítésére terveztek, utat nyitva a biztonságosabb, hatékonyabb és könnyebben kezelhető fejlesztési és termelési környezetek előtt Mac hardvereken.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: AB Internet Networks 2008 SL
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.