Programování

Recenze: VMware Photon OS svítí pro kontejnery Docker

V rámci projektu Photon open source společnost VMware doufá, že vybuduje komunitu kolem praxe spouštění kontejnerových aplikací ve virtuálních prostředích. Photon je zastřešujícím termínem pro více projektů, které zahrnují způsoby nasazení kontejnerů na virtuální počítač pomocí Photon OS, stejně jako způsoby nasazení kontejnerů tak jako Virtuální počítače na infrastruktuře VMware.

Photon OS je malý Linuxový hostitel kontejnerů navržený pro provoz na virtuálních strojích a vyladěný pro hypervisory VMware. Společnost VMware jistě přijala hnutí Docker velkým způsobem, nejen na VMware. OS Photon můžete spustit na jiných hypervisorech, včetně Google Compute Engine a Amazon EC2. Photon OS však nemůžete nainstalovat na fyzický server.

Photon OS nevytváří předpoklady o sadě nástrojů kontejneru, ačkoli Docker je nainstalován ve výchozím nastavení. Správci mohou vrstvit nástroje pro správu kontejnerů podle svého výběru přes základní OS pomocí správce balíčků Photon.

Správa systému Photon OS

V systému Photon OS se správa balíčků provádí pomocí TDNF (Tiny Dandified Yum), což je vytvoření VMware s otevřeným zdrojovým kódem, které nabízí správu balíků kompatibilních s DNF bez velké stopy Pythonu Yum.

Společnost VMware poskytuje vlastní úložiště kompatibilní s Yum pro správu balíčků a balíčky podepisuje podpisy GPG (GNU Privacy Guard). Díky tomu je systém ve výchozím nastavení zabezpečen. Ověření podpisu probíhá automaticky, takže správci systému nebo skripty nevyžadují žádné další kroky. Úložiště Photon OS jsou „vyřízena“, takže nečekejte, že najdete všechny dostupné balíčky ke stažení.

Protože Photon OS 1.0 Revision 2 je dodáván se starší verzí Dockeru, první věcí, kterou jsem chtěl udělat, bylo zkusit aktualizaci. To proběhlo bezchybně a za pár minut byly všechny mé kontejnery spuštěny na nejnovější verzi Dockeru.

Photon OS používá systém Systemd init, takže správci se budou muset naučit tuto příchuť správy systému, pokud ji ještě nemají. Zaměřuje se na zabezpečení a systém obsahuje SE Linux pro zlepšení izolace kontejnerů. Brána firewall (iptables) je ve výchozím nastavení zapnutá a pakety z externích rozhraní (kromě provozu SSH) jsou zrušeny, takže správci budou muset přidat pravidla, která povolí provoz z vnějšího světa.

Většinou toto výchozí zabezpečení nepřekáželo, kromě případů, kdy provádíte povinnou změnu hesla root z čisté instalace. Jakákoli chyba vyhodí uživatele z prostředí a zpět do výzvy k přihlášení. Tato část mohla být o něco uživatelsky přívětivější.

Instalace a konfigurace Photon OS

Nainstaloval jsem Photon OS pomocí stahovatelného virtuálního stroje. Jak můžete očekávat, na mém nastavení VMware Workstation Pro to bylo bezbolestné. Systém detekoval stahování, zeptal se, jestli chci přijmout hardwarové parametry, a hned spustil. Photon OS je k dispozici také jako ISO a jako obrázky pro cloudy Amazon a Google. Po přihlášení jako root a konfiguraci přihlášení bez hesla jsem byl vypnutý.

Minimální instalace, stejně jako ostatní hostitelé kontejnerů Linuxu, neobsahuje téměř nic, dokonce ani sudo, ačkoli to zahrnuje SSH. Správci nasazující flotily virtuálních počítačů s OS Photon budou chtít nastavení skriptovat, a proto Photon OS používá Cloud-Init, sadu skriptů a nástrojů Pythonu, které usnadňují nasazení a konfiguraci cloudu.

Dokonce i pro OS pro kontejnery Docker bylo nastavení Photon OS asi tak snadné, jak to jen jde. Zdá se, že spuštění Nginxu v kontejneru je pro Dockera „Hello world“. Zde je to na Photon OS:

# systemctl start docker

# systemctl povolit ukotvitelný panel

# docker run –d –p 80:80 vmwarecna / nginx

Úložiště a sítě Photon OS

Díky běhu ve virtualizovaném hardwarovém prostředí vypadají úložná zařízení jako normální hardware a v systému Photon OS jsou k dispozici standardní operace systému souborů. Do zařízení můžete přidat nový (virtuální) disk a připojit jej tam, kde je to potřeba, stejně jako jakýkoli jiný disk. Souborový systém Photon OS zahrnuje Btrfs a Ext4. Výchozí systém souborů root je Ext4. Příkladů Btrfs je málo a zdá se, že převládá Ext4.

Vzdálené úložiště zpracovávají obslužné programy Photon NFS. Žádný z ostatních Linuxů orientovaných na kontejnery, které jsem používal (Alpine, RancherOS, CoreOS a Atomic Host), neobsahoval pokyny pro NFS, takže jsem byl rád, že VMware dokumentoval tuto praxi. NFS je stále naživu a nakopává se v podnikových prostředích a očekávám, že připojení jednotek NFS bude běžným případem použití pro uživatele systému Photon OS.

Jedinou neobvyklou možností úložiště v systému Photon OS je výběr souborových systémů jen pro čtení nebo pro čtení a zápis, ale to opravdu záleží na případu použití a byl jsem rád, že jsem měl na výběr.

Sítě v Photon OS používají nástroje iproute2, i když jsou tradiční ipconfig a netstat příkazy jsou zahrnuty. Instalace Photon OS ve výchozím nastavení neobsahují žádnou síťovou konfiguraci kontejneru, ale zdokumentováno je mnoho populárních konfigurací: Docker, Rocket, DCOS atd. Z pohledu sítě je Photon OS stejně jako každá jiná příchuť Linuxu a žádná překvapení nebyla.

Upgrady a downgrady OS Photon

Stejně jako atomový hostitel Red Hat používá i Photon OS rpm-ostree jako hybridní systém pro správu obrázků a balíčků s vlastním serverem OSTree. Porozumění sadám příkazů rpm-ostree, terminologii a osvědčeným postupům bude správcům nějakou dobu trvat. Kromě učení nové sady příkazů, které se mají učit, si administrátoři budou muset být vědomi adresářů jen pro čtení a zajistit, aby aplikace do nich nezapisovaly soubory. Například adresář / usr je jen pro čtení, když používáte rpm-ostree. Profil rpm-ostree je možnost instalace, takže si uživatelé mohou pro správu balíčků vybrat z TDNF nebo rpm-ostree. Dokumentace je k tomuto tématu dobrá.

Při vývoji Photon OS dokázala společnost VMware z linuxového jádra odstranit nejrůznější starší moduly. Vzhledem k tomu, že VMware ovládá celý zásobník hardwaru a operačního systému, byl také schopen vyladit vyrovnávací paměti, časové účtování a příznaky kompilace, aby eliminoval nadbytečnost mezi modulem runtime kontejneru a hypervisorem. U organizací, které investují do virtualizace VMware, by měl být projekt Photon v horní části seznamu, který se má vyšetřit.