projekteldono , kiu permesas krei operaciumojn por ununura aplikaĵo, en kiu la aplikaĵo estas liverita kiel memstara "unikerno", kiu povas esti efektivigita sen la uzo de operaciumoj, aparta OS-kerno kaj ajnaj tavoloj. La lingvo OCaml estas uzata por disvolvi aplikaĵojn. Projekta kodo sub la libera ISC-licenco.
La tuta malaltnivela funkcieco eneca al la operaciumo estas efektivigita en la formo de biblioteko, kiu estas ligita al la aplikaĵo. La aplikaĵo povas esti evoluigita en iu ajn OS, post kio ĝi estas kompilita en specialecan kernon (la koncepto ), kiu povas funkcii rekte sur Xen, KVM, BHyve kaj VMM (OpenBSD) hiperviziiloj, aldone al moveblaj platformoj, kiel procezo en POSIX-konforma medio, aŭ en Amazon Elastic Compute Cloud kaj Google Compute Engine nubaj medioj.
La generita medio enhavas nenion superfluan kaj interagas rekte kun la hiperviziero sen ŝoforoj aŭ sistemaj tavoloj, kio ebligas signifan redukton de superkostoj kaj pliigita sekureco. Labori kun MirageOS estas tri etapoj: prepari la agordon kun identigi tiujn uzatajn en la medio. , konstruante la medion kaj lanĉante la medion. Rultempo por ruliĝi sur Xen baziĝas sur nudigita kerno , kaj por aliaj hiperviziiloj kaj kern-bazitaj sistemoj .
Malgraŭ la fakto, ke aplikaĵoj kaj bibliotekoj estas kreitaj en la altnivela OCaml-lingvo, la rezultaj medioj montras sufiĉe bonan rendimenton kaj minimuman grandecon (ekzemple, la DNS-servilo okupas nur 200 KB). Prizorgado de medioj ankaŭ estas simpligita, ĉar se necesas ĝisdatigi la programon aŭ ŝanĝi la agordon, sufiĉas krei kaj lanĉi novan medion. Subtenita en la lingvo OCaml por plenumi retajn operaciojn (DNS, SSH, OpenFlow, HTTP, XMPP, ktp.), labori kun stokado kaj provizi paralelan datumtraktadon.
La ĉefaj ŝanĝoj en la nova eldono rilatas al subteno por la novaj funkcioj ofertitaj en la ilaro (sandbox-medio por ruli unikernel):
- Aldonis la kapablon ruli unikernel MirageOS en izolita medio ("sandboxed proceza oferto") provizita de la ilaro . Kiam vi uzas la spt-backend, MirageOS-kernoj funkcias en Linukso-uzantprocezoj al kiuj minimuma izolado estas aplikata surbaze de seccomp-BPF;
- Subteno efektivigita de la Solo5-projekto, kiu ebligas al vi difini plurajn retajn adaptilojn kaj stokadajn aparatojn ligitajn al unikernel izole bazitan sur hvt, spt kaj muen backends (uzo por genodo kaj virtio backends estas nuntempe limigita al unu aparato);
- La protekto de backends bazitaj sur Solo5 (hvt, spt) estis plifortigita, ekzemple, konstruado en SSP (Stack Smashing Protection) reĝimo estis provizita.
fonto: opennet.ru