שחרור של MirageOS 3.6, פלטפורמה להפעלת יישומים על גבי ה-Hypervisor

התרחש שחרור הפרויקט Mirage OS 3.6, המאפשרת ליצור מערכות הפעלה לאפליקציה בודדת, שבה האפליקציה מועברת כ-"unikernel" עצמאי הניתן לביצוע ללא שימוש במערכות הפעלה, ליבת OS נפרדת וכל שכבות. שפת Ocaml משמשת לפיתוח יישומים. קוד פרויקט מופץ על ידי תחת רישיון ISC החינמי.

כל הפונקציונליות ברמה הנמוכה הגלומה במערכת ההפעלה מיושמת בצורה של ספרייה המצורפת לאפליקציה. ניתן לפתח את האפליקציה בכל מערכת הפעלה, ולאחר מכן היא מורכבת לגרעין מיוחד (המושג ייחודי), שיכול לפעול ישירות על גבי היפרוויזורים של Xen, KVM, BHyve ו-VMM (OpenBSD), על גבי פלטפורמות ניידות, כתהליך בסביבה תואמת POSIX, או בסביבות ענן של Amazon Elastic Compute Cloud ו-Google Compute Engine.

הסביבה שנוצרה אינה מכילה שום דבר מיותר ומקיימת אינטראקציה ישירה עם ה-Hypervisor ללא דרייברים או שכבות מערכת, מה שמאפשר הפחתה משמעותית בעלויות התקורה והגברת האבטחה. העבודה עם MirageOS מסתכמת בשלושה שלבים: הכנת התצורה עם זיהוי אלה המשמשים בסביבה חבילות OPAM, בניית הסביבה והשקת הסביבה. זמן ריצה להפעלה על גבי Xen מבוסס על ליבה מופשטת מיני-OS, ועבור היפרוויזורים אחרים ומערכות מבוססות ליבה סולו 5.

למרות העובדה שיישומים וספריות נוצרים בשפת ה-OCaml ברמה גבוהה, הסביבות המתקבלות מפגינות ביצועים טובים למדי וגודל מינימלי (לדוגמה, שרת ה-DNS תופס רק 200 KB). תחזוקה של סביבות היא גם פשוטה, שכן אם יש צורך לעדכן את התוכנית או לשנות את התצורה, זה מספיק כדי ליצור ולהשיק סביבה חדשה. נתמך כמה עשרות ספריות בשפת Ocaml לביצוע פעולות רשת (DNS, SSH, OpenFlow, HTTP, XMPP וכו'), לעבוד עם אחסון ולספק עיבוד נתונים מקביל.

השינויים העיקריים במהדורה החדשה קשורים למתן תמיכה בתכונות החדשות המוצעות בערכת הכלים Solo5 0.6.0 (סביבת ארגז חול להפעלת unikernel):

• נוספה את היכולת להפעיל את unikernel MirageOS בסביבה מבודדת spt ("מכרז תהליך בארגז חול") מסופק על ידי ערכת הכלים סולו 5. בעת שימוש ב-spt backend, ליבות MirageOS פועלות בתהליכי משתמש לינוקס שעליהם מוחל בידוד מינימלי בהתבסס על seccomp-BPF;
• תמיכה יושמה מניפסט יישום מפרויקט Solo5, המאפשר להגדיר מתאמי רשת והתקני אחסון מרובים המחוברים ל- unikernel בבידוד על בסיס hvt, spt ו-muen backends (השימוש עבור backends genode ו-virtio מוגבל כרגע למכשיר אחד);
• ההגנה על backends המבוססים על Solo5 (hvt, spt) חוזקה, לדוגמה, ניתנה בנייה במצב SSP (Stack Smashing Protection).

מקור: OpenNet.ru