操作系统固有的所有低级功能都以附加到应用程序的库的形式实现。 应用程序可以在任何操作系统中开发,然后将其编译成专门的内核(概念
生成的环境不包含任何多余的内容,并且直接与虚拟机管理程序交互,无需驱动程序或系统层,这可以显着降低管理成本并提高安全性。 使用 MirageOS 分为三个阶段:准备配置并识别环境中使用的配置
尽管应用程序和库是用高级 OCaml 语言创建的,但生成的环境表现出相当好的性能和最小的大小(例如,DNS 服务器仅占用 200 KB)。 环境的维护也得到了简化,因为如果需要更新程序或更改配置,创建并启动新环境就足够了。 支持的
新版本中的主要变化与为工具包中提供的新功能提供支持有关
- 添加了在隔离环境中运行 unikernel MirageOS 的功能
SPT (“沙盒流程招标”)由工具包提供Solo5 。 使用 spt 后端时,MirageOS 内核在 Linux 用户进程中运行,并基于 seccomp-BPF 应用最小隔离; - 支持已实施
应用清单 来自 Solo5 项目,它允许您基于 hvt、spt 和 muen 后端独立定义附加到 unikernel 的多个网络适配器和存储设备(genode 和 virtio 后端的使用目前仅限于一台设备); - 基于Solo5(hvt、spt)的后端保护得到加强,例如提供了SSP(Stack Smashing Protection)模式的构建。
来源: opennet.ru