05 апреля 2017

Google Container-Optimized OS


Google представил серверную редакцию операционной системы Chrome OS, предназначенную для работы с контейнерами в Google Cloud Platform, под длинным названием Google Container-Optimized OS.

Google Container-Optimized OS (COS) построена на той же платформе Chromium OS, что и основная клиентская операционная система Chrome OS, и фактически представляет из себя функциональный аналог CoreOS, специально оптимизированый для работы исключительно в среде Google Compute Engine.

Для тех, кто очень далёк от системного администрирования серверной инфраструктуры на платформе Linux и использует Windows, с некоторой натяжкой можно сказать, что если Chrome OS - это аналог клиентской Windows, то COS - это аналог Windows Server Core (с возможностью удалённого управления его сервисами из внешней графической консоли, как на полном Windows Server (с установленным GUI)).

Начиная с настоящего момента Google Container-Optimized OS (COS) будет являться ОС по умолчанию для всех контейнерных приложений внутри Google Cloud Platform (GCP), как для внутренних приложений самого Google, так и для всех остальных пользователей GCP.

Управление COS доступно на двух уровнях: визуально, через красивую консоль управления Google Developer Console и из командной строки, через SSH.

Основными отличиями COS от Chrome OS с точки зрения пользователя являются:

1) Отсутствие у COS графического интерфейса (есть только командная строка)
2) Наличие у COS сервера SSH
3) Наличие у COS встроенного движка для контейнеров Docker

Таким образом, ввиду отсутствия на Google Container-Optimized OS (COS) менеджера пакетов и любого другого интерфейса для установки Chrome OS совместимых приложений, единственный способ что-либо на ней запустить - это упаковать приложение в контейнер и запустить его внутри контейнера Docker, управляя им снаружи с помощью консоли разработчика Google, где доступны все возможные средства для работы, включая Kubernetes.

Преимущества от использования Google Container-Optimized OS (COS) очевидны:

1) Полностью защищённая ОС для контейнеризации в облачной среде. 

Во-первых, у COS нет никакого внешнего интерфейса, непосредственно доступного из Интернет, через который можно зайти внутрь неё хоть каким-либо способом, ибо консоль разработчика Google работает внутри GCP и не имеет моста для обмена с управляемыми виртуальными машинами через сетевой интерфейс. 

Во-вторых, COS (также, как и Chrome OS) имеет включенный по умолчанию механизм Secure Boot, который полностью исключает возможность заражения вирусами ядра ОС. 

В-третьих, COS (также, как и Chrome OS) имеет включенный по умолчанию сетевой экран (firewall), который отбрасывает все входящие сетевые пакеты TCP/UDP, кроме SSH, который, в свою очередь, работает только по сертификатам (нет никакого пользователя root с простым паролем для доступа извне).

2) COS обладает минимальной служебной нагрузкой для обслуживания контейнеров, поэтому будет обходиться дешевле, чем любые другие ОС для тех же целей в GCP.

3) COS автоматически обновляется, также как и Chrome OS, с использованием пассивной партиции, т.е. абсолютно прозрачно для работающих приложений. Таким образом, по умолчанию пользователь GCP даже не видит постоянного обновления COS, если конечно не отключит опцию автоматического обновления вручную. Применение обновлений происходит путём переключения партиций в момент перезагрузки менее, чем за секунду.


Комментариев нет: