DDoS Community

yisrael rosen
yisrael rosen

Posted on

הגיק היומי: יוניקרנל VS דוקר

unikernel זו טכנולוגיה שמתפתחת בשנים האחרונות
שמאפשר לבנות מערכת הפעלה רזה שמכילה רק אפליקציה אחד.
המעלות הם בעיקר לאבטחה ולביצועים, כי אין אפשרות להריץ תהליכים נוספים ואין ספריות שלא משמשות את האפליקציה שאנחנו מריצים.
לכן אין shell, ואין משתמשים, ואין אפשרות לתוקף שמצא פרצה בAPI להוריד כלי קטן שיעתיק את כל המסד נתונים וכדו'
מבחינת ביצועים הVM עולה הרבה יתר מהר ממכונה מלאה של אובונטו לכן אפשר בהרבה מקרים להשתמש בזה כמו דוקר ולהוסיף ולהסיר VMים לפי הצורך, רק שצריך לקחת בחשבון שאי אפשר להריץ יותר מתהליך אחד אז אם מריצים אפליקציית node, צריך VM לNGNIX ועוד VM לכל מופע של node, כי אי אפשר להריץ 4 מופעים של node על אותו VM.
כדי לעשות שינויים בקוד צריך לבנות תמונה חדשה ואי אפשר לעשות לה SSH.
אבל אחרי הכל זה שווה בעיקר בשביל אבטחה ,במיוחד במקומות רגישים למשל IoT.

יש כמה פרוייקטים של יוניקרנלים אבל חלקם מוגבלים רק לשפות מסויימות
הפרוייקט שנראה לי הכי בשל והכי גמיש לפיתוח זה של חברת nanoVMs שפיתחו כלי שאורז כמעט כל אפליקציה לתוך Image ביחד עם הקרנל הרזה שלהם, אפשר גם להגדיר חלק ממערכת הקבצים לקריאה בלבד, וכך לתת הגנה גם לשפות דינמיות כמו PHP.

לדעתי יוניקרנל יכול להחליף את דוקר בהרבה מהמקרים
ואולי באמת נראה את זה בשוק בשנים הקרובות.


לקריאה נוספת:
https://nanovms.com/learn/docker-vs-unikernels

Discussion (0)