Tahukah Anda bahwa Linux mendekati usia 30 tahun? Tahukah Anda bahwa Unix berusia sekitar 50 tahun? Saya tidak bermaksud menjatuhkannya — saya telah menggunakan Linux sejak mereka didistribusikan di disket. Namun, Unix dibuat untuk mesin seperti PDP-7 — Anda tahu, jenis yang memenuhi seluruh dinding.
PDP-7 – komputer mini yang diproduksi oleh Digital Equipment Corporation
Tapi, pernahkah Anda bertanya-tanya seperti apa sistem operasi yang dibangun pada tahun 2022?
Hari ini, infrastruktur cloud sangat kompleks sehingga orang-orang devops/SRE menarik gaji yang terkadang melebihi insinyur perangkat lunak normal.
Keamanan siber sangat buruk sehingga setidaknya ada satu pelanggaran data besar setiap minggu sekarang. Jika Anda melihat bot penambang kripto ilegal yang menginfeksi k8s cluster, mereka benar-benar memiliki kode yang memburu bot lain dan mengusir mereka dari server sebelum melakukan hal lain. Bot sedang berperang – itulah keadaan keamanan siber kami.
Jujur, bagus bahwa Hollywood bukanlah kehidupan nyata karena semua masalah keamanan siber bahkan tidak mendekati seberapa buruk hal-hal yang sebenarnya bisa terjadi. Ini tidak seperti seseorang yang telah meretas pembangkit listrik tenaga nuklir sebelumnya — *batuk*.
Unikernel bisa cepat
Kami menjalankan situs web seperti ops.city dan nanos.org sebagai unikernels Go di Google Cloud. Kami secara rutin melakukan benchmark server web yang berjalan 2X lebih cepat di Google dan 3X lebih cepat di AWS. Kami telah mencatat hal-hal seperti Redis mendorong rata-rata 20% lebih banyak pada alat benchmarknya.
Angka tidak berbohong.
Buka Webserver di Nanos vs Debian 10 “Buster” Linux di GCP G1-Small
Tidak ada algoritme khusus yang digunakan di sini – hanya arsitektur yang memungkinkan hal ini terjadi. Beberapa orang bertanya apakah Anda bisa menggunakan sesuatu seperti Alpine dan mendapatkan hasil yang sama. Sayangnya, jawabannya tidak. Linux seperti 30 juta baris kode dan tidak semuanya dapat dikecualikan dengan membuat kernel khusus.
Misalnya, ketika Anda menghapus hal-hal seperti dukungan beberapa proses, Anda mulai melihat betapa menularnya dukungan itu sebenarnya . Yang menyentuh penjadwal, yang menyentuh memori bersama, yang menyentuh sinyal, yang menyentuh banyak hal, jadi itu bukan sesuatu di mana Anda bisa masuk dan ifdef/menambalnya. Demikian pula, seccomp juga tidak melakukan semua yang kita inginkan.
Unikernel juga dapat boot dengan cepat. Ini adalah poin yang aneh untuk dibuat, karena hal-hal seperti Petasan biasanya muncul di benak orang ketika disebutkan. Namun, unikernels mengekspos keanehan menarik lainnya yang tidak akan pernah Anda lihat sebelumnya saat Anda menerapkannya. Misalnya, kami membuat server web Rust kecil yang ada di Google dan menyuntikkan kerusakan pada setiap permintaan. Itu akan segera reboot, siap untuk melayani permintaan berikutnya secara instan. Namun, setiap kali reboot itu datang dengan penyebab tata letak memori baru ASLR, yang dari perspektif keamanan sangat menarik. Itu salah satu cara untuk benar-benar mengacaukan kepala penyerang!
Sejujurnya, kami bahkan belum melakukan hal-hal keren dengan unikernels. Bayangkan jika Anda dapat menyetel unikernel Anda tergantung pada apakah jaringan berat atau sistem file berat. Bayangkan betapa lebih mudahnya penenunan biner dan penghapusan kode mati otomatis dalam sistem seperti itu. Beberapa aplikasi suka menautkan ke setiap perpustakaan di bawah matahari bahkan jika mereka hanya menggunakan satu fungsi darinya.
Unikernel memberi kita peluang bagus untuk melakukan beberapa sudah lama tertunda pembersihan rumah.
Unikernel diisolasi
Isolasi unikernelslah yang membuat saya tertarik, datang dari industri keamanan. Tidak ada pengguna atau kata sandi – menarik. Tidak ada cangkang. Tidak ada login jarak jauh atau ssh. Lebih penting lagi, unikernels hanya dapat menjalankan satu dan hanya satu aplikasi per VM. Jadi itu berarti dalam tumpukan server web khas Anda, Anda memiliki satu VM sebagai server web yang sebenarnya dan satu lagi untuk database Anda (Anda mungkin sudah melakukan ini).
Konsep ini jauh lebih dalam. Ketika Anda berpikir tentang penyerang yang membobol server Anda, itu persis seperti perampok yang membobol rumah Anda. Mereka masuk dengan menendang pintu atau memecahkan jendela tapi bukan itu mengapa mereka mendobrak masuk rumah. Mereka datang untuk senjata, perhiasan, uang, dan TV layar datar. Untuk hacker, itu sama. Memecah perangkat lunak Anda dengan mengeksploitasi bug hanyalah cara untuk masuk ke server. Itulah sebabnya manajemen patch dan pemindaian kerentanan tidak benar-benar mengurangi jumlah pelanggaran keamanan dalam berita.
Tujuan akhir penyerang adalah untuk menjalankan program mereka – mereka tidak peduli dengan program Anda. Program-program tersebut dapat dijalankan mysqldump terhadap database Anda, atau mungkin menginstal penambang kripto. Terlepas dari itu, selalu ada bagian lain dari perangkat lunak - biasanya banyak perangkat lunak. Itu sebabnya sebagian besar eksploitasi memfokuskan kode shell mereka pada forking shell. Sebuah shell secara inheren dibangun untuk menjalankan banyak program. Saat Anda mengetik ls, ps aux, atau cd
Anda memanggil perintah itu, tetapi itu adalah program lain. Tidak ada yang berfungsi di tanah unikernel.
Jadi, meskipun Anda mungkin dapat memperoleh penggunaan beberapa memori pada perangkat lunak yang rentan, Anda mungkin sekarang mengalami kesulitan untuk melakukan sesuatu yang berguna dengannya. Adakah yang pernah melihat klien MySQL yang ditulis dalam gadget ROP murni?
Unikernel itu sederhana
Dekade terakhir telah melihat infrastruktur besar-besaran merayap dan meskipun mudah untuk menyalahkan alat, perusahaan menerbitkan sejumlah besar perangkat lunak sekarang.
Jadi, seberapa sederhana? Anda dapat mendorong aplikasi Anda ke Google Cloud hanya dengan dua perintah. Kumpulan perintah yang sama ini hanya membutuhkan ~20 detik sebelum situs Anda ditayangkan di AWS:
Saat pertama kali diperkenalkan dengan unikernels, banyak orang bertanya-tanya, “Di mana Kubernetes untuk mengatur unikernels? Apakah saya harus menginvestasikan semua waktu dan energi ini untuk mempelajari hal lain?” Jawabannya adalah tidak ada, dan tidak perlu ada. Mengapa? Saat kami menerapkan unikernels ke AWS atau Google, kami membuat AMI baru setiap kali Anda menekan tombol penerapan (jangan khawatir, seluruh proses dapat memakan waktu kurang dari 20 detik). VM tidak menginstal Linux sama sekali - itu hanya aplikasi Anda. Perangkat penyimpanan dan jaringan yang mendasari semuanya ditangani oleh cloud pilihan Anda, jadi saat Anda dapat mengonfigurasinya, Anda tidak perlu mengelolanya. Ini adalah perbedaan yang signifikan. Anda dapat menganggapnya sebagai tanpa server tanpa penguncian karena perintah yang sama berfungsi pada penyedia cloud mana pun di luar sana. Dengan mengalihkan beban tanggung jawab ini ke penyedia cloud, Anda memaksa cloud untuk melakukan yang terbaik (mengelola infrastruktur), dan Anda melakukan yang terbaik (mengelola aplikasi Anda).
Hal ini membuat mendorong aplikasi Anda untuk mendorong dengan sangat mudah.
Jika aplikasi mogok (yang terjadi pada setiap pengembang perangkat lunak di luar sana, tidak peduli seberapa bagus mereka), seluruh VM akan mogok. Yang menarik dari debugging ini adalah sebenarnya jauh lebih mudah untuk di-debug daripada sistem Linux. Mengapa? Karena hanya ada satu program yang dimaksud. Anda tidak mencambuk lsof
untuk mencari tahu proses apa yang memuntahkan koneksi sampah atau proses mana yang tidak memiliki pengaturan rotasi log yang tepat dan mencegah Anda memasukkan SSH ke dalam instance. layanan pemantauan Radar kami cukup banyak sebelumnya. Makan dogfood kami sendiri dan menjalankannya sebagai unikernel Nanos memungkinkan kami untuk menghitung banyak masalah. Bug jaringan, bug penyimpanan, semuanya berfungsi. Itu sebabnya kami tahu ini berfungsi dengan baik sekarang karena kami harus masuk dan memperbaiki banyak bug. Namun, ketika macet, kami dapat dengan mudah mengekspor gambar VM dan mengunduhnya secara lokal dan menjalankannya. Kami dapat melampirkan gdb
padanya dan menunjukkan secara langsung di mana itu mengalami masalah. Kami juga dapat mengekspor jejak tumpukan. Anda benar-benar dapat mengkloning VM ini di prod, secara real-time tanpa downtime, dan bermain-main dengan klon juga. Saya dapat membayangkan segala macam hal menarik yang dapat Anda lakukan selain men-debug dengan fungsionalitas seperti itu.
Saya ingat waktu lain kami men-debug masalah jaringan di Google. Seseorang telah melaporkan situs kami tidak muncul untuk mereka, tapi itu muncul untuk kami. Aneh. Ternyata MTU diatur ke nomor yang berbeda. Kami dapat menemukan masalah dengan mudah dan memperbaiki tumpukan TCP/IP.
Unikernel jauh lebih mudah untuk di-debug daripada sistem Linux normal.
Daftar Isi
Virtualisasi, SMP, dan ledakan teknologi kedua
Paradigma lama satu server dengan satu sistem operasi yang menampung banyak aplikasi tidak masuk akal lagi.
Jika Anda bekerja di perusahaan yang lebih dari 10 atau 20 orang, Anda tidak memiliki satu server. Anda memiliki banyak server. Jika Anda bekerja di perusahaan seperti Uber atau Airbnb, Anda tidak memiliki satu database. Anda memiliki ribuan database. Itu ribuan sistem operasi yang harus dikelola juga.
Ingat grafik ini?
Google menulis makalah, lalu menulis makalah lain, dan banyak lagi makalah kemudian akhirnya menulis sebuah buku yang pada dasarnya mengatakan bahwa pusat data adalah komputer seukuran gudang.
Ide besar seputar unikernels, setidaknya dalam hal cloud, adalah bahwa jika pusat data adalah komputer, maka cloud adalah sistem operasinya — jadi mari kita mulai memperlakukannya seperti satu dan berhenti mengelola mikro ribuan individu.
Siap menjalankan unikernel pertama Anda? Lihat ops.city dan nanos.org. Tidak ada cara yang lebih baik untuk memahami apa ini dan bagaimana cara kerjanya selain mencobanya.
Baca selengkapnya
Rekomendasi:
Ukraina meminta peretas bawah tanah untuk bertahan… Asap mengepul dari wilayah unit Kementerian Pertahanan Ukraina, setelah Presiden Rusia Vladimir Putin mengizinkan operasi militer di Ukraina timur, di Kyiv, Ukraina 24 Februari 2022. REUTERS/Valentyn OgirenkoDaftar sekarang untuk akses…
Pertanyaan tentang Saldo Digital (SPONSORED) Di mana organisasi Anda dalam ekonomi digital saat ini? pandemi telah berdampak pada setiap organisasi dalam satu atau lain cara. Yang tidak beruntung hampir tidak selamat, atau lebih buruk…
Palang Merah meminta peretas untuk tidak membocorkan… RED CROSS HACK — Kontraktor penyimpanan Peretasan Palang Merah mengikuti insiden peretasan terpisah tahun lalu. Dan Goodin - 20 Jan 2022 1:17 am UTC Palang Merah pada hari Rabu memohon…
10 Vaksin Yang Harus Didapatkan Orang Dewasa Tahukah Anda bahwa orang dewasa membutuhkan vaksinasi, bahkan jika mereka mendapatkan semua vaksinasi mereka sebagai seorang anak? Beberapa vaksinasi yang Anda terima harus bertahan seumur hidup Anda, sementara yang lain…
Aaron Levie of Box: Komputasi Terdistribusi Akan… Lebih dari lima belas tahun yang lalu saya menjadi pembawa acara radio mingguan di sini di Atlanta yang disebut Technology for Business Sake. Salah satu tamu pertama saya adalah Aaron…
Mesin waktu: Solaris 2.6 di QEMU Sebagian besar karir profesional saya di tahun 1990-an dihabiskan dengan Sparcstation di meja saya. Sebelum itu 68000 Sun2 dan Sun3 melayang melewati jari-jari saya yang lengket tetapi mesin Sparc dengan…
Bagaimana Red Hat Menutup $7M Pemasaran Mempengaruhi… Tantangan: Red Hat membutuhkan cara untuk menargetkan akun strategis secara lebih efektif dan menghasilkan lebih banyak kualifikasi di pasar lead dan pipeline. Solusi: Red Hat menggunakan platform data maksud Priority…
Pembicaraan klinis: Apakah saya memerlukan terapi… Meskipun terapi hormon (HT), kadang-kadang disebut terapi penggantian hormon, bekerja dengan baik untuk meredakan gejala menopause dan menawarkan manfaat kesehatan lainnya, beberapa wanita dan orang dengan biologi wanita tidak yakin…
Tanya HN: Aku Sangat Kesepian Tanya HN: Aku Sangat Kesepian 23 poin oleh DevToRecruiter 23 menit yang lalu | sembunyikan | masa lalu | favorit | 21 komentar Saya tidak tahu apakah ini tempat yang…
Twitter sekarang akan memungkinkan Anda merekam GIF… Twitter mungkin baru saja membatalkan keputusan produk yang sangat buruk, tetapi pada hari Selasa, ia menambahkan keputusan yang sangat bagus: Anda dapat membuat GIF langsung dari kamera dalam aplikasi di…
California Kehilangan Pendapatan $700 juta dengan… Mengapa saya harus melengkapi CAPTCHA? Melengkapi CAPTCHA membuktikan bahwa Anda adalah manusia dan memberi Anda akses sementara ke properti web. Apa yang dapat saya lakukan untuk mencegah hal ini di…
Siap untuk Oracle E-Business Rilis 12.2 pada tahun… Tanggal berakhirnya Dukungan Premier untuk Rilis 12.1 Oracle E-Business Suite adalah 31 Desember 2021 Oleh Mark Vivian, Claremont Diterbitkan: 07 Des 2021 Mereka yang telah meningkatkan ke Rilis 12.2 Oracle…
Mengapa Metaverse Facebook Adalah Mimpi Buruk Privasi Sebuah metaverse yang sebagian besar dijalankan oleh Facebook—maaf, Meta—tidak terdengar menyenangkan bagi saya. Dengan ambisi Facebook untuk menciptakan perangkat keras dan teknologi lain untuk apa yang disebut metaverse, itu berarti…
Penting juga untuk merawat pengasuh selama perawatan kanker Seperti yang diceritakan kepada Liz SouchelliKetika seseorang sakit, naluri lingkaran sosialnya adalah membantu. "apa yang dapat saya?" orang bertanya. "apa yang kamu butuhkan?" Pertanyaan-pertanyaan ini, meskipun bermaksud baik, terkadang agak…
Pemerintah AS Melarang Warganya Melakukan Transaksi… Mengapa saya harus melengkapi CAPTCHA? Melengkapi CAPTCHA membuktikan bahwa Anda adalah manusia dan memberi Anda akses sementara ke properti web. Apa yang dapat saya lakukan untuk mencegah hal ini di…
Dapatkan langganan 3 tahun, 100 GB ke G Cloud Mobile… StackCommerce Handphone Anda hilang? Kemudian semua data yang tersimpan di dalamnya juga hilang untuk selamanya. Itulah mengapa merupakan ide bagus untuk mencadangkan perangkat Anda sesering mungkin. Dan, untuk itu, Anda…
Setahun Setelah SolarWinds, Ancaman Rantai Pasokan… Setahun yang lalu hari ini, firma keamanan FireEye membuat pengumuman yang mengejutkan sekaligus mengkhawatirkan. Peretas yang canggih diam-diam menyelinap ke dalam jaringan perusahaan, dengan hati-hati menyesuaikan serangan mereka untuk menghindari…
Sakit gigi biasa ternyata merupakan bentuk kanker… Seperti yang diceritakan kepada Nicole Audrey SpectorItu dimulai dengan sakit gigi yang parah - dalam dan berdenyut di salah satu geraham saya di sisi kanan atas. Saya baru berusia 25…
Transkrip Dari Malu Menjadi Advokasi: Dekade Saya -… Seperti yang diceritakan kepada Nicole Audrey Spector Saat itu tahun 1986. Saya berusia 39 tahun dan baru menikah dengan cinta dalam hidup saya yang dengannya saya membeli rumah pertama saya.…
Video Quick Take: James Markarian tentang… Todd Pruzan, HBR Selamat datang di Pengambilan Cepat Video HBR. Saya Todd Pruzan, editor senior untuk penelitian dan proyek khusus di Harvard Business Review. Pandemi global telah mempercepat kebutuhan perusahaan…
3 Alat SaaS yang Menyelamatkan Usaha Kecil dari Kekayaan Dengan penguncian tak terduga, biaya kerja jarak jauh baru, dan tentu saja, hanya menjadi bisnis kecil dengan sumber daya terbatas, anggaran ketat pada 2021.Jadi, dengan cara apa pun Anda dapat…
Mari Kenali Ubuntu, Apa Saja Macam Jenisnya? Linux Ubuntu merupakan sistem operasi open source yang pertama kali dirilis pada tanggal 20/10-2004. Sistem operasi Linux Ubuntu berjalan di atas basis kode Debian Linux. Lalu, mengapa system operasi tersebut…
Pil mini untuk KB: Apa yang perlu Anda ketahui Apa itu pil mini? Sebagian besar pil KB mengandung hormon estrogen dan progestin, yang merupakan bentuk progesteron buatan manusia. Minipill hanya mengandung progestin. PENARIKAN: Pil progestin saja terkadang disebut POPs.…
PCIe 6.0 terungkap: Kecepatan super cepat akan… Membuktikan bahwa setiap kali Anda membeli sesuatu yang baru, hal yang lebih baik segera keluar, PCI-Sig Group mengumumkan rilis PCIe 6.0 pada hari Selasa, yang akan menggandakan data mentah kecepatan…
Apakah Jaringan Aplikasi Pembunuh Baru? Ketika perusahaan berbicara tentang "aplikasi pembunuh", mereka mengacu pada aplikasi yang sangat penting bagi organisasi mereka sehingga jika mereka tidak memiliki aplikasi ini, organisasi mereka mungkin tidak berfungsi sama sekali.…
BERITA CRYPTO TOP 29/10: CRYPTOPUNK SAGA Mengapa saya harus melengkapi CAPTCHA? Melengkapi CAPTCHA membuktikan bahwa Anda adalah manusia dan memberi Anda akses sementara ke properti web. Apa yang dapat saya lakukan untuk mencegah hal ini di…
Kabel USB ini akan mematikan laptop Anda jika terputus Beranda Berita Komputasi (Kredit gambar: BusKill)Meskipun Anda dapat menggunakan perangkat lunak antivirus untuk melindungi dari virus dan VPN untuk melindungi privasi online Anda, melindungi perangkat Anda dari serangan fisik bisa…
Tren dan Pemicu Keamanan Siber di tahun 2022 Pendapat yang dikemukakan oleh kontributor Entrepreneur adalah milik mereka sendiri. Tahun lalu berakhir dengan gejolak dengan ditemukannya kerentanan serius di Apache Log4j yang dapat dieksploitasi dengan sedikit usaha. Hal itu…
Jaringan SubQuery Protokol Indeks Terdesentralisasi… Mengapa saya harus melengkapi CAPTCHA? Melengkapi CAPTCHA membuktikan bahwa Anda adalah manusia dan memberi Anda akses sementara ke properti web. Apa yang dapat saya lakukan untuk mencegah hal ini di…
FTX Memperluas Layanan Crypto ke Investor Eropa Mengapa saya harus melengkapi CAPTCHA? Melengkapi CAPTCHA membuktikan bahwa Anda adalah manusia dan memberi Anda akses sementara ke properti web. Apa yang dapat saya lakukan untuk mencegah hal ini di…
SuaraSekitar Terkini Kumpulan Berita dan Informasi dari berbagai sumber yang terpercaya
. Kami telah mencatat hal-hal seperti Redis mendorong rata-rata 20% lebih banyak pada alat benchmarknya.