Tahukah Anda bahwa Linux mendekati usia 30 tahun? Tahukah Anda bahwa Unix berusia sekitar 50 tahun? Saya tidak bermaksud menjatuhkannya — saya telah menggunakan Linux sejak mereka didistribusikan di disket. Namun, Unix dibuat untuk mesin seperti PDP-7 — Anda tahu, jenis yang memenuhi seluruh dinding.
PDP-7 – komputer mini yang diproduksi oleh Digital Equipment Corporation
Tapi, pernahkah Anda bertanya-tanya seperti apa sistem operasi yang dibangun pada tahun 2022?
Hari ini, infrastruktur cloud sangat kompleks sehingga orang-orang devops/SRE menarik gaji yang terkadang melebihi insinyur perangkat lunak normal.
Keamanan siber sangat buruk sehingga setidaknya ada satu pelanggaran data besar setiap minggu sekarang. Jika Anda melihat bot penambang kripto ilegal yang menginfeksi k8s cluster, mereka benar-benar memiliki kode yang memburu bot lain dan mengusir mereka dari server sebelum melakukan hal lain. Bot sedang berperang – itulah keadaan keamanan siber kami.
Jujur, bagus bahwa Hollywood bukanlah kehidupan nyata karena semua masalah keamanan siber bahkan tidak mendekati seberapa buruk hal-hal yang sebenarnya bisa terjadi. Ini tidak seperti seseorang yang telah meretas pembangkit listrik tenaga nuklir sebelumnya — *batuk*.
Unikernel bisa cepat
Kami menjalankan situs web seperti ops.city dan nanos.org sebagai unikernels Go di Google Cloud. Kami secara rutin melakukan benchmark server web yang berjalan 2X lebih cepat di Google dan 3X lebih cepat di AWS. Kami telah mencatat hal-hal seperti Redis mendorong rata-rata 20% lebih banyak pada alat benchmarknya.
Angka tidak berbohong.
Buka Webserver di Nanos vs Debian 10 “Buster” Linux di GCP G1-Small
Tidak ada algoritme khusus yang digunakan di sini – hanya arsitektur yang memungkinkan hal ini terjadi. Beberapa orang bertanya apakah Anda bisa menggunakan sesuatu seperti Alpine dan mendapatkan hasil yang sama. Sayangnya, jawabannya tidak. Linux seperti 30 juta baris kode dan tidak semuanya dapat dikecualikan dengan membuat kernel khusus.
Misalnya, ketika Anda menghapus hal-hal seperti dukungan beberapa proses, Anda mulai melihat betapa menularnya dukungan itu sebenarnya . Yang menyentuh penjadwal, yang menyentuh memori bersama, yang menyentuh sinyal, yang menyentuh banyak hal, jadi itu bukan sesuatu di mana Anda bisa masuk dan ifdef/menambalnya. Demikian pula, seccomp juga tidak melakukan semua yang kita inginkan.
Unikernel juga dapat boot dengan cepat. Ini adalah poin yang aneh untuk dibuat, karena hal-hal seperti Petasan biasanya muncul di benak orang ketika disebutkan. Namun, unikernels mengekspos keanehan menarik lainnya yang tidak akan pernah Anda lihat sebelumnya saat Anda menerapkannya. Misalnya, kami membuat server web Rust kecil yang ada di Google dan menyuntikkan kerusakan pada setiap permintaan. Itu akan segera reboot, siap untuk melayani permintaan berikutnya secara instan. Namun, setiap kali reboot itu datang dengan penyebab tata letak memori baru ASLR, yang dari perspektif keamanan sangat menarik. Itu salah satu cara untuk benar-benar mengacaukan kepala penyerang!
Sejujurnya, kami bahkan belum melakukan hal-hal keren dengan unikernels. Bayangkan jika Anda dapat menyetel unikernel Anda tergantung pada apakah jaringan berat atau sistem file berat. Bayangkan betapa lebih mudahnya penenunan biner dan penghapusan kode mati otomatis dalam sistem seperti itu. Beberapa aplikasi suka menautkan ke setiap perpustakaan di bawah matahari bahkan jika mereka hanya menggunakan satu fungsi darinya.
Unikernel memberi kita peluang bagus untuk melakukan beberapa sudah lama tertunda pembersihan rumah.
Unikernel diisolasi
Isolasi unikernelslah yang membuat saya tertarik, datang dari industri keamanan. Tidak ada pengguna atau kata sandi – menarik. Tidak ada cangkang. Tidak ada login jarak jauh atau ssh. Lebih penting lagi, unikernels hanya dapat menjalankan satu dan hanya satu aplikasi per VM. Jadi itu berarti dalam tumpukan server web khas Anda, Anda memiliki satu VM sebagai server web yang sebenarnya dan satu lagi untuk database Anda (Anda mungkin sudah melakukan ini).
Konsep ini jauh lebih dalam. Ketika Anda berpikir tentang penyerang yang membobol server Anda, itu persis seperti perampok yang membobol rumah Anda. Mereka masuk dengan menendang pintu atau memecahkan jendela tapi bukan itu mengapa mereka mendobrak masuk rumah. Mereka datang untuk senjata, perhiasan, uang, dan TV layar datar. Untuk hacker, itu sama. Memecah perangkat lunak Anda dengan mengeksploitasi bug hanyalah cara untuk masuk ke server. Itulah sebabnya manajemen patch dan pemindaian kerentanan tidak benar-benar mengurangi jumlah pelanggaran keamanan dalam berita.
Tujuan akhir penyerang adalah untuk menjalankan program mereka – mereka tidak peduli dengan program Anda. Program-program tersebut dapat dijalankan mysqldump terhadap database Anda, atau mungkin menginstal penambang kripto. Terlepas dari itu, selalu ada bagian lain dari perangkat lunak - biasanya banyak perangkat lunak. Itu sebabnya sebagian besar eksploitasi memfokuskan kode shell mereka pada forking shell. Sebuah shell secara inheren dibangun untuk menjalankan banyak program. Saat Anda mengetik ls, ps aux, atau cd
Anda memanggil perintah itu, tetapi itu adalah program lain. Tidak ada yang berfungsi di tanah unikernel.
Jadi, meskipun Anda mungkin dapat memperoleh penggunaan beberapa memori pada perangkat lunak yang rentan, Anda mungkin sekarang mengalami kesulitan untuk melakukan sesuatu yang berguna dengannya. Adakah yang pernah melihat klien MySQL yang ditulis dalam gadget ROP murni?
Unikernel itu sederhana
Dekade terakhir telah melihat infrastruktur besar-besaran merayap dan meskipun mudah untuk menyalahkan alat, perusahaan menerbitkan sejumlah besar perangkat lunak sekarang.
Jadi, seberapa sederhana? Anda dapat mendorong aplikasi Anda ke Google Cloud hanya dengan dua perintah. Kumpulan perintah yang sama ini hanya membutuhkan ~20 detik sebelum situs Anda ditayangkan di AWS:
Saat pertama kali diperkenalkan dengan unikernels, banyak orang bertanya-tanya, “Di mana Kubernetes untuk mengatur unikernels? Apakah saya harus menginvestasikan semua waktu dan energi ini untuk mempelajari hal lain?” Jawabannya adalah tidak ada, dan tidak perlu ada. Mengapa? Saat kami menerapkan unikernels ke AWS atau Google, kami membuat AMI baru setiap kali Anda menekan tombol penerapan (jangan khawatir, seluruh proses dapat memakan waktu kurang dari 20 detik). VM tidak menginstal Linux sama sekali - itu hanya aplikasi Anda. Perangkat penyimpanan dan jaringan yang mendasari semuanya ditangani oleh cloud pilihan Anda, jadi saat Anda dapat mengonfigurasinya, Anda tidak perlu mengelolanya. Ini adalah perbedaan yang signifikan. Anda dapat menganggapnya sebagai tanpa server tanpa penguncian karena perintah yang sama berfungsi pada penyedia cloud mana pun di luar sana. Dengan mengalihkan beban tanggung jawab ini ke penyedia cloud, Anda memaksa cloud untuk melakukan yang terbaik (mengelola infrastruktur), dan Anda melakukan yang terbaik (mengelola aplikasi Anda).
Hal ini membuat mendorong aplikasi Anda untuk mendorong dengan sangat mudah.
Jika aplikasi mogok (yang terjadi pada setiap pengembang perangkat lunak di luar sana, tidak peduli seberapa bagus mereka), seluruh VM akan mogok. Yang menarik dari debugging ini adalah sebenarnya jauh lebih mudah untuk di-debug daripada sistem Linux. Mengapa? Karena hanya ada satu program yang dimaksud. Anda tidak mencambuk lsof
untuk mencari tahu proses apa yang memuntahkan koneksi sampah atau proses mana yang tidak memiliki pengaturan rotasi log yang tepat dan mencegah Anda memasukkan SSH ke dalam instance. layanan pemantauan Radar kami cukup banyak sebelumnya. Makan dogfood kami sendiri dan menjalankannya sebagai unikernel Nanos memungkinkan kami untuk menghitung banyak masalah. Bug jaringan, bug penyimpanan, semuanya berfungsi. Itu sebabnya kami tahu ini berfungsi dengan baik sekarang karena kami harus masuk dan memperbaiki banyak bug. Namun, ketika macet, kami dapat dengan mudah mengekspor gambar VM dan mengunduhnya secara lokal dan menjalankannya. Kami dapat melampirkan gdb
padanya dan menunjukkan secara langsung di mana itu mengalami masalah. Kami juga dapat mengekspor jejak tumpukan. Anda benar-benar dapat mengkloning VM ini di prod, secara real-time tanpa downtime, dan bermain-main dengan klon juga. Saya dapat membayangkan segala macam hal menarik yang dapat Anda lakukan selain men-debug dengan fungsionalitas seperti itu.
Saya ingat waktu lain kami men-debug masalah jaringan di Google. Seseorang telah melaporkan situs kami tidak muncul untuk mereka, tapi itu muncul untuk kami. Aneh. Ternyata MTU diatur ke nomor yang berbeda. Kami dapat menemukan masalah dengan mudah dan memperbaiki tumpukan TCP/IP.
Unikernel jauh lebih mudah untuk di-debug daripada sistem Linux normal.
Daftar Isi
Virtualisasi, SMP, dan ledakan teknologi kedua
Paradigma lama satu server dengan satu sistem operasi yang menampung banyak aplikasi tidak masuk akal lagi.
Jika Anda bekerja di perusahaan yang lebih dari 10 atau 20 orang, Anda tidak memiliki satu server. Anda memiliki banyak server. Jika Anda bekerja di perusahaan seperti Uber atau Airbnb, Anda tidak memiliki satu database. Anda memiliki ribuan database. Itu ribuan sistem operasi yang harus dikelola juga.
Ingat grafik ini?
Google menulis makalah, lalu menulis makalah lain, dan banyak lagi makalah kemudian akhirnya menulis sebuah buku yang pada dasarnya mengatakan bahwa pusat data adalah komputer seukuran gudang.
Ide besar seputar unikernels, setidaknya dalam hal cloud, adalah bahwa jika pusat data adalah komputer, maka cloud adalah sistem operasinya — jadi mari kita mulai memperlakukannya seperti satu dan berhenti mengelola mikro ribuan individu.
Siap menjalankan unikernel pertama Anda? Lihat ops.city dan nanos.org. Tidak ada cara yang lebih baik untuk memahami apa ini dan bagaimana cara kerjanya selain mencobanya.
Baca selengkapnya
Rekomendasi:
Setahun Setelah SolarWinds, Ancaman Rantai Pasokan… Setahun yang lalu hari ini, firma keamanan FireEye membuat pengumuman yang mengejutkan sekaligus mengkhawatirkan. Peretas yang canggih diam-diam menyelinap ke dalam jaringan perusahaan, dengan hati-hati menyesuaikan serangan mereka untuk menghindari…
Bagaimana Red Hat Menutup $7M Pemasaran Mempengaruhi… Tantangan: Red Hat membutuhkan cara untuk menargetkan akun strategis secara lebih efektif dan menghasilkan lebih banyak kualifikasi di pasar lead dan pipeline. Solusi: Red Hat menggunakan platform data maksud Priority…
NFT Investments untuk Mengakuisisi Crypto Venture… Mengapa saya harus melengkapi CAPTCHA? Melengkapi CAPTCHA membuktikan bahwa Anda adalah manusia dan memberi Anda akses sementara ke properti web. Apa yang dapat saya lakukan untuk mencegah hal ini di…
Merangkul janji masa depan komputasi di mana-mana Internet dan perangkat pintar ada di mana-mana, yang berarti komputasi juga harus ada di mana-mana. Dan di sinilah edge computing berperan, karena seiring perusahaan mengejar pengambilan keputusan yang lebih cepat…
Paul Craig mengungkapkan dia akan pensiun ketika dia… Paul Craig telah mengungkapkan rencana pensiunnya dan mereka mendekati jauh lebih cepat daripada yang mungkin disadari beberapa penggemar. Pelatih kelas berat ringan Skotlandia mengungkapkan kepada Sky Sports bahwa ia berencana…
Tren dan Pemicu Keamanan Siber di tahun 2022 Pendapat yang dikemukakan oleh kontributor Entrepreneur adalah milik mereka sendiri. Tahun lalu berakhir dengan gejolak dengan ditemukannya kerentanan serius di Apache Log4j yang dapat dieksploitasi dengan sedikit usaha. Hal itu…
Penjaga Keamanan ingin membantu menjaga semua… Beranda BeritaKomputasi ) (Kredit gambar: laymanzoom / Shutterstock) Selain pengelola kata sandi bisnisnya, Keeper Security kini menawarkan solusi tanpa pengetahuan berbasis cloud baru untuk rahasia infrastruktur keamanan.Dengan Manajer Rahasia Penjaga,…
Harga Surface Laptop SE menghadirkan alternatif… Microsoft baru saja mengungkapkan Windows 11 SE yang dibuat untuk perangkat keras pendidikan bersama dengan notebook Surface yang sangat murah untuk sekolah. Microsoft Surface SE adalah notebook merek Surface pertama…
3 Alat SaaS yang Menyelamatkan Usaha Kecil dari Kekayaan Dengan penguncian tak terduga, biaya kerja jarak jauh baru, dan tentu saja, hanya menjadi bisnis kecil dengan sumber daya terbatas, anggaran ketat pada 2021.Jadi, dengan cara apa pun Anda dapat…
Render OPPO Find X4 Pro yang bocor menampilkan… Ulasan, Berita, CPU, GPU, Artikel, Kolom, Lainnya "atau " hubungan pencarian.Pencetakan 3D, 5G, Aksesori , AI, Danau Alder, AMD, Android, Apel, LENGAN, Audio, Biotek, Bisnis , Kamera , Danau Meriam…
60 FPS gaming dengan CPU 10 tahun: Sandy Bridge… Ulasan, Berita, CPU, GPU, Artikel, Kolom, Lainnya "atau " hubungan pencarian.Pencetakan 3D, 5G, Aksesori , AI, Danau Alder, AMD, Android, Apel, LENGAN, Audio, Biotek, Bisnis , Kamera , Danau Meriam…
Galaxy S22 Note terlihat sebagai SM-S908U di situs… Ulasan, Berita, CPU, GPU, Artikel, Kolom, Lainnya "atau " hubungan pencarian.Pencetakan 3D, 5G, Aksesori , AI, Danau Alder, AMD, Android, Apel, LENGAN, Audio, Biotek, Bisnis , Kamera , Danau Meriam…
Teknologi berbasis ML adalah terobosan berikutnya… 29 November 2021 16:40 Kredit Gambar: kentoh/Shutterstock Mendengar dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit 12 Januari…
US$7,7 miliar telah dicuri dalam penipuan crypto dan… Ulasan, Berita, CPU, GPU, Artikel, Kolom, Lainnya "atau " hubungan pencarian.Pencetakan 3D, 5G, Aksesori , AI, Danau Alder, AMD, Android, Apel, LENGAN, Audio, Biotek, Bisnis , Kamera , Danau Meriam…
Google membangun visi hybrid dan multicloud untuk perusahaan Raksasa teknologi ini menggunakan hari pertama konferensi virtual Google Cloud Next untuk mengungkapkan bagaimana mereka membangun proposisi multicloud untuk perusahaan Oleh Caroline Donnelly, Senior Editor, Inggris Diterbitkan: 13 Okt 2021…
Sebuah Kata Peringatan untuk Tenaga Kerja… Menjelang peringatan dua tahun awal pandemi COVID-19, saya mengingat kembali berapa kali saya ditanya oleh klien dan kolega tentang apakah tenaga kerja TI jarak jauh akan menjadi pekerja sementara atau…
Malware yang ditulis khusus ditemukan di seluruh… Mengapa penting: Pada bulan Desember 2021, tim keamanan di Intezer mengidentifikasi malware yang ditulis khusus di server web Linux lembaga pendidikan terkemuka. Malware, sejak bernama SysJoker, kemudian ditemukan juga memiliki…
Masa depan Google di perusahaan bergantung pada… 24 Oktober 2021 12:15 (Foto oleh Adam Berry/Getty Images)Kredit Gambar: Adam Berry / Kontributor/Getty Images Kesenjangan dalam strategi keamanan siber Google membuat bank, lembaga keuangan, dan perusahaan besar lambat untuk…
CPU Alder Lake Celeron senilai US$42 mengemas cukup… Ulasan, Berita, CPU, GPU, Artikel, Kolom, Lainnya "atau " hubungan pencarian.Pencetakan 3D, 5G, Aksesori , AI, Danau Alder, AMD, Android, Apel, LENGAN, Audio, Biotek, Bisnis , Kamera , Danau Meriam…
Amazon akan membuat 1.500 magang di Inggris pada tahun 2022 Ascannio - stock.adobe.com Raksasa ritel Amazon akan mencari lebih dari 1.000 magang Inggris tahun ini, menambah ribuan karyawan baru itu Banyaknya tantangan memulai 2021 Oleh Clare McDonald, Editor Bisnis Diterbitkan:…
Wanita kulit hitam sering menderita dalam diam… Seperti yang diceritakan oleh Shannon Shelton Miller Sebelum tahun 2020, menopause adalah salah satu gaya hidup yang sama sekali tidak saya ketahui. Yang paling sering saya dengar dari ibu saya…
Masalah tahun 2038 masih hidup dan sehat Masalah tahun 2038? Bukankah itu seharusnya diselesaikan sekali dan untuk semua tahun yang lalu? Tidak cukup. Apa itu masalah Tahun 2038 ? Wikipedia menjelaskannya dengan baik, tetapi TL;DR bermuara pada,…
Kerentanan Log4j membuka pintu bagi operator ransomware 17 Desember 2021 17:23 Kredit Gambar: Getty Images Dengarkan pendapat dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit…
Sakit gigi biasa ternyata merupakan bentuk kanker… Seperti yang diceritakan kepada Nicole Audrey SpectorItu dimulai dengan sakit gigi yang parah - dalam dan berdenyut di salah satu geraham saya di sisi kanan atas. Saya baru berusia 25…
Mengapa IoT adalah landasan dari strategi zero-trust AWS 28 Desember 2021 07:40 Kredit Gambar: Shutterstock Mendengar dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit 12 Januari…
Dompet kripto USB terbaik Dompet cryptocurrency perangkat keras adalah salah satu cara paling aman untuk menyimpan aset digital Anda. Mereka adalah perangkat kecil yang terpasang pada komputer atau tablet mana pun untuk mengirim pembayaran,…
Dapatkan langganan 3 tahun, 100 GB ke G Cloud Mobile… StackCommerce Handphone Anda hilang? Kemudian semua data yang tersimpan di dalamnya juga hilang untuk selamanya. Itulah mengapa merupakan ide bagus untuk mencadangkan perangkat Anda sesering mungkin. Dan, untuk itu, Anda…
SuaraSekitar Terkini Kumpulan Berita dan Informasi dari berbagai sumber yang terpercaya
. Kami telah mencatat hal-hal seperti Redis mendorong rata-rata 20% lebih banyak pada alat benchmarknya.