Conoce la contenedorización

Hola, soy Michael y voy presentar una nueva estructura de código abierto. Containerization es una estructura de Swift para crear apps en contenedores con diseño nativo. Prioriza la seguridad, la privacidad y el rendimiento. Eso guió su diseño y la implementación de los contenedores Linux. Hablemos de los contenedores antes de pasar a la estructura Containerization. Luego, veremos las API incluidas en Containerization. Por último, veremos una herramienta de línea de comandos para crear, ejecutar y administrar contenedores. Veamos qué son los contenedores y algunos de los casos de uso comunes que resuelven. Los contenedores Linux se han convertido en la norma para crear, probar e implementar apps del lado del servidor. Cuando se implementan cargas de trabajo del lado del servidor a gran escala, se ejecutan en muchos entornos diferentes. Los contenedores pueden aislar las cargas del host y también aislarlas entre sí. También permiten replicar los entornos de implementación en la máquina local. Podemos desarrollar y probar las apps localmente como si fuera en producción. Los contenedores permiten a los desarrolladores empaquetar la app junto con sus dependencias. Las dependencias pueden incluir binarios, bibliotecas dinámicas y recursos. Al empaquetarse app y dependencias, los contenedores pueden tener versiones diferentes de esas dependencias respecto del host y de otros contenedores. Se obtiene una sola unidad implementable: un contenedor. Los contenedores también permiten aislamiento durante el tiempo de ejecución. Con los contenedores, se suele usar una arquitectura de red separada del host. Por privacidad, los procesos ejecutados en un contenedor no ven ni inspeccionan los del host u otros contenedores. Los contenedores se pueden dimensionar y escalar independientemente unos de otros. Los recursos, como CPU, memoria y disco, se asignan según la carga de trabajo.

Para ejecutar contenedores Linux en macOS, se debe virtualizar el entorno de Linux. Era habitual generar una máquina virtual para todos los contenedores en ejecución. Se asignan recursos a esta máquina virtual que se van dividiendo según sea necesario a medida que se agregan contenedores. Los directorios y archivos compartidos desde la Mac van primero a la máquina virtual y, luego, al contenedor que los solicitó. Queríamos llevar los contenedores Linux a macOS, cumpliendo ciertos objetivos. Por seguridad, un contenedor debe tener el mismo nivel de aislamiento que hoy usan las grandes máquinas virtuales. Menos utilidades básicas y bibliotecas dinámicas en esas máquinas virtuales. Esto reduce la superficie de ataque y el costo de mantener todo actualizado. Por privacidad, debe limitarse el acceso a los directorios por cada contenedor. Solo el contenedor que solicita el directorio debe tener acceso a él. Una experiencia de alto rendimiento que respete los recursos del usuario.

Nos guiamos por esos objetivos de diseño al desarrollar Containerization. Containerization es una estructura de Swift de código abierto. Tiene API para imágenes y contenedores, y un sistema de inicio integrado en Swift. Exploremos algunas de las API para crear un contenedor. Primero, veamos cómo Containerization administra imágenes.

La mayoría de los contenedores se crean a partir de una imagen. Una imagen es un paquete de distribución con sistema de archivos y configuración predeterminada. Las imágenes actúan como plantilla al crear un nuevo contenedor.

Las API de Containerization permiten recuperar el contenido y la configuración de las imágenes. Se envían solicitudes a un Registro, servicio que maneja la distribución y el almacenamiento de imágenes. La respuesta recibida se escribe luego en el sistema de archivos local.

Cuando la imagen existe localmente, su configuración se puede usar para crear otro contenedor. La configuración de la imagen puede indicar el proceso predeterminado para ejecutar, el directorio de trabajo donde ejecutarlo y bajo qué usuario hacerlo. El contenido de una imagen incluye los archivos y directorios de la app. Para un acceso eficiente a este contenido, se presentan como un dispositivo de bloque. Para ello, se crea un archivo grande y se lo formatea con un sistema de archivos. Para que los contenedores Linux lo consuman, debe formatearse como sistema de archivos comprensible para Linux. EXT4 es un sistema de Linux muy usado. Containerization trae un paquete de Swift para formatear el sistema de archivos EXT4, crear la estructura de sus directorios y completarlo directamente en Swift. Si se crea un contenedor con una imagen, se debe iniciar una máquina virtual Linux. Por seguridad, cada contenedor iniciado debe tener un nivel de aislamiento como el de las grandes máquinas virtuales. Containerization logra esto al ejecutar cada contenedor dentro de su propia máquina virtual ligera con tiempos de inicio inferiores a un segundo. Como beneficio agregado, cada contenedor tiene su propia dirección IP exclusiva. La dirección IP exclusiva brinda un acceso de red eficiente a cada contenedor sin necesidad de asignar cada puerto para acceder a los servicios del contenedor. Cuando se comparten directorios y archivos, solo el contenedor que solicita el directorio tiene acceso a su contenido. Si no hay contenedores en ejecución, no se asignan recursos como CPU y memoria. Una vez iniciado el proceso, todo lo demás ocurre dentro de la máquina virtual. Veamos cómo Containerization configura el entorno antes de iniciar el contenedor. Cuando arranca la máquina virtual, se genera un proceso inicial. El binario de este proceso se obtiene de un sistema de archivos mínimo incluido. Este sistema de archivos contiene un binario llamado vminitd. Es un sistema creado en Swift que se ejecuta primero en la máquina virtual.

Por ser el proceso inicial, tiene muchas tareas en la ejecución del contenedor. vminitd asigna direcciones IP a las interfaces de red e implementa los sistemas de archivos, como el contenido de las imágenes que se incluyen con el dispositivo de bloque. Es responsable de iniciar y supervisar todos los procesos de la máquina virtual. vminitd tiene una API que permite generar y administrar los procesos desde el host. Se los solía iniciar como sistema completo si se usaba una máquina virtual grande. Se incluía la implementación de libc, bibliotecas dinámicas y utilidades básicas, como cd, cp y ls. Queremos reducir la posibilidad de ataque a los contenedores, para mayor seguridad. El sistema de archivos de Containerization no tiene utilidades básicas. No tiene implementación de libc ni bibliotecas dinámicas. Para que vminitd se ejecute de forma restringida, sin vincularse a bibliotecas, se lo compila como ejecutable estático. Compilamos binarios estáticos de Linux de forma cruzada, desde la Mac, usando el SDK de Static Linux para Swift. También usamos musl, de libc, que es ideal para enlaces estáticos. Por eso, vminitd es un ejecutable estático de Linux compilado de forma cruzada desde la Mac, para un entorno aislado. Containerization une todos los componentes básicos y brinda una API para crear soluciones en torno a contenedores Linux. Veamos una herramienta de línea de comandos para ejecutar contenedores fácilmente. La herramienta tiene una CLI y servicios XPC creados con API de Containerization. Permiten almacenar, administrar imágenes, asignar direcciones IP a los contenedores y procesar solicitudes DNS. Por último, administración y tiempo de ejecución de los contenedores. En la terminal y, usando el contenedor, extraemos una imagen a la máquina local. Allí, podemos comenzar escribiendo container image pull.

Luego, escribimos un nombre de imagen. Para esta demostración, usaremos alpine:latest. Al ejecutarse este comando, el contenedor extrae el contenido y la configuración de la imagen localmente antes de crear el archivo de bloque para que lo usemos. ¡Excelente!

Con esa imagen local, ejecutemos un contenedor basado en esa imagen.

Se creará un contenedor usando el contenido y la configuración de la imagen. Con las API de Containerization, lo ejecutará en una máquina virtual ligera. Volvamos a la terminal y veamos esto en la práctica. Usemos container run para el comando de ejecución. Abriremos un shell interactivo. Ponemos un dispositivo terminal con -t y entrada interactiva con el indicador -i. Luego, escribimos el nombre de la imagen y el comando para ejecutar: sh, un shell. En unos pocos cientos de milisegundos, nos encontramos en un shell interactivo. Vemos el entorno en que se ejecuta el contenedor. uname -a indica que es Linux. Por el aislamiento de los contenedores, cuando ejecutamos comandos como ps aux, solo vemos nuestro shell y el proceso ps. No se ven otros procesos del host u otros contenedores. La herramienta de línea de comandos está disponible en GitHub para que la pruebes. Las API de Containerization brindan seguridad, privacidad y alto rendimiento. Acompáñanos a llevar las primitivas de Containerization a macOS. Para crear un proyecto con contenedores Linux, consulta Containerization framework en GitHub. Consulta el código fuente para ver cómo iniciar una máquina virtual ligera. Explora todos los paquetes Swift multiplataforma creados para vminitd. Y no te pierdas los proyectos de ejemplo. Si quieres ejecutar contenedores, prueba la herramienta de contenedores y súmate a la conversación en GitHub. Puedes ver el código fuente, enviar problemas y crear pull requests. Queremos ver qué es lo próximo que creas.