Xebicon'16 : Introduction à Unikernel. Par Jean-Baptiste Claramonte et Tomas Rodriguez, Développeurs chez Xebia

@xebiconfr #xebiconfr

Introduction à

Unikernel Jean-Baptiste Claramonte

&Tomas Rodriguez


Tomas Rodriguez

2


Jean-Baptiste Claramonte

3


Agenda

● Les motivations

● Unikernel : qu’est-ce que c’est ?

● Qu’est-ce que ça change ?

● L’offre

● Démo

● Conclusion

4


Les motivations pour Unikernel

1

5


La stack aujourd’hui

6

Hardware Driver



7

HypervisorHardware Driver



8

Virtual HW DriversHypervisor

Hardware Driver



9

Linux User ProcessesLinux Kernel


Hardware Driver



10


Hardware Driver

Shared LibrariesDocker Runtime




11

ApplicationLanguage Runtime


Hardware Driver




Avec quel objectif ?

12

● Faire tourner ○ une seule application○ sur un serveur○ et un seul user (OS)


Sécurité apportée par le kernel linux

● Les utilisateurs sont sécurisés les uns des autres

● Les applications sont sécurisées les unes des autres

● Les applications sont sécurisées des utilisateurs

13


Linux sait tout faire !

● Linux fonctionne partout !

● On peut tout faire tourner sur linux !

14


Cela a un coût

15

● Small App: 10k

● Medium/Large: 100k

● Huge App: 1M


Cela a un coût

16

Small App: 10k

Medium/Large: 100k

Huge App: 1M


Cela a un coût

17

Small App: 10k

Medium/Large: 100k

Huge App: 1M

Le kernel linux en fait 22M !


Bilan du kernel linux

● Système de permissions complexe

● Le kernel inclut des drivers inutiles

● Difficile de maîtriser tout ce qu’un gestionnaire de paquets installe

● Des solutions comme CoreOS optimisent l’OS pas le kernel

18


Côté sécurité

● “Surface d’attaque” très large

(on estime en moyenne 20 à 30 erreurs pour 1000 lignes de code)

● Linux est devenu une cible privilégiée car devenu très populaire sur les serveurs et les systèmes mobiles

19


Quelle alternative ?

● Unikernel …

20


Unikernel : qu’est ce que c’est ?

2

21


Fonctionnement high level

22

Kernel

libc libstd++ libgc

libgmp libz libtlc

gtk iconv

OpenGL

Application



23

Kernel

libc libstd++ libgc

libgmp libz libtlc

gtk iconv

OpenGL

Application



24

Application



25

Application



26

Application Unikernel



27


OS User ProcessesOS Kernel


Hardware Driver




28


OS User ProcessesOS Kernel


Hardware Driver




29


Unikernel


Hardware Driver



30


Unikernel


Hardware Driver


Qu’est ce que ça change ?

3

31


Processus de construction d’une image Unikernel

32

App Binary

App Config

App Deps

Lang runtime

Virt, HW Drivers

Packaging Tool Image Unikernel

AP

PLI

CA

TIO

NU

NIK

ER

NE

LR

UN

TIM

E


Comment boot un Unikernel ?

33

Booter un Unikernel c’est tout simplement booter une image dans un hypervisor


Comment boot un Unikernel ?

34


Quelles conséquences

35

● Un seul processus



36


Pas de “fork”



37


Pas de “fork”

Pas de “context switching”



38

● Un seul espace mémoire● Pas de mémoire virtuelle



39


Gains en perf



40


Gains en perf

Une Application ne peut utiliser plus de mémoire physique que ce qui est disponible



41


Gains en perf

Une Application ne peut utiliser plus de mémoire physique que ce qui est disponible

Pas de mmap



42

● Il n’y a plus de cloisonnement entre les espaces kernel et utilisateur



43


Votre application s’exécute dans le kernel space



44



Gain en performance pour les I/O



45



Gain en performance pour les I/O

Pas de protection de la mémoire entre kernel/app


kernel/user space : exécution avec un linux

46


Pas de kernel/user space avec Unikernel

47

Unikernel


L’offre

4

48


Unikernel.org

49

● MirageOS● OSv● Rumprun● runtime.js● UniK


De nombreuses solutions

50

● ClickOS● Clive● Drawbridge● HaLVM● IncludeOS● LING

● MirageOS● OSv● Rumprun● runtime.js● UniK


Comparaison de l’offre

51


Comparaison de l’offre

52


Unik

53


Unik

54

● Le “docker” de l’Unikernel


Une CLI à la docker

55


Un Hub à la Docker Hub

56


Un intermédiaire avec différents Unikernel

57


Excellent candidat pour une démo !

58


Démo time !

5

59


Démo time !

60

● Démo d’une application Java avec l’Unikernel Unik sur VirtualBox


Démo time !

61

Étapes :

● Installation de Unik


Démo time !

62

Étapes:


● Création d’une image


Démo time !

63

Étapes:


● Création d’une image

● Création d’une instance à partir de l’image


Conclusion

6

64

@xebiconfr #xebiconfr 65

Pas d’image hub unikernel “à la” docker registry


Cloud Public on paye à l’utilisation de l’instance


Complexité de certaines solutions


Persistance des données


Le plus : les performances et la sécurité annoncées


Unikernel n’est pas l’alter ego de Docker


Unikernel pour l’IoT


À suivre, mais tout ça n’est pas sec pour l’instant !

Xebicon'16 : Introduction à Unikernel. Par Jean-Baptiste Claramonte et Tomas Rodriguez, Développeurs chez Xebia

Technology