Fedora CoreOS bekeken: containers makkelijk beheren

Marco den Teuling7 januari, 2021• min. leestijd

Met Fedora CoreOS bouw je een server die slechts één taak heeft: diensten uitvoeren in containers. Geheel volgens het wegwerpprincipe van containers zijn handmatige updates en onderhoud niet nodig. We bekijken deze oplossing.

Als je serverdiensten in containers uitvoert, wil je vooral dat ze onderhoudsvrij zijn en zich zelfstandig updaten. Dat werkt vaak niet bij het onderliggende besturingssysteem, zodat je zelf moet zorgen voor de updates. Fedora’s CoreOS neemt je dat allemaal uit handen.

Het besturingssysteem is bedoeld voor reproduceerbare wegwerpservers en werkt het systeem volledig automatisch bij. CoreOS is een minimaal Linux-systeem waarin populaire containertools zoals Docker of Podman zorgen voor het starten en beheren van containers. De voor complexe infrastructuren ontwikkelde container-orchestrator Kubernetes maakt geen deel uit van de distributie, maar kan op verzoek geïnstalleerd worden. Na het opstarten werkt CoreOS zelfvoorzienend. Het start de containers op en kan in het beste geval geheel zonder verdere tussenkomst van een beheerder.

Om dat doel te bereiken, neemt Fedora CoreOS meteen meerdere maatregelen die verschillen van de manier waarop conventionele distributies werken. Zo is onder meer niet voorzien in het installeren van softwarepakketten, omdat alle applicaties in containers draaien. Om aanpassingen aan het basissysteem te voorkomen, heeft Fedora CoreOS de volledige /usr-directory als read-only gemount. Bovendien beschermt het security-framework SELinux door zeer strenge toegangsregels tegen potentiële aanvallen.

Zelfstandig CoreOS

CoreOS kun je heel goed gebruiken om je containers op een of meerdere servers te starten zonder dat er veel energie in het besturingssysteem hoeft te worden gestoken. Het doel is dat je reproduceerbare exemplaren in elkaar zet die naar believen kunnen worden gemaakt of vernietigd – precies zoals bij containers gebruikelijk is.

Om die servers zo eenvoudig en reproduceerbaar te maken, gebeurt het configureren via een YAML-bestand. Wanneer het installatiemedium gestart wordt, lanceert Fedora CoreOS automatisch een tool genaamd Ignition. Die tool haalt een door de beheerder aangemaakt configuratiebestand op, leest dat en stelt het systeem vervolgens in volgens de daarin opgegeven specificaties – inclusief alle containers die erop moeten draaien. De set-up omvat naast het aanmaken van gebruikersaccounts ook het aanmaken van Systemd-units en het partitioneren van de harde schijf.

De installatiewizard maakt een boot-partitie aan met het ext4-bestandssysteem, het systeem zelf komt op een partitie met XFS, die Ignition later uitbreidt tot de maximaal mogelijke grootte. Zoals de andere twee partities aangeven, zal Fedora CoreOS zowel op BIOS- als op UEFI-apparaten opstarten.

Bovendien werkt het systeem zichzelf automatisch bij tijdens het gebruik. Fedora CoreOS downloadt dan een actuele snapshot van het systeem en schakelt na een reboot gewoon over naar dat nieuwe fundament. Als de update mislukt, start Fedora CoreOS automatisch de oude image opnieuw op. Beheerders kunnen de update ook makkelijk terugdraaien in geval van incompatibiliteiten (roll-back). Voor dat ingenieuze updatemechanisme vertrouwen de Fedora-ontwikkelaars op rpm-ostree. Een server van het Fedora-project stelt eerst een bestandssysteem samen, dat vervolgens het clientsysteem en een bestandssysteem-image downloadt en activeert.

Configuratie

De eerste stappen met CoreOS zijn bijzonder eenvoudig te nemen met behulp van de officiële ISO-image. We beschrijven dit verder in het artikel in c’t magazine, uitgave 10. Alle downloads en links kun je vinden via de webpagina die bij dat artikel hoort.

Het Fedora-team levert verschillende images voor virtualisatieoplossingen en cloudsystemen – waaronder AWS, Azure en OpenStack. Hoe je het juiste configuratiebestand aanlevert, hangt af van je omgeving. QEMU-gebruikers slaan het configuratiebestand bijvoorbeeld op in de virtuele firmware onder de sleutel opt/ com.coreos/config. Meer hierover lees je ook in het artikel in c’t magazine 10.

CoreOS configuratiebestand boot Ignition

Bij grote fouten in het configuratiebestand stopt het bootproces. Dat gebeurt zelfs als Ignition geen bestand kan aanmaken zoals hier.

Blijf op de hoogte van de nieuwste informatie over Linux-distributies en container-oplossingen!
Schrijf je in voor de nieuwsbrief:

Je aanmelding is helaas niet gelukt. Probeer het later nog eens.

Beperkingen

Je kunt een eenvoudige CoreOS-installatie al implementeren met een eenvoudige container. Als je eenmaal gewend bent aan de manier waarop de Ignition-configuratie werkt, zijn de YAML-configuraties makkelijk op te stellen. Als je bestaande systemen wilt verplaatsen, kom je eveneens niets tekort. Als je met Docker Compose containers op andere platforms hebt gemaakt, kun je die met CoreOS blijven gebruiken. Je hoeft alleen maar docker-compose te installeren. Ook het vrijgeven van de Docker-socket voor internet is geen probleem. Je kunt dus containers op de server starten vanaf je werkcomputer zonder de commandline.

De mogelijkheden van Ignition zijn momenteel beperkt. De tool zelf kan bijvoorbeeld geen netwerkconfiguratie wijzigen. Om dat te doen, moet je de juiste configuratiebestanden opgeven bij de sectie files. Fedora CoreOS en Ignition werken in de praktijk soepel en zonder problemen, en die distributie dient als basis voor RedHat CoreOS. Als je op zoek bent naar een slank Linux-systeem voor containers, moet je zeker een kijkje nemen bij CoreOS. De ontwikkeling en de geplande functies kunnen gevolgd worden op GitHub.

(Informatie afkomstig uit het artikel van Tim Schürmann en Noud van Kruysbergen, c’t magazine 10/2020, p. 108)

Lees uitgebreide achtergrondinfo op je gemak in c't 05/2024

Bestel nu

Marco den TeulingHad als eerste eigen computer ooit een 16-bit systeem, waar van de 48 kilobyte toch echt niet ‘genoeg voor iedereen’ was. Sleutelt graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen. Vindt ‘Software as a Service’ een onbedoeld ironische naamgeving.

Dit kun je verwachten als je ChatGPT als hacking-tool wilt gebruiken

Kun je ChatGPT gebruiken als hacking-tool? We neigden naar de duistere kant en onderzochten of de assistentie van een AI van elke scriptkiddie een eli...

achtergrond•AI ChatGPT hacking kunstmatige intelligentie

24/04/2024

Raspberry Pi GPIO pinnen: een overzicht van de aansluitingen

Een kleine Raspberry Pi board is zo volgepakt met alle componenten dat er geen ruimte meer over was om de 40 GPIO pinnen van informatie te voorzien. O...

achtergrond•Hardware Raspberry Pi raspberry pi projects Zelfbouw

23/04/2024

Softlink

0 Praat mee

Abonneer

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Fedora CoreOS bekeken: containers makkelijk beheren

Zelfstandig CoreOS

Configuratie

Beperkingen

Lees uitgebreide achtergrondinfo op je gemak in c't 05/2024

Lees ook

Dit kun je verwachten als je ChatGPT als hacking-tool wilt gebruiken

Raspberry Pi GPIO pinnen: een overzicht van de aansluitingen

Lees ook

Softlink

Blijf op de hoogte!

Fedora CoreOS bekeken: containers makkelijk beheren

Zelfstandig CoreOS

Configuratie

Beperkingen

Lees uitgebreide achtergrondinfo op je gemak in c't 05/2024

Meer over

Deel dit artikel

Lees ook

Dit kun je verwachten als je ChatGPT als hacking-tool wilt gebruiken

Raspberry Pi GPIO pinnen: een overzicht van de aansluitingen

Lees ook

Softlink

Blijf op de hoogte!