A Canonical está expandindo o Long Term Support (LTS) além de sua principal distribuição Ubuntu Linux, prometendo fornecer suporte de segurança de 12 anos para qualquer software de código aberto com pacote Docker.
Esses contêineres “sem distribuição” seriam ideais para ambientes Kubernetes, onde podem ser compactados em um pod para máxima eficiência computacional.
A Canonical certificará os contêineres LTS para serem executados em suas próprias plataformas MicroK8s e Charmed Kubernetes, naturalmente.
Mas os pacotes LTS também serão certificados pela Canonical para rodar em outros ambientes Kubernetes de nível de produção importantes, como Red Hat OpenShift (por meio do Red Hat Enterprise Linux) e plataformas K8s da VMware: Tanzu Kubernetes Grid e vSphere com Kubernetes.
Nas nuvens públicas, a Canonical certificará oficialmente contêineres para rodar em Azure, Amazon Web Services, Google, IBM e Oracle.
As imagens serão construídas no formato padronizado Open Container Initiative (OCI), portanto, os contêineres LTS deverão ser executados em qualquer ambiente de tempo de execução compatível com OCI.
Até o momento, a Canonical usa o formato de empacotamento deb para colocar aplicativos em sua própria distribuição Linux, o Ubuntu. Até agora, o Ubuntu e a comunidade produziram mais de 36.700 pacotes deb. ‘Deb’ vem do Debian, que é a distribuição de estoque que a Canonical usa para construir sua própria distribuição Ubuntu.
Muitos desses aplicativos empacotados em deb também foram conteinerizados, usando Docker e ferramentas semelhantes.
Neste novo programa, a Canonical manterá 12 anos de manutenção de segurança para qualquer aplicativo de código aberto que tenha sido conteinerizado no formato OCI (como o Docker).
Muitos aplicativos de código aberto já estão disponíveis em sites como o Docker Hub. Para o serviço, a Canonical aceitará até solicitações para “LTS” seu aplicativo de código aberto favorito. Ele analisará a árvore de dependências do seu aplicativo e colocará sob manutenção LTS os pacotes que ainda não são cobertos pelo Ubuntu Pro.
Para dar suporte a um aplicativo proprietário, os clientes podem solicitar uma imagem base LTS com todas as dependências de código aberto necessárias.
Aqueles com assinaturas do Ubuntu Pro, que são gratuitas para as primeiras cinco instâncias, podem usar as imagens suportadas, que serão atualizadas com correções de segurança quando necessário. A mesma estrutura de preços também será usada para executar contêineres “Everything LTS” em outras plataformas certificadas — VMware, RHEL e os hosts de nuvem pública.
A mudança também fornecerá à própria distribuição Ubuntu Pro da empresa milhares de novos componentes upstream de código aberto, incluindo os muitos novos aplicativos surgindo para executar aplicativos generativos de IA, muitos dos quais ainda não foram empacotados em deb.
Contêineres regulares, como aqueles empacotados no Docker, geralmente podem ser executados em qualquer distribuição Linux que suporte Docker. Esses contêineres tradicionais ainda incluem alguns utilitários de sistema operacional (SO) para suporte, como o Secure Shell (SSH), que permite aos usuários fazer login no contêiner.
Os contêineres distroless, no entanto, incluem apenas os arquivos, ou binários, especificamente necessários para executar um aplicativo, reduzindo o tamanho do contêiner e a área de superfície que um invasor pode usar para explorar o software. Pacotes e metadados desnecessários são removidos.
Com distroless, os contêineres não possuem SSH. Ninguém pode fazer login com acesso “root”. Os aplicativos em contêineres não possuem gerenciadores de pacotes; eles não podem ser atualizados. Eles são, no jargão da indústria, verdadeiramente “imutáveis”. Quando precisam ser atualizados, são substituídos por uma nova cópia.
Também se foram: scripts de instalação, documentação, arquivos de cabeçalho, informações sobre outras dependências. Em vez disso, essas informações externas são mantidas em arquivos YAML, chamados slices, junto com os próprios contêineres.
Construir um contêiner do zero pode ser complicado. A Canonical usa a ferramenta Debian Chisel para construir contêineres sem distribuição para as várias plataformas.
Uma grande vantagem do LTS é que o usuário não precisa se preocupar em manter seus aplicativos atualizados com as últimas correções de segurança.
A empresa corrigirá todos os aplicativos onde for encontrada uma vulnerabilidade registrada no CVE. A aplicação de patches CVE é necessária para muitos mandatos de segurança governamentais e industriais, incluindo FIPS, FedRAMP, EU Cyber Resilience Act (CRA), FCC US Cyber Trust Mark e DISA-STIG.
Além da segurança, há vários benefícios secundários nos contêineres sem distribuição. Eles podem ser baixados mais rapidamente e rodam mais rapidamente. Você pode agrupar mais deles em um único servidor.
No geral, a Canonical estimou que os contêineres sem distribuição podem oferecer um aumento geral de desempenho de 20% a 25%. E você ainda pode usar sistemas de construção de contêineres existentes para atualizar seus aplicativos também.
Junto com a Microsoft, a Canonical já criou um conjunto de contêineres sem distribuição para usuários do .NET.
Com esse método, os contêineres .Net foram reduzidos em cerca de 100 MB, para um tamanho de 6 MB compactados, estimaram as empresas.
A Canonical não é a única empresa que está repensando como fazer distribuições Linux para computação nativa em nuvem. No início deste ano, a Red Hat tornou sua principal distribuição Linux RHEL inicializável como uma imagem de contêiner. Todo o código operacional normalmente deixado de fora de um contêiner, como kernel-firmware, será incluído nesta imagem.
No Red Hat Summit em maio, os técnicos da Red Hat demonstraram como inicializar o RHEL a partir do console de gerenciamento de contêiner Podman ou ativá-lo no OpenShift, e até mesmo como gravar ISOs das imagens, para que possam ser acionadas em qualquer máquina.
Embora a abordagem da Red Hat seja diferente da da Canonical, ambas estão martelando a mesma ideia: como eliminar a confusão do sistema operacional legado para obter melhor desempenho em ambientes de nuvem.
A Red Hat queria usar as melhores tecnologias “no lado dos contêineres que podemos trazer para o mundo do sistema operacional, para que esses dois mundos não sejam gerenciados completamente separados”, disse Ben Breard, gerente sênior de marketing principal da Red Hat, em um Conferência de imprensa da Red Hat no Summit.
YOUTUBE.COM/THENEWSTACK
A tecnologia avança rápido, não perca um episódio. Inscreva-se em nosso canal no YouTube para transmitir todos os nossos podcasts, entrevistas, demonstrações e muito mais.
SE INSCREVER
