現在被稱為 DevOps 時代,操作系統的關注度似乎比工具要低一些���。然而,這并不意味著操作系統沒有創新�。(編輯注:基于 Linux 內核的眾多發行版所提供的多樣化產品就是一個很好的例子)����。Fedora CoreOS就對這個 DevOps 時代的操作系統應該是什么樣有著獨特的理念�����。
Fedora CoreOS 的理念
Fedora CoreOS(FCOS)是由 CoreOS Container Linux 和 Fedora Atomic Host 合并而來���。它是一個專注于運行容器化應用程序的精簡的獨體操作系統�����。安全性是首要重點,FCOS 提供了自動更新,并帶有 SELinux 強化���。
為了使自動更新能夠很好地工作,它們需要非常健壯,目標是運行 FCOS 的服務器在更新后不會崩潰����。這是通過使用不同的發布流(stable���、testing 和 next)來實現的����。每個流每 2 周發布一次,更新內容會從一個流推廣到另一個流(next -> testing -> stable)�����。這樣落地在 stable 流中的更新就有機會經過長時間的測試����。
入門
對于這個例子,讓我們使用 stable 流和一個 QEMU 基礎鏡像,我們可以作為一個虛擬機運行���。你可以使用coreos-installer來下載該鏡像�����。
在你的(Workstation)終端上,更新鏡像的鏈接后,運行以下命令(編輯注:在 Silverblue 上,基于容器的 coreos 工具是最簡單的方法,可以嘗試一下�����。說明可以在https://docs.fedoraproject.org/en-US/fedora-coreos/tutorial-setup/中找到,特別是 “Setup with Podman or Docker” 一節���。):
$sudodnfinstallcoreos-installer$coreos-installerdownload--image-urlhttps://builds.coreos.fedoraproject.org/prod/streams/stable/builds/32.20200907.3.0/x86_64/fedora-coreos-32.20200907.3.0-qemu.x86_64.qcow2.xz$xz-dfedora-coreos-32.20200907.3.0-qemu.x86_64.qcow2.xz$lsfedora-coreos-32.20200907.3.0-qemu.x86_64.qcow2
創建一個配置
要定制一個 FCOS 系統,你需要提供一個配置文件,Ignition將使用這個文件來配置系統���。你可以用這個文件來配置諸如創建用戶���、添加受信任的 SSH 密鑰����、啟用 systemd 服務等等���。
以下配置創建了一個core用戶,并在authorized_keys文件中添加了一個 SSH 密鑰�。它還創建了一個 systemd 服務,使用podman來運行一個簡單的 “hello world” 容器:
version:"1.0.0"variant:fcospasswd:users:-name:coressh_authorized_keys:-ssh-ed25519my_public_ssh_key_hashfcos_keysystemd:units:-contents:|[Unit]Description=RunahelloworldwebserviceAfter=network-online.targetWants=network-online.target[Service]ExecStart=/bin/podmanrun--pull=always--name=hello--net=host-p8080:8080quay.io/cverna/helloExecStop=/bin/podmanrm-fhello[Install]WantedBy=multi-user.targetenabled:truename:hello.service
在配置中加入你的 SSH 密鑰后,將其保存為config.yaml���。接下來使用 Fedora CoreOS Config Transpiler(fcct)工具將這個 YAML 配置轉換成有效的 Ignition 配置(JSON 格式)����。
直接從 Fedora 的資源庫中安裝fcct,或者從GitHub中獲取二進制文件:
$sudodnfinstallfcct$fcct-outputconfig.ignconfig.yaml
安裝并運行 Fedora CoreOS
要運行鏡像,你可以使用 libvirt 堆棧���。要在 Fedora 系統上使用dnf軟件包管理器安裝它:
$sudodnfinstall@virtualization
現在讓我們創建并運行一個 Fedora CoreOS 虛擬機:
$chcon--verboseunconfined_u:object_r:svirt_home_t:s0config.ign$virt-install--name=fcos\--vcpus=2\--ram=2048\--import\--network=bridge=virbr0\--graphics=none\--qemu-commandline="-fw_cfgname=opt/com.coreos/config,file=${PWD}/config.ign"\--disk=size=20,backing_store=${PWD}/fedora-coreos-32.20200907.3.0-qemu.x86_64.qcow2安裝成功后,會顯示一些信息并提供登錄提示符:
FedoraCoreOS32.20200907.3.0Kernel5.8.10-200.fc32.x86_64onanx86_64(ttyS0)SSHhostkey:SHA256:BJYN7AQZrwKZ7ZF8fWSI9YRhI++KMyeJeDVOE6rQ27U(ED25519)SSHhostkey:SHA256:W3wfZp7EGkLuM3z4cy1ZJSMFLntYyW1kqAqKkxyuZrE(ECDSA)SSHhostkey:SHA256:gb7/4Qo5aYhEjgoDZbrm8t1D0msgGYsQ0xhW5BAuZz0(RSA)ens2:192.168.122.237fe80::5054:ff:fef7:1a73Ignition:userprovidedconfigwasappliedIgnition:wrotesshauthorizedkeysfileforuser:core
Ignition 配置文件沒有為core用戶提供任何密碼,因此無法通過控制臺直接登錄����。(不過,也可以通過 Ignition 配置為用戶配置密碼��。)
使用Ctrl + ]組合鍵退出虛擬機的控制臺��。然后檢查hello.service是否在運行:
$curlhttp://192.168.122.237:8080HellofromFedoraCoreOS!
使用預先配置的 SSH 密鑰,你還可以訪問虛擬機并檢查其上運行的服務:
$sshcore@192.168.122.237$systemctlstatushello●hello.service-RunahelloworldwebserviceLoaded:loaded(/etc/systemd/system/hello.service;enabled;vendorpreset:enabled)Active:active(running)sinceWed2020-10-2810:10:26UTC;42sago
zincati����、rpm-ostree 和自動更新
zincati 服務使用自動更新驅動 rpm-ostreed���。
檢查虛擬機上當前運行的 Fedora CoreOS 版本,并檢查 zincati 是否找到了更新:
$sshcore@192.168.122.237$rpm-ostreestatusState:idleDeployments:●ostree://fedora:fedora/x86_64/coreos/stableVersion:32.20200907.3.0(2020-09-23T08:16:31Z)Commit:b53de8b03134c5e6b683b5ea471888e9e1b193781794f01b9ed5865b57f35d57GPGSignature:Validsignatureby97A1AE57C3A2372CCA3A4ABA6C13026D12C944D0$systemctlstatuszincati●zincati.service-ZincatiUpdateAgentLoaded:loaded(/usr/lib/systemd/system/zincati.service;enabled;vendorpreset:enabled)Active:active(running)sinceWed2020-10-2813:36:23UTC;7sago…Oct2813:36:24cosa-devshzincati[1013]:[INFO]initializationcomplete,auto-updateslogicenabledOct2813:36:25cosa-devshzincati[1013]:[INFO]targetrelease'32.20201004.3.0'selected,proceedingtostageit...zincatireboot...
重啟后,我們再遠程登錄一次,檢查新版的 Fedora CoreOS:
$sshcore@192.168.122.237$rpm-ostreestatusState:idleDeployments:●ostree://fedora:fedora/x86_64/coreos/stableVersion:32.20201004.3.0(2020-10-19T17:12:33Z)Commit:64bb377ae7e6949c26cfe819f3f0bd517596d461e437f2f6e9f1f3c24376fd30GPGSignature:Validsignatureby97A1AE57C3A2372CCA3A4ABA6C13026D12C944D0ostree://fedora:fedora/x86_64/coreos/stableVersion:32.20200907.3.0(2020-09-23T08:16:31Z)Commit:b53de8b03134c5e6b683b5ea471888e9e1b193781794f01b9ed5865b57f35d57GPGSignature:Validsignatureby97A1AE57C3A2372CCA3A4ABA6C13026D12C944D0
rpm-ostree status現在顯示了兩個版本的 Fedora CoreOS,一個是 QEMU 鏡像中的版本,一個是更新后的最新版本�����。有了這兩個版本,就可以使用rpm-ostree rollback命令回滾到之前的版本�����。
最后,你可以確保 hello 服務仍在運行并提供內容:
$curlhttp://192.168.122.237:8080HellofromFedoraCoreOS!
刪除虛擬機
要進行事后清理,使用以下命令刪除虛擬機和相關存儲:
$virshdestroyfcos$virshundefine--remove-all-storagefcos
Fedora CoreOS 為在容器中運行應用程序提供了一個堅實而安全的操作系統���。它在推薦主機使用聲明式配置文件進行配置的 DevOps 環境中表現出色��。自動更新和回滾到以前版本的操作系統的能力,可以在服務的運行過程中帶來安心的感覺���。
看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注本站行業資訊頻道,感謝您對本站的支持����。
