@@ -1,10 +1,12 @@
\chapter { Εισαγωγή} \label { introduction}
\chapter { Εισαγωγή} \label { introduction}
\hyphenation { πολλαπλών}
\noindent Παραδοσιακά, όταν ένας χρήστης/εταιρεία επιθυμούσε ν α \noindent Παραδοσιακά, όταν ένας χρήστης/εταιρεία επιθυμούσε ν α
υπηρεσία στο ευρύ κοινό θα έπρεπε ν α γ ι α
υπηρεσία στο ευρύ κοινό θα έπρεπε ν α γ ι α
αγορά εξοπλισμού. Σε περίπτωση που η υπηρεσία αυτή τύγχανε ευρείας αποδοχής,
αγορά εξοπλισμού. Σε περίπτωση που η υπηρεσία αυτή τύγχανε ευρείας αποδοχής,
καθίστατο επιτακτική η ανάγκη της επέκτασης του υφιστάμενου εξοπλισμού αλλά και
καθίστατο επιτακτική η ανάγκη της επέκτασης του υφιστάμενου εξοπλισμού αλλά και
της εγκατάστασης όλων των αναγκαίων πόρων λογισμικού (βάσεις δεδομένων
της εγκατάστασης όλων των αναγκαίων πόρων λογισμικού (βάσεων δεδομένων
(Databases), λογισμικό της υπηρεσίας, αρχείων ρυθμίσεων, κ.λπ.) στα νέα
(Databases), λογισμικό της υπηρεσίας, αρχείων ρυθμίσεων, κ.λπ.) στα νέα
κομμάτια εξοπλισμού που αγοράσθηκαν. Η
κομμάτια εξοπλισμού που αγοράσθηκαν. Η
κεφάλαιο και αρκετές εργατοώρες προκειμένου ν α
κεφάλαιο και αρκετές εργατοώρες προκειμένου ν α
@@ -15,31 +17,33 @@
όταν η Amazon, ψάχνοντας τρόπους ν α
όταν η Amazon, ψάχνοντας τρόπους ν α
τομέα του ηλεκτρονικού εμπορίου (e-commerce), δημιούργησε την θυγατρική της,
τομέα του ηλεκτρονικού εμπορίου (e-commerce), δημιούργησε την θυγατρική της,
AWS (Amazon Web Services). Η ν α
AWS (Amazon Web Services). Η ν α
νεφο-υπολογιστικής και συγκεκριμένα, την EC2 (Elastic Compute Cloud), μια
νεφο-υπολογιστικής (Cloud Computing Services) και συγκεκριμένα, την EC2
υπηρεσία τύπου IaaS (Infrastructure as a Service). Πρόκειται γ ι α
(Elastic Compute Cloud), μια υπηρεσία τύπου IaaS (Infrastructure as a Service)
υπηρεσία ενοικίασης υπολογιστικών πόρων προς αξιοποίηση από οργανισμούς και
(Υποδομή ως Υπηρεσία). Πρόκειται γ ι α υπηρεσία ενοικίασης
επιχειρήσεις προκειμένου ν α ς
υπολογιστικών πόρων προς αξιοποίηση από οργανισμούς και επιχειρήσει ς
υπηρεσιών. Αυτό το μοντέλο λειτουργίας παρέχει πολλά πλεονεκτήματα, όπως το
προκειμένου ν α
μικρότερο κόστος εκκίνησης διάθεσης υπηρεσιών, η διευκόλυνση κλιμάκωσής του το μοντέλο λειτουργίας παρέχει πολλά πλεονεκτήματα, όπως το μικρότερο κόσ τος
(είτε οριζόντιας όπου μοιράζεται ο τος εργασίας σε παραπάνω διακομιστές είτε
εκκίνησης διάθεσης υπηρεσιών, η διευκόλυνση κλιμάκωσής του (είτε οριζόντιας
κάθετης κατά την οποία ένας διακομιστή ς αναβαθμίζεται με ισχυρότερες
όπου μοιράζεται ο διακομιστέ ς είτε κάθετης κατά την
προδιαγραφές \footfullcite { cloudzeroScalability} ) και η απαλλαγή ευθύνη ς
οποία ένας διακομιστής αναβαθμίζεται με ισχυρότερες προδιαγραφέ ς
σχετικά με την συνεχή λειτουργία του εξοπλισμού στον οποίο στεγάζονται.
\cite { cloudzeroScalability} ) και η απαλλαγή ευθύνης
λειτουργία του εξοπλισμού στον οποίο στεγάζονται.
Λόγω της ευρείας αποδοχής της και των πολλών πλεονεκτημάτων που παρέχει, πολλές
Λόγω της ευρείας αποδοχής των υπηρεσιών IaaS της AWS και των πολλών
άλλες εταιρείες, όπως η Google, IBM και Microsoft, άρχισαν ν α
πλεονεκτημάτων που αυτές παρέχουν, πολλές άλλες εταιρείες, όπως η Google, IBM
αυτές υπηρεσίες ιδίου τύπου. Σήμερα, ο ο υ και Microsoft, άρχισαν ν α ο υ .
μια πληθώρα εταιρειών που προσφέρουν υπηρεσίες νεφο-υπολογιστικής και μάλιστα
Σήμερα, ο μια πληθώρα εταιρειών που
μερικές από αυτές, όπως η Linode, Vultr και Digital Ocean, προσφέρουν ως την
προσφέρουν υπηρεσίες νεφο-υπολογιστικής και μάλιστα μερικές από αυτές, όπως η
κύρια υπηρεσία τους τη δυνατότητα διάθεσης υπολογιστικών πόρων στους χρήστες με
Linode, Vultr και Digital Ocean, προσφέρουν ως την κύρια υπηρεσία τους τη
τη μορφή ενοικίασης εικονικών μηχανών.
δυνατότητα διάθεσης υπολογιστικών πόρων στους χρήστες με τη μορφή ενοικίασης
εικονικών μηχανών (Virtual Machines).
\section { Ασφάλεια Περιβαλλόντων Νέφους} \label { cloudComputingSecurity}
\section { Ασφάλεια Περιβαλλόντων Νέφους} \label { cloudComputingSecurity}
Η Η
χρήστες και ακόμα περισσότερο τις επιχειρήσεις που βασίζονται σε υπηρεσίες
χρήστες και ακόμα περισσότερο τις επιχειρήσεις που βασίζονται σε υπηρεσίες
νεφο-υπολογιστικής γ ι α Η
νεφο-υπολογιστικής γ ι α Η
εξαρτάται από 3 βασικούς παράγοντες. Ο
εξαρτάται από τρεις βασικούς παράγοντες. Ο
νέφους, όπου στην περίπτωση χρήσης υπηρεσιών IaaS υπεύθυνος είναι ο
νέφους, όπου στην περίπτωση χρήσης υπηρεσιών IaaS υπεύθυνος είναι ο
νέφους. Ο
νέφους. Ο
που χρησιμοποιούνται, όπου υπεύθυνος είναι εν μέρει ο γ ι α
που χρησιμοποιούνται, όπου υπεύθυνος είναι εν μέρει ο γ ι α
@@ -47,29 +51,28 @@ AWS (Amazon Web Services). Η ν α
(εικονικούς) διακομιστές του και ο
(εικονικούς) διακομιστές του και ο
δοχείων. Ο ο ι
δοχείων. Ο ο ι
οφείλει ν α ο ν α ν α
οφείλει ν α ο ν α ν α
ασφάλεια σύμφωνα με τις ανάγκες του.
ασφάλεια της υπηρεσίας του (που θα φιλοξενείται από μια υποδομή νέφους) σύμφωνα
με τις ανάγκες του.
Όταν επιλέξει ένας χρήστης ν α
Όταν επιλέξει ένας χρήστης ν α
πλατφόρμες IaaS, προς διευκόλυνσή του η διαδικασία γίνεται και μέσω γραφικού
διαθέσιμες πλατφόρμες IaaS, προς διευκόλυνσή του η διαδικασία γίνεται και μέσω
περιβάλλοντος της μορφής Point and Click. Στις εικονικές μηχανές που
γραφικού περιβάλλοντος της μορφής Point and Click. Στις εικονικές μηχανές που
προσφέρονται, τις περισσότερες φορές διατίθενται διάφορες διανομές λειτουργικού
προσφέρονται, τις περισσότερες φορές διατίθενται διάφορες διανομές λειτουργικού
συστήματος Linux, ο ι ν α
συστήματος Linux, ο ι ν α
των προτέρων διάφορα λογισμικά, όπως το σύστημα διαχείρισης βάσεων δεδομένων
των προτέρων διάφορα λογισμικά, όπως το σύστημα διαχείρισης βάσεων δεδομένων
MySQL και το διακομιστή ιστού Nginx. Με αυτό τον τρόπο, η διαδικασία
MySQL \footfullcite { mysql} και το διακομιστή ιστού Nginx \footfullcite { nginx} .
δημιουργίας εικονικής μηχανής είναι αρκετά εύκολη γ ι α ο
Με αυτό τον τρόπο, η διαδικασία δημιουργίας εικονικής μηχανής είναι αρκετά
χρειάζεται ν α υλικό γ ι α ν α
εύκολη γ ι α ο χρειάζεται ν α
προκειμένη περίπτωση, ενώ υπή ρχε μηδενική δυσκολία γ ι α
υλικό γ ι α ν α προκειμένη περίπτωση, ενώ υπά ρχει
μηχανής εξοπλισμένης με λειτουργικό σύστημα και πιθανότατα απαραίτητα προς
δυσκολία γ ι α μηχανής εξοπλισμένης με λειτουργικό σύστημα
χρήση προγράμματα, η ασφάλειά της δεν είναι πάντοτε εγγυημένη. Πολλά από τα
και πιθανότατα απαραίτητα προς χρήση προγράμματα, η ασφάλειά της δεν είναι
προγράμματα που θα χρησιμοποιήσει ο παρέχουν εξ αρχής
πάντοτε εγγυημένη. Πολλά από τα προγράμματα που θα χρησιμοποιήσει ο
ενεργοποιημένες τις παραμέτρους ασφαλείας που μπορεί ν α υποστηρίζουν διότι δεν
παρέχουν εξ αρχής ενεργοποιημένες τις παραμέτρους ασφαλείας που μπορεί ν α
δύναται ν α ν α όλα τα πιθανά σενάρια
υποστηρίζουν διότι δεν δύναται ν α ν α
χρήσης. Επιπλέον, η ρύθμιση των παραμέτρων ασφαλείας είναι μια διαδικασία που
όλα τα πιθανά σενάρια χρήσης. Επιπλέον, η ρύθμιση των παραμέτρων ασφαλείας
απαιτεί εξειδικευμένες γνώσεις και είναι αρκετά εύκολο όχι μόνο ν α
είναι μια διαδικασία που απαιτεί εξειδικευμένες γνώσεις και είναι αρκετά εύκολο
αλλά και ν α με τα εργαλεία που έχει
όχι μόνο ν α αλλά και ν α
στην διάθεση του ο
με τα εργαλεία που έχει στην διάθεση του ο
\clearpage
Όπως αναφέρεται και στο \citealt { balduzzi2012security} , υπάρχουν υπηρεσίες IaaS
Όπως αναφέρεται και στο \citealt { balduzzi2012security} , υπάρχουν υπηρεσίες IaaS
που προσφέρουν διανομές λειτουργικού συστήματος Linux με εγκατεστημένα και
που προσφέρουν διανομές λειτουργικού συστήματος Linux με εγκατεστημένα και
@@ -81,125 +84,74 @@ MySQL και το διακομιστή ιστού Nginx. Με αυτό τον τ
ευαίσθητων προσωπικών δεδομένων. Στην περίπτωση που και ο
ευαίσθητων προσωπικών δεδομένων. Στην περίπτωση που και ο
παραλείψει ν α
παραλείψει ν α
εικονικοποίησης που χρησιμοποιεί, είναι πιθανό κάποιο από τα προγράμματα αυτά
εικονικοποίησης που χρησιμοποιεί, είναι πιθανό κάποιο από τα προγράμματα αυτά
ν α ν α ν α ν α \cite { Hyperjacking} και
\footfullcite { Hyperjacking} και ν α ν α αποτέλεσμα ν α ν α
αποτέλεσμα ν α ν α προκαλέσει ζημιές είτε σε διαφορετικές εικονικές
προκαλέσει ζημιές είτε σε διαφορετικές εικονικές μηχανές είτε στον (φυσικό)
μηχανές είτε στον (φυσικό) διακομιστή στον οποίο εκτελείται.
διακομιστή στον οποίο εκτελείται.
\section { Εικονικοποίηση και τεχνολογίες υλοποίηση ς της} \label { virtualizationTechnologiesIntroduction}
\section { Εικονικοποίηση και τεχνολογίες υλοποίησή ς της} \label { virtualizationTechnologiesIntroduction}
Η είναι ένας όρος που χρησιμοποιούμε όταν θέλουμε ν α
Η αποτελεί μια τεχνολογία που επιτρέπει την διαμέριση πόρων ενός
στην αναπαράσταση πόρων σε εικονική μορφή με σκοπό την αναδιαμόρφωσή τους ούτως
φυσικού μηχανήματος σε πολλά μικρότερα υποσύνολα αυτών. Με αυτόν τον τρόπο,
ώστε ν α ο ι
καθίσταται ευκολότερη η διαχείρισή τους και αυξάνεται η απόδοση του υποκείμενου
πόρων όπως ο ι Η
υλικού, αφού μπορεί ν α
συνηθισμένη χρήση εικονικοποίησης είναι αυτή των διακομιστών η οποία αποτελεί
εικονικοποίησης που αναλύονται πιο λεπτομερώς στο
και τον πυλώνα της νεφο-υπολογιστικής. Προκειμένου ν α
\ref { virtualizationImplementations} αλλά ο ι
χρήση ενός υπερ-επόπτη. Ένα λογισμικό υπεύθυνο γ ι α
είναι η εικονικοποίηση διακομιστών και λειτουργικών συστημάτων (δοχειοποίηση).
πόρων ενός διακομιστή σε μια ή περισσότερες εικονικές αναπαραστάσεις ενός
συνόλου αυτών με σκοπό ν α
Για έναν υπερ-επόπτη υπάρχουν δύο κατηγορίες στις οποίες μπορεί ν α
Στην εικονικοποίηση διακομιστών, ένας φυσικός διακομιστής χωρίζει με την
πρόκειται γ ι α υπερ-επόπτη τύπου 1 στην περίπτωση απευθείας πρόσβασης με τ ο βοήθεια ενός υπερ-επόπτη τους πόρους του όπως τη μνήμη, τον αποθηκευτικό χώρ ο
υλικό, είτε τύπου 2 εάν υπάρχει ήδη λειτουργικό σύστημα εγκατεστημένο στον
και τον επεξεργαστή του σε πολλά μικρότερα εικονικά μηχανήματα. Κάθε εικονικό
υ κ είμενο διακομιστή προς κατάτμηση. Η
μηχάνημα μ πορ ν α ν α
εξαρτώμενη από τις ανάγκες του κάθε χρήστη. Στην περίπτωση που η ταχύτητα και η
διαφορετικές ρυθμίσεις από τα υπόλοιπα. Η
απόδοση είναι υψίστης σημασίας, η άμεση πρόσβαση του υπερ-επόπτη τύπου 1 στο
δεν περιορίζεται μονάχα σε τοπικούς υπολογιστές και έτσι πολλές φορές
υλικό συμβάλλει στην επίτευξη της διατήρη σης των δύο αυτών προδιαγραφών σε
συνηθίζεται η ενοικία ση τέτοιων μηχανημάτων προκειμένου ν α ν α
κατάλληλες τιμές. Από την άλλη, ένας υπερ-επόπτης τύπου 2 δεν έρχεται σε
χρησιμοποιηθούν από τρίτα πρόσωπα γ ι α
αντιπαράθεση με το υποκείμενο ΛΣ και επιτρέπει την χρήση προγραμμάτων που το ΛΣ
πιθανόν ν α ν α
\clearpage Η γ ι α
υλικό, εικονικοποιείται το λειτουργικό σύστημα. Αυτό, καθιστά την δοχειοποίηση
πιο αποδοτική από την εικονικοποίηση διακομιστών καθώς δεν χρειάζεται ν α
εκτελεστεί ένας υπερ-επόπτης γ ι α
η δοχειοποίηση επιτρέπει την εκτέλεση περισσότερων εικονικών περιβαλλόντων στον
ίδιο φυσικό διακομιστή και έτσι, η απόδοση του υλικού αυξάνεται ακόμα
περισσότερο. Συνήθως χρησιμοποιείται γ ι α
κοινό, τα οποία ακολουθούν την αρχιτεκτονική μικρο-υπηρεσιών (microservices)
και επειδή περιέχουν όλες τις απαραίτητες βιβλιοθήκες γ ι α
χωρίς ν α
αρκετά δημοφιλή επιλογή τεχνολογίας διάθεσης υπηρεσιών.
Η Τ α
επίτευξης της. Την πλήρη εικονικοποίηση και την παρα-εικονικοποίηση
εικονικοποίησης σε επίπεδο λειτουργικού συστήματος. Με την βοήθεια του
\footfullcite { abacusFullParaOSVirtualization} . Στην πρώτη περίπτωση τολειτουργικού συστήματος, δημιουργούνται εικονικά περιβάλλοντα στα οποία μπορούν
λειτουργικό σύστημα που εκτελείται στον εικονικό διακομιστή συμπεριφέρεται όπως
αυτά ν α
θα συμπεριφερόταν σε έναν φυσικό διακομιστή. Αυτό συμβαίνει διότι από μεριάς
σύστημα την διάθεση ενός εικονικού περιβάλλοντος γ ι α
του λειτουργικού συστήματος δεν υπάρχει επίγνωση της εικονικοποίησης που έχει
διεργασιών ενός προγράμματος. Τ ο ο ι
λάβει μέρος γ ι α ν α ο ι Η
που χρειάζεται, καθορίζονται σε μια εικόνα δοχείου (container image) την οποία
πλήρης εικονικοποίηση μπορεί ν α
η μηχανή δοχείων θα πρέπει ν α ν α ν α
ή από το υλικό. Στο πρώτο είδος, πραγματοποιείται εικονικοποίηση ολόκληρου του
δημιουργήσει το αντιστοιχούμενο δοχείο που αυτή περιγράφει.
υλικού μέσω του υπερ-επόπτη που εκτελείται στο ΛΣ ενώ στο δεύτερο όπου δεν
υπάρχει ΛΣ, δύναται το λειτουργικό σύστημα του εικονικού διακομιστή ν α
χρήση της φυσικής κεντρικής μονάδας επεξεργασίας του διακομιστή φιλοξενίας εάν
αυτή το υποστηρίζει \footfullcite { geeksforgeeksHardwareAssistedVirtualization} .
Στην περίπτωση της παρα-εικονικοποίησης το λειτουργικό σύστημα αναγνωρίζει την
ύπαρξη του υπερ-επόπτη και απαιτείται η τροποποίηση και των δύο ώστε ν α
ν α Α ν
συμβατότητα σε σχέση με την πλήρη εικονικοποίηση, η άμεση επικοινωνία του
λειτουργικού συστήματος με τον υπερ-επόπτη συμβάλλει στην αύξηση της
αποδοτικότητας.
\section { Εισαγωγή στα δοχεία και τον τρόπο λειτουργίας τους} \label { containerTechnologies} Τ α
εικονικές μηχανές και είθισται ν α γ ι α
Τ α εφαρμογών. Αυτό οφείλεται στο γεγονός ότι η μεταφορά και αναδημιουργία τους
επίπεδο λειτουργικού συστήματος. Κατά την περιγραφή της διαδικασίας δημιουργία ς
μπορεί ν α ς
δοχείων δεν χρησιμοποιείται πλέον ο
ότι απαιτούν λιγότερους πόρους σε σχέση με τις εικονικές μηχανές διότι ο ι
(containerization). Σε αντίθεση με τις τεχνολογίες εικονικοποίησης που
υποκείμενοι πόροι του συστήματος μπορούν ν α
αναφέρθηκαν στο \ref { virtualizationTechnologiesIntroduction} , γ ι α
δοχείων.
δοχειοποίηση δεν είναι αναγκαία η ύπαρξη υπερ-επόπτη αλλά έναν παρόμοιο ρόλο
παίρνει η μηχανή δοχείων. Επιπλέον, ενώ ο ι ν α
περιέχουν εικονικό αντίγραφο του υλικού, δικό τους λειτουργικό σύστημα και
εγκατεστημένα πακέτα προς υποστήριξη ενός λογισμικού, τα δοχεία αποτελούνται
μονάχα από το λογισμικό προς εκτέλεση και τις εξαρτήσεις που χρειάζεται
προκειμένου ν α
\clearpage
Τ α γ ι α
δοχείου και μια μηχανή δοχείων. Στην εικόνα δοχείου εμπεριέχονται τα συστατικά
μέρη ενός λογισμικού και οδηγίες συναρμολόγησής του προς ανάγνωση από την
μηχανή δοχείων. Από εκεί και πέρα, γ ι α
αλληλουχία βημάτων που πρέπει ν α
προσπελάσει την εικόνα δοχείου προκειμένου ν α
Έπειτα, με την βοήθεια των μεθόδων απομόνωσης που έχει στην διάθεση της μέσω
των μηχανισμών εικονικοποίησης του πυρήνα του λειτουργικού συστήματος
φιλοξενίας, θα δημιουργήσει ένα εικονικό περιβάλλον απομονωμένο από το φυσικό
ήδη υπάρχον και τέλος, θα πραγματοποιήσει εκκίνηση του δοχείου ως διεργασία του
συστήματος.
Ορισμένα από αυτά τα βήματα περιλαμβάνουν και άλλες διαδικασίες γ ι α
είναι υπεύθυνα συγκεκριμένα προγράμματα με τα οποία συνεργάζεται η μηχανή
δοχείων. Υπάρχουν και μηχανές δοχείων χαμηλού επιπέδου έναντι των πιο γνωστών
υψηλού επιπέδου όπως το Docker, στις οποίες λείπουν λειτουργίες όπως η απόκτηση
εικόνων δοχείων από ένα κεντρικό αποθετήριο και ο
ρυθμίσεων των εικόνων αυτών. Ο ι
ουσιαστικά μια συλλογή εργαλείων που διευκολύνουν την δοχειοποίηση
απαλλάσσοντας τον χρήστη από την ανάγκη της χειροκίνητης εκτέλεσης των βημάτων
της \footfullcite { sysdigContainerRuntime} .
Τ ο
περιβάλλοντος στο οποίο πραγματοποιείται η εκτέλεση ενός λογισμικού με
βιβλιοθήκες και εξαρτήσεις διαφορετικών εκδόσεων συγκριτικά με αυτές που μπορεί
ν α Τ ο ν α
χρησιμοποιήσει ένα υποσύνολο των πόρων του συστήματος που του απονεμήθηκε μέσω
της μηχανής δοχείων. Τ α
μηχανών αλλά με κόστος την επιβάρυνση του συστήματος φιλοξενίας λόγω της
αδυναμίας διαμοιρασμού των πόρων με τον τρόπο που το επιτυγχάνουν τα δοχεία.
Κάθε δοχείο μοιράζεται τον πυρήνα του λειτουργικού συστήματος φιλοξενίας με τα
υπόλοιπα και κάθε στρώση μιας εικόνας δοχείου αντιστοιχουμένη σε ένα
στιγμιότυπο λογισμικού, δύναται ν α
του ενός δοχεία προς αποφυγή διπλής αποθήκευσης
\footfullcite { codemotionContainerImages} . Επιπλέον, κάθε εικόνα δοχείου δύναται
ν α γ ι α
έτσι ευκολότερη την επεκτασιμότητα ενός λογισμικού σε αντίθεση με τις εικονικές
μηχανές όπου κάθε νέο στιγμιότυπό τους απαιτεί την επαναληπτική εκτέλεση των
βημάτων δημιουργίας τους.
\subsection { Μηχανές δοχείων και εικονικοποίηση σε επίπεδο ΛΣ} \label { osVirtualization}
\subsection { Μηχανές δοχείων και εικονικοποίηση σε επίπεδο ΛΣ} \label { osVirtualization}
Πολλά λειτουργικά συστήματα, ειδικά αυτά που κάνουν χρήση του πυρήνα Linux
Πολλά λειτουργικά συστήματα, ειδικά αυτά που κάνουν χρήση του πυρήνα Linux
διαθέτουν μηχανισμούς απομόνωσης διεργασιών και δυνατότητες εικονικοποίησης
διαθέτουν μηχανισμούς απομόνωσης διεργασιών και δυνατότητες εικονικοποίησης
(λειτουργικού συστήματος), όπως είναι ο ι
(λειτουργικού συστήματος), όπως είναι ο ι
οποίες μπορεί ν α ο και
οποίες μπορεί ν α ο ,
ο ι δυνατότητα
καθώς και ο ι
περιορισμού των δικαιωμάτων που έχει μια διεργασία στο σύστημα αρχείων. Με την
δυνατότητα περιορισμού των δικαιωμάτων που έχει μια διεργασία στο σύστημα
βοήθεια των εργαλείων που έχουν στην διάθεσή τους, δύναται ν α
αρχείων. Με την βοήθεια των εργαλείων που έχουν ο ι
εικονικοποίηση σε επίπεδο ΛΣ. Μ ι α εικονικοποίησης διακομιστών όπου ο
τους, δύναται ν α εικονικοποίηση σε επίπεδο ΛΣ. Μ ι α
πυρήνας ενός ΛΣ επιτρέπει την ύπαρξη πολλαπλών απομονωμένων περιβαλλόντων
εικονικοποίησης διακομιστών όπου ο πυρήνας ενός ΛΣ επιτρέπει την ύπαρξη
\footfull cite { teimouriOsVirtualizationDefinition} , τα οποία συμπεριφέρονται ως
πολλαπλών απομονωμένων περιβαλλόντων \cite { teimouriOsVirtualizationDefinition} ,
ξεχωριστοί διακομιστές \footfullcite { webopediaOsVirtualizationDefinition} .
τα οποία συμπεριφέρονται ως ξεχωριστοί διακομιστές
\cite { webopediaOsVirtualizationDefinition} .
Μ ι α Μ ι α
του λειτουργικού συστήματος φιλοξενίας γ ι α ν α
του λειτουργικού συστήματος φιλοξενίας γ ι α ν α
@@ -235,32 +187,32 @@ MySQL και το διακομιστή ιστού Nginx. Με αυτό τον τ
εκτελεστεί μαζί με μια εφαρμογή, τις βιβλιοθήκες και τις εξαρτήσεις της. Από
εκτελεστεί μαζί με μια εφαρμογή, τις βιβλιοθήκες και τις εξαρτήσεις της. Από
την άλλη, ένα δοχείο αντί ν α
την άλλη, ένα δοχείο αντί ν α
λειτουργικό σύστημα ούτως ώστε κάθε δοχείο ν α
λειτουργικό σύστημα ούτως ώστε κάθε δοχείο ν α
βιβλιοθήκες και τις εξαρτήσεις της \footfull cite { ibmContainerVsVm} .
βιβλιοθήκες και τις εξαρτήσεις της \cite { ibmContainerVsVm} .
Τ ο \ref { fig:containerVsVm} παρουσιάζει τις διαφορές ανάμεσα στην\clearpage
αρχιτεκτονική της εικονικοποίησης και των δοχείων:
\noindent Τ ο \ref { fig:containerVsVm} παρουσιάζει τις διαφορές ανάμεσα
στην αρχιτεκτονική της εικονικοποίησης και των δοχείων.
\begin { center}
\begin { center}
\begin { figure} [!ht]
\begin { figure} [!ht]
\centering
\centering
\includegraphics [width = .8 \textwidth] { Figures/RedHat_ Virtualization/virtualization-vs-containers_ transparent.png}
\includegraphics [width = \textwidth] { Figures/RedHat_ Virtualization/virtualization-vs-containers_ transparent.png}
\captionof { figure} { Χρήση εικονικοποίησης έναντι δοχείων \cite { redhatVirtualizationDefinition} }
\captionof { figure} { Χρήση εικονικοποίησης έναντι δοχείων \cite { redhatVirtualizationDefinition} }
\label { fig:containerVsVm}
\label { fig:containerVsVm}
\end { figure}
\end { figure}
\vspace * { -30pt}
\vspace * { -30pt}
\end { center}
\end { center}
\clearpage
Η Η
γρήγορα, φορητά και μικρότερα σε μέγεθος. Για ν α
γρήγορα, φορητά και μικρότερα σε μέγεθος. Για ν α
σύμφωνα με τη Red Hat \footfull cite { redhatContainerVsVm} , το μέγεθος των
σύμφωνα με τη Red Hat \cite { redhatContainerVsVm} , το μέγεθος των εικονικών
εικονικών μηχανών είναι της τάξεως των gigabyte ενώ των δοχείων είναι της
μηχανών είναι της τάξεως των gigabyte ενώ των δοχείων είναι της τάξεως των
τάξεως των megabyte. Πολλές φορές, όπως αναφέρεται και σ το
megabyte. Πολλές φορές, όπως αναφέρεται και σ ε μια δημοσίευση
\cite { ibmContainerVsVm} \footfullcite { ibmContainerVsVm} , τα δοχεία
\cite { ibmContainerVsVm} της \citeauthor { ibmContainerVsVm} , τα δοχεία
χρησιμοποιούνται γ ι α
χρησιμοποιούνται γ ι α
όπου κάθε ξεχωριστό κομμάτι (δηλ. μικρο-υπηρεσία) αντιπροσωπεύει ένα συστατικό
όπου κάθε ξεχωριστό κομμάτι (δηλ. μικρο-υπηρεσία) αντιπροσωπεύει ένα συστατικό
της εφαρμογής που παίρνει την μορφή δοχείου. Με αυτόν τον τρόπο, είναι
της εφαρμογής που παίρνει την μορφή ενός δοχείου. Με αυτόν τον τρόπο, είναι
ευκολότερη η κλιμάκωση μιας εφαρμογής απ' ότι θα ήταν με μια μονολιθική
ευκολότερη η κλιμάκωση μιας εφαρμογής απ' ότι θα ήταν με μια μονολιθική
αρχιτεκτονική. Αυτό συμβαίνει διότι μπορεί ν α
αρχιτεκτονική. Αυτό συμβαίνει διότι μπορεί ν α
μέρη της που έχουν αύξηση του φόρτου εργασίας τους, μέσω της χρήσης
μέρη της που έχουν αύξηση του φόρτου εργασίας τους, μέσω της χρήσης
@@ -272,15 +224,18 @@ MySQL και το διακομιστή ιστού Nginx. Με αυτό τον τ
στιγμιότυπα (δηλ. μεγάλο αριθμό δοχείων) ανά πάσα χρονική στιγμή, απαιτείται η
στιγμιότυπα (δηλ. μεγάλο αριθμό δοχείων) ανά πάσα χρονική στιγμή, απαιτείται η
χρήση μιας πλατφόρμας ενορχήστρωσης δοχείων γ ι α
χρήση μιας πλατφόρμας ενορχήστρωσης δοχείων γ ι α
εγκατάστασης, εκτέλεσης και κλιμάκωσης της εφαρμογής κατά μήκος πολλαπλών πόρων
εγκατάστασης, εκτέλεσης και κλιμάκωσης της εφαρμογής κατά μήκος πολλαπλών πόρων
(δηλ. εικονικών ή φυσικών μηχανών) όπως είναι το Kubernetes ή το Docker Swarm.
(δηλ. εικονικών ή φυσικών μηχανών), όπως είναι το Kubernetes ή το Docker Swarm.
Από την άλλη, α ν
έναν πόρο (φυσικό ή εικονικό μηχάνημα), τότε είναι δυνατή η χρήση εργαλείων
όπως το Docker Compose.
Τ ο Τ ο
πολύ τη χρήση τους, είναι το γεγονός ότι δοχεία που δημιουργήθηκαν γ ι α ν α
πολύ τη χρήση τους, είναι το γεγονός ότι δοχεία που δημιουργήθηκαν γ ι α ν α
εκτελούν προγράμματα που απαιτούν την ύπαρξη του λειτουργικού συστήματος
εκτελούν προγράμματα που απαιτούν την ύπαρξη του λειτουργικού συστήματος
Windows δε μπορούν ν α
Windows δε μπορούν ν α
το ίδιο ισχύει και αντιστρόφως \footfull cite { containerOSlimitations} .
το ίδιο ισχύει και αντιστρόφως \cite { containerOSlimitations} .
Ε ν Ε ν , τα βασικότερα πλεονεκτήματα των δοχείων σε σχέση με τις εικονικές
μηχανές είναι ο
μηχανές είναι ο
και η μεταφερσιμότητα τους. Τ ο
και η μεταφερσιμότητα τους. Τ ο
αποτέλεσμα ν α ν α γ ι α
αποτέλεσμα ν α ν α γ ι α
@@ -297,20 +252,19 @@ Docker) όπου μάλιστα η ταχύτητα δημιουργίας το
και Container (δοχείο) α ν
και Container (δοχείο) α ν
δημιουργίας απομονωμένων περιβαλλόντων εκτέλεσης λογισμικού υπήρχε προτού βγει
δημιουργίας απομονωμένων περιβαλλόντων εκτέλεσης λογισμικού υπήρχε προτού βγει
το Docker στην αγορά. Ιστορικά, ο ι
το Docker στην αγορά. Ιστορικά, ο ι
είσοδο τους από το 1979, όταν εισήχθη το chroot \footfull cite { chrootCommand}
είσοδο τους από το 1979, όταν εισήχθη το chroot \cite { chrootCommand} στην
στην έβδομη έκδοση του Unix \footfull cite { containerHistory} . Πρόκειται γ ι α έβδομη έκδοση του Unix \cite { containerHistory} . Πρόκειται γ ι α εντολή που
εντολή που περιορίζει την πρόσβαση αρχείων που διαθέτει μια εφαρμογή, σε ένα
περιορίζει την πρόσβαση αρχείων που διαθέτει μια εφαρμογή, σε ένα συγκεκριμένο
συγκεκριμένο φάκελο ο ο διαχειριστ ικός (root). Ο φάκελο, ο ο αρχ ικός (root). Ο κύριος σκοπός του
κύριος σκοπός του chroot ήταν η ενίσχυση της ασφάλειας ούτως ώστε στην
chroot ήταν η ενίσχυση της ασφάλειας ούτως ώστε στην περίπτωση εκμετάλλευσης
περίπτωση εκμετάλλευσης μιας εσωτερικής ευπάθειας της εφαρμογής, ν α μιας εσωτερικής ευπάθειας της εφαρμογής, ν α ανεπηρέαστα τα μέρη του
ανεπηρέαστα τα μέρη του συστήματος εκτός του φακέλου στον οποίο είχε πρόσβαση.
συστήματος εκτός του φακέλου στον οποίο είχε πρόσβαση. Εκείνη την εποχή αυτό
Εκείνη την εποχή αυτό ήταν αρκετό, αλλά ο ι ήταν αρκετό, αλλά ο ι αυξάνονταν και υπήρχε η
αυξάνονταν και υπήρχε η ανάγκη διαφορετικών μεθόδων απομόνωσης μιας και από
ανάγκη διαφορετικών μεθόδων απομόνωσης μιας και από κατασκευής του, το chroot
κατασκευής του, το chroot δεν περιόριζε έναν χρήστη ή μια διεργασία με
δεν περιόριζε έναν χρήστη ή μια διεργασία με διαχειριστικά δικαιώματα
διαχειριστικά δικαιώματα \footfull cite { chrootRestrictions} . Μερικά χρόνια
\ cite{ chrootRestrictions} . Μερικά χρόνια αργότερα, το 2004 δημιουργήθηκαν και
αργότερα, το 2004 δημιουργήθηκαν και ενσωματώθηκαν στον πυρήνα του Linux ο ι ενσωματώθηκαν στον πυρήνα του Linux ο ι ομάδες ελέγχου με την βοήθεια των οποίων
ομάδες ελέγχου με την βοήθεια των οποίων ήταν πλέον δυνατή η απομόνωση πόρων
ήταν πλέον δυνατή η απομόνωση πόρων του συστήματος σε ένα υποσύνολο διεργασιών.
του συστήματος σε ένα υποσύνολο διεργασιών.
Αυτές ο ι
Αυτές ο ι
2008 ήρθε στο προσκήνιο το LXC (Linux Container Technology) \footfullcite { LXC} .
2008 ήρθε στο προσκήνιο το LXC (Linux Container Technology) \footfullcite { LXC} .
@@ -320,58 +274,57 @@ Docker) όπου μάλιστα η ταχύτητα δημιουργίας το
εικονικοποίηση ενός στιγμιότυπου Linux σε μορφή δοχείου και παρείχε αρκετές
εικονικοποίηση ενός στιγμιότυπου Linux σε μορφή δοχείου και παρείχε αρκετές
λειτουργίες όπως η δημιουργία, η εκκίνηση και η διαγραφή LXC δοχείων. Παρ' όλα
λειτουργίες όπως η δημιουργία, η εκκίνηση και η διαγραφή LXC δοχείων. Παρ' όλα
αυτά, επικεντρωνόταν στην δοχειοποίηση λειτουργικών συστημάτων και όχι
αυτά, επικεντρωνόταν στην δοχειοποίηση λειτουργικών συστημάτων και όχι
εφαρμογών \footfull cite { LXCvsDocker} , καθιστώντας δύσκολη και περίπλοκη την
εφαρμογών \cite { LXCvsDocker} , καθιστώντας δύσκολη και περίπλοκη την χρήση του
χρήση του όταν η κύρια ανάγκη ήταν η απομόνωση εφαρμογών.
όταν η κύρια ανάγκη ήταν η απομόνωση εφαρμογών.
Ενώ λοιπόν προϋπήρχαν εργαλεία διαχείρισης δοχείων τα οποία χρησιμοποιούνται
Ενώ λοιπόν προϋπήρχαν εργαλεία διαχείρισης δοχείων, τα οποία χρησιμοποιούνται
ακόμα και στις μέρες μας, λόγω του συνδυασμού της δυσκολίας στην χρήση τους και
ακόμα και στις μέρες μας, λόγω του συνδυασμού της δυσκολίας στην χρήση τους και
του εξειδικευμένου σκοπού ύπαρξής τους δεν είχαν υιοθετηθεί αρκετά. Όλα τα
του εξειδικευμένου σκοπού ύπαρξής τους δεν είχαν υιοθετηθεί αρκετά. Όλα τα
παραπάνω οδήγησαν στην δημιουργία του Docker το 2013, με την έλευση του οποίου
παραπάνω οδήγησαν στην δημιουργία του Docker το 2013, με την έλευση του οποίου
η τεχνολογία των δοχείων εκτοξεύτηκε. Τ ο
η τεχνολογία των δοχείων εκτοξεύτηκε. Τ ο PaaS
PaaS, παρέχοντας μια πλατφόρμα με μηχανισμούς γ ι α σ ε
(Platform-as-a-Service) (Πλατφόρμα ως Υπηρεσία), παρέχοντας μια πλατφόρμα μ ε
λειτουργία, εκτέλεση, ενημέρωση και διαχείριση προγραμμάτων σε μορφή δοχείων.
μηχανισμούς γ ι α λειτουργία, εκτέλεση, ενημέρωση και
Σε αντίθεση με το LXC, αποτελεί μια μηχανή δοχείων υψηλού επιπέδου με κύριο
διαχείριση προγραμμάτων σε μορφή δοχείων. Σε αντίθεση με το LXC, αποτελεί μια
στόχο την δοχειοποίηση εφαρμογών. Εκτός από τον διαχωρισμό ανάμεσα στον πηγαίο
μηχανή δοχείων υψηλού επιπέδου με κύριο στόχο την δοχειοποίηση εφαρμογών. Εκτός
κώδικα, τις βιβλιοθήκες και εξαρτήσεις ενός λογισμικού από το κύριο σύστημα
από τον διαχωρισμό ανάμεσα στον πηγαίο κώδικα, τις βιβλιοθήκες και εξαρτήσεις
(φιλοξενίας) παρέχει και δυνατότητες επικοινωνίας με αποθετήρια εικόνων δο
ενός λογισμικού από το κύριο σύστημα (φιλοξενίας), παρέχει και δυνατότητες
όπως είναι το Docker Hub \footfullcite { dockerhub} , το επίσημο αποθετήριο του
επικοινωνίας με αποθετήρια εικόνων δο όπως είναι το Docker Hub
Docker, το Quay \footfullcite { quay} , ένα εναλλακτικό αποθετήριο της Red Hat ή
\footfullcite { dockerhub} , το επίσημο αποθετήριο του Docker, το Quay
οποιοδήποτε άλλο αποθετήριο συμβατό με τις προδιαγραφές που έχει ορίσει η OCI
\footfullcite { quay} , ένα εναλλακτικό αποθετήριο της Red Hat ή οποιοδήποτε άλλο
(Open Container Initiative) \footfullcite { oci} . Μέσω τέτοιων υπηρεσιών, ο ι
αποθετήριο συμβατό με τις προδιαγραφές που έχει ορίσει η OCI (Open Container
χρήστες έχουν πρόσβαση και διαμοιράζονται χιλιάδες εικόνες δοχείων που τους
Initiative) \footfullcite { oci} . Μέσω τέτοιων υπηρεσιών, ο ι
επιτρέπουν ν α
πρόσβαση και διαμοιράζονται χιλιάδες εικόνες δοχείων που τους επιτρέπουν ν α
Επιπλέον, όντας μια μηχανή δοχείων υψηλού επιπέδου όλες ο ι α ολοκληρώσουν διάφορα μέρη μιας υπάρχουσας ή νέας εφαρμογής. Επιπλέον, όντας μι α
απαιτούσαν εξειδικευμένες γνώσεις προκειμέν ο υ ν α πραγματοποιηθούν, έχου ν μηχανή δοχείων υψηλού επιπέδου όλες ο ι ο υ θ α απαιτούσα ν
συμπυκνωθεί σε απλές εντολές καθιστώντας έτσι εύκολη την χρήση του γ ι α
εξειδικευμένες γνώσεις προκειμένου ν α
προγραμματιστές κάθε επιπέδου και απλοποιώντας κατά π ολύ την διαδικασία
απλές εντολές καθιστώντας έτσι εύκ ολη την χρήση του γ ι α
ανάπτυξης και παράδοσης κατανεμημένων εφαρμογών. Προσφέροντας μια φιλική προ ς
επιπέδου και απλοποιώντας κατά πολύ την διαδικασία ανάπτυξης και παράδοσης
τον χρήστη διεπαφή, έλεγχο εκδόσεων (version control) γ ι α
κατανεμημένων εφαρμογών. Προσφέροντας μια φιλική προς τον χρήστη διεπαφή,
\footfullcite { LXCvsDocker2} και ένα οικοσύστημα γύρω από όλα αυτά, είναιέλεγχο εκδόσεων (version control) γ ι α \cite { LXCvsDocker2} και ένα
εμφανής ο ν α το LXC.
οικοσύστημα γύρω από όλα αυτά, είναι εμφανής ο ν α
το LXC.
\clearpage
\subsection { Χρήση δοχείων στην ανάπτυξη και παράδοση εφαρμογών} \label { containerUsage}
\subsection { Χρήση δοχείων στην ανάπτυξη και παράδοση εφαρμογών} \label { containerUsage}
Ο ι Ο ι
τελευταία χρόνια. Από τις παραδοσιακές μεθόδους όπως το μοντέλο καταρράκτη
τελευταία χρόνια. Από τις παραδοσιακές μεθόδους, όπως το μοντέλο καταρράκτη
(waterfall) \footfull cite { waterfall} βάσει του οποίου υπήρχε ένα συγκεκριμένο
(waterfall) \cite { waterfall} βάσει του οποίου υπήρχε ένα συγκεκριμένο
αμετάβλητο σχέδιο που καλούνταν ν α
αμετάβλητο σχέδιο που καλούνταν ν α
έχουμε φτάσει σε μια εποχή όπου ο ι
έχουμε φτάσει σε μια εποχή όπου ο ι
αποτέλεσμα ν α γ ι α ν α
αποτέλεσμα ν α γ ι α ν α
στις αλλαγές αυτές. Έτσι, έχουν δημιουργηθεί μεθοδολογίες όπως η Agile
στις αλλαγές αυτές. Έτσι, έχουν δημιουργηθεί μεθοδολογίες όπως η Agile
\footfull cite { agile} κατά την οποία η ανάπτυξη και η παράδοση λογισμικού
\cite { agile} κατά την οποία η ανάπτυξη και η παράδοση λογισμικού
πραγματοποιείται σε πολλές μικρές και ευμετάβλητες φάσεις προκειμένου ν α
πραγματοποιείται σε πολλές μικρές και ευμετάβλητες φάσεις προκειμένου ν α
προσαρμόζεται στις αλλαγές που ενδέχεται ν α Η
προσαρμόζεται στις αλλαγές που ενδέχεται ν α Η
μεθοδολογία αυτή συνεργάζεται με πρακτικές όπως το DevOps \footfull cite { devops}
μεθοδολογία αυτή συνεργάζεται με πρακτικές όπως το DevOps \cite { devops} όπου ο ι
όπου ο ι ομάδες υπεύθυνες γ ι α ομάδες υπεύθυνες γ ι α επικοινωνούν
επικοινωνούν στενά με σκοπό ν α στενά με σκοπό ν α λογισμικού.
λογισμικού. Αυτό επιτυγχάνεται με μια υποκατηγορία του DevOps, το CI/CD
Αυτό επιτυγχάνεται με μια υποκατηγορία του DevOps, το CI/CD (Continuous
(Continuous Integration/Continuous Delivery) \footfullcite { cicd} . Κατά τοIntegration/Continuous Delivery) (Συνεχής Ενοποίηση/Συνεχής Παράδοση)
μοντέλο αυτό, δημιουργούνται αυτοματοποιημένες διαδικασίες που εκτελούνται κατά
\cite { cicd} . Κατά το
την διάρκεια της ανάπτυξης και παράδοσης μιας εφαρμογής προκειμένου ν α
που εκτελούνται κατά την διάρκεια της ανάπτυξης και παράδοσης μιας εφαρμογής
πραγματοποιείται έλεγχος της ποιότητας του κώδικα, ν α εντοπίζονται σφάλματα και
προκειμένου ν α πραγματοποιείται έλεγχος της ποιότητας του κώδικα, ν α
ν α εντοπίζονται σφάλματα και ν α
Τ α γ ι α Τ α γ ι α
και πρακτικών καθώς επιτρέπουν το γρήγορο και αποτελεσματικό πακετάρισμα
και πρακτικών καθώς επιτρέπουν το γρήγορο και αποτελεσματικό πακετάρισμα
@@ -384,19 +337,13 @@ Docker, το Quay \footfullcite{quay}, ένα εναλλακτικό αποθε
μειώνει ιδιαίτερα το κόστος λειτουργίας και αυξάνει την κλιμακωσιμότητα.
μειώνει ιδιαίτερα το κόστος λειτουργίας και αυξάνει την κλιμακωσιμότητα.
Επιπλέον, λόγω της ταχείας διάθεσης και εκτέλεσής τους, συμβαδίζουν πλήρως με
Επιπλέον, λόγω της ταχείας διάθεσης και εκτέλεσής τους, συμβαδίζουν πλήρως με
τον ρυθμό ανάπτυξης και παράδοσης που υποστηρίζουν ο ι
τον ρυθμό ανάπτυξης και παράδοσης που υποστηρίζουν ο ι
Έχοντας αυτά υπόψιν, γίνεται εμφανής και ο
Έχοντας αυτά υπόψιν, γίνεται εμφανής και ο
προτιμότερη επιλογή γ ι α
προτιμότερη επιλογή γ ι α
αρχιτεκτονική μικρο-υπηρεσιών. Σε αυτήν τη ν περίπτωση, η εφαρμογή αποτελείται
αρχιτεκτονική μικρο-υπηρεσιών. Επιπρόσθετα, η ανεξαρτησία τω ν δοχείων μεταξύ
από πολλά δοχεία όπου το κάθε ένα από αυτά είναι υπεύθυνο γ ι α
τους, καθιστά πιο σταθερή την εφαρμογή αφού σε περίπτωση που κάποιο από αυτά
λειτουργία της (μικρο-υπηρεσία). Τ α
αποτύχει, η υπόλοιπη εφαρμογή θα συνεχίσει ν α
και κατά την ανάγκη κλιμάκωσης μιας συγκεκριμένης λειτουργίας της εφαρμογής
ανακατασκευή του δοχείου που απέτυχε μπορεί ν α
αυτό μπορεί ν α .
μια απλή τροποποίηση της εκάστοτε εικόνας δοχείου .
Επιπρόσθετα, η ανεξαρτησία των δοχείων μεταξύ τους, καθιστά πιο σταθερή την
εφαρμογή αφού σε περίπτωση που κάποιο από αυτά αποτύχει, η υπόλοιπη εφαρμογή θα
συνεχίσει ν α
μπορεί ν α
εικόνας δοχείου.
\subsection { Χρήσεις του Docker στο νέφος} \label { dockerInCloudComputing}
\subsection { Χρήσεις του Docker στο νέφος} \label { dockerInCloudComputing}
@@ -404,30 +351,27 @@ Docker, το Quay \footfullcite{quay}, ένα εναλλακτικό αποθε
τόσο γ ι α
τόσο γ ι α
υπολογιστικούς πόρους όσο και γ ι α ν α
υπολογιστικούς πόρους όσο και γ ι α ν α
συνδυασμό ενοικιαζόμενων και ιδιόκτητων φυσικών εγκαταστάσεων. Υπάρχουν δύο
συνδυασμό ενοικιαζόμενων και ιδιόκτητων φυσικών εγκαταστάσεων. Υπάρχουν δύο
βασικές περιπτώσεις χρήσης του Docker στο νέφος. Συγκεκριμένα αυτές είναι, η
βασικές περιπτώσεις χρήσης του Docker στο νέφος. Συγκεκριμένα αυτές είναι: η
εγκατάσταση δοχείων σε εικονικές μηχανές και η εγκατάσταση δοχείων έμμεσα σε
εγκατάσταση δοχείων σε εικονικές μηχανές και η εγκατάσταση δοχείων έμμεσα σε
πόρους χωρίς την ανάγκη δημιουργίας εικονικής μηχανής. Η
πόρους χωρίς την ανάγκη δημιουργίας εικονικής μηχανής. Η
χρήσης εντάσσεται στην κατηγορία υπηρεσιών CaaS (Container as a Service) όπως η
χρήσης εντάσσεται στην κατηγορία υπηρεσιών CaaS \cite { caas} (Container as a
ECS (Elastic Container Service) της Amazon. Μ ι α οκατηγορία
Service), όπως η ECS (Elastic Container Service) της Amazon. Μ ι α ηρεσία όπου
\footfullcite { caas} των υπηρεσιών IaaS (Infrastructure as a Service) όπου έναςένας πάροχος νέφους αντί ν α
πάροχος νέφους αντί ν α
σκοπού, παρέχει μια ευέλικτη υποδομή έτοιμη γ ι α
σκοπού, παρέχει μια ευέλικτη υποδομή έτοιμη γ ι α
\footfull cite { caasVsIaas} .
\cite { caasVsIaas} .
\clearpage Από τις δύο αυτές επιλογές, η πρώτη προσφέρει μια ευελιξία ως προς την
διαμόρφωση του περιβάλλοντος εκτέλεσης των δοχείων. Ο ι
Από τις δύο αυτές επιλογές, η πιο δημοφιλής είναι η πρώτη καθώς προσφέρει μι α δυνατότητα ν α ν α
ευελιξία ως προς την διαμόρφωση του περιβάλλοντος εκτέλεσης των δοχείων. Ο ι
έχουν θεσπιστεί στην εταιρεία τους, ν α
χρήστες έχουν την δυνατότητα ν α
παρακολούθησης και ελέγχου ποιότητας των δοχείων και ν α
ασφαλείας που μπορεί ν α ν α
περιβάλλον εκτέλεσης των δοχείων στις ανάγκες τους. Επιπλέον, η ύπαρξη μιας
επιπλέον λογισμικό παρακολούθησης και ελέγχου ποιότητας των δοχείων και ν α
επιπλέον στρώσης απομόνωσης μεταξύ των δοχείων και του κύριου συστήματος
προσαρμόσουν το περιβάλλον εκτέλεσης των δοχείων στις ανάγκες τους. Επιπλέον, η
αποτελεί ένα επιπρόσθετο εμπόδιο σε περιπτώσεις που ένα δοχείο βρεθεί σε
ύπαρξη μιας επιπλέον στρώσης απομόνωσης μεταξύ των δοχείων και του κύριου
κατάσταση παραβίασης. Τ ο
συστήματος αποτελεί ένα επιπρόσθετο εμπόδιο σε περιπτώσεις που ένα δοχείο
έκθεση των πόρων του συστήματος στον έξω κόσμο, καθιστά ευκολότερη την
βρεθεί σε κατάσταση παραβίασης. Τ ο την
ανίχνευση και απομόνωση των προβλημάτων ασφαλείας, όπως επίσης και την
περιορισμένη έκθεση των πόρων του συστήματος στον έξω κόσμο, καθιστά ευκολότερη
αποκατάστασή τους.
την ανίχνευση και απομόνωση των προβλημάτων ασφαλείας όπως επίσης και την
αποκατάσταση τους.
Από την άλλη, η δεύτερη περίπτωση χρήσης επιτρέπει στους χρήστες ν α
Από την άλλη, η δεύτερη περίπτωση χρήσης επιτρέπει στους χρήστες ν α
επικεντρωθούν στην ανάπτυξη των δοχειοποιημένων εφαρμογών και ν α
επικεντρωθούν στην ανάπτυξη των δοχειοποιημένων εφαρμογών και ν α
@@ -436,36 +380,34 @@ ECS (Elastic Container Service) της Amazon. Μ ι α
ή δεν είναι σε θέση ν α γ ι α Η
ή δεν είναι σε θέση ν α γ ι α Η
υπηρεσιών CaaS αυτομάτως εξασφαλίζει στους χρήστες τα πλεονεκτήματα των
υπηρεσιών CaaS αυτομάτως εξασφαλίζει στους χρήστες τα πλεονεκτήματα των
υπηρεσιών IaaS όπως η κλιμάκωση, η αντοχή σε αποτυχίες και η ευελιξία, ενώ
υπηρεσιών IaaS όπως η κλιμάκωση, η αντοχή σε αποτυχίες και η ευελιξία, ενώ
ταυτόχρονα προσφέρει και τα πλεονεκτήματα των δοχείων όπως η ταχεία διάθεση και
ταυτόχρονα προσφέρει και τα πλεονεκτήματα των δοχείων, όπως η ταχεία διάθεση
απόσυρσή τους αλλά και η υψηλή τους απόδοση κατά την εκτέλεση. Συγκεκριμένα,
και απόσυρσή τους αλλά και η υψηλή τους απόδοση κατά την εκτέλεση.
μέσω των υπηρεσιών CaaS, ο ι ενορχήστρωσης δοχείων
Συγκεκριμένα, μέσω των υπηρεσιών CaaS, ο ι
\footfull cite { howCaasWorks} χωρίς την ανάγκη χειροκίνητου στησίματος πλατφορμών
ενορχήστρωσης δοχείων \cite { howCaasWorks} χωρίς την ανάγκη χειροκίνητου
όπως το Kubernetes \footfullcite { kubernetes} και το Docker Swarm
στησίματος πλατφορμών αυτού του είδους όπως είναι το Kubernetes
\footfull cite { dockerSwarm} .
\cite { kubernetes} και το Docker Swarm \ cite { dockerSwarm} .
\clearpage
Σε κάθε περίπτωση, λόγω των πλεονεκτημάτων που παρέχει η χρήση δοχείων, είναι
Σε κάθε περίπτωση, λόγω των πλεονεκτημάτων που παρέχει η χρήση δοχείων, είναι
πολύ συνήθης η θέση σε λειτουργία, εφαρμογών μέσω Docker σε περιβάλλοντα νέφους
πολύ συνήθης η θέση σε λειτουργία, εφαρμογών μέσω Docker σε περιβάλλοντα νέφους
επειδή απομονώνει τις αναγκαίες βιβλιοθήκες και εξαρτήσεις τους από το υπόλοιπο
επειδή απομονώνει τις αναγκαίες βιβλιοθήκες και εξαρτήσεις τους από το υπόλοιπο
σύστημα και επιτρέπει την αποδοτικότερη διαχείριση των εφαρμογών αυτών μέσω της
σύστημα και επιτρέπει την αποδοτικότερη διαχείριση των εφαρμογών αυτών μέσω της
διεπαφής του με εντολές γ ι α
διεπαφής του με εντολές γ ι α
λειτουργίες. Τ α ν α ανάπτυξης
λειτουργίες. Τ α ν α
όπως μη συμβατές εκδόσεις προγραμμάτων και δυσκολία διαχείρισής τους
ανάπτυξης, όπως μη συμβατές εκδόσεις προγραμμάτων και δυσκολία διαχείρισής
εξαλείφονται με την χρήση δοχείων αφήνοντας το Docker ν α έναν
τους, εξαλείφονται με την χρήση δοχείων αφήνοντας το Docker ν α
συστημικό τρόπο διανομής και ελέγχου εφαρμογών. Επιπροσθέτως, καθιστά πολύ
έναν συστημικό τρόπο διανομής και ελέγχου εφαρμογών. Επιπροσθέτως, καθιστά πολύ
εύκολη τη μεταφορά τους σε οποιοδήποτε μηχάνημα (εφόσον αυτό υποστηρίζει την
εύκολη τη μεταφορά τους σε οποιοδήποτε μηχάνημα (εφόσον αυτό υποστηρίζει την
εκτέλεση της μηχανής δοχείων του Docker) ή ακόμα και νέφος, θέτοντας το
εκτέλεση της μηχανής δοχείων του Docker) ή ακόμα και νέφος, θέτοντας το
κορυφαία επιλογή γ ι α ν α
κορυφαία επιλογή γ ι α ν α
πολλαπλών νεφών (multi-cloud computing) κατά την κατασκευή εφαρμογών. Δηλαδή ν α
πολλαπλών νεφών (multi-cloud computing) κατά την κατασκευή εφαρμογών. Δηλαδή ν α
μην βασίζονται αποκλειστικά σε έναν πάροχο νέφους γ ι α
μην βασίζονται αποκλειστικά σε έναν πάροχο νέφους γ ι α
εφαρμογής \footfull cite { multiCloud} αλλά ν α
εφαρμογής \cite { multiCloud} αλλά ν α παρόχους
παρόχους με βάση τις ανάγκες τους.
με βάση τις ανάγκες τους.
\section { Ασφάλεια του συστήματος κατά τη χρήση του Docker} \label { dockerSecurity}
\section { Ασφάλεια του συστήματος κατά τη χρήση του Docker} \label { dockerSecurity}
Μία από τις πιο σημαντικές προκλήσεις των επιχειρήσεων κατά την διάθεση
Μία από τις πιο σημαντικές προκλήσεις των επιχειρήσεων κατά την διάθεση
υπηρεσιών είναι η επίτευξη και διατήρηση της ασφάλειας. Παραδοσιακά κατά την
υπηρεσιών είναι η επίτευξη και διατήρηση της ασφάλειας. Παραδοσιακά, κατά την
επιλογή χρήσης τεχνολογιών εικονικοποίησης, ανάμεσα στις επιλογές
επιλογή χρήσης τεχνολογιών εικονικοποίησης, ανάμεσα στις επιλογές
εικονικοποίησης υλικού και εικονικοποίησης ΛΣ είθισται ν α
εικονικοποίησης υλικού και εικονικοποίησης ΛΣ είθισται ν α
Μ ι α Μ ι α
@@ -474,49 +416,48 @@ ECS (Elastic Container Service) της Amazon. Μ ι α
αυτά, η επιλογή αυτή είναι και λιγότερο ασφαλής στην περίπτωση που αφεθεί στις
αυτά, η επιλογή αυτή είναι και λιγότερο ασφαλής στην περίπτωση που αφεθεί στις
αρχικές ρυθμίσεις.
αρχικές ρυθμίσεις.
\clearpage
Για τον λόγο αυτό, εάν η μέγιστη δυνατή απόδοση δεν είναι μια από τις κύριες
Για τον λόγο αυτό, εάν η μέγιστη δυνατή απόδοση δεν είναι μια από τις κύριες
προτεραιότητες της επιχείρησης, προκειμένου ν α
προτεραιότητες της επιχείρησης, προκειμένου ν α
συστήματος διατηρώντας τα πλεονεκτήματα του Docker όσον αφορά την
συστήματος διατηρώντας τα πλεονεκτήματα του Docker όσον αφορά την
μεταφερσιμότητα και την απαλλαγή από τις εξαρτήσεις του εκάστοτε προγράμματος
μεταφερσιμότητα και την απαλλαγή από τις εξαρτήσεις του εκάστοτε προγράμματος
ακόμα και χωρίς την περαιτέρω διαμόρφωση των ρυθμίσεών του, η προτεινόμενη
ακόμα και χωρίς την περαιτέρω διαμόρφωση των ρυθμίσεών του, η προτεινόμενη
χρήση είναι η εκτέλεσή του μέσω μιας εικονικής μηχανής. Η
χρήση είναι η εκτέλεσή του μέσω μιας εικονικής μηχανής. Σε περιπτώσει ς
μέσω της εικονικοποίησης υλικού ανάμεσα στα προγράμματα και το μηχάνημα στο
ιδιόκτητης υποδομής, η στρώση απομόνωσης μέσω της εικονικοποίησης υλικού
οποίο εκτελούνται αποτελεί ένα παραπάνω εμπόδιο που θα πρέπει ν α
ανάμεσα στα προγράμματα και το μηχάνημα στο οποίο εκτελούνται αποτελεί ένα
επιτιθέμενος γ ι α ν α ζημιές στο κύριο σύστημα, αφού θα πρέπει πρώτα
παραπάνω εμπόδιο που θα πρέπει ν α επιτιθέμενος γ ι α ν α
ν α πυρήνα και έπειτα από τον υπερ-επόπτη. Παράλληλα, ο
ζημιές στο κύριο σύστημα, αφού θα πρέπει πρώτα ν α
συνδυασμός με την αρχιτεκτονική δοχείων παρέχει ένα επιπρόσθετο επίπεδο
πυρήνα και έπειτα από τον υπερ-επόπτη. Παράλληλα, ο
α πομόνωσης εφόσον στην προκ ειμ ένη περίπτωση η άμεση επικοινωνία με τον πυρήνα
α ρχιτεκτονική δοχείων παρέχ ει ένα
του συστήματος αφορά το φιλοξενούμενο ΛΣ και όχι το κύριο σ ύ στη μα.
προκειμένη περίπτωση η άμεση επικοινωνία με τον πυρήνα του σ υ ή ματος αφορά το
φιλοξενούμενο ΛΣ και όχι το κύριο σύστημα.
Παρ' όλα αυτά, υπάρχουν περιπτώσεις όπου η απόδοση του συστήματος δεν δύναται
Παρ' όλα αυτά, υπάρχουν περιπτώσεις όπου η απόδοση του συστήματος δεν δύναται
ν α γ ι α ν α γ ι α
τροποποίηση των ρυθμίσεων και του τρόπου λειτουργίας του Docker ώστε ν α
τροποποίηση των ρυθμίσεων και του τρόπου λειτουργίας του Docker ώστε ν α
μπορέσει ν α
μπορέσει ν α
απόδοσης του συστήματος. Με βάση μια έρευνα που πραγματοποιήθηκε από την IBM
απόδοσης του συστήματος. Με βάση μια έρευνα που πραγματοποιήθηκε από την IBM
σχετικά με την ασφάλεια των δοχείων \footfull cite { containerSecurity} , βρέθηκε
σχετικά με την ασφάλεια των δοχείων \cite { containerSecurity} , βρέθηκε πως ένα
πως ένα ορθώς ασφαλισμένο δοχείο μπορεί ν α ορθώς ασφαλισμένο δοχείο μπορεί ν α μια
μια εικονική μηχανή ή ακόμα και μεγαλύτερο. Συγκεκριμένα, στην έρευνα αυτή
εικονική μηχανή ή ακόμα και μεγαλύτερο. Συγκεκριμένα, στην έρευνα αυτή
αναφέρεται πως προκειμένου ν α
αναφέρεται πως προκειμένου ν α
ν α ν α
χρήστη και ν α ο ι
χρήστη και ν α ο ι
ορθές πρακτικές ασφαλείας γ ι α ν α
ορθές πρακτικές ασφαλείας γ ι α ν α
αντιστοιχεί. Σε αυτήν την περίπτωση, εάν ο
αντιστοιχεί. Σε αυτήν την περίπτωση, εάν ο
τότε είναι υπεύθυνος γ ι α περίπου το ίδιο ποσοστό υποδομών με τον πάροχο και
τότε είναι υπεύθυνος γ ι α την ασφάλιση πολύ μικρότερου ποσοστού επιφάνειας
επωφελείται άμεσα από τις προσπάθειες ασφάλισης του παρόχου γ ι α
επίθεσης συγκριτικά με τον πάροχο και επ ωφελείται άμεσα από τις προσπάθειες
Επομένως, συμπεραίνεται πως από την οπτική γωνία του τελικού χρήστη είναι πιο
ασφάλισης του παρόχου γ ι α Επομένως, συμπεραίνεται πως από την
ασφαλές ν α εικονικοποίησης ΛΣ μέσω ενός παρόχου
οπτική γωνία του τελικού χρήστη είναι πιο ασφαλές ν α
νέφους γ ι α
εικονικοποίησης ΛΣ μέσω ενός παρόχου νέφους γ ι α
\footfull cite { containerSecurityExplained} .
\cite { containerSecurityExplained} .
\subsection { Πλεονεκτήματα ασφαλείας με τη χρήση του Docker} \label { dockerSecurityAdvatnages}
\subsection { Πλεονεκτήματα ασφαλείας με τη χρήση του Docker} \label { dockerSecurityAdvatnages}
Με τη χρήση της αρχιτεκτονικής δοχείων και ειδικότερα του Docker, έρχονται
Με τη χρήση της αρχιτεκτονικής δοχείων και ειδικότερα του Docker, έρχονται
αρκετά εγγενή οφέλη ασφαλείας \footfull cite { dockerInherentSecurity} . Ένα βασικό
αρκετά εγγενή οφέλη ασφαλείας \cite { dockerInherentSecurity} . Ένα βασικό όφελος
όφελος αποτελεί η διαφάνεια. Λόγω της φύσης τους, τα δοχεία επιτρέπουν την
αποτελεί η διαφάνεια. Λόγω της φύσης τους, τα δοχεία επιτρέπουν την ακριβή
ακριβή κατανόηση του κώδικα που εκτελείται μέσα σε αυτά, σε αντίθεση με την
κατανόηση του κώδικα που εκτελείται μέσα σε αυτά, σε αντίθεση με την περίπτωση
περίπτωση χρήσης αποκλειστικά εικονικών μηχανών. Επιπρόσθετα, κατά την εμφάνιση
χρήσης αποκλειστικά εικονικών μηχανών. Επιπρόσθετα, κατά την εμφάνιση
προβλημάτων σε μία υπηρεσία με αρχιτεκτονική μικρο-υπηρεσιών που κάνει χρήση
προβλημάτων σε μία υπηρεσία με αρχιτεκτονική μικρο-υπηρεσιών που κάνει χρήση
δοχείων, είναι διακριτή η διευκόλυνση στον εντοπισμό της πηγής τους.
δοχείων, είναι διακριτή η διευκόλυνση στον εντοπισμό της πηγής τους.
@@ -540,27 +481,26 @@ ECS (Elastic Container Service) της Amazon. Μ ι α
θα μπορούσαν ν α
θα μπορούσαν ν α
την ταυτόχρονη ενημέρωση της εφαρμογής της ίδιας.
την ταυτόχρονη ενημέρωση της εφαρμογής της ίδιας.
\clearpage
\subsection { Μειονεκτήματα ασφαλείας με τη χρήση του Docker} \label { dockerSecurityDisadvantages}
\subsection { Μειονεκτήματα ασφαλείας με τη χρήση του Docker} \label { dockerSecurityDisadvantages}
Παρ' όλα τα προαναφερόμενα πλεονεκτήματα του Docker όπως η δυνατότητα απαλλαγής
Παρ' όλα τα προαναφερόμενα πλεονεκτήματα του Docker, όπως η δυνατότητα
από εξαρτήσεις του εκάστοτε συστήματος και η ευελιξία διαχείρισης των δοχείων
απαλλαγής από εξαρτήσεις του εκάστοτε συστήματος και η ευελιξία διαχείρισης των
του, αυτό υπόκειται σε αρκετές ατασθαλί ες σε σχέση με την ασφάλεια. Ο ι
δοχείων του, αυτό εμφανίζει αρκετές τρωτότητ ες σε σχέση με την ασφάλεια. Ο ι
αξιοσημείωτες από αυτές είναι η ανάγκη εκτέλεσης του Docker με διαχειριστικά
αξιοσημείωτες από αυτές είναι η ανάγκη εκτέλεσης του Docker με διαχειριστικά
δικαιώματα και η αρχικά ελαστικότερη απ' ό,τι χρειάζεται απομόνωσή του από τον
δικαιώματα και η αρχικά ελαστικότερη απ' ό,τι χρειάζεται απομόνωσή του από τον
πυρήνα του συστήματος. Ο
πυρήνα του συστήματος. Ο
είναι πιο ευάλωτα από άλλες τεχνολογίες σε επιθέσεις τύπου άρνησης υπηρεσιών
είναι πιο ευάλωτα από άλλες τεχνολογίες σε επιθέσεις τύπου άρνησης υπηρεσιών
και σε επιθέσεις που εκμεταλλεύονται ευπάθειες του πυρήνα με σκοπό ν α
και σε επιθέσεις που εκμεταλλεύονται ευπάθειες του πυρήνα με σκοπό ν α
από το δοχείο και ν α (Container Escape
από το δοχείο και ν α μέσω αυτού
\footfull cite { containerEscapeTechniques} ).
(Container Escape \cite { containerEscapeTechniques} ).
Τ ο Τ ο
άρνησης υπηρεσιών είναι πως σε αντίθεση με μια εικονική μηχανή όπου επιλέγεται
άρνησης υπηρεσιών είναι πως σε αντίθεση με μια εικονική μηχανή, όπου επιλέγεται
το εύρος πρόσβασης στους πόρους του συστήματος κατά τη δημιουργία της, η αρχική
το εύρος πρόσβασης στους πόρους του συστήματος κατά τη δημιουργία της, η αρχική
ρύθμιση του Docker επιτρέπει στα δοχεία ν α
ρύθμιση του Docker επιτρέπει στα δοχεία ν α
πόρων με το κύριο σύστημα, δηλαδή δεν υπάρχουν περιορισμοί. Επομένως, εάν ένα
πόρων με το κύριο σύστημα, δηλαδή δεν υπάρχουν περιορισμοί. Επομένως,
δοχείο βρεθεί υπό τον έλεγχο ενός επιτιθέμενου, αυτό μπορεί δυνητικά ν α
ανεξαρτήτως του α ν δοχείο βρεθεί υπό τον έλεγχο ενός επιτιθέμενου ή αυτός
απλά κατευθύνει πολλά αιτήματα προς αυτό εξωτερικά, αυτό μπορεί δυνητικά ν α
εμποδίσει την εκτέλεση άλλων δοχείων ή ακόμα και την εκτέλεση άλλων εφαρμογών
εμποδίσει την εκτέλεση άλλων δοχείων ή ακόμα και την εκτέλεση άλλων εφαρμογών
που εκτελούνται στο σύστημα.
που εκτελούνται στο σύστημα.
@@ -570,12 +510,9 @@ ECS (Elastic Container Service) της Amazon. Μ ι α
απευθείας επικοινωνίας τους με τον πυρήνα του συστήματος, τα δοχεία είναι άμεσα
απευθείας επικοινωνίας τους με τον πυρήνα του συστήματος, τα δοχεία είναι άμεσα
ευεπηρέαστα από ευπάθειες του πυρήνα. Συνεπώς, ένας επιτιθέμενος που στοχεύει
ευεπηρέαστα από ευπάθειες του πυρήνα. Συνεπώς, ένας επιτιθέμενος που στοχεύει
ένα δοχείο μπορεί ν α ν α
ένα δοχείο μπορεί ν α ν α
αποκτήσει πρόσβαση στο κύριο σύστημα και εφόσον η εκτέλεση του Docker γίνεται
αποκτήσει πρόσβαση στο κύριο σύστημα - εφόσον η εκτέλεση του Docker γίνεται με
με διαχειριστικά δικαιώματα, μετά από μια επιτυχημένη επίθεση Container Escape
διαχειριστικά δικαιώματα, μετά από μια επιτυχημένη επίθεση Container Escape θα
θα έχει διαχειριστικά δικαιώματα και ο έχει διαχειριστικά δικαιώματα και ο \cite { containerEscapeRepercussions} .
\footfullcite { containerEscapeRepercussions} .
\clearpage
\subsection { Ξεπερνώντας τα μειονεκτήματα ασφαλείας του Docker} \label { overcomingDockerDisadvantages}
\subsection { Ξεπερνώντας τα μειονεκτήματα ασφαλείας του Docker} \label { overcomingDockerDisadvantages}
@@ -585,54 +522,71 @@ AppArmor ή κανόνων SELinux προκειμένου ν α
σύστημα. Στην πραγματικότητα, αυτές ο ι
σύστημα. Στην πραγματικότητα, αυτές ο ι
τα δοχεία και όχι τη μηχανή δοχείων καθ' αυτού. Γι' αυτό τον λόγο, πολλές φορές
τα δοχεία και όχι τη μηχανή δοχείων καθ' αυτού. Γι' αυτό τον λόγο, πολλές φορές
πρέπει ν α
πρέπει ν α
Docker, όπως η αποφυγή χρήσης του διαχειριστικού λογαριασμού (σε διεργασίες)
Docker, όπως η σκλήρυνσή του, η αποφυγή χρήσης του διαχειριστικού λογαριασμού
όσον αφορά τα δοχεία και η αποφυγή λήψης δοχείων από μη έμπιστες πηγές. Υπάρχει
(σε διεργασίες) όσον αφορά τα δοχεία και η αποφυγή λήψης δοχείων από μη
επομένως ανάγκη δημιουργίας ενός εργαλείου που αυτοματοποιημένα μπορεί ν α
έμπιστες πηγές. Υπάρχει επομένως ανάγκη δημιουργίας ενός εργαλείου που
δημιουργεί ασφαλή εικονικοποιημένα περιβάλλοντα, καθώς και ν α
αυτοματοποιημένα μπορεί ν α δημιουργεί ασφαλή εικονικοποιημένα περιβάλλοντα,
αυτά, με βάση τις προαναφερόμενες οδηγίες προστασίας του Docker και των δοχείων
καθώς και ν α αυτά, με βάση τις προαναφερόμενες οδηγίες προστασίας
του, μια σκληρυμένη έκδοση του Docker.
του Docker και των δοχείων του, μια σκληρυμένη έκδοση του Docker.
Με τη χρήση του εργαλείου SecDep που θα περιγράψουμε παρακάτω στο κεφάλαιο
Με τη χρήση του εργαλείου SecDep που αναπτύχθηκε στα πλαίσια της παρούσας
διπλωματικής εργασίας, το οποίο θα περιγράψουμε παρακάτω στο Κεφάλαιο
\ref { installationANDShowcase} , θα επιτευχθεί η ασφάλιση του Docker και του
\ref { installationANDShowcase} , θα επιτευχθεί η ασφάλιση του Docker και του
συστήματος με αυτοματοποιημένο τρόπο ακολουθώντας ορθές πρακτικές,
συστήματος με αυτοματοποιημένο τρόπο ακολουθώντας ορθές πρακτικές,
χρησιμοποιώντας ένα ασφαλέστερο από το αρχικό Container Runtime και εκτελώντας
χρησιμοποιώντας ένα ασφαλέστερο από το αρχικό Container Runtime και εκτελώντας
το Docker εξ ολοκλήρου χωρίς την ανάγκη διαχειριστικών δικαιωμάτων. Τ ο
το Docker εξ ολοκλήρου χωρίς την ανάγκη διαχειριστικών δικαιωμάτων. Τ ο
αυτό επικοινωνεί με πολλούς παρόχους νέφους στέλνοντας τους παραμέτρους γ ι α
αυτό εστιάζει στην χρήση εικονικοποιημένων περιβαλλόντων, μιας και παρέχουν
προδιαγραφές εικονικών μηχανών προκειμένου ν α ν α ν
περισσότερα επίπεδα προς διείσδυση γ ι α ν
αυτόματα, επιτρέποντας έτσι την δημιουργία πολλαπλών ασφαλών περιβαλλόντων ώστε
επίτευξη του στόχου αυτού. Επικοινωνεί με πολλούς παρόχους νέφους στέλνοντάς
ν α ν α Η τους παραμέτρους γ ι α ν α
μπορέσουν ν α
δημιουργία πολλαπλών ασφαλών περιβαλλόντων ώστε ν α ν α
εγκαθιστά εκεί τα δοχεία της εφαρμογής του. Με την εφαρμογή των κατάλληλων
μέτρων και πρακτικών ασφαλείας σε κάθε επίπεδο, τα περιβάλλοντα αυτά
σκληρύνονται, μικραίνοντας με αυτό τον τρόπο την πιθανότητα διείσδυσης. Η
σκλήρυνση του ΛΣ επιτυγχάνεται με την εκτέλεση πολλών βημάτων στα οποία μεταξύ
σκλήρυνση του ΛΣ επιτυγχάνεται με την εκτέλεση πολλών βημάτων στα οποία μεταξύ
άλλων περιλαμβάνεται η σκλήρυνση του SSH, ο
άλλων περιλαμβάνεται η σκλήρυνση του SSH, ο
ρύθμιση και η ενεργοποίηση το υ ο υ γ ι α
ρύθμιση και η ενεργοποίηση των κατάλληλων γ ι α
και γ ι α Control) και η δημιουργία και ενεργοποίηση
προγραμμάτων γ ι α και γ ι α
περιοδικά εκτελέσιμων προγραμμάτων γ ι α
Control) και η δημιουργία και ενεργοποίηση περιοδικά εκτελέσιμων προγραμμάτων
άνοιγμα/κλείσιμο θυρών προγραμμάτων. Η απεξάρτηση από τον διαχειριστικό
γ ι α Η
λογαριασμό επιτυγχάνεται χάρη στη δουλειά του Akihiro Suda πάνω στο rootlesskit
απεξάρτηση από τον διαχειριστικό λογαριασμό επιτυγχάνεται χάρη στη δουλειά του
\footfullcite { AkihiroSuda} , επιτρέποντας έτσι την χρήση ενός πλαστού
Akihiro Suda πάνω στο rootlesskit \footfullcite { AkihiroSuda} , επιτρέποντας έτσι
διαχειριστικού λογαριασμού προκειμένου ν α μηχανή δοχείων ν α
την χρήση ενός πλαστού διαχειριστικού λογαριασμού προκειμένου ν α
εκτελεστεί υπό την κυριότητα οποιουδήποτε χρήστη του συστήματος. Τέλος, η
μηχανή δοχείων ν α εκτελεστεί υπό την κυριότητα οποιουδήποτε χρήστη του
αντικατάσταση του αρχικού Container Runtime με το αντίστοιχο του gVisor
συστήματος. Τέλος, η αντικατάσταση του αρχικού Container Runtime με το
\footfullcite { gVisor} , εισάγει ένα πιο συμπαγές τείχος προστασίας απέναντι σε
αντίστοιχο του gVisor \footfullcite { gVisor} , εισάγει ένα πιο συμπαγές τείχος
συνηθισμένες επιθέσεις κατά των δοχείων, καθιστώντας το σύστημα μας πιο ασφαλές
προστασίας απέναντι σε συνηθισμένες επιθέσεις κατά των δοχείων, καθιστώντας το
συγκριτικά με τις αρχικές/προκαθορισμένες ρυθμίσεις.
σύστημα μας πιο ασφαλές συγκριτικά με τις αρχικές/προκαθορισμένες ρυθμίσεις.
Η γ ι α
αρχήν, το εργαλείο είναι εύκολο στη χρήση και στην εγκατάσταση, καθώς παρέχει
πλούσια τεκμηρίωση και οδηγίες εγκατάστασης στο αποθετήριό του. Απαιτούνται
ελάχιστες γνώσεις στον τομέα των τεχνολογιών νέφους από τον χρήστη. Επιπλέον,
είναι ευέλικτο και επεκτάσιμο διότι αποτελείται από δύο εκτελέσιμα προγράμματα
τα οποία μπορεί κάθε χρήστης ν α ν α
λειτουργίες. Τέλος, ο ι
στις ανάγκες του χρήστη. Επομένως, το εργαλείο αυτό αποτελεί ένα κατάλληλο μέσο
γ ι α
εκτελούνται σε δοχεία.
\clearpage
\clearpage
\section { Δομή Εργασίας} \label { structure}
\section { Δομή Εργασίας} \label { structure}
Η κ εφάλαιο \ref { background} θα
Η Κ \ref { background} , θα
μελετήσουμε τον όρο νεφο-υπολογιστική, θα αναλύσουμε τις διάφορες τεχνολογίες
αναλύσουμε τις διάφορες τεχνολογίες εικονικοποίησης και θα εμβαθύνουμε στην
εικονικοποίησης και θα εμβαθύνουμε στην τεχνολογία των δοχείων με επίκεντρο την
τεχνολογία των δοχείων με επίκεντρο την ασφάλεια του Docker. Στο επόμενο
ασφάλεια του Docker. Στο επόμενο κεφάλαιο (δηλαδή το \ref { relevantWork} ), θα
κεφάλαιο (δηλαδή το \ref { relevantWork} ), θα δούμε εργασίες σχετικές με την
δούμε εργασίες σχετικές με την παρούσα και θα πραγματοποιηθεί ανάλυση και
παρούσα και θα πραγματοποιηθεί ανάλυση και σύγκριση αυτών με την προτεινόμενη
σύγκριση αυτών με την προτεινόμενη εργασία της διπλωματικής. Αμέσως μετά, στο
εργασία της διπλωματικής. Αμέσως μετά, στο Κεφάλαιο \ref { projectDevelopment} ,
κεφάλαιο \ref { projectDevelopment} , αναφερόμαστε στην ανάπτυξη του προτεινόμενου
αναφερόμαστε στην διαδικασία ανάπτυξης του προτεινόμενου εργαλείου και τα
εργαλείου και τα παράγωγά της (απαιτήσεις, σχεδιαστικά μοντέλα, κώδικα
παράγωγά της (απαιτήσεις, σχεδιαστικά μοντέλα, κώδικας υλοποίησης κα.).
υλοποίησης κα.). Προχωρώντας στο κ εφάλαιο \ref { installationANDShowcase} , θα
Προχωρώντας στο Κ \ref { installationANDShowcase} , θα αναφερθούμε στις
αναφερθούμε στις οδηγίες εγκατάστασης και λειτουργίας του εργαλείου με βάση
οδηγίες εγκατάστασης και λειτουργίας του εργαλείου με βάση στοχευμένα σενάρια
στοχευμένα σενάρια χρήσης. Έπειτα, στο κ εφάλαιο \ref { experimentationANDresults}
χρήσης. Έπειτα, στο Κ \ref { experimentationANDresults} αποτιμάται η
αποτιμάται η αποδοτικότητα του εργαλείου κατά την πραγματική χρήση του
αποδοτικότητα του εργαλείου κατά την πραγματική χρήση του προκειμένου ν α
προκειμένου ν α εξετασθεί με πρακτικό τρόπο η ικανότητα εξασφάλισης των στόχων
εξετασθεί με πρακτικό τρόπο η ικανότητα εξασφάλισης των στόχων του. Τέλος, στο
του. Τέλος, στο κ εφάλαιο \ref { conclusions} , αναφέρονται δυνητικές επεκτάσεις
Κ \ref { conclusions} , αναφέρονται δυνητικές επεκτάσεις και βελτιώσεις του
και βελτιώσεις του προτεινόμενου εργαλείου προκειμένου αυτό ν α ν α προτεινόμενου εργαλείου προκειμένου αυτό ν α ν α πάρει μια θέση στην
πάρει μια θέση στην αγορά.αγορά.
