kGraft + kpatch = Live Patching

V únoru 2014 SUSE představilo kGraft (zprávička), řešení pro patchování jádra za běhu systému, jež se na rozdíl od Ksplice (Wikipedia) mělo dostat do upstreamu. O měsíc později představil Red Hat konkurenční kpatch (zprávička). Po roce byla do upstreamu začleněna společná infrastruktura pojmenovaná Live Patching.

Proc tolik povyku kolem live patchovani jadra kdyz vetsina bezpecnostnich der je stejne v userspace (shellshock, heartbleed, ghost, ...) a na jejich zaplatovani bud musim restartovat skoro uplne vsechny bezici procesy (protoze glibc / openssl) nebo jednoduse rebootovat. Nechapu ten hype kolem live patchovani kernelu kdyz to resi jen zlomek "problemu".

(A o tom jestli vubec mame "problem" bysme jeste mohli dlouze debatovat - vetsina kriticke infrastruktury snad bezi na HA clusterech kde vypadek nebo reboot jednoho uzlu neni problem. A u nekritickych aplikaci si zase muzu reboot naplanovat. Takze co je vlastne ten problem ktery se tu resi?)

13.2.2015 23:46 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: kGraft + kpatch = Live Patching

Je to vývoj, jednou budeš moci plátovat app v userspace bez rebootu / restratu služeb apod.
Zdar Max

Měl jsem sen ... :(

14.2.2015 00:26 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: kGraft + kpatch = Live Patching

Na podobném principu by se dal implementovat i live patching v userspace, jen po něm zatím nebyla dostatečná poptávka na to, aby ho někdo vytvořil a hlavně dotáhnul do prakticky použitelné podoby.

14.2.2015 16:07 Peter Fodrek | skóre: 11
Rozbalit Rozbalit vše Re: kGraft + kpatch = Live Patching

Ano presne tak pre glibc je to presne to iste aj lubovolnu kniznicu...

Kernel patching je o tom, ako navrhnut opravy kodu, ktory sa prave pouziva. V knizniciach to ide obist, novym signalom reload library, otazkou je, coi to je potrbene pre ld, alebo kazdy proces, v kerneli to nejde tako obist a tak musela byt technologia ovlea preciznejsie navrhnuta...

15.2.2015 15:01 vasek
Rozbalit Rozbalit vše Re: kGraft + kpatch = Live Patching

Já bych řekl, že hlavní přínos to bude mít z pohledu virtualizace (tedy za předpokladu, že to patchování za běhu tam bude dobře fungovat). Konkrétně třeba KVM virtualizace - hlavní důvod proč restartovat hostitelský systém je aktualizace jádra.

15.2.2015 15:57 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: kGraft + kpatch = Live Patching

Už se těším na to, jak si budu lámat hlavu nad tím, jestli problémy dělá kus kódu starého, nebo nového, nebo něco úplně jiného.

Z principu jinak je to funkcionalita zajímavá.

16.2.2015 00:18 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: kGraft + kpatch = Live Patching

Myslím, že je to sice obava oprávněná, ale je to nutné k tomu, abychom se dostali do stavu, kdy už ani toto nebude potřeba řešit.
Já to tedy vidím jako nutný stupeň vývoje.
Zdar Max

Měl jsem sen ... :(

16.2.2015 00:48 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: kGraft + kpatch = Live Patching

Take k tomu nemam velkou duveru, zejmena patchovani na urovni HW driveru a moznych race condition.

A former Red Hat freeloader.

16.2.2015 12:32 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: kGraft + kpatch = Live Patching

Konkrétně na KVM se masivně investuje do migrací skrz různé verze qemu/kvm a to prakticky od jeho začátku, takže při jen trochu rozumném návrhu infrastruktury KVM hosty živé patchování nepotřebují.

oVirt | SPICE

kGraft + kpatch = Live Patching

Komentáře