Linux обновления с RAUC и Docker

Linux обновления с RAUC и Docker
Леон Анави
leon.anavi@konsulko.com
leon@anavi.org
OpenFest 2022

OpenFest 2022, Леон Анави
За какво ще говорим?
 Стратегии и open source решения за обновления на Linux вградени
устройства
 The Yocto Project
 RAUC
 RAUC на Raspberry Pi 4
 Интеграция на Docker
 Заключения

Тази презентация надгражда знания от:
 OpenFest 2015: The Yocto Project, Радослав Колев, Леон Анави
https://www.youtube.com/watch?v=8wP5yP1vOOE
 OpenFest 2017: Безжично обновяване на софтуера на устройства за
вграждане с Linux, Леон Анави
https://www.youtube.com/watch?v=uNqFstuSCPo

Време за размисъл за софтуерни обновления
 Има ли ограничения в дисковото пространство?
 Има ли ограничения в преноса на данни?
 Как управлявате приложенията?
 Трябват ли ви контейнери?
 A/B или бинарни делти за обновления?
 Как ще се извършва обновлениято: по въздуха, кабел, USB, т.н.?
 Зависят ли критични системи от устройството?
 Как управлявате обновлението на множество от устройства?

Често срещани стратегии за обновления
 A/B
 Делта
 Контейнери
 Комбинирани

A/B обновления
 Два A и B идентични rootfs дяла
 Дял за съхранение на данни, които остават постоянни и не биват променяни
при обновления на софтуера
 Типично се реализира приложение клиент, което се изпълнява на
вграденото устройство и периодично проверява за нова версия
 Ако нова версия е налична клиентът я сваля и инсталира на другия
(неактивен) дях
 При неуспех на обновлението системата продължава да работи от текущия
активен дял

Комбинирани стратегии
 Контейнерите промениха начина, по който разработчици на приложения
работят с “облака” и някои добри практики се пренасят в работния процес
за вградени устройства и Internet of Things
 Контейнерите помагат приложенията да се доставят по-бързо, да се тестват
и обновяват по-лесно както и да се подобри сигурността чрез изолация
 Съществуват редица случаи, при които на мощни вградени устройства е
практично да се комбинират контейнери с A/B обновления на базовата Linux
дистрибуция

Популярни open source решения
 Mender
 RAUC
 SWUpdate
 Swupd
 UpdateHub
 Balena
 Snap
 Pantacor
 Libostree (OSTree)
 Aktualizr
 Aktualizr-lite
 QtOTA
 Torizon
 FullMetalUpdate
 Rpm-ostree (used in Project Atomic)
 Други

Програмни средства за създаване на Linux дистро
Популярни open source системи за създаване на специализирана Linux
дистрибуция за вградени устройства и Internet of Things:
 Yocto/OpenEmbedded
 Buildroot
 PTXdist
 OpenWRT
 Други

И все пак не може ли да ползваме Debian?
 Debian e стабилна пълна дистрибуция с десетки хиляди пакети налични
като бинарни файлове за инсталация без нужда от крос-компилация от кода
 Множество производни на Debian съществуват за различни устройства за
вграждане (Armbian, Raspberry Pi OS, Ubuntu и т.н.)
 Debian or Yocto Project? Which is the Best for your Embedded Linux Project?
Chris Simmonds, Embedded Linux Conference Europe 2019
https://www.youtube.com/watch?v=iDllXa8SzUgr

The Yocto Project
 Съвместен проект под егидата на Linux Foundation с отворен код,
предоставящ удобни за ползване инструменти за създаване и развитие на
embedded Linux дистрибуции
 OpenEmbedded Build System включва BitBake и OpenEmbedded Core
 Poky e референтната дистрибуция на Yocto, която се предоставя като мета
данни без никакви бинарни файлове, за да може бързо да я надградижте и
създадете Ваша Linux дистрибуция за специфична машина
 Нова основна версия два пъти годишно
 Long term support (LTS) версия покриваща най-малко две години

The Yocto Project
Име Версия Дата на пускане Статус
Langdale 4.1 Октомври 2022 До май 2023
Kirkstone 4.0 Май 2022 Long Term Support
Honister 3.4 Октомври 2021 EOL
Hardknott 3.3 Април 2021 EOL
Gatesgarth 3.2 Октомври 2020 EOL
Dunfell 3.1 Април 2020 Long Term Support
Zeus 3.0 Октомври 2019 EOL

Промени в синтаксиса на Yocto
 Във версия 3.4 Honister (от Октомври 2021) на Yocto синтаксисът за
предефиниране замени _ с :, например:
IMAGE_INSTALL:append = " docker-ce"
 Има скрипт от OE-Core, който помага с миграцията на стари проекти:
<oe-core>/scripts/contrib/convert-overrides.py <layerdir>
 За повече детайли:
http://docs.yoctoproject.org/next/migration-guides/migration-3.4.html#release-3-4
-honister

RAUC
 Лек клиент за обновления, който върви на вградено Linux устройство и
надеждно контролира процеса по обновяване на версията на софтуера
 Поддържа различни сценарии за обновления
 Предуставя инструменти, за да се създават, инспектират и модифицират
артефакти за обновленията, които се наричат “update bundles”
 Използва X.509 криптография, за да подпише т.нар. update bundles
 Съвместим с Yocto Project, PTXdist and Buildroot

RAUC термини
 update bundle – артефакт под формата на бинарен файл с разширение
raucb, чрез който се дистрибутира новата версия
 Slot – всяко нещо, което може да бъде обновено в системата: дисково
устройство, дял или файл

Как работи RAUC?
 Пример при инсталиране на обновление на дял B

RAUC лицензи
 RAUC – LGPLv2.1
https://github.com/rauc/rauc
 meta-rauc - MIT
https://github.com/rauc/meta-rauc
 rauc-hawkbit – LGPLv2.1
https://github.com/rauc/rauc-hawkbit
 rauc-hawkbit-updater – LGPLv2.1
https://github.com/rauc/rauc-hawkbit-updater

Стъпки за интеграция на RAUC на нова машина
 Избор на подходяща първична зареждаща програма (bootloader)
 Включване на SquashFS в конфигурацията на Linux kernel-а
 ext4 root file system (RAUC не работи с ext2 или ext3)
 Създаване на дялове според RAUC слотовете
 Конфигуриране на средата на първичната зареждаща програма и
създаване на скрипт, който да превключва между RAUC слотовете
 Създаване на сертификат и включване на ключовете в RAUC’s system.conf

RAUC дял за данни
 Поддържа схеми с един или два дяла за данни
 При схема с два дяла активния rootfs дял трябва да монтира правилния дял
за данни динамично, например с udev правило

RAUC адаптивни обновления
 Нова функционалност в RAUC версия 1.8 от 1 октомври 2022
 Адаптивни обновления се комбинират с HTTP(S) за поточно сваляне от RAUC
клиента на embedded Linux устройството само на необходими части от RAUC
update bundle без необходимост от цялостно сваляне на raucb файла
 Адаптивни обновления спестяват памет и мрежов трафик
 За детайли:
https://rauc.readthedocs.io/en/latest/advanced.html#adaptive-updates
https://rauc.readthedocs.io/en/latest/advanced.html#http-streaming

meta-rauc-community
 Yocto/OE слой с примерни интеграции за различни машини
 Стартиран през 2020
 Преместен в RAUC организацията в GitHub през 2021
 Поддържа Raspberry Pi чрез meta-raspberrypi, Sunxi (Allwinner) devices
through meta-sunxi, NVIDIA Jetson TX2 чрез meta-tegra и QEMU x86-64
 https://github.com/rauc/meta-rauc-community/
Подобрения и нови функционалности са винаги добре дошли чрез
GitHub pull requests!

Кой разработва RAUC?
 RAUC e стартиран като проект от Pengutronics през 2015г
 Слоят meta-rauc-community от Konsulko Group
 72 човека са допринесли с код за RAUC клиента, 34 човека за meta-rauc и 6
човека за meta-rauc-community

RAUC пример with Raspberry Pi 4
 Код от git хранилищата (клон kirkstone):
git clone -b kirkstone git://git.yoctoproject.org/poky poky-rpi-rauc
cd poky-rpi-rauc
git clone -b kirkstone git://git.openembedded.org/meta-openembedded
git clone -b kirkstone git://git.yoctoproject.org/meta-raspberrypi
git clone -b kirkstone https://github.com/rauc/meta-rauc.git
git clone -b kirkstone https://github.com/rauc/meta-rauc-community.git"

 Добавяне на слоевете в bblayers.conf:
source oe-init-build-env
bitbake-layers add-layer ../meta-openembedded/meta-oe/
bitbake-layers add-layer ../meta-openembedded/meta-python/
bitbake-layers add-layer ../meta-openembedded/meta-networking/
bitbake-layers add-layer ../meta-openembedded/meta-multimedia/
bitbake-layers add-layer ../meta-raspberrypi/
bitbake-layers add-layer ../meta-rauc
bitbake-layers add-layer ../meta-rauc-community/meta-rauc-raspberrypi/

 Добавете към local.conf:
MACHINE = "raspberrypi4"
ENABLE_UART = "1"
RPI_USE_U_BOOT = "1"
DISTRO_FEATURES:append = " rauc"
IMAGE_INSTALL:append = " rauc"
IMAGE_FSTYPES:append = " ext4"
WKS_FILE = "sdimage-dual-raspberrypi.wks.in"
INIT_MANAGER = "systemd"

 Създаване на image:
bitbake core-image-minimal
 Добавяне на nano към нова версия на image директно чрез local.conf:
IMAGE_INSTALL:append = " nano"
 Създаване на RAUC update bundle с новата версия:
bitbake update-bundle

RAUC на Raspberry Pi 4

Ръчно обновление с RAUC на Raspberry Pi 4
 Изпълнете на персоналния компютър с артефактите:
cd tmp/deploy/images/raspberrypi4/
python3 -m http.server
 Изпълнете на Raspberry Pi:
wget http://example.com:8000/update-bundle-raspberrypi4.raucb -P /tmp
rauc install /tmp/update-bundle-raspberrypi4.raucb
reboot

Как става „магията“ в u-boot?
 rpi-u-boot-scr.bbappend от meta-rauc-community добавя boot.cmd.in:

Read-only rootfs
Yocto и OpenEmbedded предлагат две опции за read-only файлова система:
 През рецептата за image:
IMAGE_FEATURES += "read-only-rootfs"
 Или през local.conf:
EXTRA_IMAGE_FEATURES = "read-only-rootfs"
 Внимание: може да има специфични пакети във Вашия имидж, които да
очакват файловата система да позволява запис и поради това да не могат
да функционират според очакванията.

Комбиниране с Docker
 Yocto/OE слоя meta-virtualization осигурява поддръжка на Xen, KVM, Libvirt,
docker и свързаните с тях пакети нужни за изграждане на виртуализирано
решение
 virtualization трябва да бъде добавена към DISTRO_FEATURES:
DISTRO_FEATURES:append = " virtualization"
 Добавяне на Docker към дистрибуцията е лесно:
IMAGE_INSTALL:append = " docker-ce"

И още нещо: Eclipse hawkBit
 Open source сървър за управления на обновления на устройства свързани с
IP инфраструктура, който може да бъде интегриран с RAUC update bundles
(raucb файлове)
 Написан на Java
 Код в GitHub под Eclipse Public License 1.0
 https://github.com/eclipse/hawkbit
 https://www.eclipse.org/hawkbit/

Заключения
 Има много неща, които трябва да се вземат под внимание при избора на
стратегия за обновления
 Ползвайте готови open source software решения за обновления
 RAUC е мощно и удобно решение за A/B обновления с отлична
Yocto/OpenEmbedded интеграция
 Комбинирани стратегии за A/B обновления с контейнери за приложенията
стават все по-популярни в днешно време
 Много често на практика A/B схемата се нуждае от допълнителен дял за
данни, които не се променят при обновяването

Благодаря Ви!
Полезни връзки:
 https://www.yoctoproject.org/
 https://rauc.io/
 https://github.com/eclipse/hawkbit
 https://git.yoctoproject.org/cgit/cgit.cgi/meta-virtualization/
 https://www.konsulko.com/building-platforms-with-secure-ove
r-the-air-updating/
 https://www.konsulko.com/getting-started-with-rauc-on-raspb
erry-pi-2/

Linux обновления с RAUC и Docker

More Related Content

Similar to Linux обновления с RAUC и Docker (20)

More from Leon Anavi (20)

Linux обновления с RAUC и Docker