De volta ao FreeBSD: Parte 1

• Um texto que acompanha a história da implantação de servidores e dos problemas de isolamento de processos, destacando como os FreeBSD jails implementaram o conceito moderno de contêineres 10 anos antes da indústria
• Introduzidos no FreeBSD 4.0 em 2000, os jails expandiram o chroot para oferecer isolamento completo de sistema de arquivos, rede e processos como recurso nativo do kernel
• O Linux chegou aos contêineres com o LXC em 2008 e o Docker em 2013, mas nesse processo acumulou camadas complexas de abstração como namespaces, cgroups e OCI
• O que o Docker resolveu muito bem foi o problema de empacotamento e distribuição (shipping) de aplicações; os jails são excelentes em isolamento, mas têm como fraqueza a ausência de um padrão nativo de distribuição
• A continuação abordará formas práticas de operação, como infraestrutura baseada em jails, snapshots com ZFS e provisionamento com Ansible

O problema da implantação inicial de servidores

• Há algumas décadas, o método padrão para colocar algo em um servidor era copiar arquivos manualmente via FTP com ferramentas como Total Commander, FileZilla e FAR Manager; usuários mais avançados usavam scp ou rsync, mas a essência era a mesma
• Em projetos tocados por uma só pessoa, erros não eram um grande problema, mas ao gerenciar dezenas de projetos de clientes, isso se tornava crítico
• Em uma configuração típica de backend, vários sites compartilhavam a mesma instância do servidor web Apache e, portanto, o mesmo ciclo de vida; se o Apache caísse, todos caíam
• Quando havia um pico de tráfego, um site podia consumir todos os recursos e fazer com que outros sites no mesmo servidor sufocassem silenciosamente
• Administradores de sistemas tentavam automatizar com scripts de shell, mas não existia um método padronizado para controle de versão ou rollback, e era comum usar nomes de pastas de projeto com números incrementais ou timestamps

Dois problemas centrais que precisavam ser resolvidos

• Implantação (Deployment): era necessário um método universal que garantisse entrega confiável, evitasse erro humano, implementasse versionamento e rollback e cobrisse todos os casos de negócio
• Isolamento de processos (Process Isolation): era necessário proteger mutuamente aplicações e sistema, evitar que as exigências de uma aplicação quebrassem outra sem aviso e resolver conflitos de dependência
• As tentativas de resolver o problema de implantação evoluíram para os modernos pipelines de CI/CD, padrões de empacotamento e sistemas de controle de versão, mas a história do problema de isolamento é relativamente menos conhecida

Do chroot às máquinas virtuais

• O chroot, introduzido pelo Bell UNIX em 1979, fornecia a um processo uma visão isolada do sistema de arquivos, impedindo acesso fora de uma subárvore — uma ideia primitiva, mas útil
  • Limitação: isolava apenas o sistema de arquivos; ainda era possível interferir na rede, em outros processos e nos recursos do sistema, além de também ser possível escapar
• A primeira resposta realmente corporativa foi a máquina virtual (VM), popularizada pela VMware no fim dos anos 1990
  • Ela fornecia a cada aplicação um ambiente de sistema operacional totalmente isolado, mas como cada VM incluía um SO completo, havia o custo de sobrecarga significativa e tempos de inicialização medidos em minutos

O nascimento dos FreeBSD Jails

• Em 2000, uma revolução silenciosa aconteceu não no Windows Server nem no Linux, mas no FreeBSD
• O FreeBSD opera de forma fundamentalmente diferente do Linux: enquanto o Linux fornece apenas o kernel e combina userland GNU, ecossistema de pacotes e escolhas por distribuição, o FreeBSD desenvolve, versiona e testa kernel, userland, ferramentas básicas e bibliotecas como um único sistema operacional completo
• A solução construída sobre essa base consistente foi o jail, anunciado por Poul-Henning Kamp e Robert Watson e incorporado ao FreeBSD 4.0 (março de 2000) como recurso nativo do kernel
• Cada jail possui sua própria visão de sistema de arquivos, pilha de rede e espaço de processos, e o sistema hospedeiro não fica visível
• Como compartilha o kernel do host, ele oferece sobrecarga praticamente nula e tempos de inicialização quase instantâneos
• O FreeBSD alcançou em produção uma implementação prática do que hoje chamamos de contêineres 10 anos antes da indústria

Linha do tempo das tecnologias de isolamento

• O caminho real de evolução do problema de isolamento foi: servidor compartilhado sem isolamento → máquina virtual pesada, porém isolada → contêiner leve e isolado
• O FreeBSD chegou ao terceiro estágio em 2000; o Linux chegou com o LXC em 2008; o Docker surgiu em 2013
• Quando o Docker foi celebrado como revolucionário, os FreeBSD jails já estavam maduros e comprovados em campo havia 13 anos

Por que o Linux venceu

• Superioridade técnica não garante vitória em guerras de ecossistema
• O Linux venceu com tomada de decisão rápida, o efeito viral da licença GPL e o forte suporte corporativo de Red Hat e IBM
• Depois, Google, Facebook e Amazon passaram a desenvolver ferramentas para datacenters em grande escala e definiram a direção de toda a indústria
• O Linux deixou de ser “o SO gratuito para quem não podia pagar licença comercial” e se transformou em “a única opção para servidores”

A complexidade do ecossistema de contêineres no Linux

• Para resolver os problemas de isolamento e implantação, engenheiros de Linux construíram primitivas de kernel como namespaces, cgroups e seccomp e depois empilharam sobre elas camadas complexas de abstração: LXC (2008) → OCI/runc (2015) → Docker/Podman (2013/2018) → Docker Hub etc.
• O resultado foi um aglomerado excessivamente engenheirado de abstrações vazantes (leaky abstractions) voltado para infraestruturas em nuvem e dependentes de fornecedores
• Hoje, para operar aplicações em sistemas de grande escala, containerizar com Docker e orquestrar com Kubernetes virou o padrão implícito, apresentado não como uma entre várias opções, mas como a escolha óbvia

A contribuição do Docker e a fraqueza dos Jails

• O que o Docker resolveu muito bem foi o problema de shipping: empacotar aplicações com todas as suas dependências, distribuí-las via registry e executá-las da mesma forma em qualquer máquina, oferecendo um padrão universal
• O formato de imagem OCI se consolidou como padrão de fato da indústria
• Os jails resolvem muito bem o problema de isolamento, mas não têm uma solução nativa para shipping, e esse é o principal motivo de o ecossistema de jails parecer menos maduro do que o do Docker
• A comunidade reconhece essa lacuna, e algumas ferramentas (cbsd, bastille, pot, appjail etc.) tentam imitar o ecossistema moderno de contêineres, enquanto também existem abordagens diferentes que aproveitam primitivas nativas do FreeBSD

Prévia da continuação

• Na próxima parte, serão abordadas a simplicidade e a elegância da infraestrutura baseada em FreeBSD, os fundamentos dos jails e seu funcionamento, a redução de boilerplate com gerenciadores de jail, o provisionamento e a implantação com Ansible, o poder dos snapshots com ZFS e como combinar tudo isso para construir uma infraestrutura robusta e escalável para a Hypha