Suse intègre kGraft à son offre de support pour SLES 12

Lors de sa conférence SuseCon 2014, qui se tenait à Orlando, Suse a officiellement lancé la déclinaison commerciale de son projet libre de mise à jour à chaud du noyau Linux, kGraft.

A  l’occasion de sa conférence SuseCon 2014, qui se tenait cette semaine à Orlando, Suse a officiellement présenté une déclinaison commerciale de kGraft, son projet Open Source de mise à jour du noyau Linux à chaud. Ce système rejoint officiellement le portefeuille de services de support proposés aux clients de la dernière version de l’OS du groupe, SUSE Linux Enterprise Server 12. Rebaptisée SUSE Linux Enterprise Live Patching, la technologie kGraft est ainsi disponible pour  les clients ayant souscrit aux offres Priority Support et Primary ou Designated Support Engineer pour SLES 12. Pour l'instant, elle est limitée aux serveurs x86.

Cette technologie de mise à jour sans redémarrer le noyau n’est pas une nouveauté. Elle existait déjà sur UNIX, comme par exemple sur Solaris. Globalement, son principe consiste à éviter d’avoir à redémarrer les serveurs, notamment ceux disposant de beaucoup de mémoires et de disques, lors de l’application de mises à jour effectuées sur le noyau Linux. Une opération qui, dans le cas de lourdes configurations, demande une période d’interruption de services, et par conséquent l’arrêt des applications.

C’est donc à des fins de haute disponibilité - un axe fort des travaux de Suse autour de son OS Linux et de sa déclinaison OpenStack - que l’éditeur a souhaité voir se concrétiser ces développements.

Zéro interruption garantie

« Cette prouesse technologique n’était possible qu’avec une version très récente du noyau qui embarque un framework particulier. C’est pour ça que l’on propose cet outil uniquement pour SLES 12 [la dernière version de l’OS]. On ne pouvait donc pas le faire avec la version 11, une version déjà sur le marché, avec laquelle nous garantissons une compatibilité. Cela aurait nécessité par exemple de casser l’API et de perdre toutes nos certifications », explique Ralf Flaxa, vice président de l’ingénierie chez Suse.

« KGraft crée une copie d’une fonction qui doit être corrigée dans le noyau, en tant Kernel Loadable Module. Nous lançons cette fonction comme un nouveau module. Vous devez juste installer un module dans votre noyau actif. Comme si vous branchiez un device. Une nouvelle fonction, corrigée, est donc installé dans le noyau », poursuit le patron de la R&D de l’éditeur Linux.

Ralf Flaxa cite la rapidité avec laquelle cela permet d’installer une rustine ou un correctif pour combler une faille de sécurité. « Si une faille est détectée, nous créons un Live Patch pour nos clients, nous le distribuons aux clients qui ont souscrit au service et ils installent la fonction sans avoir à arrêter le noyau. Tout le code est redirigé vers cette nouvelle fonction. Un attaquant n’aura donc pas accès au système. L’ancienne fonction n’est pas tuée. »

En faire un standard du noyau Linux

Avec ce mécanisme avancé, explique-t-il, kGraft tient sa promesse de zéro temps d’interruption lors de l’application d’un patch ou correctif. Ce dont Suse est assez fier, au regard de la concurrence.  Red Hat développe lui aussi une technologie de patching du noyau à chaud, baptisée KPatch, mais avec une approche différente, résume Ralf Flaxa. « Au final, le noyau doit être stoppé. » Même approche chez Oracle Oracle : la technologie Ksplice est limitée aux solutions Entreprise de l’éditeur, et n’est pas Open Source.

Mais surtout, Suse semble aller plus loin que Red Hat ou Oracle : la firme intégre kGraft directement au niveau du noyau Linux et entend contribuer la technologie à la communauté du noyau. Une équipe de cinq ingénieurs de la firme au Gecko vert a d’ailleurs travaillé à faire émerger cette technologie, commente Ralf Flaxa. « Il s’agit d’une série de patches au-dessus du noyau original. Nous souhaitons qu’il devienne un standard du noyau Linux. »

Pour approfondir sur Linux

Close