الحاويات: أصدرت Apple برنامجها الخاص "Distrobox" أو "WSL" لتشغيل توزيعات Linux في الحاويات

  • يقوم إطار عمل Apple بتشغيل كل حاوية في آلة افتراضية خفيفة الوزن للغاية، مما يوفر عزلًا كاملاً وأمانًا متزايدًا.
  • يستفيد الحل من Apple Silicon لتشغيل الحاويات في مللي ثانية وإدارة الموارد بشكل ديناميكي.
  • يتم الحفاظ على دعم صور OCI وسير العمل القياسية، مما يسهل الهجرة من Docker والأنظمة الأخرى.
  • يقلل هذا النهج من سطح الهجوم ويحسن الكفاءة مقارنة ببيئات المحاكاة الافتراضية والحاويات الأخرى.
Pablinux

10 دقيقة

بالحاويات

قبل ساعات قليلة، انطلق مؤتمر WWDC25، وهو الحدث الذي قدمت فيه شركة Apple إصدارات جديدة من أنظمة تشغيلها. في ذلك الوقت، رئيسية نُوقشت أنظمة iOS وiPadOS وtvOS وmacOS وwatchOS وvisionOS بإيجاز، والآن وحّدت أرقامها وأصبح عددها 26. طول هذه المؤتمرات لا يسمح لهم حتى بالحديث عن العديد من ميزات أنظمتهم، وهناك أشياء أخرى لا يمكن اكتشافها إلا بطرق أخرى. من بينها، بالحاويات، وهو ليس مربع التوزيعات ولا يعد Apple WSL، ولكنه يقترب إلى حد ما من كلا المفهومين.

لقد أحدثت المحاكاة الافتراضية والحاويات ثورة في تطوير التطبيقات، مما يسمح للفرق بإنشاء بيئات معزولة تمامًا وقابلة للتكرار لنشر البرامج وإدارة الموارد بكفاءة. إدراكًا منها لأهمية هذه التقنيات في التطوير والإنتاج، اتخذت شركة Apple خطوةً للأمام بإطلاق إطار عمل حاويات خاص بها مُحسّن لأجهزة ومعالجات Apple Silicon.

ما هي الحاويات وفقًا لشركة Apple؟

El إطار عمل الحاويات تعتبر حزمة البرامج مفتوحة المصدر من Apple عبارة عن حزمة برامج تم تطويرها بلغة Swift، والتي يسمح للتطبيقات بإدارة حاويات Linux مباشرة على macOS على أجهزة Apple Silicon (شرائح ARM الشهيرة من هذه العلامة التجارية). بخلاف الأنظمة التقليدية التي تتشارك فيها حاويات متعددة في نواة نظام تشغيل مضيف واحد أو جهاز افتراضي كبير، اختارت Apple تشغيل كل حاوية في آلة افتراضية خفيفة الوزن خاصة بها.

يحقق هذا النهج توازنا فريدا: يحافظ هذا النظام على كفاءة الحاويات وقابليتها للنقل، ولكنه يضيف متانة وعزلة للأجهزة الافتراضية. تعمل كل حاوية في بيئتها الافتراضية الخاصة، دون مشاركة النواة مع بقية الأجهزة أو مع النظام المضيف، مما يجعل تصعيد الحاويات المحتمل أو هجمات التسريب بينها أمرًا بالغ الصعوبة.

الدافع والخلفية: الحاويات على نظام macOS

حتى ظهور حل Apple، لجأ المطورون الذين يستخدمون أجهزة Mac ويحتاجون إلى بيئات Linux إلى بدائل مثل Docker، Podman، Orbstack أو Limaومع ذلك، عانت هذه الأدوات من قيود كبيرة في الأداء واستهلاك الموارد، وخاصة الأمان، بسبب استخدامها لأجهزة افتراضية متجانسة تستضيف حاويات متعددة ومشاركة مكثفة للنواة.

في البيئات الحساسة، مشاكل العزل وتسرب العملية المحتمل دفع هذا العديد من الشركات والمؤسسات إلى التخلي عن هذه الأنظمة وتحويلها إلى أنظمة إنتاجية. بإطلاقها إطار عملها الخاص، تسعى Apple إلى سدّ هذه الثغرات، وتسعى إلى ترسيخ مكانتها كمعيارٍ مرجعي في التشغيل الآمن والفعال لحاويات Linux على أجهزة Mac.

الخصائص التقنية لإطار عمل الحاويات

  • إجمالي العزل لكل حاوية: يتم تشغيل كل حاوية داخل آلة افتراضية مستقلة وخفيفة الوزن للغاية، مما يضمن عزل مستوى النواة ويمنع الهروب أو التطفل الذي قد يؤثر على البيئات الأخرى أو نظام المضيف.
  • تحسين أداء Apple Silicon: تم كتابة الإطار بلغة Swift ويعتمد على Virtualization.framework، مستفيدًا من تسريع الأجهزة لوحدات المعالجة المركزية ARM الخاصة بشركة Apple، مما يؤدي إلى بدء تشغيل الحاويات في أجزاء من الثانية واستخدام منخفض للغاية للموارد.
  • إدارة متقدمة للصور والشبكات: يتيح النظام إدارة الصور بموجب معيار OCI، والتفاعل مع السجلات البعيدة، وتخصيص عناوين IP مخصصة لكل حاوية، مما يزيل تعقيد تعيين المنفذ ويسهل اكتشاف الخدمة وموازنتها.
  • تكوين نواة مخصصة: يمكن للمطورين تحديد تكوينات نواة محددة لكل حاوية، وتخصيص كل بيئة وفقًا للمتطلبات الدقيقة لتطبيقاتهم والتحقق من التوافق بين الإصدارات.
  • تقليل النظام الأساسي: يقوم كل جهاز افتراضي بتشغيل نظام أساسي بسيط يحتوي فقط على vminitd، وهو نظام init مُجمّع بشكل ثابت بدون أي مكتبات ديناميكية أو أدوات مساعدة مشتركة، مما يقلل من سطح الهجوم.
  • دعم Rosetta 2: إنه يسمح بتشغيل صور x86_64 على أجهزة كمبيوتر ARM دون عقوبة ملحوظة، مما يجعل من الأسهل الانتقال إلى البيئات المختلطة أو القديمة والحفاظ عليها.

مزايا الهندسة المعمارية التي اقترحتها شركة Apple

  1. أمان معزز: بفضل عدم مشاركة النوى أو التبعيات، تُعزل كل حاوية تمامًا، بما يتوافق مع مبادئ أمان الثقة الصفرية. يُقلل البساطة الشديدة لنظام التهيئة وغياب الأدوات القابلة للاستغلال بشكل كبير من خطر تصعيد الامتيازات أو تسرب البيانات.
  2. الكفاءة في استخدام الموارد: تستهلك الآلات الافتراضية فائقة الخفة الموارد فقط عندما تكون نشطة. لا حاجة لحجز ذاكرة الوصول العشوائي (RAM) أو وحدة المعالجة المركزية (CPU) لمجموعة حاويات قد تكون خاملة، مما يُحسّن الاستخدام العام للنظام.
  3. شبكة مبسطة ومرنة: يؤدي تخصيص عنوان IP المخصص إلى التخلص من الصداع التاريخي المتمثل في تعيين المنفذ وإدارة الشبكة الداخلية في الحاويات، مما يسهل الترابط والتوسع الأفقي للخدمات المصغرة.
  4. التوافق وقابلية النقل: يتيح دعم صور OCI القياسية والتكامل السلس مع السجلات لنفس خطوط أنابيب CI/CD وأصول الحاويات العمل مباشرة على Mac دون أي تغييرات أو تخصيصات.

مكونات إطار عمل Apple

  • حزمة Swift للحاويات: المكتبة الأساسية التي توفر واجهات برمجة التطبيقات لإدارة الصور والسجلات وأنظمة الملفات والعمليات والتكامل مع نظام التشغيل الأصلي ونوى النظام المخصصة.
  • vminitd: نظام تهيئة بسيط، مكتوب بلغة Swift ومُجمّع باستخدام مجموعة تطوير البرامج الثابتة Linux SDK، يعمل كعملية أولى في كل جهاز افتراضي. لا يتطلب أي مكتبات ديناميكية أو أدوات نظام، ويعرض واجهة برمجة تطبيقات gRPC عبر vsock للتحكم في دورات حياة العمليات وتكوين البيئة.
  • النوى المُحسَّنة: تم تقليل نوى Linux إلى الحد الأدنى، وهي مصممة لتوفير أوقات تمهيد سريعة واستهلاك أدنى للطاقة، على الرغم من أنه من الممكن تحديد أو تجميع تكوينات مخصصة لحالات الاستخدام المتقدمة.
  • أدوات المستخدم: com.cctl إنها أداة CLI الرئيسية، والتي تسمح لك بإدارة الصور وتشغيل الحاويات واختبار واجهة برمجة التطبيقات الإطارية بطريقة بسيطة، على غرار أوامر Docker المعتادة.

كيف يعمل الأمر عمليًا: من الكود إلى النشر

يوفر الإطار واجهات برمجة التطبيقات وأدوات سطر الأوامر للعمليات التالية:

  • إدارة الصور والتلاعب بها باستخدام OCI.
  • التفاعل الآمن مع السجلات البعيدة.
  • إنشاء وتنسيق أنظمة الملفات ext4.
  • إدارة متقدمة للشبكة عبر منافذ Netlink وتعيين عنوان IP فردي.
  • تنفيذ ومراقبة العمليات داخل الحاويات بفضل نظام init الخاص.
  • إدارة بيئات التشغيل لكل جهاز افتراضي، مع واجهات برمجة التطبيقات لاختيار النواة وإصداراتها وتكوينات الحاويات المحددة.
  • التكامل مع Rosetta 2 لاستخدام صور x86_64 على أنظمة Apple Silicon والتحقق من التوافق المتبادل.

يتم بدء كل حاوية على الفور (دون الثانية), متجاوزًا في كثير من الحالات تجربة بدء التشغيل في Docker أو Podman، وإدارة الموارد ديناميكية تمامًا.

المتطلبات والتوافق

لاستخدام إطار عمل Apple، تحتاج إلى:

  • احصل على جهاز Mac مزود بمعالج Apple Silicon (سلسلة M1 وM2 وما بعدها).
  • macOS 15 أو أحدث، على الرغم من الاستفادة من جميع القدرات وتجنب القيود، يوصى باستخدام macOS 26 Beta 1.
  • إصدار Xcode 26 Beta وأدوات بناء Swift المحدثة.

بعض الميزات، مثل الاتصال بين الحاويات داخل نفس قطاع الشبكة، تكون ممكّنة بالكامل فقط على نظام macOS 26 والإصدارات الأحدث.

تفاصيل المطور وسير العمل

يتضمن التدفق النموذجي للمطور مع هذا الإطار ما يلي:

  • قم بتثبيت التبعيات الموصى بها: Swiftly، وSwift، وStatic Linux SDK، والإصدارات الصحيحة من grpc-swift وswift-protobuf.
  • قم بتجميع الحزمة من المصادر باستخدام البرامج النصية والأدوات المساعدة المقدمة.
  • استخدام cctl لاختبار الصور ومعالجتها، وتشغيل الحاويات، وإدارة أنظمة الملفات الجذرية، وأتمتة مهام النشر أو الاختبار.
  • قم بتخصيص النواة إذا كانت هناك حاجة إلى أي ميزة محددة غير مدرجة في التكوين الافتراضي، وذلك باتباع وثائق المستودع.
  • التكامل مع خطوط الأنابيب والسجلات القياسية CI/CD لتدفقات التطوير التعاوني والنشر عبر الفرق المختلطة.

توفر الوثائق الرسمية إرشادات خطوة بخطوة حول الإعداد الأولي واستكشاف الأخطاء وإصلاحها الشائعة وأتمتة سير العمل الشائعة.

مقارنة مع الحلول الأخرى: Docker وPodman ونموذج Apple

عامل في حوض السفن وتسمح لك الحلول الأخرى بتشغيل الحاويات على نظام التشغيل Mac، ولكنها تفعل ذلك من خلال جهاز Linux VM واحد حيث تعيش جميع الحاويات، مما يعني:

  • استهلاك أعلى للموارد الأساسية (الجهاز الافتراضي نشط دائمًا).
  • التجزئة والتعقيد عند مشاركة الملفات بين المضيف والجهاز الافتراضي والحاويات.
  • مشاكل أكبر في سطح الهجوم والعزل، حيث يمكن أن يؤثر الفشل على جميع الحاويات المقيمة.
  • صعوبة تعيين عناوين IP فريدة والاتصال بين الحاويات وخدمات الاستضافة.

نموذج Apple، بإنشاء آلات افتراضية لكل حاوية، يُزيل هذه الاختناقات. قد يبدو هذا النموذج أقل كفاءة للوهلة الأولى، إلا أن خفة وزن الآلات الافتراضية والاستخدام الانتقائي للموارد يجعلانه نموذجًا متفوقًا من حيث الأمان والمرونة، خاصةً في البيئات التي تُعدّ فيها العزلة والامتثال أولوية.

التوافق ونقل سير العمل الحالية

أحد المخاوف الشائعة عند الانتقال إلى التقنيات الجديدة هو التوافق بين الأصول وسير العمل. يحافظ إطار عمل Apple على التوافق التام مع صور OCI القياسية، مما يعني أن الصور الحالية ستعمل، ويمكن أن تظل السجلات وخطوط الأنابيب دون تغيير. أدوات مثل com.cctl إنهم يستخدمون أوامر مشابهة لتلك الموجودة في Docker، لذا فإن منحنى التعلم طفيف.

ويزو أو إس
المادة ذات الصلة:
WizOS: الحل الجديد الآمن والخفيف الوزن لحاويات المؤسسات

المساهمات والمجتمع

المشروع مفتوح المصدر ويرحب بالمساهمات الخارجية، مما يُسهّل المشاركة بفضل بنية Swift المعيارية وإرشادات واضحة للمساهمات. يشجع مشرفو الحزمة مساهمات الكود، والتحسينات المقترحة، والإبلاغ عن المشاكل لتسريع التطوير والاعتماد.

يضمن نموذج الإصدار الاستقرار الثنائي بين الإصدارات الثانوية، مما يوفر الثقة لأولئك الذين يرغبون في اعتماد الإطار في وقت مبكر من دورة حياته.

حالات الاستخدام والتطبيقات المثالية

يعد إطار عمل حاويات Apple مثيرًا للاهتمام بشكل خاص لما يلي:

  • المطورون الذين يحتاجون إلى اختبار ونشر تطبيقات Linux على Mac بشكل أصلي وآمن.
  • الشركات والمنظمات حيث الأمن والعزلة إلزامية (القطاع المالي، الصحة، الذكاء الاصطناعي، الخ).
  • المؤسسات التي استثمرت في خطوط أنابيب OCI وترغب في الاستفادة من خطوط الأنابيب الحالية دون مخاطر التوافق.
  • الفرق المختلطة التي تنتقل من بنية x86 إلى بنية ARM وتحتاج إلى انتقال سلس.
  • المشاريع التي تتطلب أنوية مختلفة أو تكوينات مخصصة لحاويات مختلفة.

المرونة والأمان المتأصل وتكلفة التشغيل المنخفضة جعل الإطار خيارًا جذابًا للغاية لتحديث سير العمل وتحسين حماية البيانات والأنظمة.

القيود وحالة المشروع

الإطار موجود في إصدار 0.1.0هذا يعني أنه في مرحلته الأولية، ولكنه يعمل بكامل طاقته للتجارب والنشر المُتحكم به. بعض الميزات المتقدمة، مثل الشبكات بين الحاويات في نظام macOS 15، غير متوفرة بالكامل إلا في نظام macOS 26 والإصدارات الأحدث.

تحذر Apple من أن استقرار واجهة برمجة التطبيقات مضمون فقط بين الإصدارات الثانوية، لذا يجب على المستخدمين الأوائل مراجعة ملاحظات الإصدار وتحديد التبعيات بشكل صحيح لتجنب المشكلات في التحديثات المستقبلية.

الحاويات في بيئات الأجهزة المحمولة التي تعمل بنظام iOS

تنعكس الحاويات أيضًا في إدارة أجهزة iOS وأمانها، حيث يمكن للمسؤولين استخدام أنظمة إدارة الأجهزة المحمولة (MDM) لتقييد الاتصال بين التطبيقات، والوصول إلى خدمات معينة، وتثبيت التكوينات والشهادات، بالإضافة إلى الحد من تثبيت التطبيقات غير المصرح بها والاتصالات غير الآمنة. هذه السياسات، على الرغم من اختلافها عن حاويات البرامج التقليدية، تسعى إلى: حماية معلومات الشركة ومنع تسرب البيانات بين التطبيقات والخدمات داخل نظام Apple البيئي.

مستقبل الحاويات وفقًا لشركة Apple

إن الخطوة التي اتخذتها شركة Apple، مع افتتاح الإطار والترويج لأدواتها الخاصة، قد تشكل علامة فارقة في الطريقة التي يتم بها تطوير التطبيقات الآمنة ونشرها في نظام Mac البيئي. المزايا في السلامة والكفاءة والتوافق وبفضل المعايير المفتوحة، فإنها ستضع ضغوطاً على اللاعبين التقليديين وتشجع على ظهور حلول وتحسينات جديدة في القطاع.

ديستروشيلف
المادة ذات الصلة:
DistroShelf: واجهة جديدة لإدارة حاويات Linux الخاصة بك بسرعة وسهولة.

لا تعد حاويات Apple مجرد بديل، بل هي تطور للنموذج التقليدي، مصمم لتلبية احتياجات الأمن والتنقل اليوم، مما يمهد الطريق لبيئات تطوير وإنتاج أكثر أمانًا وكفاءة وسهولة في الإدارة على أجهزة Mac.