Download hotdog - download do código-fonte hotdog

hotdog

Outro código-fonte

Baixar

Cachorro-quente

Hotdog é um conjunto de ganchos OCI usados para injetar o Log4j Hot Patch em contêineres.

️ Hotdog está muito perto do fim da vida. Já se passaram vinte meses desde que o CVE-2021-44228 foi descoberto e esperamos que a grande maioria dos aplicativos Java já tenha sido corrigida. Também não temos conhecimento de qualquer uso do Hotdog fora do Bottlerocket, que não o utiliza mais. Portanto, planejamos encerrar o Hotdog em novembro de 2023. Abra um problema se isso afetar você.

Como funciona

Quando runc configura o contêiner, ele invoca hotdog-cc-hook . hotdog-cc-hook monta os arquivos hotpatch no sistema de arquivos do contêiner em /dev/shm/.hotdog . Depois que o processo do contêiner principal é iniciado, runc invoca hotdog-poststart-hook , que usa nsenter para inserir os namespaces do contêiner e desembolsar um processo hotdog-hotpatch . hotdog-hotpatch é executado várias vezes com frequência decrescente (atualmente 1s, 5s, 10s, 30s) para detectar e fazer hotpatch de JVMs dentro do contêiner.

Limitações

O Hotdog fornece suporte a hotpatching apenas para Java 8, 11, 15 e 17.
O Hotdog funciona apenas por um curto período de tempo no início da vida útil de um contêiner. Se novos processos Java forem iniciados após a saída do processo hotdog-hotpatch , eles não receberão hot patch.
O Hotdog apenas corrige processos chamados "java". Se o seu aplicativo Java tiver um nome de processo diferente, o hotdog não irá corrigi-lo.
Hotdog funciona melhor quando o contêiner tem seu próprio namespace pid. Se o hotdog for usado com um contêiner que possui um namespace pid compartilhado, o hotdog-hotpatch poderá permanecer por um curto período após a saída do contêiner.
Hotdog injeta seus componentes em /dev/shm/.hotdog dentro do contêiner. Se /dev/shm não existir (como no caso de contêineres Docker iniciados com --ipc=none ), o hotdog não será injetado no contêiner e não fornecerá hotpatching.

Instalação

Foguete de garrafa

Hotdog está incluído por padrão no Bottlerocket 1.5.0.

Hotpatching pode ser habilitado para novos lançamentos do Bottlerocket incluindo as seguintes configurações nos dados do usuário.

[ settings . oci-hooks ]
log4j-hotpatch-enabled = true

Para hosts existentes que executam a versão mais recente do Bottlerocket, o hotpatching pode ser habilitado usando o cliente API.

apiclient set oci-hooks.log4j-hotpatch-enabled=true

A ativação da configuração em tempo de execução não afeta a execução de contêineres. Os contêineres recém-lançados serão atualizados.

Outras distribuições Linux

Para instalar o Hotdog, você precisa copiar os seguintes arquivos para o local correto e definir a configuração apropriada.

Copie Log4jHotPatch.jar para /usr/share/hotdog (se você construir o hotpatch a partir do código-fonte, você o encontrará em build/libs )
Execute make && sudo make install para instalar hotdog-cc-hook e hotdog-poststart-hook em /usr/libexec/hotdog e hotdog-hotpatch em /usr/share/hotdog
Instale oci-add-hooks

Configure oci-add-hooks com os ganchos hotdog gravando o seguinte conteúdo em /etc/hotdog/config.json :

{
  "hooks" : {
    "prestart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-cc-hook "
    }],
    "poststart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-poststart-hook "
    }]
  }
}

Configure o Docker para usar os ganchos escrevendo o seguinte conteúdo em /etc/docker/daemon.json :

{
  "runtimes" : {
    "hotdog" : {
      "path" : " oci-add-hooks " ,
      "runtimeArgs" : [
        " --hook-config-path " , " /etc/hotdog/config.json " ,
        " --runtime-path " , " /usr/sbin/runc "
      ]
    }
  }
}

Para executar um contêiner com hotpatching habilitado, especifique docker run --runtime hotdog . Para executar com hotpatching habilitado por padrão em todos os contêineres, adicione o seguinte conteúdo a /etc/docker/daemon.json :

 "default-runtime": "hotdog"

Se você deseja cancelar hotdog mesmo quando ele está ativado por padrão, especifique --runtime runc .

Solução de problemas

hotdog adicionará vários arquivos ao diretório /dev/shm/.hotdog em cada contêiner. Você pode encontrar o log do hotdog-hotpatch em /dev/shm/hotdog.log .