容器应用率上升:必先提升安全性

日期:2017-4-28作者:Jim O'Reilly 

容器应用   器技术   

【TechTarget中国原创】

随着容器技术不断发展,其安全等级也在随之提升,从VMware到微软再到英特尔,大型厂商迅速进入容器市场。

现在容器是IT行业最为热门的话题之一。容器技术的原理非常简单:管理员可以同时创建多个共享相同操作系统的虚拟实例。这种方式能够带来多种好处,比如缩短启动时间、降低内存消耗以及扩展服务器性能等。

尽管容器同样存在某些缺陷,但是这种快速发展的技术在过去的一年已经实现了诸多重要改进,并且越来越多的厂商开始支持容器技术。企业的首要顾虑就是安全性:

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Jim O'Reilly
Jim O'Reilly

TechTarget特约作者。Jim O'Reilly是一名存储和云计算咨询师。他曾担任Germane Systems公司工程部副总一职,为美国潜艇队创建了坚固耐用的服务器和存储器。他也曾在SGI、Rackable和Verar公司担任高级管理一职,创建Scalant和CDS公司并担任首席执行官一职,在PC Brand和Metalithic公司担任运营主管一职,在Memorex-Telex和NCR公司担任核心业务部主管,他所在领导的团队曾创建了第一个SCSI ASIC。如今Jim O'Reilly就职于史密森学会。

应用虚拟化>更多

  • 容器应用率上升:必先提升安全性

    现在容器是IT行业最为热门的话题之一。容器技术的原理非常简单:管理员可以同时创建多个共享相同操作系统的虚拟实例。

  • 虚拟化迷宫:应用分层放哪好?

    应用分层可能仍旧是有些小众的技术,但因其用途广泛获得了人们的关注。因为应用分层允许一些IT管理人员准确地定位到需要使用特定应用的用户并直接向他们交付应用。

  • 听安全老炮儿艾奇伟谈移动虚拟化

    过去,虚拟化技术一直被应用于桌面计算机上。那么在这个移动设备成为个人、企业重心的时代,虚拟化技术是否也可以在移动领域发挥作用呢?

  • 专家解惑:部署虚拟化不再犹豫

    尽管虚拟化是一种很棒的管理资源、降低成本的方式,但对企业来说,评估不同的虚拟化产品可能面临挑战,尤其是对没有任何经验的组织来说更是如此。

技术手册>更多

  • 虚拟机资源配置指南

    本期《虚拟机资源配置指南》技术手册旨在帮助IT管理员找准虚拟机资源合理分配的界线,并通过正确实施、配置安全性,避免虚拟机蔓延等多方面技巧,最终在充分保证虚拟机性能优化的同时,合理控制运营成本。

  • 超融合产品EVO:RAIL使用指南

    VMware已经建立了一个合作伙伴列表,该列表中的厂商将提供EVO:RAIL的硬件部分。尽管底层的技术相同,但HP、Dell以及合作伙伴列表上的其他厂商提供的产品还是有一些差异。

  • VMware NSX部署指南

    在VMworld 2013上,VMware发布了它的下一代网络虚拟化平台NSX,两年过去了,VMware NSX有了哪些变化?您是否已经部署VMware NSX?

  • vSphere高级技巧

    虽然vSphere 6要等到2015年初才会发布,但是大家对它的热情不减。相信很多企业都已经在使用vSphere,本期技术手册分享一些关于vSphere的高级技巧,例如如何重新设计vSphere让其发挥最大潜力。

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心
【TechTarget中国原创】

随着容器技术不断发展,其安全等级也在随之提升,从VMware到微软再到英特尔,大型厂商迅速进入容器市场。

现在容器是IT行业最为热门的话题之一。容器技术的原理非常简单:管理员可以同时创建多个共享相同操作系统的虚拟实例。这种方式能够带来多种好处,比如缩短启动时间、降低内存消耗以及扩展服务器性能等。

尽管容器同样存在某些缺陷,但是这种快速发展的技术在过去的一年已经实现了诸多重要改进,并且越来越多的厂商开始支持容器技术。企业的首要顾虑就是安全性:因为多个容器需要共享同一操作系统,因此它们不会像虚拟机一样模拟硬件资源。为了解决这种问题,许多管理员在虚拟机当、中运行容器,通过这种方式实现额外的隔离层。这样就能够实现同一租户的内部隔离,提升安全性和控制能力。

但是这种安全举措会占用大量计算资源并且降低灵活性,因此企业开始寻找thin hypervisor,比如英特尔Clear Containers和CoreOS,甚至是一些裸金属容器产品。这种方式能够为用户提供非常安全、精简的容器环境,将会在2017年实现快速发展。理想情况下,这种方式能够在未来几年提升容器使用率。

容器技术已经为多种关键应用——比如Web服务器——带来了诸多好处。但是,共享网络存储仍然是阻碍企业将一些复杂应用迁移到容器中的重要阻碍。ClusterHQ推出的Flocker等产品可以帮助解决这种问题,并且容器技术也会不断发展。

英特尔为其核心CPU架构开发了一系列增强功能,以解决虚拟化环境的跨租户隔离问题。不幸的是,这些技术不能在容器之间分离租户。这种问题的常见解决方案是在裸金属机器上添加额外的hypervisor层,之后为每个租户分配一台或者多台虚拟机,从硬件层面实现虚拟机之间的隔离,而租户可以在虚拟机中创建任意数量的容器。

Intel Clear Containers

尽管在hypervisor中运行容器能够解决安全性问题,但是额外增加的虚拟机层也会带来复杂度和管理问题,进而降低内存的使用效率。Hypervisor实例相比于容器要更长的启动时间。Intel通过Clear Containers系统来解决这种问题,其能够让容器运行速度更快,内存使用效率更高。

Clear Containers依然采用在虚拟机中创建容器的方式,但是其启动时间更快,并且大幅度降低hypervisor的占用资源,这些都要归功于其快速和轻量级的hypervisor——QEMU。英特尔预计Clear Containers的启动时间比传统hypervisor要快得多,可以控制在微秒级别,这样就可以和容器处于同一水平了。Clear Containers还针对共享内存进行优化,通过合并内核的相同页以及直接访问以绕过页面缓存。Clear Containers现在只支持Linux主机。

越来越多的厂商开始支持容器

微软为容器提供了良好的支持,其在2014年就已经和Docker建立了紧密的合作关系,并且在Windows Server 2016推出了基于Hyper-V的容器。但是该产品也存在某些限制:比如容器并不能被加入到活动目录中、只支持标准网络动态寻址等。 Azure也提供了对于容器的支持,未来适用于私有云的Azure Pack产品也将会支持容器。

VMware进入云行业的时间相对较晚,但是其对容器技术拥有很好的敏感性。VMware从vSphere 6.5开始支持容器。VIC(VSphere Integrated Containers)的主要作用就是解决ESXi对容器缺乏控制性的问题,同样采用将每个容器都放置在虚拟机中的方式。

不幸的是,VIC相比于其他产品要复杂的多,这意味着其启动速度也要慢得多。

Kubernetes

作为一款在混合云环境中创建容器的工具,Kubernetes凭借其可移植性获得了很多企业的青睐,并且被加入到OpenStack中,获得IBM、Red Hat、VMware和华为等多家公司的支持。AWS(Amazon Web Services )和Azure未来也很有可能支持这种技术,这样 Kubernetes将会成为容器世界的通用语言。

其他容器环境

还有很多适合于混合云和私有云的工具。Mesosphere Marathon和Apache Mesos可以用在Azure中,并且拥有很好的口碑。此外,CoreOS Fleet 和Cloud Foundry Diego也是不错的替代选择。由于容器技术的快速发展,这些工具的特性也会不断发生变化。因此在最终确定生产环境使用哪种工具之前最好完成一系列实际测试。

完成其他任务的工具

管理员可以使用Docker Hub和VMware Harbor创建容器镜像,而VMware Admiral能够被用来自动分发更新,保证所有虚拟实例同步。最好将镜像文件分层,将操作系统、配置文件、runtime工具和应用程序分离,这样可以简化更新过程。

最后,需要记住的是企业使用容器的目的在于降低成本、轻量化当前环境以及实现更加丰富的功能。确保一个容器中只运行一个应用程序,并且其中不会包含无关工具和其他垃圾内容。

容器和云

主要云服务提供商都已经开始使用容器技术。在内部运行容器可以帮助服务提供商提升效率,而持续的价格战也会让客户最终受益。

如果企业想要尝试使用容器技术,那么公有云无疑是入门的最佳选择,因为成本和风险性都相对较低。AWS、微软和谷歌等公司都已经对容器提供了非常良好的支持。AWS推出了ESC(EC2 Container Services ),其中包含了一整套工具,比如CloudFormation、EC2 Container Registry和Docker等,并且ECS还支持持续交付。