容器应用率上升:必先提升安全性

日期: 2017-04-27 作者:Jim O'Reilly翻译:王学强 来源:TechTarget中国 英文

随着容器技术不断发展,其安全等级也在随之提升,从VMware到微软再到英特尔,大型厂商迅速进入容器市场。 现在容器是IT行业最为热门的话题之一。容器技术的原理非常简单:管理员可以同时创建多个共享相同操作系统的虚拟实例。这种方式能够带来多种好处,比如缩短启动时间、降低内存消耗以及扩展服务器性能等。

尽管容器同样存在某些缺陷,但是这种快速发展的技术在过去的一年已经实现了诸多重要改进,并且越来越多的厂商开始支持容器技术。企业的首要顾虑就是安全性:因为多个容器需要共享同一操作系统,因此它们不会像虚拟机一样模拟硬件资源。为了解决这种问题,许多管理员在虚拟机当、中运行容器,通过这种方式实现额外的隔离层。这……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

随着容器技术不断发展,其安全等级也在随之提升,从VMware到微软再到英特尔,大型厂商迅速进入容器市场。

现在容器是IT行业最为热门的话题之一。容器技术的原理非常简单:管理员可以同时创建多个共享相同操作系统的虚拟实例。这种方式能够带来多种好处,比如缩短启动时间、降低内存消耗以及扩展服务器性能等。

尽管容器同样存在某些缺陷,但是这种快速发展的技术在过去的一年已经实现了诸多重要改进,并且越来越多的厂商开始支持容器技术。企业的首要顾虑就是安全性:因为多个容器需要共享同一操作系统,因此它们不会像虚拟机一样模拟硬件资源。为了解决这种问题,许多管理员在虚拟机当、中运行容器,通过这种方式实现额外的隔离层。这样就能够实现同一租户的内部隔离,提升安全性和控制能力。

但是这种安全举措会占用大量计算资源并且降低灵活性,因此企业开始寻找thin hypervisor,比如英特尔Clear Containers和CoreOS,甚至是一些裸金属容器产品。这种方式能够为用户提供非常安全、精简的容器环境,将会在2017年实现快速发展。理想情况下,这种方式能够在未来几年提升容器使用率。

容器技术已经为多种关键应用——比如Web服务器——带来了诸多好处。但是,共享网络存储仍然是阻碍企业将一些复杂应用迁移到容器中的重要阻碍。ClusterHQ推出的Flocker等产品可以帮助解决这种问题,并且容器技术也会不断发展。

英特尔为其核心CPU架构开发了一系列增强功能,以解决虚拟化环境的跨租户隔离问题。不幸的是,这些技术不能在容器之间分离租户。这种问题的常见解决方案是在裸金属机器上添加额外的hypervisor层,之后为每个租户分配一台或者多台虚拟机,从硬件层面实现虚拟机之间的隔离,而租户可以在虚拟机中创建任意数量的容器。

Intel Clear Containers

尽管在hypervisor中运行容器能够解决安全性问题,但是额外增加的虚拟机层也会带来复杂度和管理问题,进而降低内存的使用效率。Hypervisor实例相比于容器要更长的启动时间。Intel通过Clear Containers系统来解决这种问题,其能够让容器运行速度更快,内存使用效率更高。

Clear Containers依然采用在虚拟机中创建容器的方式,但是其启动时间更快,并且大幅度降低hypervisor的占用资源,这些都要归功于其快速和轻量级的hypervisor——QEMU。英特尔预计Clear Containers的启动时间比传统hypervisor要快得多,可以控制在微秒级别,这样就可以和容器处于同一水平了。Clear Containers还针对共享内存进行优化,通过合并内核的相同页以及直接访问以绕过页面缓存。Clear Containers现在只支持Linux主机。

越来越多的厂商开始支持容器

微软为容器提供了良好的支持,其在2014年就已经和Docker建立了紧密的合作关系,并且在Windows Server 2016推出了基于Hyper-V的容器。但是该产品也存在某些限制:比如容器并不能被加入到活动目录中、只支持标准网络动态寻址等。 Azure也提供了对于容器的支持,未来适用于私有云的Azure Pack产品也将会支持容器。

VMware进入云行业的时间相对较晚,但是其对容器技术拥有很好的敏感性。VMware从vSphere 6.5开始支持容器。VIC(VSphere Integrated Containers)的主要作用就是解决ESXi对容器缺乏控制性的问题,同样采用将每个容器都放置在虚拟机中的方式。

不幸的是,VIC相比于其他产品要复杂的多,这意味着其启动速度也要慢得多。

Kubernetes

作为一款在混合云环境中创建容器的工具,Kubernetes凭借其可移植性获得了很多企业的青睐,并且被加入到OpenStack中,获得IBM、Red Hat、VMware和华为等多家公司的支持。AWS(Amazon Web Services )和Azure未来也很有可能支持这种技术,这样 Kubernetes将会成为容器世界的通用语言。

其他容器环境

还有很多适合于混合云和私有云的工具。Mesosphere Marathon和Apache Mesos可以用在Azure中,并且拥有很好的口碑。此外,CoreOS Fleet 和Cloud Foundry Diego也是不错的替代选择。由于容器技术的快速发展,这些工具的特性也会不断发生变化。因此在最终确定生产环境使用哪种工具之前最好完成一系列实际测试。

完成其他任务的工具

管理员可以使用Docker Hub和VMware Harbor创建容器镜像,而VMware Admiral能够被用来自动分发更新,保证所有虚拟实例同步。最好将镜像文件分层,将操作系统、配置文件、runtime工具和应用程序分离,这样可以简化更新过程。

最后,需要记住的是企业使用容器的目的在于降低成本、轻量化当前环境以及实现更加丰富的功能。确保一个容器中只运行一个应用程序,并且其中不会包含无关工具和其他垃圾内容。

容器和云

主要云服务提供商都已经开始使用容器技术。在内部运行容器可以帮助服务提供商提升效率,而持续的价格战也会让客户最终受益。

如果企业想要尝试使用容器技术,那么公有云无疑是入门的最佳选择,因为成本和风险性都相对较低。AWS、微软和谷歌等公司都已经对容器提供了非常良好的支持。AWS推出了ESC(EC2 Container Services ),其中包含了一整套工具,比如CloudFormation、EC2 Container Registry和Docker等,并且ECS还支持持续交付。

翻译

王学强
王学强

TechTarget特邀编辑,毕业于计算机专业,现任职于外企IT分析师,负责网络、防火墙和服务器等系统运维工作,对虚拟化、网络安全和渗透测试拥有浓厚兴趣,工作外热爱旅行、汽车和健身。