从容器之热看新时代的虚拟化技术

一份刚刚发布的Docker调查报告表明容器技术正在不断兴起,而这种趋势在很大程序上需要归功于Docker Security Scanning这样的全新安全工具。

市场对于容器虚拟化技术的接受程度是前所未有的。根据最近一份针对500名IT专家的Docker调查报告,超过50%的企业在其生产环境当中部署了至少一种容器应用程序,表明容器的部署比例增速甚至超过了云技术,并且现有的部署比例仍然在不断增长。这项调查还显示超过90%的受访者在应用程序开发、提升敏捷性和灵活性、加快应用程序发布周期等领域使用Docker技术。

为提升Docker容器安全性不断努力

基于容器的虚拟化技术能够实现快速发展需要归功于多种原因。容器易于部署、能够快速启动或者增加实例数量——是虚拟机速度的三倍。容器还能够提供良好的代码稳定性并且价格十分合理。此外,hypervisor可以使用支持多租户安全特性的物理硬件,这样能够帮助解决很多和容器相关的安全问题。容器能够获得的基础架构支持也在不断改进,微软、VMware、OpenStack、所有Linux发行版本和主要公有云厂商都对容器提供了非常全面的支持。

另一方面,相关管理工具仍然处于追赶者的角色,但是值得注意的是自动化编排工具——Docker Swarm已经取得了很大进步。尽管很多企业在安全性方面不断投入,努力解决产品可能存在的相关问题,但是这方面仍然被视为一种严重隐患。英特尔开发了一种主要针对于容器的thin hypervisor,使得裸金属容器解决方案在未来变为可能。英特尔推出的这种全新方式从硬件上支持内存分离技术,以此实现跨租户间的相互隔离。

Docker刚刚推出了一种可选服务DSS(Docker Security Scanning),这种工具通过扫描二进制代码来检查容器镜像的安全等级,它还为镜像创建了签名。这种方式允许在部署之前对原始代码和更新进行验证。事实上,软件厂商可以为代码创建安全配置文件,使其完全符合用户的部署需求。DSS将之前需要不断修补的手动流程自动化,在节省大量时间的同时提升了安全性。

DSS默认被用于Docker Hub repository 当中的镜像,但是通用发行意味着私有repository也可以使用这种特性。另外一种将要在Docker Engine下一个版本当中推出的安全强化方案是用户权限分离。Docker的主要竞争对手CoreOS也已经推出类似的工具,称为Clair,刚刚升级到1.0版本。

Docker Bench for Security——一个检查安全最佳实践匹配程度的脚本,现在处于更新过程当中,可以提升对于用户硬件配置的验证功能。Bench能够发现潜在问题或者安全隐患,帮助管理员找出系统漏洞并且进行更新。

适用于容器虚拟化技术的第三方工具

相比于部署在企业级服务器和基础架构当中的传统应用程序,Docker在安全性方面更加具有优势。容器所具有的清晰结构和全新敏捷性可能会让管理员产生一种某些工作还没有完成的感觉。但是在基于hypervisor的云当中,安全性还有可能被底层的hypervisor架构或者其所加载的应用程序镜像和数据所破坏,因此依然具有改进的空间。

第三方工具可以在这方面提供帮助,比如Nessus 6.5能够检查内核主机脆弱性,参照CIS(Center for Internet Security)标准来寻找安全方面的漏洞。Twistlock最近推出的全新工具能够分析容器行为,将这些行为和一个包含预期结果的配置文件进行对比。

Unikernel技术也在不断发展,其将操作系统内核进一步剥离,相比于标准内核不仅启动速度更快,而且能够通过减少攻击目标来提升安全性。Unikernel可以运行在hypervisor或者裸金属之上,这对于容器完全取代hypervisor来说是一种长期威胁。Unikernel技术的反对者认为使用这种方式将会丢失大量工具,导致调试变得非常困难,但是在大规模部署当中这个问题也许不太可能发生,因为调试流程需要进行相当大的调整。

容器自动化管理领域也取得了很大进步。Google Cloud推出了基于Kubernetes 的Container Engine,能够对容器任务进行编排。用户还可以在私有或者混合云当中使用这种工具,通过一种简单方式在多种云之间建立桥梁。

Docker Swarm为OpenStack处理编排任务,同时还能够支持其他工具。RightScale Universal Cloud Management Platform已经支持容器了,可以使用脚本在现有的容器当中启动一个控制和收集数据的代理程序。

Open Container Initiative也在不断发展,它发起了一个促进镜像格式标准化的项目。这和容器在IT环境当中的发展方向是完全吻合的——使用更加简单、标准和安全的方式来实现一切需求。

Docker并不是唯一的可选方案。CoreOS也正在研究其Rkt容器,它能够解决一些Docker所面临的安全问题。Rkt和“rocket”这个单词具有相同的发音,声称已经完全实现了对于镜像的签名和验证,尽管Docker最近宣称已经在很大程度上缩小了这种差距。Rkt不需要使用daemon守护进程,因此不需要root权限就能够正常运行。

CoreOS正在努力推广标准镜像格式。它能够快速转换现有的Docker镜像格式,但是标准方式将会避免重建镜像。同时,CoreOS也支持Docker容器镜像。

随着这些安全、管理和编排工具的发布,基于容器的虚拟化技术未来很有可能继续蓬勃发展。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-11-02 08:47:55

从容器之热看新时代的虚拟化技术的相关文章

人算不如“云算”,且看新时代“借东风”

"清明时节雨纷纷",自古及今,从阴阳五行到二十四节气,再到近现代的天气预报,人们深重的双眸总是在时刻紧盯着变幻的苍穹. 天气事件往往会影响包括农业.交通业.建筑业.旅游业.销售业.保险业等在内的众多行业,从而最终影响社会正常的运行及发展. 根据联合国气候变化大会去年发布的<2017全球气候风险指数报告>显示,1996年-2015年,中国年均因极端天气事件引起的经济损失,达到328.74亿美元,排名全球第二,因极端天气引起的年均死亡人数排名全球第四.如何掌控风云变化,一直是人

Rkt 0.8发布,引入Intel的虚拟化技术

本文讲的是本文讲的是,,[编者的话]本文来自CoreOS官方博客,上周rkt发布了0.8.0版本,rkt 0.8.0引入了很多新功能特性,包括初步支持用户命名空间和使用硬件虚拟化增强容器隔离,同时改进了主机日志集成,容器套接字激活,改进的镜像缓存和提升速度.本文重点介绍新引入的硬件嵌入式虚拟化技术,最后简单介绍了一下开放容器平台的进展和如何向rkt贡献. 今天,我们发布rkt v0.8.0.Rkt是一个专为生产环境而设计的应用容器运行时环境,更加高效和安全. Rkt v0.8.0带来了很多安全上

虚拟化技术的发展历程简述

这篇文章将对虚拟化的发展历程.云计算时代的虚拟化技术.服务器虚拟化.应用程序虚拟化以及SystemCenter对虚拟化的管理进行一个详细的介绍. 虚拟化发展历程: 首次出现虚拟化的概念是在20世纪的60年代,可以使用它来进行对稀有而昂贵的资源--大型机硬件的分区.而随着时间推移,微型计算机和PC能够提供更为有效.经济的方法来对资源进行分配和处理,所以到20世纪80年代之后,虚拟技术不再被广泛使用. 但是到了20世纪90年代,研究人员开始探索如何利用虚拟化解决与廉价硬件激增相关的一些问题,例如,利

微博新时代偶像粉丝刷新评论榜记录,粉丝社交你怎么看

微博粉丝哪家强,是拥有微博第一粉丝量的陈坤(7444 万),还是相比之下只有 400 万左右粉丝的鹿晗?单从粉丝量来讲,结果显而易见.当这些新时代偶像的微博不断刷单条评论榜纪录时,你会这样想? 内地组合TFBoys 这两年的微博热门话题,无不围绕着 EXO.TFBOYS.李易峰--这些两年内迅速蹿红的人物打转,他们正以着超乎你想象的速度占据着各大社交平台的实时流量.不是粉丝越多,流量会越多吗?为什么这样有违常理的事情会发生呢?想要回答这背后的逻辑,我们不得不引出一种当下正在慢慢从 90 后 00

被K的网站来迎接“新时代”

在SEO界中,让SEOer最烦恼的就是被K了站.而前段时间百度大更新,出现的大量K站,让很多站长头疼的冲动,现在在这里说说为什么会出现K站,当然有点自己的想法分享下. K站的原因: 百度这次K站出现在公告中已经说明:本次K站主要针对垃圾外链.垃圾网站(没有原创文章,或者没有超过百分之五十的文章).黑帽手法.服务器等问题经行惩罚的. 被"围欧"的SEO: 百度这次K站是一个新时代的来临,做SEO的是否想过,现在百分之八十的网站都是依靠着SEO的辅助的,而出现的问题就是网民浏览的东西都SE

展望云计算新时代数据库计算力的进化

从1970年关系数据库理论被提出,到2006云计算概念的诞生,半个世纪以来IT行业的科技革新不断引领着时代潮流.作为IT技术的核心领域之一,数据库如何在云计算的大时代背景下持续进化,开拓创新. 10月12日的云栖大会·阿里云自研数据库POLARDB专场,阿里云研究员余锋带来了<展望云计算新时代数据库计算力的进化>主题分享,探讨了阿里云数据库团队自研数据库POLARDB的设计理念,并一起展望了新一代云数据库的未来. 云数据库的进化 数据库是计算,是存储,也涉及网络和内存,但它们都是非常密集的基础

新时代服务营销是一个全流程精益化过程

"服务营销"是一个关注客户--向客户提供服务--实现有利交换的三级跳过程,服务营销包含产品.定价.渠道.促销.人员.有形展示.服务过程等综合要素,也就是传说中的服务营销7Ps理论.而在人工智能.机器人.虚拟现实.物联网纵横的全新时代,是的,叫这个时代为互联网时代似乎已经过时了,时代变化之快让人瞠目结舌,未来已来,难以置信之间已经身处未来之中,产品.技术.商机.模式在这样的时代势必会被催生出不可思议的变化,新时代的服务营销是一个什么样子,仁者见仁,智者见智,我们尽管大胆发挥自己的想象力,

15年传奇仍在续写 HPE刀片新时代的开场白

ZD至顶网服务器频道 06月24日 新闻消息: 刀片服务器的诞生始于2001,至今已历时15年.   回顾15年前,从4位计算机开始,服务器就不断的被标准化.工业化的浪潮所推动发展,x86处理器成为发展的内部动力.19英寸机柜的诞生则让服务器有了一个标准尺寸的家.来自康柏公司员工组成的RLX Technologies公司开发而成的System 324刀片服务器横空问世,这应该可以看成是刀片服务器的开端.2005年10月,RLX公司被惠普收购,成为今天HPE的技术资产之一.   在之后的2002年

最赚眼球的就要数新时代爱情电影《被偷走的那五年》

8月电影季火爆来袭!在本月上映的多部元素多样.大牌云集的电影中,最赚眼球的就要数新时代爱情电影<被偷走的那五年>.白百何.张孝全等众星鼎力加盟,加之严谨.精彩.唯美的剧情,<被偷走的那五年>想必已经让每一位电影迷迫不及待了.稳住,京东推出的"京东8月电影季"活动,不仅将为迫不及待的影迷们提供了一次提前观影的绝佳机会,更可以电影票1元秒杀,实现与白百何.张孝全等名角一起"0"距离见证那五年,你准备好了吗?据了解,在长达7天的"京东8月