最新架构和云计算的发展,正推动虚拟化容器应用到数据中心生产环境。
容器化方法对虚拟化行业发出的传票,正如虚拟化对传统数据中心一样,容器化虚拟方案与虚拟机管理程序一样,都必须面对跨租户窥探的漏洞。当虚拟机管理程序因未授权或意外而暴露企业信息,Intel增加了硬件功能来远程消除租户信息,防止数据泄露。当固态硬盘实例过度配置问题得以解决后,行业又遇到并克服了数据安全漏洞这一问题。
现在,随之而来的是容器方法的快速发展。容器运行在单一操作系统上,而且这些硬件内存控制工具无法隔离多个容器。
为确保数据安全,数据中心可以在虚拟化管理程序里的一台虚拟机中运行容器,但这可能会减缓容器创建速度,也没有利用到容器技术的这一主要卖点。IT架构师可以在单一虚拟机中建造成百容器,以此来隔离其他用户在另一台虚拟机中创建的几百个容器,但结果是操作非常繁琐。IT团队需要调整虚拟化演变而来的隔离机制,以更好的支持容器。
Intel已经对准虚拟化容器的发展方向进行了架构开发。在改变硬件时额外增加DMA重映射边界控制,可以限制每个设备可访问的系统内存,Intel通过容器化方法,推出了Clear Containers作为一种聚合轻量级虚拟化管理程序,很像kvmtool。这种结合扩展了内存共享能力。
增加轻量级虚拟化管理程序的额外开销大约在20MB左右,这对生产环境中几乎没有影响。更重要的是,新容器的启动时间大概是150毫秒。虽然比Docker容器慢了点,但对大多数用途是够用的。
Intel评估,管理员可以在一台拥有128GB内存的服务器上运行大约3,500个轻量级虚拟化容器。这样会导致I/O饥饿,但数量确实高的惊人,也突出了容器方法的价值所在。
Intel同样还开发了针对虚拟化容器的安全功能。Kernel-Guard Technology在硬件与内核之间增加了一个小型监视器,可以防止内核与寄存器被修改。Cloud Integrity Technology生成密钥模块哈希,并且调用Trusted Platform Module进行签名,这样他们在被验证时能够确保有效。Software Guard Extension允许在内存中存在安全飞地,定义用来协助维护加密密钥的安全。Intel计划在未来进一步改进容器性能,包括QEMU虚拟机模拟器掺入和内存使用优化。
仍旧缺失的与文件访问保护冲突的数据共享。这既是虚拟机管理程序和操作系统的问题,也是容器的问题。Intel正在寻找通过NVMe来解决这一问题的方案,基于队列的存储接口,可以避免多层SCSI栈。NVMe允许I/O直接与虚拟机或容器直接关联,并且最高可达64,000个队列。这可能是机械化存储I/O的有效途径。
CoreOS宣布,Intel Clear Containers成为他们Rocket 容器的解决方案。Clear Containers可能打开容器部署的开发局面——如果我是一名虚拟化管理软件供应商,我会非常关注容器根据我得具体需求收敛后,具体的步长。有可能出现共存的情况,但Clear Containers会让边界尽可能的接近容器的领地。
虚拟化容器对数据中心的影响
小尺寸、可靠的安全容器意义在于,我们将需要更少的服务器来承载相同的工作量。因为容器可以在现有的服务器上进行部署,几乎在两年内无须采购新的设备。数据中心预算也可能会被花费到别的地方。
提高I/O性能以满足容器数量是个不小的挑战,但本地固态硬盘能够为容器提供非常可观的IOPS水平。超强的性能意味着容器不会出现I/O饥饿,同时还能采用少量主SSD存储与更便宜的二级SATA存储方案。
针对虚拟化容器方案的增强可以应用在Intel 3D Xpoint near-in内存场景。增加这些到服务器上能够大幅提高服务器整体性能,因为X-Point安装在DIMM总线上的内存扩展器。
优秀的I/O性能能够提高容器的接受程度,但所有这一切将给网络性能也带来不少难题。单独一台操作系统所产生的网络流量会比虚拟机管理程序中多台操作系统之间交互要少得多,但密集容器解决方案仍然会增加网络负载。
数据中心可以采用10Gb以太网,2016年将开始使用25Gb以太网。更快的带宽可以缓解网络拥堵,但也增加了成本。在辩论中,我们得到的是利用RDMA over Ethernet技术来降低服务器开销负载;能节省非常多。Chelsio的iWarp似乎是Ethernet RDMA的商业赢家。这样就能够运行更多的容器,网络利用效率也会更高。
结合两者,服务器、存储与网络的密度增加和性能提升,将减少IT支出,并让数据中心在一段时间内保持相同甚至更小的空间占用增长。
本文转自d1net(转载)