Docker CTO Solomon说的LinuxKit到底是什么?

在奥斯汀举办的DockerCon17上,Docker公司的CTO Solomon宣布了一个新的开源项目LinuxKit 。我们从几个方面出发研究下到底什么是LinuxKit。

1.Linuxkit是什么?

LinuxKit是用来构建安全、可移植、精益的专门为容器服务的操作系统的工具集。(A toolkit for building secure, portable and lean operating systems for containers,https://github.com/linuxkit/linuxkit)

精益:

LinuxKit可以构建一个非常轻量裁剪版的操作系统,最小只有35M,所有的系统服务都是基于容器。实际上LinuxKit就是基于Alpine发行版之上。(Linuxkit's roots are in Alpine. A stronger Alpine is a stronger linuxkit. We'll continue to invest in Alpine.)

安全:

LinuxKit的几个安全设计原则:
1. 使用现代安全配置的内核
2. 最小化base
3. 类型安全的系统Daemon。会借助原先的 MirageOS项目来构建unikernels。
4. 安全镜像构建链条。通过TUP、签名方式的镜像来保证镜像构建过程的不可变和可信。
5. 不可变架构。使用一个只读文件系统。
6. 使用外部可信的资源创建。依赖infrakit来更新LinuxKit的节点
7. 孵化更多的安全项目,如WireGuard和okernel

可移植:

  1. 支持桌面、服务器、IOT和大型机
  2. 支持Intel和ARM
  3. 支持裸金属和虚拟化。

借助Linuxkit, 终于可以在Windows上运行Linux容器:

2.LinuxKit有什么作用和场景?

  1. 对于非Linux平台但希望支持Linux容器的场景,如Mac OS和Windwos
  2. 打造一个更安全的操作系统,降低安全攻击平面。
  3. 针对特定的物理设备和需求,打造定制化的OS。

3.如何通过Linuxkit制作一个新的镜像。

LinuxKit需要编写一个yaml文件,来配置所需要的服务。可选的配置包括

kernel:指定内核的Docker镜像,镜像里面需要包含内核和文件系统tar包。
init:指定根系统的docker镜像,包括init、runc、containerd等。
onboot:启动过程中执行的系统服务,按顺序逐个运行,并且很快执行结束。
services:基于docker镜像的系统服务,这些服务在build的时候会由docker将其转换为OCI格式,以便后续runc来启动
files:指定额外添加到镜像的文件
outputs:构建完成后的输出文件。支持通过Mac OS、Qemu、Google Cloud Platform、Vmware等执行。未来也会支持在阿里云上直接运行。

我们看下只有redis的精简操作系统的YAML样例

  image: "linuxkit/kernel:4.9.x"
  cmdline: "console=ttyS0 console=tty0 page_poison=1"
init:
  - linuxkit/init:63eed9ca7a09d2ce4c0c5e7238ac005fa44f564b
  - linuxkit/runc:b0fb122e10dbb7e4e45115177a61a3f8d68c19a9
  - linuxkit/containerd:18eaf72f3f4f9a9f29ca1951f66df701f873060b
services:
  - name: dhcpcd
    image: "linuxkit/dhcpcd:0d4012269cb142972fed8542fbdc3ff5a7b695cd"
    binds:
     - /var:/var
     - /tmp/etc:/etc
    capabilities:
     - CAP_NET_ADMIN
     - CAP_NET_BIND_SERVICE
     - CAP_NET_RAW
    net: host
  - name: redis
    image: "redis:3.0.7-alpine"
    capabilities:
     - CAP_NET_BIND_SERVICE
     - CAP_CHOWN
     - CAP_SETUID
     - CAP_SETGID
     - CAP_DAC_OVERRIDE
    net: host
outputs:
  - format: kernel+initrd

接下来就可以用moby来构建和启动这个镜像。

4.LinuxKit和原来的面向容器的操作系统CoreOS Container Linux, RancherOS or Atomic有什么关系?

LinuxKit更多是一个工具集。而后面几个是面向终端用户的产品OS。Docker通过推出LinuxKit不可避免的触及了这些OS公司的利益。RancherOS表示,他们对LinuxKit持拥抱态度。

5.Linuxkit和Unikernel什么关系?

在16年1月份Docker收购了英国的创业公司Unikernel Systems,LinuxKit也是来自这个团队的出品。LinuxKit的思想和unikernel相对来说是一脉相传,不过unikernel有不同的分支,比如MirageOS、OSv等。而在Linuxkit里主要是使用了MirageOS的unikernel方案。有了LinuxKit的加持,“Docker是否真正安全”有了新的解法。
如果大家对Unikernel不了解,可以参看这篇文章: 。

时间: 2024-12-24 20:27:49

Docker CTO Solomon说的LinuxKit到底是什么?的相关文章

阿里云容器服务飞天敏捷版详解

概述 飞天敏捷版深度整合了Docker商业版套件和阿里的容器服务,成为国内唯一具有全商业版支持能力的容器云平台,可以部署在客户自有数据中心,包含从容器的创建到运行以及镜像的全生命周期管理.飞天敏捷版另外提供开放的接口,全面兼容Docker原生API和命令行以及第三方工具,为客户提供敏捷.弹性.开放的容器云平台.借助阿里云在公共云和专有云方面的积累,飞天敏捷版更提供了独特的混合云管理模式,让客户轻松管理云上云下运行环境. 飞天敏捷版的架构可以用下图表示: 从图中我们可以看到,飞天敏捷版底层基于Do

Docker生态会重蹈Hadoop的覆辙吗?

2016-12-02 来源:36大数据 Docker的兴起和Hadoop何其相似 2015年说是Docker之年不为过,Docker热度高涨,IT从业人员要是说自己不知道Docker都不好意说自己是做IT的.2016年开始容器管理.集群调度成为热点,K8s开始成为热点.但这一幕和2013年的Hadoop大数据何其相似,当年你要说自己不知道大数据,或是知道大数据不知道Hadoop,那必然招来鄙视的眼光.云计算喊了这么久,从来没有像Docker这么火过,究其原因不外乎两条: 开发者能够用Docker

容器,你还只用Docker吗?(上)

作者介绍 周晖,Pivotal大中国区云计算首席架构师,有丰富的PaaS云实际建设经验,负责过国内某知名银行已经生产上线一年的PaaS云的架构设计和部分功能的实现,参与过某超算PaaS.某超市电商PaaS.某电力PaaS等项目的建设.   一.从一场容器的撕逼战开始说起   从2016年7月底开始,Google Kubernetes布道师 Kelsey Hightower 和Docker的CTO Solomon Hykes在Twitter上发生了一场撕逼大战,主题是要不要用RunC或其他容器来取

DockerCon 2016 深度解读:在阿里云上体验Docker 1.12内置的编排能力

昨天才从DockerCon大会归来,阿里云容器服务团队将为大家奉献一系列深入学习的文章来帮助大家了解Docker 1.12的最新动态. 第一部分:在阿里云上体验Docker 1.12内置的编排能力 (本文) 第二部分:在阿里云上体验Docker 1.12的路由能力和容器应用分发部署 在DockerCon第一天的Keynote里面,Docker CTO Solomon Hykes宣布Docker将提供内置的编排(Orchestration)能力,从而能使得Docker Engine原生支持集群管理

Docker开源Moby和LinuxKit

在奥斯汀市举办的DockerCon大会上,Docker宣布了两个重大的开源项目Moby和LinuxKit.从根本上讲,Moby标志着Docker的分裂,这个Docker公司的开源项目已经从GitHub库docker/docker迁移到moby/moby.LinuxKit提供了一套工具,用于构建"只包含运行时平台需要的组件的定制化Linux子系统". 来自Rancher的Darren Shepherd在推特中将Moby的目标归结为: 对Moby感到困惑?简单来说,对于@docker用户而

《循序渐进学Docker》——第一部分 Part 1 基础篇 第1章 全面认识Docker 1.1 Docker是什么

第一部分 Part 1 基 础 篇 第1章 全面认识Docker 第2章 初步体验Docker 第3章 Ubuntu下使用Docker 第4章 Docker的基础知识 第1章 全面认识Docker 欢迎来到Docker的世界. Docker,Golang社区杀手级的应用,是Github上最活跃的项目之一,也是开源社区最受欢迎的项目. Docker,号称要成为所有云应用的基石,并把互联网升级到下一代. 开发.测试.运维人员看到Docker,都激动地说:"太好了,这正是我所需要的!" Do

Docker技术入门与实战(第2版).

容器技术系列 Docker技术入门与实战 第2版 杨保华 戴王剑 曹亚仑 编著 图书在版编目(CIP)数据 Docker技术入门与实战 / 杨保华,戴王剑,曹亚仑编著. -2版. -北京:机械工业出版社,2017.1 (容器技术系列) ISBN 978-7-111-55582-7 I. D- II. ①杨- ②戴- ③曹- III. Linux操作系统-程序设计 IV. TP316.85 中国版本图书馆CIP数据核字(2016)第308604号 本书从Docker基本原理开始,深入浅出地讲解Do

从Docker的转变,谈容器生态与微服务的发展

更多深度文章,请关注:https://yq.aliyun.com/cloud 编者按:容器技术目前已经成为技术圈内的"常识",但是容器生态能否健康发展仍然任重道远.在收获最初的赞扬之后,领军者Docker如今身陷非议:今年执意壮大发展Swarm进军编排领域,似乎Docker公司一方面惹毛了很多强劲的编排领域玩家,另一方面也并没有收获预料之中的成果.12月14日,Docker计划将其关键容器运行模块之一Containerd贡献给开源社区.在周晖先生看来,这意味着Docker的重心将回归到

【DockerCon2017最新技术解读】使用Moby工具和Linuxkit定制容器系统

摘要:在云栖TechDay34期:DockerCon2017最新的技术解读中,阿里巴巴技术专家王炳燊为大家解读了在DockerCon2017中新发布的Moby项目和Linuxkit项目,为大家详细地介绍了Moby与Docker的区别,以及Linuxkit的优势所在,并通过示例介绍了如何利用Moby工具和Linuxkit定制容器系统. 以下内容根据演讲嘉宾现场视频以及速记整理而成. 演讲嘉宾介绍: 王炳燊(花名:溪恒),具有丰富的Linux开发经验,对Docker技术有深入研究,多次提交Docke