CoreOS为容器安全带来不同方法

容器安全对于CoreOS的第一个container runtime rkt的产品发布是至关重要的。这被认为比Docker更适合大规模部署。

随着安全为中心的rkt第一个产品版本在上周发布,容器市场持续升温。

开源项目首次可用的一年后,rkt container application runtime(容器应用程序运行)的1.0版本聚焦于安全性和应用部署的定制角色,它也是市场上用户可以部署Linux containers的另一种选择。

CoreOS把rkt定位于比Docker在整体应用框架中有更多模块组件。其推进力已经扩展到组成和打包容器来构建整个建立和运行容器化应用的平台之外。

Rkt仍会与Docker image合作,其他生态系统内伙伴已经为1.0发布版添加了围绕监视、网络和runtime images的注册表、将Docker images转换为rkt images等方面的附加功能。通过与Intel的合作,用户也可以把rkt作为更高额外安全性的虚拟机发布。

CoreOS计划把rkt集成到Tectonic中,这是它商业的Kubernetes平台。Kubernetes和其他配套工具还跟Docker Swarm之类的服务竞争。

Deis,是 Engine Yard的一个部门,也是开源平台的服务供应商。它为大型企业生产Docker容器,不过在按比例延长用途后它遇到了一些问题。Docker团队一直全力支持解决这些问题,但是随着Docker继续为其客户端添加表面区域,它离Deis所需要的简单的稳如磐石的容器引擎距离越发遥远,位于旧金山的Engine Yard的CTO Gabriel Monroy如是说。

“我们仅仅需要某样东西能就做一件事,并且做好,”他说道。

Deis已经做了测试定标,并用rkt做了原型。他们计划最终为runtime用rkt替换Docker,同时维持Docker image格式,Monroy补充道。

Calico项目,是一个由Metaswitch赞助的开源网络堆栈,支持Docker和rkt,尽管它认为后者在尺度上更合适,伦敦Metaswitch Networks 方案架构总监Christopher Liljenstolpe说。他解释道,Docker有更多的机制环绕着它,而rkt需要相对少的运行组件。

“Docker非常想提供一套完全整合的垂直堆栈,这是他们已经着手建造东西的方式。”他说。“CoreOS更多是关于模块化。你可以拿走你需要的然后留下其余的。”

自从Docker在2013年闯入人们的视野并在一年后发布它第一个商业版本以来,容器已经是IT里最引人议论的技术之一。CoreOS在2015年晚些时候发布rkt时吸引了人们的注意,同时批评Docker作为容器引擎的安全性。

CoreOS CEO Alex Polvi关注了Docker模型,该模型需要大量操作才能在Docker daemon上运行——这是他对1.0发布版的观点。

“不做Docker的重写,永远会有突出的安全问题,”他说。“我们建立rkt来定位结构性问题,而打了轻量补丁的Docker是无法定位这些问题的。”

根据Polvi 的说法,Rkt遵循优先隔离的Unix哲学。用户可以选择消除运行API server作为root的需要,或者与互联网对话以上传或下载图像。

Docker拒绝特别对CoreOS索赔进行评论。两家公司都非常严肃的采取安全措施,尽管是从不同的角度达到,Fintan Ryan(位于缅因州Portland的RedMonk的分析师)解释道。顾客会选择最能满足他们需求的,但更加公平的比较——更激烈的竞争,会随着容器之上的软件而到来。

“市场对所有人来说绝对会变的很大,因此这肯定会有若干不同的方法来实现。” Ryan说。

Docker和CoreOS为了共同的经济利益而斗争,但他们也通过开放容器主动权,并肩合作对抗世界上一些最大的技术供应商以建立一个标准的容器格式和runtimes。

来自451研究机构的分析师调查了198名高级IT专家。根据关于云计算的企业调查声音中基于纽约公司2015年第三季度期,其中有64%的人的主要容器供应商是Docker,而10%人是rkt。

当新技术像Docker出现那样受欢迎,市场就敞开了替代技术的大门,451的研究经理Jay Lyman说。Rkt曾帮助保持Docker在前进上的诚实,并提升了其对容器安全更大的关注。

“这是经典的教育其他项目的开源软件竞争者,”Lyman说。“当有超过一个可行的替代者出现,对Docker和rkt都会有帮助。”

本文转自d1net(转载)

时间: 2024-09-29 13:09:29

CoreOS为容器安全带来不同方法的相关文章

你将如何缓解容器网络带来的挑战?

基于软件容器网络对NAT的依赖以及NAT自身的局限性,网络工程师在其基础设施内部署容器时面临一些显著的挑战,但通过了解容器主机如何支持NAT模式可帮助我们避免这些问题. 首先,让我们看看主机如何创建新的网络命名空间(这在概念上类似于MPLS/VPN模型中的虚拟路由和转发实例)以及被称为虚拟以太网(vEth)的特殊网络接口.vEth接口是用于连接命名空间的一对端点,主机将vEth的一端放在默认命名空间用于与外部世界通信,另一端放在新创建的命名空间. 默认命名空间中的vEth被绑定到桥接,例如Doc

微服务和容器对企业带来什么样的影响?

IT经理.架构师和开发者都尝试妥协于微服务和容器对企业IT方式的改变.在某一个层面来说这是一件好事,但是事实上,一些更深层次的东西在驱动着技术和IT. 要理解微服务和容器,可以从抓住它的价值定义开始,然后将IT和数据中心的性能与这个变革的驱动者进行匹配.最后,为了敏捷性来构建架构,而不是为了追随下一个大热点来构建架构. IT策划者和经理们一定要了解到应用程序和工作者之间基本关系的变化--特别是事件驱动型.移动的工作者--他们是使用容器和微服务的驱动者.IT方向的转变会让昂贵.长期存在的基础架构向

微服务和容器对企业带来什么样的影响?

IT经理.架构师和开发者都尝试妥协于微服务和容器对企业IT方式的改变.在某一个层面来说这是一件好事,但是事实上,一些更深层次的东西在驱动着技术和IT. 要理解微服务和容器,可以从抓住它的价值定义开始,然后将IT和数据中心的性能与这个变革的驱动者进行匹配.最后,为了敏捷性来构建架构,而不是为了追随下一个大热点来构建架构. IT策划者和经理们一定要了解到应用程序和工作者之间基本关系的变化--特别是事件驱动型.移动的工作者--他们是使用容器和微服务的驱动者.IT方向的转变会让昂贵.长期存在的基础架构向

CoreOS Fest 系列之第一篇:容器江湖

本文讲的是CoreOS Fest 系列之第一篇:容器江湖,[编者的话] 这是总结 CoreOS Fest 大会的三篇文章之一,主要介绍了 CoreOS 公司与 Docker 公司之争,新成立的 appc 规范委员会, Tectonic 平台, Kubernetes 项目. 最近在旧金山, Linux 容器已经显得非常有「钱」景,看起来每个人都想从这个有几十亿美金规模的新市场中分得一杯羹.多家创业公司和云主机公司已经或者即将召开有关容器的大会,包括 4 月 17 日召开的 Container Ca

看CoreOS的联合创始人如何谈论容器,Rocket 以及 Docker

本文讲的是看CoreOS的联合创始人如何谈论容器,Rocket 以及 Docker,[编者的话]Alex Povil是CoreOS的CEO和联合创始人,本文是Linux.com对Povel的一个访谈记录.在访谈中,Povil谈到了他们创建CoreOS的初衷是基于安全性的考虑,为了使系统变得更加安全,他们使用容器技术构建了CoreOS,以此让操作系统和应用程序相分离.此外,CoreOS对于容器技术也进行了更深入的思考和布局,他们发布了App Container Spec制定了容器的实现规范,而Ro

80/20定律:在生产环境中使用容器所能带来的收益

本文讲的是80/20定律:在生产环境中使用容器所能带来的收益[译者的话]二八定律又名80/20定律.帕累托法则(定律),它指出了在大部分情况下:多数努力,它们只能造成少许的影响:而少数的部分,它们造成主要的.重大的影响. 将容器应用到你的日常工作当中,花费20%的精力或许就能带来你所期望的80%的收益,避免将时间和精力花费在琐事上,要学会抓重点. 今天许许多多的人都在谈论容器,容器编排,以及容器相关的生态,而相比之下却只有少数几个组织能够真正的在生产中使用容器. 鉴于使用容器所能带来的那些好处,

CoreOS,一款Linux容器发行版

CoreOS,一款最新的 Linux 发行版本,支持自动升级内核软件,提供各集群间配置的完全控制. 关于使用哪个版本的 Linux 服务器系统的争论,常常是以这样的话题开始的: 你是喜欢基于 Red Hat Enterprise Linux (RHEL) 的 CentOS 或者 Fedora,还是基于 Debian 的 Ubuntu,抑或 SUSE 呢? 但是现在,一款名叫 CoreOS 容器 Linux 的 Linux 发行版加入了这场"圣战".这个最近在 Linode 服务器上提供

【阿里云资讯】Docker首个国内合作商,阿里云何以认定容器技术将成主流?

阿里成Docker首个国内合作商 10月13日,在2016杭州·云栖大会上,全球知名的容器技术公司Docker与阿里云宣布达成战略合作,双方将在容器服务领域进行紧密合作,阿里云称其将为客户提供更加先进的云上应用管理服务.双方称在开源容器技术以及其发展方向共同努力,为客户提供本地化Docker的企业级支持和咨询服务. Docker自问世三年来,社区不断壮大,项目升温之迅猛在开源社区中并不多见,并受到IT业内的广泛关注.不过,Docker在国内真正的大规模应用仍然不多,目前国内Docker的使用状况

年终盘点:解读2016之容器篇——“已死”和“永生”

也说不上什么时候起,"XXX Is Dead. Long Live XXX"的句式突然成为了技术会议上演讲题目的一个标准套路.然而不管已经被引用的多么烂俗,用这套悖论来总结2016年容器技术圈子发生的凡事种种,却实在有种说不出来的恰到好处. 无需多言,稍微回顾一下2016年容器技术圈子的时间线,我们很容易就能回想起容器技术如何在这一年迅速登上云计算舞台的中心.这股热潮,从年初Docker公司闪电收购Unikernel Systems提前扼杀各种"被颠覆"的苗头,蔓延