Docker容器技术——这个风头直追OpenStack的云计算开源项目,关于它的热议已席卷虚拟化乃至云计算行业,业内各大厂商(包括亚马逊、红帽、IBM和 VMware 等)都加入了容器的行列。这不禁让人想问:容器技术的崛起是否会带来虚拟化时代的结束?
容器,并不是一个新技术。容器的Linux版本最早见于内核2.3.x,名不见经传地发展了几十年,但在过去的一年里,Docker带领容器技术突然跃进了大众视野。Docker何以突然获得行业巨头的青睐?
从技术角度看,传统容器只解决了容器执行(run)问题,而Docker定义了一套容器构建(build)、分发(ship)和执行(run)的标准化体系,开创了容器云端开放平台(Docker Hub Docker Engine)的模式,极大地提高了开发部署效率。
从生态圈的角度看,Docker过去一年之所以开始普及,主要是在云计算产业迅速发展的环境下,Docker作为虚拟化的补充甚至替代技术而被人们所关注。
那么,Docker技术与虚拟化技术有何区别?从虚拟化层面来看,传统虚拟化技术是对硬件资源的虚拟,容器技术则是对进程的虚拟,从而可提供更轻量级的虚拟化,实现进程和资源的隔离。
从架构来看,Docker比虚拟化少了两层,取消了hypervisor层和GuestOS层,使用 Docker Engine 进行调度和隔离,所有应用共用主机操作系统,因此在体量上,Docker较虚拟机更轻量级,在性能上优于虚拟化,接近裸机性能。从应用场景来看,Docker和虚拟化则有各自擅长的领域,在软件开发、测试场景和生产运维场景中各有优劣。
软件开发、测试场景谁能胜出?
快速创建、删除:虚拟化创建是分钟级别的,Docker容器创建是秒级别的,Docker的快速迭代性,决定了无论是开发、测试、部署都可以节约大量时间。
交付、部署:虚拟机可以通过镜像实现环境交付的一致性,但镜像分发无法体系化;Docker在Dockerfile中记录了容器构建过程,可在集群中实现快速分发和快速部署,并且开发、运维、部署和测试人员获得高度一致的环境与配置。
性能:Docker在操作系统级别进行虚拟化,Docker 容器和内核交互,几乎没有性能损耗,性能优于通过hypervisor层与内核交互的虚拟化,这已经被IBM测试验证。
体量:Docker的架构可以共用一个内核与共享应用程序库,所占内存极小,部署一个Ubuntu只需20MB,而虚拟机即使采用内存超量技术也远不止于此。
迁移和扩展:虚拟机的迁移较为复杂,尤其在异构环境下;而Docker容器可以在任何平台上应用,不论公有云、私有云、服务器、PC、虚拟机或物理机,都可以轻松跨平台迁移。
更新管理:以往分布式环境下更新是很烦琐的事情,虚拟化中各个厂家的实现基本是借助各自工具配合虚拟化软件,向虚拟机推送安装、升级应用软件补丁包; Docker的更新是迭代式的,只需修改Dockerfile,对增量内容进行分发、存储、传输、节点启动和恢复迅速。
从以上比较可看出,这一局Docker表现不俗,大比分胜出。Docker适用于可伸缩的分布式集群开发环境,实现软件的轻松跨平台功能,例如大数据hadoop、spark等软件框架,保持开发、部署、质量管理、产品管理等环境的一致性,实现DevOps(开发运维)的关键环节能力,使开发或运维的一线人员从环境差异中解脱。
企业生产环境 运维中谁能胜任?
稳定性:Docker目前发布版本是1.6,属于较新版本的软件产品,每月更新一个版本的速度,在产品活跃的同时也表现出不稳定性,用于生产环境需要企业承担不小的风险。虚拟化的版本发展到VMware vSphere6.0,Xen最新版本Citrix XenServer 6.5,KVM作为虚拟化的新星,从内核2.6.20开始集成进入内核,目前发展到内核4.0.5,大版本的发展增强了他们的稳定性。
可管理性:Docker的集中化管理工具尚未成熟,相对稳定的管理工具,Shipyard在管理上还较为粗糙,多是面向应用层面的管理。在虚拟化方面,各种虚拟化技术都有成熟的管理工具,例如VMware vCenter提供完备的虚拟机管理能力,OpenStack对KVM支持程度属于A类(最佳适配)。此外,Redhat采用oVirt专门提供对KVM虚拟机的集群管理,并推出CloudForms提供异构虚拟化环境下的管理。
监控能力:对于企业所关心的系统、运行的健康状况、风险报告等,Docker没有对使用情况配置、追踪和报告。虚拟化基于hypervisor进行资源的分配,监测各类性能指标不在话下,集成在hypervisor层的监控能力可对性能、服务器硬件和虚拟化特定软件的警报与事件处理等进行不同颗粒度的监控。
高可用和可恢复性:Docker对业务的高可用支持是通过快速重新部署实现的,关于数据本地的高可用、备份和远程容灾等没有较好的解决方案。虚拟化具备负载均衡、高可用、容错、迁移和数据保护等经过生产实践检验的成熟保障机制,VMware可承诺虚拟机99.999%高可用,保证业务连续性。
连通性:容器是基于主机的解决方案,不同主机上的网络访问比较原始,可通过端口映射到主机操作系统,使服务可以通过网络访问。相比之下网络虚拟化技术,基于封装和隧道技术,如vlan、vxlan、NVGRE等,已能满足虚拟机间、跨主机间的通信需求。此外,Docker适用于单一类型的操作系统之间共享内核,对于多操作系统的环境,虚拟化更能满足。
安全性:Docker的租户root和宿主root等同,一旦容器内的用户从普通用户权限提升为root权限,它就直接具备了宿主机的root权限,进而可进行几乎无限制的操作。虚拟机租户root权限和宿主机的root权限是分离的,并且虚拟机利用如Intel的VT-d和VT-x的ring-1硬件隔离技术,这种隔离可以防止虚拟机突破和彼此交互,而容器至今还没有任何形式的硬件隔离,这使它容易受到攻击。而对于企业生产环境而言,安全毕竟是第一要务。
企业生产环境运维中虚拟化较为胜任。与面向应用的Docker不同,虚拟化是面向底层架构的,目标是构建高可用云计算的IaaS资源池。在以往容器技术发展并不成熟之前,虚拟化技术抢占了一些面向应用的需求,预计在将来的发展中这些需求将被Docker收编。
Docker、虚拟机:我们在一起了
虚拟化的厂家开始支持容器:亚马逊推出了弹性容器服务(ECS),并在2014年秋正式推出该服务。
在AWS客户启动容器后,ECS将负责扩展容器,并提供中央管理门户网站来追踪它们,提高了云移植性和降低了成本。VMware已经宣布将支持容器,强调采用虚拟机作为介质部署容器可对容器安全性和管理控制进行补充。
Linux大佬、KVM的主要支持者Redhat也开始支持Docker,Linux系统是容器技术的顶梁柱,得到Redhat支持意义非常重大。
Redhat将Docker集成到自己的操作系统RHEL中以KVM承载Docker,并推出了RHEL 7 Atomic HOST容器优化系统,Atomic定义了Redhat认证的Docker宿主、容器源、容器开发包等,瞄准了原本安全堪忧的Docker,从整体架构的各个层面进行可信认证。另外还提供更小的Docker镜像文件,在集群管理方面采用Kubernetes实现。
Docker主动向虚拟化靠拢:在欧洲DockerCon会议上,Docker公司发布了跨容器的分布式应用编排服务,编排服务可以帮助开发者和运维人员创建并管理新一代可移植的分布式应用程序。
在这些容器编排服务中,有一个重要的服务叫Docker Machine,主要是方便在各个云计算厂商的基础架构上快速安装部署Docker服务,目前官方已经支持AWS、Azure。
取长补短,和而不同
从开源协作到DevOps,从持续集成交付到微服务,Docker一次次颠覆了软件开发生命周期,不难看出,Docker可以屏蔽架构层的实现,只关注PaaS层的需求,而虚拟机擅长解决原来物理机时代所带来的高可用、运维、管理等问题。
Docker和虚拟机结合可以弥补纯物理机架构下使用容器的不足,例如在安全性和管理控制方面,直接在裸机运行容器需要配置网络和安全连接,虚拟机可以在管理系统中轻松处理这些问题。
正如虚拟化技术KVM已集成到内核中,成为标准Linux内核模块一样,预计Docker将来会向内核集成发展,容器技术将成为标准的操作系统服务。那么,二者除了以上的关注层面不同外,虚拟机、Docker 虚拟机、Docker 物理机这三种组合,面对不同业务类型我们将如何选择?
对于高I/O要求的业务,例如数据库服务,建议部署Docker 物理机,因为在虚拟机中部署Docker,I/O性能将受到虚拟机的限制。
对于虚拟桌面服务等强调租户权限和安全的业务,建议采用虚拟机方式,虚拟机的多租户强隔离特性,保证租户在拥有虚机root权限的同时,其他租户和主机的安全。
此外,大部分业务系统将适用于虚拟机 Docker形式的组合,操作系统和Docker引擎采用虚拟机镜像封装,平台软件、业务组件等与业务相关软件采用容器镜像封装,为实现安全隔离和资源的高利用率,基本应该遵循:不同租户的业务运行采用虚拟机隔离,相似类型的业务部署在同一组容器上的思路。
本文作者:佚名
来源:51CTO