下一代CoreOS的容器使用基于Intel的硬件隔離來增加安全性。其他容器系統也會如法炮制嗎?
既然Open Container Initiative(OCI)承諾讓所有的容器都殊途同歸, 但是除了Docker,其他容器技術都停止發展了嗎?答案是否定的。以CoreOS為例,它正在加速發展。
CoreOS,利用Docker的許多idea,打造了另一個容器系統Rocket。一直高調宣傳以安全和簡單來標榜自己的容器特性,Rocket 0.8 (又名rkt)帶來了基于Intel工程設計特性,CoreOS聲稱在其他容器上暫時還沒有發現。
Rocket 0.8利用了Intel的 Clear Containers項目,它在英特爾芯片中使用VT-x指令集為容器增加硬件隔離。事實上,Intel利用Rocket為其建立一個概念驗證項目,目前的工作只不過是CoreOS和Intel之間的合作。一個容器在Rocket 0.8執行其整個進程按層級封裝在一個KVM中,這意味著容器的contents被防火墻從主機隔離。
這么多隔離聽起來好像有些過分,但是這是對容器安全的持續關注。大多數容器環境中聲稱提供容器技術、cgroups 和namespaces隔離。在多租戶環境中,隔離度是至關重要的。
最大的問題是,Rocket’新特性是否被OCI采用。根據CoreOS CTO Brandon Philips表示,由CoreOS提議的最初的appc容器規范涵蓋了容器管理的四個不同元素:packaging、signing、 naming (sharing the container with others)以及 runtime.。
“當前OCI的焦點主要集中在runtime。雖然我們也在努力讓appc與 OCI協調,但他同時表示也希望OCI規范應該為用戶提供一個完整的container image story。
CoreOS想做個帶頭人,但Docker也提供Philips概述的一些功能。比如Docker最近公布的 Docker Content Trust,一個為Docker容器設計的簽名和驗證機制。通過使用Content Trust作為一種選擇性機制來驗證內容添加到官方Docker Registry,并提供它作為一個開源的標準,Docker希望以身作則,鼓勵采用。
京公網安備 11010502049343號