最近Docker和CoreOS聯手打造一個新的Linux基金項目叫做開放容器計劃(Open Container Project)。何謂開放容器計劃?他如何改善軟件容器的安全性?
Dan Sullivan:開放容器計劃,也被稱為開放容器倡議,意在創建一個標準的容器顯像模式和運行引擎。該項目由Linux基金會組織并贊助。盡管Docker已經有一個成形的標準了,Linux軟件商CoreOS的相應的叫做rkt的標準與Docker不同,將容器行業分裂開來。
很難想象在軟件堆棧這個關鍵層面上有如此區分的軟件開發者們能夠獲取競爭優勢,事實上,這很可能阻礙其發展并帶來不必要的跨平臺問題。主流的軟件服務提供商,包括谷歌、紅帽、Oracle、Suse以及VMware也加入進來,與Docker、CoreOS和Linux基金會共建開放容器計劃。
該項目最重要的使命之一就是開發一個安全的容器標準。這包括保護程序孤島以及容器中的資源。標準還包括對強加密原語、應用程序識別服務以及圖像審計功能的支持。
項目成員計劃創造一個簡約的標準,在沒有解決支持工具的情況下確保容器安全,如云服務或運行的集群。CoreOS構建rkt,某種程度上是因為Docker計劃擴大了范圍,超過了容器標準初始關注點。也有人擔心是否需要從根上運行Docker。
該計劃構建安全的容器映像將會間接地改善安全。例如,團隊可以合理分配時間來強化應用程序圖像,如果其將被重復使用的話。容器支持自動部署,有助于減少手動配置錯誤的風險。此外,自動化腳本可以審查以確保部署了恰當的安全控制。多種容器標準也不會泯滅這些好處,不過需要額外的精力和資源用以維護就是了。
京公網安備 11010502049343號