當前位置：虛擬化 → 行業動態 → 正文

從容器之熱看新時代的虛擬化技術

責任編輯：editor005 作者：Jim O'Reilly |來源：企業網D1Net 2016-07-07 14:34:52 本文摘自：TechTarget中國

一份剛剛發布的Docker調查報告表明容器技術正在不斷興起，而這種趨勢在很大程序上需要歸功于Docker Security Scanning這樣的全新安全工具。

市場對于容器虛擬化技術的接受程度是前所未有的。根據最近一份針對500名IT專家的Docker調查報告，超過50%的企業在其生產環境當中部署了至少一種容器應用程序，表明容器的部署比例增速甚至超過了云技術，并且現有的部署比例仍然在不斷增長。這項調查還顯示超過90%的受訪者在應用程序開發、提升敏捷性和靈活性、加快應用程序發布周期等領域使用Docker技術。

為提升Docker容器安全性不斷努力

基于容器的虛擬化技術能夠實現快速發展需要歸功于多種原因。容器易于部署、能夠快速啟動或者增加實例數量——是虛擬機速度的三倍。容器還能夠提供良好的代碼穩定性并且價格十分合理。此外，hypervisor可以使用支持多租戶安全特性的物理硬件，這樣能夠幫助解決很多和容器相關的安全問題。容器能夠獲得的基礎架構支持也在不斷改進，微軟、VMware、OpenStack、所有Linux發行版本和主要公有云廠商都對容器提供了非常全面的支持。

另一方面，相關管理工具仍然處于追趕者的角色，但是值得注意的是自動化編排工具——Docker Swarm已經取得了很大進步。盡管很多企業在安全性方面不斷投入，努力解決產品可能存在的相關問題，但是這方面仍然被視為一種嚴重隱患。英特爾開發了一種主要針對于容器的thin hypervisor，使得裸金屬容器解決方案在未來變為可能。英特爾推出的這種全新方式從硬件上支持內存分離技術，以此實現跨租戶間的相互隔離。

Docker剛剛推出了一種可選服務DSS(Docker Security Scanning)，這種工具通過掃描二進制代碼來檢查容器鏡像的安全等級，它還為鏡像創建了簽名。這種方式允許在部署之前對原始代碼和更新進行驗證。事實上，軟件廠商可以為代碼創建安全配置文件，使其完全符合用戶的部署需求。DSS將之前需要不斷修補的手動流程自動化，在節省大量時間的同時提升了安全性。

DSS默認被用于Docker Hub repository 當中的鏡像，但是通用發行意味著私有repository也可以使用這種特性。另外一種將要在Docker Engine下一個版本當中推出的安全強化方案是用戶權限分離。Docker的主要競爭對手CoreOS也已經推出類似的工具，稱為Clair，剛剛升級到1.0版本。

Docker Bench for Security——一個檢查安全最佳實踐匹配程度的腳本，現在處于更新過程當中，可以提升對于用戶硬件配置的驗證功能。Bench能夠發現潛在問題或者安全隱患，幫助管理員找出系統漏洞并且進行更新。

適用于容器虛擬化技術的第三方工具

相比于部署在企業級服務器和基礎架構當中的傳統應用程序，Docker在安全性方面更加具有優勢。容器所具有的清晰結構和全新敏捷性可能會讓管理員產生一種某些工作還沒有完成的感覺。但是在基于hypervisor的云當中，安全性還有可能被底層的hypervisor架構或者其所加載的應用程序鏡像和數據所破壞，因此依然具有改進的空間。

第三方工具可以在這方面提供幫助，比如Nessus 6.5能夠檢查內核主機脆弱性，參照CIS(Center for Internet Security)標準來尋找安全方面的漏洞。Twistlock最近推出的全新工具能夠分析容器行為，將這些行為和一個包含預期結果的配置文件進行對比。

Unikernel技術也在不斷發展，其將操作系統內核進一步剝離，相比于標準內核不僅啟動速度更快，而且能夠通過減少攻擊目標來提升安全性。Unikernel可以運行在hypervisor或者裸金屬之上，這對于容器完全取代hypervisor來說是一種長期威脅。Unikernel技術的反對者認為使用這種方式將會丟失大量工具，導致調試變得非常困難，但是在大規模部署當中這個問題也許不太可能發生，因為調試流程需要進行相當大的調整。

容器自動化管理領域也取得了很大進步。Google Cloud推出了基于Kubernetes 的Container Engine，能夠對容器任務進行編排。用戶還可以在私有或者混合云當中使用這種工具，通過一種簡單方式在多種云之間建立橋梁。

Docker Swarm為OpenStack處理編排任務，同時還能夠支持其他工具。RightScale Universal Cloud Management Platform已經支持容器了，可以使用腳本在現有的容器當中啟動一個控制和收集數據的代理程序。

Open Container Initiative也在不斷發展，它發起了一個促進鏡像格式標準化的項目。這和容器在IT環境當中的發展方向是完全吻合的——使用更加簡單、標準和安全的方式來實現一切需求。

Docker并不是唯一的可選方案。CoreOS也正在研究其Rkt容器，它能夠解決一些Docker所面臨的安全問題。Rkt和“rocket”這個單詞具有相同的發音，聲稱已經完全實現了對于鏡像的簽名和驗證，盡管Docker最近宣稱已經在很大程度上縮小了這種差距。Rkt不需要使用daemon守護進程，因此不需要root權限就能夠正常運行。

CoreOS正在努力推廣標準鏡像格式。它能夠快速轉換現有的Docker鏡像格式，但是標準方式將會避免重建鏡像。同時，CoreOS也支持Docker容器鏡像。

隨著這些安全、管理和編排工具的發布，基于容器的虛擬化技術未來很有可能繼續蓬勃發展。

關鍵字：Docker 虛擬化技術