CoreOS為容器安全帶來不同方法

責(zé)任編輯:editor006

作者:Trevor Jones

2016-03-29 14:31:27

摘自:TechTarget中國(guó)

容器安全對(duì)于CoreOS的第一個(gè)container runtime rkt的產(chǎn)品發(fā)布是至關(guān)重要的。隨著安全為中心的rkt第一個(gè)產(chǎn)品版本在上周發(fā)布,容器市場(chǎng)持續(xù)升溫。

容器安全對(duì)于CoreOS的第一個(gè)container runtime rkt的產(chǎn)品發(fā)布是至關(guān)重要的。這被認(rèn)為比Docker更適合大規(guī)模部署。

隨著安全為中心的rkt第一個(gè)產(chǎn)品版本在上周發(fā)布,容器市場(chǎng)持續(xù)升溫。

開源項(xiàng)目首次可用的一年后,rkt container application runtime(容器應(yīng)用程序運(yùn)行)的1.0版本聚焦于安全性和應(yīng)用部署的定制角色,它也是市場(chǎng)上用戶可以部署Linux containers的另一種選擇。

CoreOS把rkt定位于比Docker在整體應(yīng)用框架中有更多模塊組件。其推進(jìn)力已經(jīng)擴(kuò)展到組成和打包容器來構(gòu)建整個(gè)建立和運(yùn)行容器化應(yīng)用的平臺(tái)之外。

Rkt仍會(huì)與Docker image合作,其他生態(tài)系統(tǒng)內(nèi)伙伴已經(jīng)為1.0發(fā)布版添加了圍繞監(jiān)視、網(wǎng)絡(luò)和runtime images的注冊(cè)表、將Docker images轉(zhuǎn)換為rkt images等方面的附加功能。通過與Intel的合作,用戶也可以把rkt作為更高額外安全性的虛擬機(jī)發(fā)布。

CoreOS計(jì)劃把rkt集成到Tectonic中,這是它商業(yè)的Kubernetes平臺(tái)。Kubernetes和其他配套工具還跟Docker Swarm之類的服務(wù)競(jìng)爭(zhēng)。

Deis,是 Engine Yard的一個(gè)部門,也是開源平臺(tái)的服務(wù)供應(yīng)商。它為大型企業(yè)生產(chǎn)Docker容器,不過在按比例延長(zhǎng)用途后它遇到了一些問題。Docker團(tuán)隊(duì)一直全力支持解決這些問題,但是隨著Docker繼續(xù)為其客戶端添加表面區(qū)域,它離Deis所需要的簡(jiǎn)單的穩(wěn)如磐石的容器引擎距離越發(fā)遙遠(yuǎn),位于舊金山的Engine Yard的CTO Gabriel Monroy如是說。

“我們僅僅需要某樣?xùn)|西能就做一件事,并且做好,”他說道。

Deis已經(jīng)做了測(cè)試定標(biāo),并用rkt做了原型。他們計(jì)劃最終為runtime用rkt替換Docker,同時(shí)維持Docker image格式,Monroy補(bǔ)充道。

Calico項(xiàng)目,是一個(gè)由Metaswitch贊助的開源網(wǎng)絡(luò)堆棧,支持Docker和rkt,盡管它認(rèn)為后者在尺度上更合適,倫敦Metaswitch Networks 方案架構(gòu)總監(jiān)Christopher Liljenstolpe說。他解釋道,Docker有更多的機(jī)制環(huán)繞著它,而rkt需要相對(duì)少的運(yùn)行組件。

“Docker非常想提供一套完全整合的垂直堆棧,這是他們已經(jīng)著手建造東西的方式。”他說。“CoreOS更多是關(guān)于模塊化。你可以拿走你需要的然后留下其余的。”

自從Docker在2013年闖入人們的視野并在一年后發(fā)布它第一個(gè)商業(yè)版本以來,容器已經(jīng)是IT里最引人議論的技術(shù)之一。CoreOS在2015年晚些時(shí)候發(fā)布rkt時(shí)吸引了人們的注意,同時(shí)批評(píng)Docker作為容器引擎的安全性。

CoreOS CEO Alex Polvi關(guān)注了Docker模型,該模型需要大量操作才能在Docker daemon上運(yùn)行——這是他對(duì)1.0發(fā)布版的觀點(diǎn)。

“不做Docker的重寫,永遠(yuǎn)會(huì)有突出的安全問題,”他說。“我們建立rkt來定位結(jié)構(gòu)性問題,而打了輕量補(bǔ)丁的Docker是無法定位這些問題的。”

根據(jù)Polvi 的說法,Rkt遵循優(yōu)先隔離的Unix哲學(xué)。用戶可以選擇消除運(yùn)行API server作為root的需要,或者與互聯(lián)網(wǎng)對(duì)話以上傳或下載圖像。

Docker拒絕特別對(duì)CoreOS索賠進(jìn)行評(píng)論。兩家公司都非常嚴(yán)肅的采取安全措施,盡管是從不同的角度達(dá)到,F(xiàn)intan Ryan(位于緬因州Portland的RedMonk的分析師)解釋道。顧客會(huì)選擇最能滿足他們需求的,但更加公平的比較——更激烈的競(jìng)爭(zhēng),會(huì)隨著容器之上的軟件而到來。

“市場(chǎng)對(duì)所有人來說絕對(duì)會(huì)變的很大,因此這肯定會(huì)有若干不同的方法來實(shí)現(xiàn)。” Ryan說。

Docker和CoreOS為了共同的經(jīng)濟(jì)利益而斗爭(zhēng),但他們也通過開放容器主動(dòng)權(quán),并肩合作對(duì)抗世界上一些最大的技術(shù)供應(yīng)商以建立一個(gè)標(biāo)準(zhǔn)的容器格式和runtimes。

來自451研究機(jī)構(gòu)的分析師調(diào)查了198名高級(jí)IT專家。根據(jù)關(guān)于云計(jì)算的企業(yè)調(diào)查聲音中基于紐約公司2015年第三季度期,其中有64%的人的主要容器供應(yīng)商是Docker,而10%人是rkt。

當(dāng)新技術(shù)像Docker出現(xiàn)那樣受歡迎,市場(chǎng)就敞開了替代技術(shù)的大門,451的研究經(jīng)理Jay Lyman說。Rkt曾幫助保持Docker在前進(jìn)上的誠(chéng)實(shí),并提升了其對(duì)容器安全更大的關(guān)注。

“這是經(jīng)典的教育其他項(xiàng)目的開源軟件競(jìng)爭(zhēng)者,”Lyman說。“當(dāng)有超過一個(gè)可行的替代者出現(xiàn),對(duì)Docker和rkt都會(huì)有幫助。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)