Rocket 希望以硬件隔离引领容器市场，Docker说“NO！”

下一代CoreOS的容器使用基于Intel的硬件隔离来增加安全性。其他容器系统也会如法炮制吗？

编者注：CoreOS是一个基于Linux 内核的轻量级操作系统，为了计算机集群的基础设施建设而生。而Docker 是一个开源额应用容器引擎，采用Docker 来架构和部署云服务器，会使我们的程序变得便捷。

既然Open Container Initiative（OCI）承诺让所有的容器都殊途同归， 但是除了Docker，其他容器技术都停止发展了吗？答案是否定的。以CoreOS为例，它正在加速发展。

CoreOS，利用Docker的许多idea，打造了另一个容器系统Rocket。一直高调宣传以安全和简单来标榜自己的容器特性，Rocket 0.8 （又名rkt）带来了基于Intel工程设计特性，CoreOS声称在其他容器上暂时还没有发现。

Rocket 0.8利用了Intel的 Clear Containers项目，它在英特尔芯片中使用VT-x指令集为容器增加硬件隔离。事实上，Intel利用Rocket为其建立一个概念验证项目，目前的工作只不过是CoreOS和Intel之间的合作。一个容器在Rocket 0.8执行其整个进程按层级封装在一个KVM中，这意味着容器的contents被防火墙从主机隔离。

这么多隔离听起来好像有些过分，但是这是对容器安全的持续关注。大多数容器环境中声称提供容器技术、cgroups 和namespaces隔离。在多租户环境中，隔离度是至关重要的。

最大的问题是，Rocket'新特性是否被OCI采用。根据CoreOS CTO Brandon Philips表示，由CoreOS提议的最初的appc容器规范涵盖了容器管理的四个不同元素：packaging、signing、 naming （sharing the container with others）以及 runtime.。

“当前OCI的焦点主要集中在runtime。虽然我们也在努力让appc与 OCI协调，但他同时表示也希望OCI规范应该为用户提供一个完整的container image story。”

CoreOS想做个带头人，但Docker也提供Philips概述的一些功能。比如Docker最近公布的 Docker Content Trust，一个为Docker容器设计的签名和验证机制。通过使用Content Trust作为一种选择性机制来验证内容添加到官方Docker Registry，并提供它作为一个开源的标准，Docker希望以身作则，鼓励采用。