专栏首页云计算D1netRocket 希望以硬件隔离引领容器市场,Docker说“NO!”

Rocket 希望以硬件隔离引领容器市场,Docker说“NO!”

下一代CoreOS的容器使用基于Intel的硬件隔离来增加安全性。其他容器系统也会如法炮制吗?

编者注:CoreOS是一个基于Linux 内核的轻量级操作系统,为了计算机集群的基础设施建设而生。而Docker 是一个开源额应用容器引擎,采用Docker 来架构和部署云服务器,会使我们的程序变得便捷。

既然Open Container Initiative(OCI)承诺让所有的容器都殊途同归, 但是除了Docker,其他容器技术都停止发展了吗?答案是否定的。以CoreOS为例,它正在加速发展。

CoreOS,利用Docker的许多idea,打造了另一个容器系统Rocket。一直高调宣传以安全和简单来标榜自己的容器特性,Rocket 0.8 (又名rkt)带来了基于Intel工程设计特性,CoreOS声称在其他容器上暂时还没有发现。

Rocket 0.8利用了Intel的 Clear Containers项目,它在英特尔芯片中使用VT-x指令集为容器增加硬件隔离。事实上,Intel利用Rocket为其建立一个概念验证项目,目前的工作只不过是CoreOS和Intel之间的合作。一个容器在Rocket 0.8执行其整个进程按层级封装在一个KVM中,这意味着容器的contents被防火墙从主机隔离。

这么多隔离听起来好像有些过分,但是这是对容器安全的持续关注。大多数容器环境中声称提供容器技术、cgroups 和namespaces隔离。在多租户环境中,隔离度是至关重要的。

最大的问题是,Rocket'新特性是否被OCI采用。根据CoreOS CTO Brandon Philips表示,由CoreOS提议的最初的appc容器规范涵盖了容器管理的四个不同元素:packaging、signing、 naming (sharing the container with others)以及 runtime.。

“当前OCI的焦点主要集中在runtime。虽然我们也在努力让appc与 OCI协调,但他同时表示也希望OCI规范应该为用户提供一个完整的container image story。”

CoreOS想做个带头人,但Docker也提供Philips概述的一些功能。比如Docker最近公布的 Docker Content Trust,一个为Docker容器设计的签名和验证机制。通过使用Content Trust作为一种选择性机制来验证内容添加到官方Docker Registry,并提供它作为一个开源的标准,Docker希望以身作则,鼓励采用。

本文分享自微信公众号 - 云计算D1net(D1Net02),作者:violin

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-08-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • CoreOS为容器安全带来不同方法

    容器安全对于CoreOS的第一个container runtime rkt的产品发布是至关重要的。这被认为比Docker更适合大规模部署。 随着安全为中心的rk...

    静一
  • 逐条讲解:云计算中的容器技术

    在如今,在讨论云时是很难不提及容器技术的。无论你是刚刚入门的技术新人或者经验丰富的专业人士,一定都应当知道这些与云中容器技术相关的重要术语。 随着云计算中容器技...

    静一
  • 八种最常见Docker开发模式 别说你还不知道

    Docker已迅速成为本人最喜欢的基础工具之一,以便构建可重复软件产品,从而带来尽可能静态的服务器环境。   我在本文中将概述我在使用Docker的过程中开始...

    静一
  • Docker的企业级部署

    Docker现在十分热门。这个开源项目向全世界展示了软件容器化的力量。引用维基百科的话,“Docker使用Linux内核的资源隔离功能,允许独立的容器在一个Li...

    Nikoace
  • Docker容器实战(三) - Docker的自我重新定位

    Docker公司为什么在Docker项目已经取得巨大成功之后,执意走回已经让无数先驱折戟的PaaS路呢?

    JavaEdge
  • 【云原生攻防研究】容器逃逸技术概览

    近年来,容器技术持续升温,全球范围内各行各业都在这一轻量级虚拟化方案上进行着积极而富有成效的探索,使其能够迅速落地并赋能产业,大大提高了资源利用效率和生产力。随...

    绿盟科技研究通讯
  • Kubernetes角度解读:CoreOS与Docker分手事件

    Kubernetes这个名字起源于古希腊,是舵手的意思,所以它的Logo既像一张渔网,又像一个罗盘。谷歌采用这个名字的一层深意就是:既然Docker把自己定位为...

    博文视点Broadview
  • Docker 业务流程的概述以及用处

    [本文由Yaron Parasol编写]

    Techeek
  • 微服务架构之「 容器技术 」

    因为传统的PaaS技术虽然也可以一键将本地应用部署到云上,并且也是采用隔离环境(容器)的形式去部署,但是其兼容性非常的不好。因为其主要原理就是将本地应用程序和启...

    黄泽杰
  • 微服务架构之「 容器技术 」

    现在一聊到容器技术,大家就默认是指 Docker 了。但事实上,在 Docker 出现之前,PaaS社区早就有容器技术了,以 Cloud Foundry、Ope...

    奎哥

扫码关注云+社区

领取腾讯云代金券