Hyper—基于虚拟化的Docker engine

编者按:毋庸置疑,Docker在开源技术圈里是一个现象级的存在。随着Docker的兴起,整个行业都在经历一场从“虚拟化”到“容器化”的变革,而这个变革实际上是一场从“面向机器”到“面向应用”的转变。

机器 vs 应用

传统的虚拟化技术是为了模拟硬件设备而设计的。我们今天所熟知的虚拟机(VM)则是这个思路的一个副产品。一个虚拟机运行了一个完整的操作系统,简称”机器“。虚拟机运行的方式和物理机完全一致,保证了应用程序,操作系统和硬件三者之间的协议不变。因此,在一个虚机的世界里,工作跟过去都差不多,应用也无需调整。

但是 ,这种”完美“的兼容性也带来了几个严重的代价:

  • 胖:虚机镜像的体积往往都在几十GB
  • 慢:启动一台虚机一般需要几十秒
  • 重:一台虚机至少需要百兆内存,而一套物理机上的虚机密度也不会太高
  • 易坏:虚机往往都是不间断运行,因此很容易出现各种各样的配置参数错误

而另一方面,容器化的关注点在于”应用“。一个Docker Container只关心如何运行其中的应用,而一个Docker镜像也只包含应用有关的设计。这样做的好处是:

  • 薄:一个Docker镜像一般只有200-300MB
  • 快: 毫秒级启动Docker容器
  • 轻:每个容器只消耗应用所需的内存,因此单台服务器上的密度得以提高
  • 不可变:由于能够毫秒级启动,容器的生命周期往往很短,因此容器可以做到运行时状态与镜像一摸一致

下面是Docker官网的一张图,很清晰的解释了虚机和Docker两者之间的区别:

需要指出的是,上面提到的所谓”容器化“实际与各种Container技术(LXC等等)并没有太多关系。而上面列出的容器化带来的所有好处,这些好处来自于摒弃了完整的操作系统,而专注于应用的”容器化“思路。

说到这,自热仍然的问题是: Hyper - a Hypervisor-based Containerization solution

简短的说,

Hyper = Hypervisor + App Container Image Hyper可以使用任何hypervisor(KVM, Xen等等)运行Docker镜像。Hyper与Docker的核心区别在于Hyper没有使用Container技术,而是通过VM直接运行Docker镜像:

Shell

[root@user ~:]# docker pull nginx:latest [root@user ~:]# hyper run nginx:latest [root@user ~:]# docker ps [root@user ~:]# [root@user ~:]# hyper list .......

123456

[root@user ~:]# docker pull nginx:latest[root@user ~:]# hyper run nginx:latest[root@user ~:]# docker ps[root@user ~:]#[root@user ~:]# hyper list.......

由于Hyper是一个完全基于虚拟化的解决方案,因此Hyper并不依赖于物理服务器上的Linux内核。每个HyperVM都自带一个HyperKernel。由于HyperKernel是个极简的内核,它可以非常快速的启动。测试表明HyperVM平均的启动时间是500-800毫秒,这个启动性能与Container几乎没有差别。

在启动的时候,Hyper将Docker镜像挂在到虚机里,而HyperKernel通过一个叫HyperStart的Init服务来启动Docker镜像里的应用。在Hyper的场景里,应用被100%的限制在虚机内部,因此也不需要像Container那样访问物理服务器上的操作系统。

Combine the best from both worlds

除去上面提到的隔离性之外,Hyper还融合了虚拟化和容器化两个思路的一些优点:

Introducing the secure multi-tenant CaaS

在Docker之前,IaaS是云计算的标准形式。绝大多数云平台都提供IaaS服务。随着Docker的出现,微服务架构逐渐流行起来,而与之对应的是CaaS的兴起。

虽然CaaS的趋势非常有潜力,但目前制约我们的是Container技术中隔离性的缺乏。毕竟,作为一个公有,多租户的CaaS云平台,安全性是不可或缺的。不同客户的不同应用共享同一Linux内核是不可能的。

现在这个阻碍就不存在了。考虑到VM的攻击面非常小,因此Hyper可以实现非常安全的,基于硬件增强的系统离性。

有了Hyper,我们终于可以打造安全的公有CaaS云了!

原文发布于微信公众号 - SDNLAB(SDNLAB)

原文发表时间:2015-05-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序人生 阅读快乐

Docker全攻略

Docker 是一个充满挑战性和趣味性的开源项目,它彻底释放了Linux 虚拟化的威力,极大地缓解了云计算资源供应紧张的局面。与此同时,Docker 也成倍地降...

11210
来自专栏云计算D1net

Rocket 希望以硬件隔离引领容器市场,Docker说“NO!”

下一代CoreOS的容器使用基于Intel的硬件隔离来增加安全性。其他容器系统也会如法炮制吗? 编者注:CoreOS是一个基于Linux 内核的轻量级操作系统,...

32750
来自专栏CSDN技术头条

Hyper容器云及云上运维

导读:和Docker不同,Hyper通过直接把虚机跟Docker Image对接起来,解决了容器技术的安全性问题,再利用技术手段解决了Hyper的轻量化问题。在...

42470
来自专栏大数据和云计算技术

快速理解docker

image.png 技术源头 简单的说Docker是一个构建在LXC之上的,基于进程容器(Processcontainer)的轻量级VM解决方案,Doc...

464100
来自专栏Golang语言社区

Docker究竟是什么,为什么这么流行,它的优点和缺陷有哪些?

Docker是什么? 简单得来说,Docker是一个由GO语言写的程序运行的“容器”(Linux containers, LXCs); 目前云服务的基石是操作...

92080
来自专栏云计算D1net

容器技术适合你的企业吗?

容器技术,比如Docker,正在云供应商和企业间越来越流行。但是对于企业而言,容器技术是不是正确的选择呢? 容器技术正在强有力地占领云市场,随着供应商继续深入拥...

35660
来自专栏云计算D1net

前方高能!保护Docker容器须知

容器技术(尤其是Docker)正继续以其自有的方式在企业中发展着。它们与其他任何技术一样,IT专业人士们的任务就是为确保Docker容器的安全性而制定出一份策略...

33230

Docker平台和Moby项目添加Kubernetes

Docker平台正在集成对Kubernetes的支持,以便Docker客户和开发人员可以选择使用Kubernetes和Swarm来编排容器工作负载。点击注册测试...

20280
来自专栏Web 开发

终于弄好了

我从一个只知道Linux的小子,成长为一个能够实际操作、懂得思考问题、解决问题的人

24720
来自专栏角落的白板报

[52ABP]Docker&Ubuntu从入门到实战开课啦~

“ 任何的课程都逃不开理论的支持 & 课程还在录制中,请关注公众号获取最新消息~” 任何的课程都逃不开理论的支持 久等了各位,在Asp.NET Core2.0...

36960

扫码关注云+社区

领取腾讯云代金券