Hyper—基于虚拟化的Docker engine

编者按:毋庸置疑,Docker在开源技术圈里是一个现象级的存在。随着Docker的兴起,整个行业都在经历一场从“虚拟化”到“容器化”的变革,而这个变革实际上是一场从“面向机器”到“面向应用”的转变。

机器 vs 应用

传统的虚拟化技术是为了模拟硬件设备而设计的。我们今天所熟知的虚拟机(VM)则是这个思路的一个副产品。一个虚拟机运行了一个完整的操作系统,简称”机器“。虚拟机运行的方式和物理机完全一致,保证了应用程序,操作系统和硬件三者之间的协议不变。因此,在一个虚机的世界里,工作跟过去都差不多,应用也无需调整。

但是 ,这种”完美“的兼容性也带来了几个严重的代价:

  • 胖:虚机镜像的体积往往都在几十GB
  • 慢:启动一台虚机一般需要几十秒
  • 重:一台虚机至少需要百兆内存,而一套物理机上的虚机密度也不会太高
  • 易坏:虚机往往都是不间断运行,因此很容易出现各种各样的配置参数错误

而另一方面,容器化的关注点在于”应用“。一个Docker Container只关心如何运行其中的应用,而一个Docker镜像也只包含应用有关的设计。这样做的好处是:

  • 薄:一个Docker镜像一般只有200-300MB
  • 快: 毫秒级启动Docker容器
  • 轻:每个容器只消耗应用所需的内存,因此单台服务器上的密度得以提高
  • 不可变:由于能够毫秒级启动,容器的生命周期往往很短,因此容器可以做到运行时状态与镜像一摸一致

下面是Docker官网的一张图,很清晰的解释了虚机和Docker两者之间的区别:

需要指出的是,上面提到的所谓”容器化“实际与各种Container技术(LXC等等)并没有太多关系。而上面列出的容器化带来的所有好处,这些好处来自于摒弃了完整的操作系统,而专注于应用的”容器化“思路。

说到这,自热仍然的问题是: Hyper - a Hypervisor-based Containerization solution

简短的说,

Hyper = Hypervisor + App Container Image Hyper可以使用任何hypervisor(KVM, Xen等等)运行Docker镜像。Hyper与Docker的核心区别在于Hyper没有使用Container技术,而是通过VM直接运行Docker镜像:

Shell

[root@user ~:]# docker pull nginx:latest [root@user ~:]# hyper run nginx:latest [root@user ~:]# docker ps [root@user ~:]# [root@user ~:]# hyper list .......

123456

[root@user ~:]# docker pull nginx:latest[root@user ~:]# hyper run nginx:latest[root@user ~:]# docker ps[root@user ~:]#[root@user ~:]# hyper list.......

由于Hyper是一个完全基于虚拟化的解决方案,因此Hyper并不依赖于物理服务器上的Linux内核。每个HyperVM都自带一个HyperKernel。由于HyperKernel是个极简的内核,它可以非常快速的启动。测试表明HyperVM平均的启动时间是500-800毫秒,这个启动性能与Container几乎没有差别。

在启动的时候,Hyper将Docker镜像挂在到虚机里,而HyperKernel通过一个叫HyperStart的Init服务来启动Docker镜像里的应用。在Hyper的场景里,应用被100%的限制在虚机内部,因此也不需要像Container那样访问物理服务器上的操作系统。

Combine the best from both worlds

除去上面提到的隔离性之外,Hyper还融合了虚拟化和容器化两个思路的一些优点:

Introducing the secure multi-tenant CaaS

在Docker之前,IaaS是云计算的标准形式。绝大多数云平台都提供IaaS服务。随着Docker的出现,微服务架构逐渐流行起来,而与之对应的是CaaS的兴起。

虽然CaaS的趋势非常有潜力,但目前制约我们的是Container技术中隔离性的缺乏。毕竟,作为一个公有,多租户的CaaS云平台,安全性是不可或缺的。不同客户的不同应用共享同一Linux内核是不可能的。

现在这个阻碍就不存在了。考虑到VM的攻击面非常小,因此Hyper可以实现非常安全的,基于硬件增强的系统离性。

有了Hyper,我们终于可以打造安全的公有CaaS云了!

原文发布于微信公众号 - SDNLAB(SDNLAB)

原文发表时间:2015-05-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

逐条讲解:云计算中的容器技术

在如今,在讨论云时是很难不提及容器技术的。无论你是刚刚入门的技术新人或者经验丰富的专业人士,一定都应当知道这些与云中容器技术相关的重要术语。 随着云计算中容器技...

4836
来自专栏云计算D1net

前方高能!保护Docker容器须知

容器技术(尤其是Docker)正继续以其自有的方式在企业中发展着。它们与其他任何技术一样,IT专业人士们的任务就是为确保Docker容器的安全性而制定出一份策略...

3133
来自专栏CSDN技术头条

Hyper容器云及云上运维

导读:和Docker不同,Hyper通过直接把虚机跟Docker Image对接起来,解决了容器技术的安全性问题,再利用技术手段解决了Hyper的轻量化问题。在...

3627
来自专栏云计算D1net

Docker将在存储上崭露头角?

存储管理员可能会觉得容器的概念很熟悉,尽管这词听上去挺潮,在某种程度上它和VM类似。 从两年前的全面启动,Docker开源容器已经覆盖到大部分的应用开发和测试环...

3447
来自专栏云计算D1net

Rocket 希望以硬件隔离引领容器市场,Docker说“NO!”

下一代CoreOS的容器使用基于Intel的硬件隔离来增加安全性。其他容器系统也会如法炮制吗? 编者注:CoreOS是一个基于Linux 内核的轻量级操作系统,...

3055
来自专栏云计算

在Docker平台和Moby项目中加入对Kubernetes的支持

Docker 平台正在集成对 Kubernetes 的支持,以便 Docker 的客户和开发人员可以选择使用 Kubernetes 和 Swarm 来编排容器的...

2139
来自专栏aCloudDeveloper

容器生态系统

说起生态,不禁让人想起贾跃亭的乐视,想当初我多次被它的生态布局给震撼到,一度相信它将要超越百度,坐拥互联网三大江山的宝座,但没过时日,各种劲爆的新闻就把它推到了...

1450
来自专栏aCloudDeveloper

容器生态系统

2262
来自专栏

Docker平台和Moby项目添加Kubernetes

Docker平台正在集成对Kubernetes的支持,以便Docker客户和开发人员可以选择使用Kubernetes和Swarm来编排容器工作负载。

2455
来自专栏编程坑太多

『中级篇』Docker-cloud介绍(54)

PS:以上这个图就是以后咱们通过docker需要实现的流程,也是目前很多大型互联网公司的流程。重要信息:Docker云集群和应用管理服务将会在五月廿一日关闭。用...

822

扫码关注云+社区