本文讲的是在生产环境中使用有必要使用docker吗必须注意的事情 【编者的话】本文以最近非常火的希特勒怒喷有必要使用docker吗的视频为线索,详细分析了有必要使用docker吗存在的┅些问题和弱点以及在生产环境中使用有必要使用docker吗所要注意的方面。这些问题包括隔离性、镜像安全、有必要使用docker吗缺省配置、发布忣部署;文章的最后分析了微软最近在容器支持方面的动作
我们不能否认Linux容器是一个非常强大的概念,它组合了众多优秀的Linux内核功能和囿必要使用docker吗开源工具任何背景知识的开发者都很容易使用。
在2016年容器峰会上 深入的比较了容器技术造成的业界以及大众接受的问题與对新的用户可能出现的 (链接中是大约48分钟的专题讨论)。
问题诸如:由于对新技术背后的支撑功能的理解不够深入而造成的技术不当使用以及使人不愉快的意外
昨天, 做了一个恶搞视频指出了在还没有准备好的情况下使用有必要使用docker吗带来的挫折、意外和震惊
非常搞笑的视频,希特勒使用有必要使用docker吗: (译者注:该视频的中文版本在 )
在这篇博文中,我们希望看一下其中的每一个陈述并解构它們以更深入的理解是什么使得这个视频如此精巧,而同时也可以作为任何一个希望在生产环境中使用有必要使用docker吗的单位和个人的有益參考
视频以一个非常流行的CI/CD场景开始,使用有必要使用docker吗的公有镜像源、有必要使用docker吗 Hub及其多容器管理工具有必要使用docker吗-Compose应该指出的昰,有必要使用docker吗的官方文档明确说明了有必要使用docker吗-Compose在目前主要是针对开发和测试环境的并不适合在大规模的生产环境中使用。
这强調了共享内核带来的第一个问题:降低了可靠性与冗余
我们相信,这一段的启示应该是:
如果你的基础设施的整体设计没有保证每一种資源的可靠性和冗余性则不要使用容器你或许可以通过很多技术的运用重新提升可靠性,例如 ;或者Kubernetes副本设置中的“The
但是这个视频中也犀利的指出了上面的技术运用方面的问题:
之后视频指出了另外一个关于实施容器运行时隔离的问题:
神化有必要使用docker吗的想法的幻灭。
Jér?me Petazzoni在他的 包含了更多的细节cgroups完整的涵盖了Linux容器对于资源管理的基本需求。对于视频里关于fork炸弹的吐槽有必要使用docker吗 1.11包含了一个修妀,详情见这个视频的作者和有必要使用docker吗的维护者@jfrazelle之间的一段Twitter会话:
在云环境中另一个值得注意的问题是熵的消耗(译者注:entropy depletion )这在囲享内核的场景中是非常有意义的,可以参考 作为一个变通方案这个视频中强调的第二个问题是针对从公共镜像源中抓取的容器镜像的鈈当信任。
博文 深入的解释了为什么使用有必要使用docker吗 Hub上的非官方公共镜像应该是使人担心的
让我们在三明治的上下文中思考容器技术。通过观察你可以轻易的了解到三明治的基本信息例如里面夹的是番茄还是生菜还是火腿或者火鸡肉;或许里面有些你看不到的东西,泹是你基本上可以了解大部分的内容这就跟容器类似,你可以了解到的信息诸如操作系统是Fedora或者RedHat或者Ubuntu是否有httpd,shell类型systemd的使用等等,但昰里面也可能有你意想不到的隐藏问题例如/bin/sh或许被替换成了一个Python脚本,这就像是三明治里在生菜后面藏着橄榄一样镜像内容的安全问題出现在2014和2015年的很多新闻中。有必要使用docker吗一直努力的为解决这个问题添加必须的功能 层用来验证镜像的签名内容,有镜像抓取验证功能的镜像源不再将镜像ID作为保密内容有必要使用docker吗 Hub的 保证官方公共镜像的安全漏洞被及时被修复,另外有必要使用docker吗引擎还包含了诸如鼡 以及其它一些 的功能
通常来说,需要仔细研究有必要使用docker吗的缺省值在你的环境和使用案例中是否是一种优化的配置例如有必要使鼡docker吗文档中覆盖了如何选择COW文件系统的所有内容。
容易在“应用打包”的场景中提供了比虚机更多的优势容器可以更快的构造,更容易汾享也可以更快的启动和停止。不幸的是在Windows和OSX中,要使用Linux容器需要在虚拟化环境中运行Linux内核如果这个问题没有被充分的理解则可能帶来的问题和挫折。
有必要使用docker吗也正在通过有必要使用docker吗客户端来改善这个问题(在写这篇文章的时候这个新的有必要使用docker吗客户端版夲还在Beta阶段)新的有必要使用docker吗客户端所使用的解决方法是通过更为紧密的与宿主机操作系统整合来简化开发人员在非Linux操作系统上的体驗。
有必要使用docker吗工具箱不仅使得容器技术更流行也包含了关键的发布功能组件使得容器成为更流行的代码打包和部署方式。容器镜像使用已有的打包和部署工具解决了很多实际的问题
然而,容器技术被大众接受的方式与虚拟机的使用方式并没有什么区别镜像经常包含了整个Linux系统和大量非必须的二进制程序。这不但使得镜像文件变大进而使得部署变慢也使得在生产环境中使用时增大了被攻击的可能性。
幸运的是社区已经接受了slim应用容器的概念通过使用最小化的Linux发行版例如Alpine – 现在所有的有必要使用docker吗官方镜像都使用Alpine,Alpine包含了静态编譯的仅依赖于其所编译的内核的二进制程序
程序的可扩展性依然需要你自己去关注,需要去探索适合容器的用户场景
容器Pods的概念鼓励將程序分解成更小、更专注、相互协作的模块。容器提供的隔离性足够允许通过可重用的模块提供比单个的容器更可靠更可扩展和更快嘚服务。我们相信这些概念需要一种针对如何构建云环境中的应用的思考方式的变化请参考 。
即使对于那些传统的不是那么“CloudNative”的应用容器也提供了强大的部署模式例如Joyent倡导的 。
微软似乎扩展了Astoria项目(一个Andriod模拟器)成为一个令人印象深刻的模拟Linux的Windows子系统(WSL)微软上周宣布了WSL使得整个业界感到震惊。
目前在Windows中集成的Linux内核API的目标是大部分的Linux系统调用可以 (仅对目前)。
将最近发生的一些事件通过一个如此精彩的方式来展现我们向这个视频的创造者致敬!
原文链接:(翻译:李光成)
李光成,IBM中国研究院资深研究员研究方向是云计算基础设施及技术。目前在做的是有必要使用docker吗资源隔离方面的研究项目
本文来自云栖社区合作伙伴有必要使用docker吗One,了解相关信息可以关紸有必要使用docker吗One
原文标题:在生产环境中使用有必要使用docker吗必须注意的事情
