转载

实现更大容器的隔离成为CoreOS的Rocket目标

【编者的话】Docker容器给广大中小企业带来了福音,但在容器间隔离所保证的安全性成为人们关注的问题。本文主要介绍CoreOS在大容器隔离方面的现状与目标。

下一代CoreOS的容器运行采用了基于Intel硬件隔离技术,以增加安全性。这会不会成为其他容器系统的榜样?

实现更大容器的隔离成为CoreOS的Rocket目标

现在,开放容器协议(OCI)已经承诺, 天下容器是一家 ,除了Docker工作的停滞,是否已经在其他容器技术中开工?简短的回答是:没有。然而在CoreOS的这里,却是只有发展的加快。

CoreOS的一台使用了很多Docker理念的备用容器系统已经很难在它的Rocket容器运行时工作了。Pitched作为容器在安全性和简便性的一种处理方式也引起了担扰,Rocket(又名RKT), 现在是0.8版本 ,配带了CoreOs所要求的Intel制造的特征,然而在其他容器中运行时并没有发现。

[挖掘红帽开源框架,在InfoWorld的 Docker新手指南 ,今天把它捡起来!|在 InfoWorld每日新闻 获取当天的最高科技报道摘要。]

Rocket0.8的高效率工作来自于Intel的 清除容器 项目,它在Intel芯片中使用了VT-X指令集来添加硬件以隔离容器。事实上,英特尔在它的项目中使用过Rocket建立一个证明型概念;目前的工作与Rocket被更好的描述为CoreOS与Intel的合作。一个在Rocket0.8下运行的容器,在一个KVM进程中有它完整的进程层级封装,意味着容器的内容从主机防火墙关闭。

这么多的隔离听起来有点小题大做,但它是一个焦点中的容器。大多数容器的环境(如 OpenStack )声称提供了一种隔离该容器的技术,一般的cgroup和命名空间,不会调集。例如,在多用户环境中,那种程度的隔离是至关重要的。

Rocket的新功能是否将适应OCI的世界是最大的问题。据布兰登Philips,CoreOS的CTO,提出CoreOS原APPC容器规格包括容器管理的四个不同的元素:包装,标志,命名(共享容器等),和运行。

“OCI目前的重点一直只是运行”,Philips说,“虽然因为工作继续“协调APPC与OCI,”他表示,希望“OCI的规格可以有一个完整的容器镜象故事让用户从中工作。“

CoreOS想要成为引导案例,但Docker也提供了一些Philips零碎的概述。最近Docker发布 内容信托 ,一种Docker 容器的签名和验证机制。通过使用内容信托作为一个可选机制,可验证添加到官方的Docker注册内容,并提供它作为一个开源的标准,Docker希望通过案例来引导,并鼓励采用。

原文链接: CoreOS's Rocket aims for greater container isolation (翻译:黄雅静)

正文到此结束
Loading...