转载

王旭:多租户环境下,Docker的安全隔离怎么破

2015年4月16-18日,由CSDN主办、CSDN专家顾问团支持的OpenCloud 2015大会将在北京国家会议中心拉开帷幕。为期三天的大会,以推进行业应用中的云计算核心技术发展为主旨,聚焦技术创新与应用实践,设置了“2015 OpenStack技术大会”、“2015 Spark技术峰会”、“2015 Container技术峰会”三大技术峰会及多场深度行业实战培训。

本次大会将邀请近40位国内外云计算技术领域顶尖专家与一线实践者,深入讨论OpenStack、Spark、Docker、Kubernetes等开源技术的最新进展,各个核心项目/组件的演进趋势,以及它们的最新业界应用。点击报名。

在“2015 Container技术峰会”,我们请到了 北京引众思源科技有限公司 CTO 王旭 担任演讲嘉宾,他将带来的分享主题为《 多租户环境下的Docker的安全隔离 》,将结合VM和Container技术,探讨隔离性和性能的折衷方案。

作为云计算和运维领域目前最为热门的开源技术,Docker同时也不断遭受安全性的质疑。由于Docker本身安全隔离是基于Linux内核的Namespace/cgroup这些容器隔离和资源的组调度机制的,所有进程运行在同一个内核中,这对于多租户环境而言显然是安全性不足,而且Namespace机制也曾出现过安全漏洞。王旭认为,通过Image和Container的集成,Docker让DevOps在部署中依赖的复杂的配置管理变得简单,Docker的出现是运维领域的一次革命,可以推动运维服务向更高层次的发展。他表示,鉴于Docker Image对应用测试、分发、部署乃至回滚所带来的便利已使Docker拥有庞大的用户社区,我们能够继承Docker的社区优势,将VM和Container技术相结合,增强在不同租户、不同安全需求的容器间的隔离性,同时尽量避免强隔离带来的过多的性能损失。他将在演讲中具体解释如何做到这一点。

王旭:多租户环境下,Docker的安全隔离怎么破 王旭

CTO

北京引众思源科技有限公司

王旭 在北京邮电大学获得博士学位。在加入引众思源公司之前,曾就职于盛大云计算和中国移动研究院,从事云计算、Hadoop以及大规模计算集群管理与优化、弹性块存储服务的开发等方面的工作,个人 研究涉及Linux内核、文件系统、虚拟化、Hadoop、ZooKeeper、NoSQL与分布式存储系统等。

对话王旭:

CSDN:首先请介绍下您自己,以及您在Container/Docker技术方面所做的工作。

王旭: 我是王旭。在加入现在的公司之前,曾在中国移动研究院和盛大云计算工作。在盛大云计算做弹性块存储服务,在中国移动研究院时在大云项目组里,负责Hadoop开发和分布式存储的项目,并曾经是为中国移动研究院云计算方面的开源社区和标准化协调人。作为一位业余的作者和译者,翻译过O'Reilly的《Cassandra权威指南》,更早的时候写过一本Debian的书,个人Blog上放着原来的不少关于kernel、存储、NoSQL的译文。

我们现在主要是做DevOps工具的,帮运维来更代码化、自动化地管理集群系统,Docker 是我们的工具链上的重要一环。

CSDN:您所在的企业是如何使用Container/Docker技术的?为企业带来了哪些好处?

王旭: Docker发布出来的时候,我们认为它的革命性在于Image和Container的集成,因为Image是不可变的(Immutable),开发、测试和部署被统一了,执行环境被简单化了,之前DevOps在部署中依赖的复杂的配置管理变得简单了。

CSDN:您认为Container/Docker技术最适用于哪些应用场景?

王旭: Docker目前的适用场景主要包括以下三类:

  • 适合于需要经常部署的模块,良好的封装会让持续部署变得方便。
  • 适合于无状态服务,迁移、重部署、水平扩展都很方便。
  • 还很适合于测试环境,因为封装良好,做各种场景模拟测试和压力测试都很方便。

CSDN:企业在应用Container/Docker技术时,需要做哪些改变吗?企业如果想快速应用Docker应该如何去做?

王旭: Docker的粒度介于传统的虚拟机和软件包之间,Docker的生命周期短于传统的VM,数量多于VM。

  • 对于应用架构而言,Docker希望应用尽量无状态、可重新部署、可水平扩展,如果应用比较传统可能需要调整。
  • 对于运维来说,监控采集的指标可能会发生一些变化,不能把传统的针对OS和虚机的监控简单迁移到Docker来,需要针对其数量和生命周期进行相应的调整。

CSDN:作为当前最流行的Container技术,您认为Docker还有哪些方面需要改进?

王旭: 最近有一些针对Docker的质疑,其中最严厉的莫过于针对Docker安全性的质疑,因为所有容器都由同一个内核调度,一旦有什么Bug被利用,突破这层隔离,就会危及到宿主机和其他容器。虽然Docker和整个Linux社区都在容器能力限制、Namespace隔离方面一直在不懈努力,但随着Docker逐渐被采纳,甚至进入多租户服务,这方面的担心与日俱增。

CSDN:您在本次演讲中将分享哪些话题?

王旭: 本次演讲中,我们将介绍我们最近做的一点工作,结合VM和Container技术,提供一个一个隔离性和性能的折衷方案。

CSDN:哪些听众最应该了解这些话题?您所分享的主题可以帮助听众解决哪些问题?

王旭: 听众对Docker和Linux系统管理有一定了解即可。如果用户希望在多租户环境中提供Docker的服务,那么这个话题可能会比较有兴趣。

2015 Container技术峰会已经邀请Google Kubernetes核心开发人员来华,和国内用户分享Kubernetes的技术细节,探讨Container未来的发展方向,此外还有VMware、华为、红帽、美团、腾讯、云雀科技、数人科技、上海点融等公司Container/Docker技术实践者,也将同台分享Container/Docker及其相关项目的实战经验。

附:Container技术峰会全日程

王旭:多租户环境下,Docker的安全隔离怎么破

“2015 OpenStack技术大会”、“2015 Spark技术峰会”、“2015 Container技术峰会”  4月17-18日在北京召开。日程全部公开!  OpenCloud 2015,懂行的人都在这里! 更多讲师和日程信息请关注OpenCloud 2015介绍和官网。
正文到此结束
Loading...