摘要:下一代的容器使用基于的硬件隔離來增加安全性。以為例,它正在加速發展。大多數容器環境中聲稱提供容器技術和隔離。在多租戶環境中,隔離度是至關重要的。比如最近公布的,一個為容器設計的簽名和驗證機制。
下一代CoreOS的容器使用基于Intel的硬件隔離來增加安全性。其他容器系統也會如法炮制嗎?
既然Open Container Initiative(OCI)承諾讓所有的容器都殊途同歸, 但是除了Docker,其他容器技術都停止發展了嗎?答案是否定的。以CoreOS為例,它正在加速發展。
CoreOS,利用Docker的許多idea,打造了另一個容器系統Rocket。一直高調宣傳以安全和簡單來標榜自己的容器特性,Rocket 0.8 (又名rkt)帶來了基于Intel工程設計特性,CoreOS聲稱在其他容器上暫時還沒有發現。
Rocket 0.8利用了Intel的 Clear Containers項目,它在英特爾芯片中使用VT-x指令集為容器增加硬件隔離。事實上,Intel利用Rocket為其建立一個概念驗證項目,目前的工作只不過是CoreOS和Intel之間的合作。一個容器在Rocket 0.8執行其整個進程按層級封裝在一個KVM中,這意味著容器的contents被防火墻從主機隔離。
這么多隔離聽起來好像有些過分,但是這是對容器安全的持續關注。大多數容器環境中聲稱提供容器技術、cgroups 和namespaces隔離。在多租戶環境中,隔離度是至關重要的。
最大的問題是,Rocket"新特性是否被OCI采用。根據CoreOS CTO Brandon Philips表示,由CoreOS提議的最初的appc容器規范涵蓋了容器管理的四個不同元素:packaging、signing、 naming (sharing the container with others)以及 runtime.。
“當前OCI的焦點主要集中在runtime。雖然我們也在努力讓appc與 OCI協調,但他同時表示也希望OCI規范應該為用戶提供一個完整的container image story。
CoreOS想做個帶頭人,但Docker也提供Philips概述的一些功能。比如Docker最近公布的 Docker Content Trust,一個為Docker容器設計的簽名和驗證機制。通過使用Content Trust作為一種選擇性機制來驗證內容添加到官方Docker Registry,并提供它作為一個開源的標準,Docker希望以身作則,鼓勵采用。
本文由丁麒偉編譯整理,原文鏈接:http://blog.tenxcloud.com/?p=380
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/26449.html
摘要:彼時,從虛擬化管理到公有云,熱鬧異常。雖然年才明顯放棄公有云的全面競爭,但在年決定發起和開源項目是,不說明確,至少已經隱隱覺得肯定搞不過亞馬遜了。年前賣的多火,被視為虛擬主機的升級版。當然不是新堆棧,而是傳統堆棧。 還記得在十多年前,SaaS鼻祖SalesForce喊出的口號『No Software』嗎?SalesForce在這個口號聲中開創了SaaS行業,并成為當今市值460億美元的Saa...
摘要:在本周的年度大會上為容器技術推出了一個雙管齊下的技術。,這是現有產品的翻新,能夠讓容器在內運行而新的是專為定制的環境中運行容器。方面表示,我們的目標是提供正好的虛擬化環境,以支持容器運行在輕量級,原生云環境上。 showImg(https://segmentfault.com/img/bVpMmT); VMware在本周的年度VMworld大會上為容器技術推出了一個雙管齊下的技術。VM...
摘要:今天,小編給大家分享大會第二期干貨。田琪深入理解容器技術首先大家肯定要清楚容器和的本質區別,通過內核提供的這個東西,能夠讓你完成進程級別的隔離的效果。 showImg(http://sharlyne-lee.qiniudn.com/ecug2.png); 今天,小編給大家分享ECUG Con 2014大會第二期干貨。 下面是田琪(京東資深架構師)、何全(多備份技術總監)、馬全一(d...