下一代CoreOS的容器使用基于Intel的硬件隔离来增加安全性。其他容器系统也会如法炮制吗?
既然Open Container Initiative(OCI)承诺让所有的容器都殊途同归, 但是除了Docker,其他容器技术都停止发展了吗?答案是否定的。以CoreOS为例,它正在加速发展。
CoreOS,利用Docker的许多idea,打造了另一个容器系统Rocket。一直高调宣传以安全和简单来标榜自己的容器特性,Rocket 0.8 (又名rkt)带来了基于Intel工程设计特性,CoreOS声称在其他容器上暂时还没有发现。
Rocket 0.8利用了Intel的 Clear Containers项目,它在英特尔芯片中使用VT-x指令集为容器增加硬件隔离。事实上,Intel利用Rocket为其建立一个概念验证项目,目前的工作只不过是CoreOS和Intel之间的合作。一个容器在Rocket 0.8执行其整个进程按层级封装在一个KVM中,这意味着容器的contents被防火墙从主机隔离。
这么多隔离听起来好像有些过分,但是这是对容器安全的持续关注。大多数容器环境中声称提供容器技术、cgroups 和namespaces隔离。在多租户环境中,隔离度是至关重要的。
最大的问题是,Rocket’新特性是否被OCI采用。根据CoreOS CTO Brandon Philips表示,由CoreOS提议的最初的appc容器规范涵盖了容器管理的四个不同元素:packaging、signing、 naming (sharing the container with others)以及 runtime.。
“当前OCI的焦点主要集中在runtime。虽然我们也在努力让appc与 OCI协调,但他同时表示也希望OCI规范应该为用户提供一个完整的container image story。
CoreOS想做个带头人,但Docker也提供Philips概述的一些功能。比如Docker最近公布的 Docker Content Trust,一个为Docker容器设计的签名和验证机制。通过使用Content Trust作为一种选择性机制来验证内容添加到官方Docker Registry,并提供它作为一个开源的标准,Docker希望以身作则,鼓励采用。
本文由丁麒伟编译整理,原文链接:http://blog.tenxcloud.com/?p=380