评估容器安全的现状,解你心中疑惑
任何理性的企业都希望能在容器上运行关键任务型服务,但他们会有这样的疑问:“容器真的安全吗?我们真的可以把数据和应用程序放心地交给容器吗?” 在技术人员当中,这常常导致容器与虚拟机之争,并讨论虚拟机中的虚拟机管理程序层提供的保护。虽然这可能是一种有趣而翔实的讨论,但容器与虚拟机这种对立本身就是错的;有关方应在虚拟机里面运行容器,目前这一幕出现在大多数云提供商身上。一个显著的例外是来自Joyent的Triton,它使用SmartOS Zones,确保租户相互隔离。还有一个日益壮大的社区认为,Linux上的容器安全和隔离已得到了长足的改进,用户可以使用裸机容器服务,而不是使用虚拟机,实现隔离。比如说,IBM在Bluemix公共云服务上构建了一种托管的容器服务,该服务运行时租户之间虚拟机并不隔离。 为了保持容器的灵活性优势,多个容器在每个虚拟机里面运行。关注安全的企业可以使用虚拟机,隔离在不同安全级别下运行的容器。比如说,可以安排处理计费信息的容器在不同于留给面向用户型网站的节点的节点上运行。值得关注的是,包括Hyper、英特尔和VMware在内的几家公司正致力于构建速度飞快的基于虚拟机的框架...
