Azure新的***技术官Mark Russinovich表示,和谷歌Kubernetes项目中的Docker类似,微软也在使用自己的Drawbridge技术来挥洒对容器技术方面的热情。但是,尽管该技术被看成是平台即服务的未来,Russinovich仍然直言不讳地表示他觉得Docker容器缺乏安全性方面的防护。
容器是一种轻量级的虚拟化,它建立在一个单个的Linux实例之上,每个容器在简版的操作系统上按照资源策略容纳着一个独立运行的应用程序。Docker是一个开放源代码项目,旨在将容器内的应用程序部署自动化。
在六月份,微软展示了部署在Azure Linux虚拟机之上的Docker。一个月之后,该公司透露计划向谷歌的Kubernetes Docker容器集群管理贡献代码。
Russinovich表示,“我们看到很多人对于Linux(在Azure之上)的兴趣,但是随着对于Linux的兴趣的增长——如同每个人在任何地方看到的那样——对于在Linux和Docker中使用容器的兴趣也随之增长,Docker已经真正成为在Linux上使用容器的标准方法。”
微软和红帽携手的消息以及将它将支持Azure云计算平台的可能性体现出微软对Linux的兴趣,这一技术目前已经可以用于CentOS、openSUSE、Oracle Linux、SUSE Linux Enterprise和Ubuntu平台。
Russinovich表示,“我们很乐意在Azure上有一个得到支持的红帽版本。”但是在被问及这一情况是否会很快出现的时候,他回答道:“我不知道。不幸的是,这就是我能说的一切了。”
微软在内部针对一些中间件服务使用了自己的容器软件,使用了来自微软研究院Drawbridge项目的技术。Russinovich表示,“容器革命——这项容器提供的、很小的软件服务让软件能够可靠地从测试环境迁移到生产环境之中,生产环境中的计算是高密度和高利用率的——肯定是平台即服务以及计算的一种未来趋势。”
但是,Docker提供的便携性是推动容器使用的重要力量,它的作用显然超过了安全问题引发的担心。
Russinovich表示,“这些容器都是不安全的。它们无法隔离。它们共享了太多底层操作系统的东西,因此它们无法有效地解决安全问题,至少没有达到让我们能够放心地将两个不同的用户同时在容器中运行的安全程度。但是它的价值在于在开发测试环境中的便携性。你写代码,你测试代码,它生活在一个气泡之中,和服务器上其他的软件隔离开来。”
“你可以很有信心地使用它,并且将它部署到虚拟机或者服务器上,你知道它会以同样的方式运行,因为它仍然在气泡中,它不会受到服务器或者虚拟机上其他软件的影响。”
Russinovich表示Docker和Drawbridge——微软正在考虑在Windows中公开推出——两者在目标上几乎一模一样,但是在很多重要的领域存在着重要的不同。
他表示,“它们非常类似,但是显然Docker是建立在Linux之上的容器技术,它是Linux的技术,它们是不安全的——那些容器。Drawbridge是Windows之上的容器技术,它是内部的,不是公开的,它非常安全。”
“它支持我们称之为多租户工作负载,所以它下方是虚拟机上的云计算机器学习等服务,我们会运行这些Drawbridge容器,安全地运行客户的云计算机器学习算法。”
“它不是一种公开提供的容器技术,只能通过这些类型的服务间接地使用它。”
隔离资源的能力也是推动容器得到广泛使用的一个重要优势。
Russinovich表示,“隔离意味着不受其他应用程序和其他应用程序配置的干扰,也意味着资源的隔离。”
“资源隔离让你将虚拟机当成是你的安全边界,并且将其完全置于轻量级的容器之中,这些容器高速运转,你可以将很多容器放在一个虚拟机之中,充分利用它。”
“所以你可以将数百个容器放在一个虚拟机之中。非活跃状态的容器会释放自己占用的资源;那些活跃的容器则会获得资源。”
“你利用资源隔离来确保基本水平的服务,以此保障容器的运行。这些都是真正强大的特性,而且有正当的存在理由,并且引发了围绕着Docker和容器的大量炒作。”
本文出自:http://soft.zdnet.com.cn/software_zone/2014/1013/3036035.shtml