幾乎當(dāng)下任何一個(gè)高科技公司，都把投資建設(shè)的目光放在容器技術(shù)上，比如谷歌、IBM和微軟。但這只是因?yàn)槿萜骷夹g(shù)太時(shí)髦，并不意味著傳統(tǒng)虛擬機(jī)技術(shù)已經(jīng)過時(shí)。

沒錯(cuò)，容器比虛擬機(jī)更能允許在有限的物理空間里安裝更多的應(yīng)用。以Docker為代表的容器技術(shù)，在云計(jì)算或數(shù)據(jù)中心領(lǐng)域擊敗了虛擬機(jī)。虛擬機(jī)會占用大量的系統(tǒng)資源。每臺虛擬機(jī)不只是運(yùn)行一個(gè)完整的操作系統(tǒng)副本，而是操作系統(tǒng)所需要運(yùn)行的所有硬件虛擬副本，這會輕而易舉地增加CPU和內(nèi)存負(fù)擔(dān)。相反，容器需要的只是一套支持程序和數(shù)據(jù)庫的操作系統(tǒng)，以及足夠的系統(tǒng)資源來運(yùn)行特定的程序。這實(shí)際上意味著，利用容器技術(shù)，你能在每臺服務(wù)器上運(yùn)行多于虛擬機(jī)兩到三倍的應(yīng)用程序。除此之外，你可以利用容器創(chuàng)建一個(gè)便攜并且可持續(xù)的、用于開發(fā)/測試和部署的運(yùn)行環(huán)境，這相比于虛擬機(jī)又是一處利好。

如果這些就是我在比較容器和虛擬機(jī)時(shí)能想到的一切，我會立刻為虛擬機(jī)寫一份訃告，宣告它的死訊。然而，還有很多比在服務(wù)器中放多少應(yīng)用程序更重要的事情。

容器技術(shù)的問題：安全

經(jīng)常被當(dāng)下興高采烈的容器技術(shù)支持者們所忽視的最大問題，便是安全。Daniel Walsh是一位任職于紅帽的安全工程師，主要研究Docker和容器技術(shù)，他指出：容器技術(shù)并不像看上去那么可靠。以應(yīng)用Libcontainers作為技術(shù)支持的Docker為例，在Linux系統(tǒng)的工作模式下，Libcontainers可以訪問五個(gè)命名空間：流程，網(wǎng)絡(luò)，安裝，主機(jī)名和共享內(nèi)存。這固然很好、很強(qiáng)大，然而仍然有很多重要的Linux核心子系統(tǒng)不能被容器所兼容，包括所有的設(shè)備、SELinux、Cgroup以及/sys下的所有文件系統(tǒng)。這意味著，如果某位用戶或者應(yīng)用程序獲取了容器內(nèi)部的超級用戶權(quán)限，底層操作系統(tǒng)理論上可以被破解。這是一件非常糟糕的事情。

現(xiàn)在，出現(xiàn)了很多保護(hù)Docker和其它容器技術(shù)的措施。舉例來說，你可以將一個(gè)/sys文件系統(tǒng)設(shè)置為“只讀”，或者強(qiáng)制某個(gè)容器進(jìn)程對特定的文件系統(tǒng)執(zhí)行“只寫”，抑或設(shè)置網(wǎng)絡(luò)命名空間以使其只能與特定的企業(yè)內(nèi)聯(lián)網(wǎng)交流信息。但是，這些辦法都不能從根本上解決問題，如此維護(hù)容器安全需要耗費(fèi)你大量的時(shí)間和精力。

另一項(xiàng)安全問題是，很多人都在發(fā)布基于容器的應(yīng)用，其中的一些比另一些要更可惡。我們假設(shè)你和你的團(tuán)隊(duì)有懶惰的傾向，你們不加辨別地安裝到手的第一個(gè)容器，然后不知不覺就為服務(wù)器帶入了木馬。你必須讓你的人明白，他們不能簡單地像從手機(jī)里的應(yīng)用商店下載游戲一樣，從網(wǎng)絡(luò)上下載應(yīng)用程序。他們這種毫無責(zé)任意識的行為，很可能為你的服務(wù)器帶來嚴(yán)重的安全隱患。

對于容器的其它擔(dān)憂

好，如果我們能解決容器的安全問題，那么容器技術(shù)就可以統(tǒng)治世界了，是這樣嗎？很抱歉，并非如此。事實(shí)上，你還需要考慮容器其它方面的問題。

RackN公司CEO，OpenStack基金會的董事成員Rob Hirschfeld認(rèn)為，容器的包裝問題仍然棘手。創(chuàng)建一個(gè)加密箱能夠部分地幫助解決下游問題（你知道你有什么），而不是上游的問題（你不知道你依靠什么）?！皩⒉渴饎澐殖筛嚯x散且獨(dú)立的功能分區(qū)的確是聰明的抉擇，但是這意味著你們要管理的部分也變得更多了?！?span>

對此，我必須添加一句：這不僅是安全問題，也是一個(gè)質(zhì)量是否能夠保證的問題。固然，X容器可以運(yùn)行NGINX網(wǎng)頁服務(wù)，但是最終版本是你想要的嗎？它包含TCP負(fù)載均衡更新的功能嗎？在容器中部署應(yīng)用固然是很容易的事，但是如果你安裝了錯(cuò)誤的容器，你最終在做的還是浪費(fèi)時(shí)間。

Hirschfeld還指出，容器的擴(kuò)展問題可以成為一個(gè)真正的難題。切記，容器的全部意義在于運(yùn)行單個(gè)應(yīng)用。你在容器里添加的應(yīng)用功能越多，你從第一步開始使用虛擬機(jī)的可能性就越大。

在容器和虛擬機(jī)間做出抉擇

那么，你究竟該如何在容器和虛擬機(jī)間做出抉擇呢？Scott S. Lowe,一位虛擬機(jī)設(shè)計(jì)工程師，建議你考察你的“工作范圍”。換言之，如果你需要運(yùn)行單個(gè)應(yīng)用程序的多個(gè)副本，比如MySQL, 你需要的就是容器。如果你需要靈活地運(yùn)行多個(gè)復(fù)雜應(yīng)用，那么你需要的就是虛擬機(jī)。

除此之外, 容器往往會把你局限在一個(gè)特定的操作系統(tǒng)版本里。這也許是好事，如果你在容器中恰當(dāng)?shù)剡\(yùn)行了應(yīng)用程序，你就不必?fù)?dān)心它的依賴性——但是它同時(shí)也限制住了你。 如果你使用的是虛擬機(jī)的話, 不管你應(yīng)用的是什么管理程序——KVM, Hyper-V, vSphere, Xen,你都能非常得心應(yīng)手地運(yùn)行任何操作系統(tǒng)。

你需要在最少的服務(wù)器上運(yùn)行最大量的特定程序嗎？如果那就是你，那么你需要使用容器——記住，你需要密切關(guān)注在你的系統(tǒng)中運(yùn)行著的容器,直至容器安全問題能夠最終得到保證。而如果你需要在服務(wù)器里運(yùn)行許多個(gè)應(yīng)用程序，或者使用多種多樣的操作系統(tǒng)，那么你最好使用虛擬機(jī)。如果安全問題是貴公司的第一要義，那么你現(xiàn)在仍然最好還是使用虛擬機(jī)。

在實(shí)際情況中,我希望我們中的大部分都能在我們的云計(jì)算和數(shù)據(jù)中心里同時(shí)運(yùn)行容器和虛擬機(jī)。容器技術(shù)在經(jīng)濟(jì)上的優(yōu)勢讓任何人都無法忽視，然而虛擬機(jī)仍然擁有值得稱道的優(yōu)點(diǎn)。隨著容器技術(shù)的成熟, 我真正希望發(fā)生的事情是虛擬機(jī)和容器技術(shù)可以融合到一起,為云計(jì)算領(lǐng)域帶來實(shí)質(zhì)意義上的改變。我們目前還沒有做到，但是我們終有一天會做到。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900