在生产环境中使用Docker必须注意的事情

  • 时间:
  • 浏览:1

我们都 这样 发表声明Linux容器是一个多 非常强大的概念,它组合了众多优秀的Linux内核功能和Docker开源工具,任何背景知识的开发者都很容易使用。在2016年容器峰会上,Bryan Cantrill深入的比较了容器技术造成的业界以及大众接受的现象与对新的用户而且再次出现的现象(链接中是离米 48分钟的专题讨论)。现象诸如:而且对新技术眼前 的支撑功能的理解欠缺深入而造成的技术不当使用以及使人不愉快的意外。昨天,Avishai Ish-Shalom做了一个多 恶搞视频指出了在还这样 准备好的情形下使用Docker带来的挫折、意外和震惊。非常搞笑的视频,希特勒使用Docker:https://t.co/cmXB2Clj8D (译者注:该视频的中文版本在http://v.qq.com/page/n/u/a/n0193j4ylua.html)。在这篇博文中,我们都 希望看一下其中的每一个多 陈述并解构它们,以更深入的理解是那些使得这俩 视频这样 精巧,而同时也才能作为任何一个多 希望在生产环境中使用Docker的单位和自己的有益参考。

隔离性

视频以一个多 非常流行的CI/CD场景本来开始英语 英语 英语 ,使用Docker的公有镜像源、Docker Hub及其多容器管理工具Docker-Compose。应该指出的是,Docker的官方文档明确说明了Docker-Compose在目前主若果针对开发和测试环境的,并不适合在大规模的生产环境中使用。

才能参考Docker docsthe Docker Security Portal

Docker缺省配置

正如博文Docker Internals强调的那样,而且你的Linux内核版本大于2.6.x,你都要关闭Docker守护程序运行上的userland-proxy以支持Hairpin NAT。

原文标题:在生产环境中使用Docker都要注意的事情

本文讲的是在生产环境中使用Docker都要注意的事情【编者一段话】本文以最近非常火的希特勒怒喷Docker的视频为线索,全版分析了Docker指在的一点现象和弱点,以及在生产环境中使用Docker所要注意的方面。那些现象包括隔离性、镜像安全、Docker缺省配置、发布及部署;文章的最后分析了微软最近在容器支持方面的动作。

而且这俩 视频中也犀利的指出了上面的技术运用方面的现象:

原文发布时间为:2016-04-17

不幸的是,在Windows和OSX中,要使用Linux容器都要在虚拟化环境中运行Linux内核,而且这俩 现象这样 被充分的理解则而且带来的现象和挫折。Docker也正在通过Docker客户端来改善这俩 现象(在写这篇文章的完后 这俩 新的Docker客户端版本还在Beta阶段)。新的Docker客户端所使用的补救法律办法是通过更为紧密的与宿主机操作系统整合来多样化开发人员在非Linux操作系统上的体验。

发布&部署

Docker工具箱不仅使得容器技术更流行,也中含了关键的发布功能组件使得容器成为更流行的代码打包和部署法律办法。容器镜像使用已有的打包和部署工具补救了太多太多 实际的现象。

然而,容器技术被大众接受的法律办法与虚拟机的使用法律办法并这样 那些区别,镜像突然 中含了整个Linux系统和极少量非都要的二进制程序运行。这不但使得镜像文件变大进而使得部署更慢,也使得在生产环境中使用时增大了被攻击的而且性。幸运的是社区而且接受了slim应用容器的概念,通过使用最小化的Linux发行版例如Alpine – 现在所有的Docker官方镜像都使用Alpine,Alpine中含了静态编译的仅依赖于其所编译的内核的二进制程序运行。

我们都 相信,这俩 段的启示应该是:

而且你的基础设施的整体设计这样 保证每这俩 资源的可靠性和冗余性则并不使用容器。
你或许才能通过太多太多 技术的运用重新提升可靠性,例如使用共享存储、服务编排、监控以及中含自愈功能的框架如Swarm中的当有节点失败时进行容器重新调度;而且Kubernetes副本设置中的“The Reconciliation Loop”的概念。

本文作者:liguangcheng 

博文Sandwich Analogy深入的解释了为那些使用Docker Hub上的非官方公共镜像应该是使人担心的。

我愿意们在三明治的上下文中思考容器技术。通过观察,我愿意轻易的了解到三明治的基本信息例如上面夹的是番茄还是生菜还是火腿而且火鸡肉;或许上面一点你看这样 的东西,但都在你基本上才能了解大每种的内容。这就跟容器例如,我愿意了解到的信息诸如操作系统是Fedora而且RedHat而且Ubuntu,是与否httpd,shell类型,systemd的使用等等,而且上面也而且都都在你意想这样 的隐藏现象,例如/bin/sh或许被替去掉 了一个多 Python脚本,这就像是三明治里在生菜上面藏着橄榄一样。
镜像内容的安全现象再次出现在2014和2015年的太多太多 新闻中。Docker突然 努力的为补救这俩 现象去掉 都要的功能。内容可寻址镜像层用来验证镜像的签名内容,有镜像抓取验证功能的镜像源不再将镜像ID作为保密内容,Docker Hub的Nautilus厚度检视保证官方公共镜像的安全漏洞被及时被修复,另外Docker引擎还中含了诸如用户名字空间,Secomp和AppArmor配置以及其它一点安全相关的功能。

目前在Windows中集成的Linux内核API的目标是大每种的Linux系统调用,才能使得Windows对软件开发者来说成为一个多 更有吸引力的平台(仅对目前)。将最近指在的一点事件通过一个多 这样 精彩的法律办法来展现,我们都 向这俩 视频的创造者致敬!Hacker-News上的讨论参考:Ignore the Hype原文链接:Docker Caveats(翻译:李光成)========================================================译者介绍李光成,IBM中国研究院资深研究员,研究方向是云计算基础设施及技术。目前在做的是Docker资源隔离方面的研究项目。

#GIFEE 完后 ,视频指出了另外一个多 关于实施容器运行时隔离的现象:

程序运行的可扩展性依然都要你自己去关注,都要去探索适合容器的用户场景。容器Pods的概念鼓励将程序运行分解成更小、更专注、相互媒体企业合作的模块。容器提供的隔离性足够允许通过可重用的模块提供比单个的容器更可靠,更可扩展和更慢的服务。我们都 相信那些概念都要这俩 针对要怎样构建云环境中的应用的思考法律办法的变化。请参考容器编排模式即使对于那些传统的都在这样 “CloudNative”的应用,容器也提供了强大的部署模式例如Joyent倡导的自动驾驶模式

微软

神化Docker的想法的幻灭。Jérôme Petazzoni在他的DockerCon EU 2015上的演讲中含了更多的细节,cgroups全版的中含了Linux容器对于资源管理的基本需求。对于视频里关于fork炸弹的吐槽,Docker 1.11中含了一个多 修改,详情见这俩 视频的作者和Docker的维护者@jfrazelle之间的一段Twitter会话:

@frazelledazzell @francesc @nixcraft @m1keil nproc cgroup的支持只会在1.11.0中https://t.co/lCKjdNmx5Y

— Avishai Ish-Shalom (@nukemberg) April 11, 2016
在云环境中原来 值得注意的现象是熵的消耗(译者注:entropy depletion https://en.wikipedia.org/wiki/ ... %2529),这在共享内核的场景中是非常有意义的,才能参考HAVEGED作为一个多 变通方案。

微软前段时间承诺在Windows Server 2016中支持Windows容器的Docker API。在向Docker社区贡献代码使得Docke客户端工具才能在Windows工作完后 ,微软在Windows内核中实现了文件系统和容器基础功能,甚至开源了Dot Net核心CLR 。

通常来说,都要仔细研究Docker的缺省值在你的环境和使用案例中与否这俩 优化的配置。例如Docker文档中覆盖了要怎样选则COW文件系统的所有内容。

容器vs 虚机

容易在“应用打包”的场景中提供了比虚机更多的优势,容器才能更慢的构造,更容易分享,也才能更慢的启动和停止。

这强调了共享内核带来的第一个多 现象:降低了可靠性与冗余。

本文来自云栖社区媒体企业合作伙伴DockerOne,了解相关信息才能关注DockerOne。

微软似乎扩展了Astoria项目(一个多 Andriod模拟器)成为一个多 令人印象深刻的模拟Linux的Windows子系统(WSL),微软上周发表声明了WSL使得整个业界感到震惊。