建议使用以下浏览器,以获得最佳体验。 IE 9.0+以上版本 Chrome 31+ 谷歌浏览器 Firefox 30+ 火狐浏览器
请选择 进入手机版 | 继续访问电脑版
设置昵称

在此一键设置昵称,即可参与社区互动!

确定
我再想想
选择版块

云享专家

发帖: 31粉丝: 7

级别 : 版主

Rank: 7Rank: 7Rank: 7

发消息 + 关注

发表于2018-7-14 11:45:03 10749 12 楼主 显示全部楼层
【云享专家·微话题】Tsjsdbd邀你讨论“容器与虚机”,赢《Docker 容器与容器云》书

900x300-2.jpg


本期【云享专家·微话题】由云享专家Tsjsdbd与大家一起讨论“容器与虚机,谁将主宰云世界”,希望大家能够畅所欲言。如果大家有其他任何与PaaS相关的问题,也可以在本帖回复直接咨询云享专家Tsjsdbd。

 

=======【云享专家·微话题】容器与虚机,谁将主宰云世界?=======

如今Docker容器技术已经比较普及,在各个领域都开始发挥出价值。并且容器与虚拟机十分和谐的共存,两者各自具有不同的特征和相应适合的应用场景。然而,渐渐地你会发现在各个云基础设所涉及的领地,容器正在以它的角度重建这个世界,容器存储,容器网络,容器调度都全部长出自己的枝干。在实际的领域,容器也开始崭露头角,HPC,基因测序,边缘云,微服务等等。相信有一天,容器会与虚机平起平坐,然后在那之后,迅速超越,成为云计算的中流砥柱。Container will Rebuild the World。


每个人对“容器与虚机”都有不一样的理解,今天我们就“容器与虚机”一起来讨论,希望看到大家精彩的评论:

1、讲讲你在容器使用过程中存在的问题?

2、讲讲容器技术如何在各个技术领域渐露头角?

3、容器一直被诟病的薄弱点安全相关进展?

4、你觉得容器是否和虚机的各自发展前景?


微话题活动:参与本次微话题讨论,有机会获得优质评论奖

活动时间:2018年7月16日-7月27日

参与方式:直接在本帖回复你关于以上4个问题的理解或评论

获奖方式:活动结束后,将由云享专家Tsjsdbd选取出3名优质评论奖,各送出《Docker 容器与容器云》书籍1本。

image.png

回复 举报
分享

分享文章到朋友圈

分享文章到微博

云享专家

发帖: 31粉丝: 7

级别 : 版主

Rank: 7Rank: 7Rank: 7

发消息 + 关注

发表于2018-8-3 16:53:21 来自 13# 显示全部楼层

感谢参与云享专家 Tsjsdbd 的微话题。恭喜以下3位小伙伴获得本次微话题的“优质评论奖”:

image.png

恭喜各位小伙伴,请获奖的各位小伙伴尽快把联系方式+收货地址 私信 我~~~

点赞 回复 举报

我容易吗我

发帖: 0粉丝: 0

级别 : 新手上路

Rank: 1

发消息 + 关注

发表于2018-7-16 16:16:29 沙发 显示全部楼层

唐老师将主宰云世界

点评

顶你: 3.0
顶你: 3
test  发表于 2018-7-19 14:33
暂  发表于 2018-7-19 14:36
点赞 回复 举报

容器里的猫

发帖: 2粉丝: 0

级别 : 新手上路

Rank: 1

发消息 + 关注

发表于2018-7-16 16:18:12 板凳 显示全部楼层

再次诠释了那句:本可靠颜值吃饭,却偏偏靠实力

点赞 回复 举报

建赟

发帖: 185粉丝: 12

级别 : 版主

Rank: 7Rank: 7Rank: 7

发消息 + 关注

发表于2018-7-16 17:44:05 地板 显示全部楼层

1、讲讲你在容器使用过程中存在的问题?

         

        在容器使用过程中存在的问题有:a、安装非常缓慢,而且经常安装失败。b、Docker所有的镜像都依赖于基础镜像,而这些基础镜像都在国外的docker hub上,镜像pull非常慢。c、默认的dockerhub所有镜像都是公开的,私有仓库价格是非常贵的,而且速度还很慢。d、要在VM上使用docker,需要对网络、存储等做一些特殊的处理。e、使用docker的出发点是降低运维成本,提升效率,但是管理上的成本相反却会上升,需要专业的公司来处理。f、容器的性能。 g、容器的安全。 h、网络的问题。i、容器型运维人员短缺


2、讲讲容器技术如何在各个技术领域渐露头角?

         

        容器带来了之前技术所没有的几个新特点。a、与之前的方法相比,Docker让容器部署和使用起来更容易、更安全。b、由于Docker与其他容器领域的巨擘进行了合作,包括Canonical、谷歌、红帽和Parallels,共同开发其关键的开源组件libcontainer,它为容器带来了迫切需要的标准化。c、容器易于部署到云端。


3、容器一直被诟病的薄弱点安全相关进展?


       对docker容器安全质疑最大的一点就是其隔离的彻底性,将docker生命周期拆为两个大阶段,非生产环境阶段和生产环境阶段,这两个阶段安全控制的目标如下:非生产环境中保证镜像安全可信,生产环境中保证镜像正确的运行。


4、你觉得容器是否和虚机的各自发展前景?

 

      说docker代替vm来说还为时过早,长期来看docker会在更多的场景上逐步替代vm的功能,vm技术也会在很长的时间内继续发挥着重要的作用,也许将来两种技术会进行融合,vm技术拥有docker的一些特性,同时docker也会克服自身的一些缺点,变得更加易用。


   

点赞1 回复 举报

ecstatic

发帖: 9粉丝: 5

级别 : 版主

Rank: 7Rank: 7Rank: 7

发消息 + 关注

发表于2018-7-18 01:12:06 5# 显示全部楼层

1、讲讲你在容器使用过程中存在的问题?

      a.项目中docker容器中生成的日志文件名称乱码

      b.怎样才能在容器中使用iptables呢

      c.容易安装失败

      d.kubernetes,mesos框架用不明白

2、讲讲容器技术如何在各个技术领域渐露头角?

     容器技术最早可以追溯到1979年UNIX系统中的chroot,最初是为了方便切换root目录,为每个进程提供了文件系统资源的隔离,这也是OS虚拟化思想的起源。

      2013年Docker诞生,Docker最早是dotCloud(Docker公司的前身,是一家PaaS公司)内部的项目,和Warden类似,Docker最初也用了LXC,后来才自己写了 libcontainer 替换了 LXC。和其它容器技术不同的是,Docker 围绕容器构建了一套完整的生态,包括容器镜像标准、容器Registry、REST API、CLI、容器集群管理工具Docker Swarm等;

      2016年微软公司发布基于Windows 的容器技术Hyper-V Container,Hyper-V Container原理和Linux下的容器技术类似,可以保证在某个容器里运行的进程与外界是隔离的,兼顾虚拟机的安全性和容器的轻量级。

     为什么要关注Docker或者容器技术呢?容器可以提供隔离性,可以为各种测试提供一个良好的沙盒环境。并且,容器本身就是具有“标准性”的特征,非常适合为服务创建构建块。

  • 加速本地开发和构建流程,使其更加高效、更加轻量化。本地开发人员可以构建运行并分享Docker容器。容器可以在开发环境中构建,然后轻松的提交到测试环境,最终 进入生产环境。

  • 能够让独立服务或者应用程序在不同的环境中,得到相同的运行结果。

  • 用Docker创建隔离的环境来进行测试。eg :JenkinsCI

  • Docker可以让开发者在本机上构建一个复杂的程序或者架构来进行测试,而不是一开始就在生产环境部署、测试。

  • 构建一个多用户的平台及服务基础设施。

  • 为开发、测试提供一个轻量级的独立沙盒环境,或者将独立的沙盒环境用于技术教学,eg:unix shell 的使用。

  • 提供软件及服务应用程序

  • 高性能、超大规模的宿主机部署。

3、容器一直被诟病的薄弱点安全相关进展?

      Docker中可能会出现的安全问题

     内核漏洞(Kernel exploits)

    容器是基于内核的虚拟化,主机(host)和主机上的所有容器共享一套内核。如果某个容器的操作造成了内核崩溃,那么反过来整台机器上的容器都会受到影响。

     拒绝服务攻击(Denial-of-service attacks)

    所有的容器都共享了内核资源,如果一个容器独占了某一个资源(内存、CPU、各种ID),可能会造成其他容器因为资源匮乏无法工作(形成DoS攻击)。

     容器突破(Container breakouts)

    Linux的namespace机制是容器的核心之一,它允许容器内部拥有一个PID=1的进程而在容器外部这个进程号又是不一样的(比如1234)。现在问题在于如果一个PID=1的进程突破了namespace的限制,那么他将会在主机上获得root权限。

      有毒镜像(Poisoned images)

     主要是考虑到镜像本身的安全性,没太多好说的。

      密钥获取(Compromising secrets)

     容器中的应用可能会获取一些容器外部的服务,这些服务之间可能会有密钥(secret key)等,如果因为密钥保存不当,那么这些服务对于攻击者来说就是可获取的了,这就会造成很多隐患。特别的,这样的问题如果出现在微服务架构中就特别严重。

       安全方案

     

       主机级别的隔离

     主机级别的隔离(Segregate Containers by Host)即将不同用户的容器放在不同的机器上、将那些存放了敏感数据的容器 和普通的容器隔离开来、将哪些直接暴露给终端用户的容器(web容器)隔离开来。
     主机级别的隔离的好处是可以防止容器突破攻击、DoS攻击,但是这样的隔离会付出成本甚至性能的代价的。

     

        限制容器的网络

        容器应向外暴露尽可能少的端口,此外,对于容器之间的通信,最好是需要通信的容器才是连通的。


        移除SUID和SGID的二进制位

        限制内存

        限制CPU

        限制重启

        限制文件系统

4、你觉得容器是否和虚机的各自发展前景?

      随着容器生态圈的继续扩大,容器技术正在与越来越多的行业搭界,不论是过去八竿子打不着的大数据、物联网领域,还是已经闹得沸沸腾腾的微服务、虚拟化,一个更加广阔的后容器技术时代正在到来,他们都将会有更大的发展前景。


点赞 回复 举报

高晓云

发帖: 33粉丝: 20

级别 : 管理员

Rank: 9Rank: 9Rank: 9

发消息 + 关注

发表于2018-7-18 11:11:33 6# 显示全部楼层

支持唐老师!!

点赞 回复 举报

技术火炬手

发帖: 60粉丝: 4

级别 : 版主

Rank: 7Rank: 7Rank: 7

发消息 + 关注

发表于2018-7-18 15:34:06 7# 显示全部楼层

4、你觉得容器是否和虚机的各自发展前景?

答:容器(container): 容器是一种虚拟化实例,一个操作系统的内核允许多个隔离的用户空间实例。不像虚拟机(VM),容器不需要为每个实例运行一个完备的操作系统(OS)镜像。相反,容器能够在单个共享操作系统里面运行应用程序的不同实例。Docker是一个开源的应用容器引擎.   我觉得容器和虚机应该是并驾齐驱吧,猜测都会有各自发展前景。 

点赞 回复 举报

小修

发帖: 0粉丝: 2

级别 : 注册会员

Rank: 2

发消息 + 关注

发表于2018-7-18 16:32:06 8# 显示全部楼层

1、讲讲你在容器使用过程中存在的问题?

1. 在docker容器中vi指令找不到

2.docker容器启动后没有ifconfig和ping

3.Docker客户端和服务器端版本不一致,在某些操作过中会出现错误

4.对于基于busybox, alpine等镜像的容器,在执行命令时可能会出现错误

5.容器启动后自动退出、或进入“restarting”状态

2、讲讲容器技术如何在各个技术领域渐露头角?

容器技术已经引起了业内的广泛关注,有充分的证据表明,容器技术能够大大提升工作效率。

  现在,虚拟化技术已经成为一种被大家广泛认可的服务器资源共享方式,它可以在按需构建操作系统实例的过程当中为系统管理员提供极大的灵活性。由于hypervisor虚拟化技术仍然存在一些性能和资源使用效率方面的问题,因此出现了一种称为容器(Container)的新型虚拟化技术来帮助解决这些问题。

起初,大家普遍认为基于hypervisor的方式可以在最大程度上提供灵活性。所有虚拟机实例都能够运行任何其所支持的操作系统,而不受其他实例的影响。然而,现在越来越多的用户发现hypervisor提供这样一种广泛支持的特性其实是在给自己制造麻烦。对于hypervisor环境来说,每个虚拟机实例都需要运行客户端操作系统的完整副本以及其中包含的大量应用程序。从实际运行的角度来说,由此产生的沉重负载将会影响其工作效率及性能表现。

  首先,每种操作系统和应用程序堆栈都需要使用DRAM。对于多个运行简单应用程序的小型虚拟机实例来说,这种方式可能产生很大的系统开销,降低性能表现。加载并卸载这些堆栈镜像需要花费很长时间,并且还会增加容器技术服务器的网络连接数量。对于极端情况来说,如果用户在上午9点同时启动上千台虚拟桌面,还有可能导致网络风暴的发生。

部署虚拟服务器的目的之一在于快速创建新的虚拟机实例。然而从网络存储当中复制镜像需要花费大量时间,这些操作会延长启动过程,无疑会限制系统灵活性。

  因此我们可以选择使用容器技术。只需要通过简单的观察我们便能够发现容器技术的出现是为了解决多操作系统/应用程序堆栈的问题:

在单台服务器当中为所有虚拟机实例使用相同的操作系统对于大部分数据中心来说都不算是真正的限制。流程管理(Orchestration)可以轻松处理这种变化

许多应用程序堆栈都是相同的(如LAMP)

对于大规模集群来说,在本地硬盘当中存储操作系统副本将会使得更新过程变得更为复杂

最为重要的是,容器技术可以同时将操作系统镜像和应用程序加载到内存当中。还可以从网络磁盘进行加载,因为同时启动几十台镜像不会对网络和存储带来很大负载。之后的镜像创建过程只需要指向通用镜像,大大减少了所需内存。

  容器技术能够在同一台服务器上创建相比于之前两倍的虚拟机实例数量,因此无疑将会降低系统总投入。但是必须认真进行规划,因为双倍的实例数量同样意味着对于运行这些实例的服务器带来了双倍的I/O负载。

  我们需要了解除了避免可能发生的启动风暴之外,容器技术是否还有任何其他性能方面的优势。能否改进IOPS?能够提升网络连接效率并且降低容器间的延迟,解决伴随实例数量增加而产生的问题?

美国某传统服务器大厂商的某实验室完成了至今为止大部分权威实验,其研究结果表明容器技术相比于hypervisor,容器技术的许多关键指标都有重大改进。在进行的所有测试当中,容器技术几乎拥有和本地平台一样的运行速度,尽管网络延迟测试还没有完成。

  上述厂商的研究表明容器技术在多个领域当中都比hypervisor拥有更好的性能表现。容器技术的运行速度几乎是hypervisor的两倍,在评分当中非常接近于本地操作系统。在和KVM的对比当中,容器技术在硬盘随机读取(84,000 vs 48,000 IOPS)和写入(110,000 vs 60,000 IOPS )方面拥有非常优秀的表现,如果使用本地固态硬盘可以实现更好的SQL性能表现。

高性能计算(HPC)社区也在转而使用虚拟化和容器技术。一项由巴西天主教大学进行的研究已经取得了一定成果。

“如果可以降低基本的系统开销(比如CPU、内存、硬盘和网络),那么HPC无疑会选择使用虚拟化系统,”研究人员表示。“从这个角度来说,我们发现所有基于容器的系统在CPU、内存、硬盘和网络方面都拥有接近于本地操作系统的性能表现。”

美国某虚拟化公司V***re也针对容器技术进行了一系列评测对比。容器技术研究结果印证了容器技术拥有接近本地系统的性能表现,尽管其并没有像IBM实验室那样针对VMware的hypervisor发布非常详细的测试报告。而这项报告的容器技术结果有可能促使VMware做出调整,以降低hypervisor的系统开销。VMware的报告当中没有提及硬盘I/O问题。

  为了扩展适用范围,容器技术仍然需要在安全方面不断改进。但是现在,我们可以看到的是这种方式可以解决hypervisor虚拟化当中的大多数性能问题。再加上更加轻松和快捷的部署方式,容器技术将会在不久的将来占据虚拟化市场

3、容器一直被诟病的薄弱点安全相关进展?

容器安全需要自下而上全面考虑安全风险,从内核,OS ,OS层的网络、软件版本、Selinux策略,Docker版本,Docker的优化配置以及使用方式,image中所依赖的base 以及软件包,容器间的网络隔离。真的是每一处都需要去考虑,任何一个环节的小问题,都有可能造成事故。

感觉Docker 安全是个全方位的问题,任何一点疏漏都会带来灾难性后果。有些问题不是Docker本身能解决的,需要多方配合。Docker在这个方面做了哪些工作?

4、你觉得容器是否和虚机的各自发展前景?

容器实例与主机共享操作系统内核,通过内核提供的运行时隔离能力为服务提供独立的用户域、文件系统、网络以及进程运行空间。虚拟机的每个实例自带操作系统,因而是一种硬件级的虚拟化隔离。

容器通常是专用于运行特定服务的,它的镜像通常只包含运行该服务所需的上下文内容,许多广泛使用的镜像都只有几十MB,甚至几MB大小。虚拟机则需要提供包括内核在内的通用进程运行环境,它的镜像偏向于大而完整的全功能集合,即使一个最小精简镜像的体积也有几百MB。

容器的使用方式倾向于开箱即用,镜像提供的是一个“不可变的基础设施环境”。虚拟机则倾向于让用户根据所用的系统,自定义初始化操作,使用Ansible、Puppet这样的配置工具来进行基础设施的管理。

容器在启动速度和运行性能上更有优势,虚拟机在安全性上更有优势。

如果从这些十分清晰的定义来看,近一年来开源界出现的一些虚拟化“边界破坏者”们已经完全无视了这些规则。它们要么是运行在虚拟机中的操作系统,却有着容器一样的使用体验,要么是基于容器技术的运行时隔离,却应该当成虚拟机使用。因此,尽管这些技术的实现细节上差异巨大,但它们都有一个共同特征:携带着容器和虚拟机各一部分的基因,具备两者优势的结合。


点赞 回复 举报

圆小圆

发帖: 58粉丝: 5

级别 : 管理员

Rank: 9Rank: 9Rank: 9

发消息 + 关注

发表于2018-7-19 14:35:52 9# 显示全部楼层
我容易吗我 发表于 2018-7-16 16:16 唐老师将主宰云世界

很棒

点赞 回复 举报

aprioy

发帖: 153粉丝: 30

级别 : 版主

Rank: 7Rank: 7Rank: 7

发消息 + 关注

发表于2018-7-20 09:02:25 10# 显示全部楼层

都很厉害啊。

点赞 回复 举报

游客

您需要登录后才可以回帖 登录 | 立即注册