Docker和虚拟机都是资源隔离的方案。Docker是基于OS的资源隔离技术,Docker Engine占用资源很少,物理机资源基本上被容器应用和物理机操作系统使用。虚拟机多了一层Guest OS(虚拟机操作系统),若一台物理机上跑10台虚拟机,则有10个Guest OS的资源损耗,Hypervisor层虚拟化,降低了虚拟机性能。
容器安全也是现在一个比较重要的领域,目前容器安全主要注重四个方面,一是镜像安全,如果使用了不安全的外部镜像依赖,镜像中有系统漏洞、缺陷,或者被恶意植入病毒和后门等,都会对容器造成较大威胁。二是容器逃逸,由于容器是基于OS共享的架构,如果攻击者利用容器漏洞,获取OS root权限,文件系统权限等,都会对整个系统造成极大危害。三是配置安全,即对容器引擎,镜像仓库,Kubernetes等没有进行正确的权限配置等造成的入侵。四是漏洞管理,针对镜像中的类库文件漏洞,如apache log4j2漏洞,需要对镜像文件进行及时识别和更新。
容器技术在深入到企业级应用时,还要有巨大的知识需要掌握,比如管理调度、大规模网络的网络性能、容器日志运行监控等,这些都需要对相应的解决方案进行深入学习。另外,由于容器技术的特性和生态发展,云服务厂商也在普遍使用容器技术构建企业级PaaS平台。
容器的应用场景主要有六个:
一是快速开发,由于公有镜像仓库有着庞大的开源社区和开放的镜像资源,可以让开发者实现开箱即用。
二是多云应用,因为容器与IaaS解耦以及容器本身轻量的特性让容器更便于去做多云的迁移。
三是应用隔离,在同一个服务器里需要运行多个应用时,可以使用容器去做运行环境和依赖的隔离。
五是能力沉淀,利用容器技术可以将前期架构的运行环境封装起来,方便后来的技术人员开箱即用,这也是对企业能力的沉淀。
六是持续集成和部署,容器可以保障开发测试环境的一致性,实现快速迭代和部署。
