容器與虛擬機管理程序之戰剛開始打響
譯文
Xen項目社區開發了一種開源類型1或裸機虛擬機管理程序;有了這種虛擬機管理程序,用戶就可以在單單一個機器(或主機)上并行運行一個操作系統的多個實例,或者甚至并行運行不同的操作系統。
首先允許本人闡明一點:我喜歡Docker。我認為這是項優秀的技術。我能設想在各種各樣的場景下,一種輕型、容器化的部署機制確實很出色,盡管它沒有虛擬機管理程序在底層保護主機操作系統的優點。我覺得它很酷。
不過,少數幾個人在大聲宣稱:“戰爭已結束!容器已勝出!虛擬機管理程序已過時了!”
不好意思,這種觀點大錯特錯了。
這就好比一名捍衛冠軍頭銜的拳擊手在第一個回會中給對手幾記重拳后就大喊大叫:“比賽結束了!我獲勝了!我是衛冕冠軍!”
我們都知道事實不是這樣子。最終,冠軍頭銜落到贏得比賽的那一方。而回到正題,容器與虛擬機管理程序之戰還沒有結束,只是剛拉開了帷幕。
為容器正名
Docker及其他Linux容器背后的概念很靠譜:
• 由于從虛擬機本身去除了冗余或不必要的操作系統要素,非常小的虛擬機讓用戶可以大大提高服務器密度。
• 巧妙封裝的虛擬機規模很容易轉移、復制和控制,從而確保了很高的可移植性。
• 虛擬機軟件堆棧很小巧,杜絕了這個問題:構建一大堆的針對特定版本的操作系統以及復制和維護起來需要投入大量精力的工具。
• 極快的啟動時間有助于獲得更靈活的基礎設施,有更大的活動余地迅即滿足當下的需求。
不過,面臨的挑戰在于,“共享內核”策略的安全攻擊面在這個“共享內核”本身中存在其最薄弱的一環。要是某個不懷好意的黑客設法闖入了這個共享內核,使用該共享內核的所有實例都有可能岌岌可危。
當然,傳統虛擬機管理程序存在類似的問題――要是你能闖入虛擬機管理程序,就有可能闖入它所運行的虛擬機――但業界在加固安裝的虛擬機管理程序方面有著多年的豐富經驗。雖然這不是懶漢就能完成的任務,但也不是什么高深莫測的任務。世界上成百上千的成功的虛擬化和云計算提供商都能證明這項任務的易管理性:從亞馬遜、Rackspace、韋里遜和華為等巨頭,直到比較小的本地和專業服務提供商,后者的知名度要小得多。
堅稱容器占有優勢的一些人援引谷歌就是個典例。他們表示,通過設計可在容器上安全運行的Google Docs應用程序架構,谷歌儼然指明了一條出路。
可是谷歌是個例外。它有實力聘得起成千上萬的頂尖人才,完成很少有其他公司能完成的重任。我在這個行業摸爬滾打了30年,而且在現場與客戶打了20年的交道,懷疑大多數企業很容易做到谷歌所做的事情。
理想的解決方案就是,提供容器的優點,同時實際上減小攻擊面。在云計算時代,系統需要比以往任何時候更高的安全性。共享內核場景根本提供不了這種安全性。
實際上,形勢非常緊迫,以至于多名Docker高級用戶在芝加哥召開的LinuxCon北美大會上宣布,他們在傳統的虛擬機中使用Docker,以增強安全性。連Docker新的合作伙伴VMware最近的宣布也彰顯了在VMware的虛擬機中運行Docker的價值,“從而將安全功能引入到容器環境”。突然之間,宣布虛擬機管理程序已完蛋的結論似乎完全下得過早了。
單內核助力對安全敏感的云計算
不過,一項技術正在冉冉升起,它在需要安全的環境下帶來了極大的希望,那就是單內核(unikernel)。
單內核有時被稱為“云操作系統”,或“庫操作系統”,它將類似Docker的容器系統具有的諸多優點與虛擬機管理程序的安全印跡(security footprint)以及每個虛擬機里面小得多的攻擊面結合起來。
單內核系統可構建小型的虛擬機。比如說,來自Xen項目孵化園的Mirage OS已構建了幾個網絡設備,它們在運行時只僅占數千字節(沒錯,確實只有“數千字節”――上一次你聽說虛擬機在不到1兆字節的環境下運行是啥時候?)它們能變得這么小巧,就是因為虛擬機本身并不含有一種通用的操作系統,而是含有一段專門編寫的代碼,這段代碼只公開了應用程序需要的那些操作系統功能。
沒有多用戶操作環境,沒有外殼腳本,也沒有占用地方的龐大實用工具庫。只有讓應用程序運行起來的數量剛好的代碼,因而壞人沒有多少可趁之機。而在諸如Mirage OS之類的單內核中,所有的現有代碼都是靜態類型安全的,從應用程序堆棧一直到設備驅動程序本身。它提供的并不是“終極”安全,但無疑在往正確的方向邁進。
如今,單內核類型的系統數量仍很小,它們的知名度還不是很大。除了Xen項目的Mirage OS外,還有其他單內核系統,比如Cloudius Systems的OSv、Galois Systems的HaLVM、NEC的ClickOS和LING(之前名為“Xen上的Erlang”)。它們提供的環境可以與Java、C、OCaml、Haskell和Erlang等語言綁定起來。它們還大大簡化了單內核解決方案堆棧方面的開發和部署過程。
它們是新生事物,而且剛開始起步。
我非常期望,如果五年后我們回顧2014年的單內核,會覺得它們為越來越龐大的單內核類型的系統播下了種子。單內核在容器化虛擬機概念方面提高了水準,它符合大肆宣傳的封裝和部署優點,同時改善了軟件開發工作流程、提高了資源效率。另外,可能最重要的是,它在處理這一切的同時,還能通過操作環境專門化,減小外部攻擊面。坦率地說,我迫不及待地想看看這個領域會有什么發展。
“較量已結束?”不可能。我們連第一個回會都沒有結束。較量才剛開始,確實令人拭目以待。
