Azure新的***技術(shù)官M(fèi)ark Russinovich表示，和谷歌Kubernetes項(xiàng)目中的Docker類似，微軟也在使用自己的Drawbridge技術(shù)來揮灑對(duì)容器技術(shù)方面的熱情。但是，盡管該技術(shù)被看成是平臺(tái)即服務(wù)的未來，Russinovich仍然直言不諱地表示他覺得Docker容器缺乏安全性方面的防護(hù)。

容器是一種輕量級(jí)的虛擬化，它建立在一個(gè)單個(gè)的Linux實(shí)例之上，每個(gè)容器在簡(jiǎn)版的操作系統(tǒng)上按照資源策略容納著一個(gè)獨(dú)立運(yùn)行的應(yīng)用程序。Docker是一個(gè)開放源代碼項(xiàng)目，旨在將容器內(nèi)的應(yīng)用程序部署自動(dòng)化。

在六月份，微軟展示了部署在Azure Linux虛擬機(jī)之上的Docker。一個(gè)月之后，該公司透露計(jì)劃向谷歌的Kubernetes Docker容器集群管理貢獻(xiàn)代碼。

Russinovich表示，“我們看到很多人對(duì)于Linux（在Azure之上）的興趣，但是隨著對(duì)于Linux的興趣的增長(zhǎng)——如同每個(gè)人在任何地方看到的那樣——對(duì)于在Linux和Docker中使用容器的興趣也隨之增長(zhǎng)，Docker已經(jīng)真正成為在Linux上使用容器的標(biāo)準(zhǔn)方法。”

微軟和紅帽攜手的消息以及將它將支持Azure云計(jì)算平臺(tái)的可能性體現(xiàn)出微軟對(duì)Linux的興趣，這一技術(shù)目前已經(jīng)可以用于CentOS、openSUSE、Oracle Linux、SUSE Linux Enterprise和Ubuntu平臺(tái)。

Russinovich表示，“我們很樂意在Azure上有一個(gè)得到支持的紅帽版本。”但是在被問及這一情況是否會(huì)很快出現(xiàn)的時(shí)候，他回答道：“我不知道。不幸的是，這就是我能說的一切了。”

微軟在內(nèi)部針對(duì)一些中間件服務(wù)使用了自己的容器軟件，使用了來自微軟研究院Drawbridge項(xiàng)目的技術(shù)。Russinovich表示，“容器革命——這項(xiàng)容器提供的、很小的軟件服務(wù)讓軟件能夠可靠地從測(cè)試環(huán)境遷移到生產(chǎn)環(huán)境之中，生產(chǎn)環(huán)境中的計(jì)算是高密度和高利用率的——肯定是平臺(tái)即服務(wù)以及計(jì)算的一種未來趨勢(shì)。”

但是，Docker提供的便攜性是推動(dòng)容器使用的重要力量，它的作用顯然超過了安全問題引發(fā)的擔(dān)心。

Russinovich表示，“這些容器都是不安全的。它們無法隔離。它們共享了太多底層操作系統(tǒng)的東西，因此它們無法有效地解決安全問題，至少?zèng)]有達(dá)到讓我們能夠放心地將兩個(gè)不同的用戶同時(shí)在容器中運(yùn)行的安全程度。但是它的價(jià)值在于在開發(fā)測(cè)試環(huán)境中的便攜性。你寫代碼，你測(cè)試代碼，它生活在一個(gè)氣泡之中，和服務(wù)器上其他的軟件隔離開來。”

“你可以很有信心地使用它，并且將它部署到虛擬機(jī)或者服務(wù)器上，你知道它會(huì)以同樣的方式運(yùn)行，因?yàn)樗匀辉跉馀葜校粫?huì)受到服務(wù)器或者虛擬機(jī)上其他軟件的影響。”

Russinovich表示Docker和Drawbridge——微軟正在考慮在Windows中公開推出——兩者在目標(biāo)上幾乎一模一樣，但是在很多重要的領(lǐng)域存在著重要的不同。

他表示，“它們非常類似，但是顯然Docker是建立在Linux之上的容器技術(shù)，它是Linux的技術(shù)，它們是不安全的——那些容器。Drawbridge是Windows之上的容器技術(shù)，它是內(nèi)部的，不是公開的，它非常安全。”

“它支持我們稱之為多租戶工作負(fù)載，所以它下方是虛擬機(jī)上的云計(jì)算機(jī)器學(xué)習(xí)等服務(wù)，我們會(huì)運(yùn)行這些Drawbridge容器，安全地運(yùn)行客戶的云計(jì)算機(jī)器學(xué)習(xí)算法。”

“它不是一種公開提供的容器技術(shù)，只能通過這些類型的服務(wù)間接地使用它。”

隔離資源的能力也是推動(dòng)容器得到廣泛使用的一個(gè)重要優(yōu)勢(shì)。

Russinovich表示，“隔離意味著不受其他應(yīng)用程序和其他應(yīng)用程序配置的干擾，也意味著資源的隔離。”
“資源隔離讓你將虛擬機(jī)當(dāng)成是你的安全邊界，并且將其完全置于輕量級(jí)的容器之中，這些容器高速運(yùn)轉(zhuǎn)，你可以將很多容器放在一個(gè)虛擬機(jī)之中，充分利用它。”

“所以你可以將數(shù)百個(gè)容器放在一個(gè)虛擬機(jī)之中。非活躍狀態(tài)的容器會(huì)釋放自己占用的資源；那些活躍的容器則會(huì)獲得資源。”

“你利用資源隔離來確保基本水平的服務(wù)，以此保障容器的運(yùn)行。這些都是真正強(qiáng)大的特性，而且有正當(dāng)?shù)?span style="font-size: 14px">存在理由，并且引發(fā)了圍繞著Docker和容器的大量炒作。”

本文出自：http://soft.zdnet.com.cn/software_zone/2014/1013/3036035.shtml