在Docker問世后，其打包應(yīng)用程式、快速部署的能耐，受到開發(fā)者的廣大歡迎。在2015年，Docker進(jìn)一步推出私有儲存庫功能Docker Registry，以及原生網(wǎng)路功能Docker Networking，讓企業(yè)更容易自行架構(gòu)Docker叢集。這些都讓Docker逐漸成為正式環(huán)境的新選擇。

在Docker受到一片好評下，著有《Docker源碼分析》，大受到中國Docker社群好評的孫宏亮認(rèn)為，Docker至少有3大缺點，還無法滿足各種環(huán)境的需求。深入研究Docker原始碼的他，也是中國Docker PaaS服務(wù)商DaoCloud參與***線開發(fā)的軟體工程師。

別于多數(shù)Docker開發(fā)者從應(yīng)用程式面切入談?wù)揇ocker的角度，孫宏亮在2015 Container Summit上，則是選擇從Docker的程式碼設(shè)計架構(gòu)，來剖析優(yōu)缺點。

孫宏亮也指出，Container技術(shù)雖然已經(jīng)發(fā)展許久，但是透過Docker獨特的映像檔設(shè)計，才使Container技術(shù)在近年發(fā)揚光大。

獨特映像檔設(shè)計讓Docker爆紅

Container技術(shù)最早可以追溯至1979年時推出的Unix V7，其中的chroot系統(tǒng)呼叫指令，透過更改程序的根目錄，達(dá)到系統(tǒng)程序隔離的效果。而發(fā)展已經(jīng)超過30年的Container技術(shù)，為何遲至2013年才因為Docker橫掃全球IT業(yè)界，孫宏亮解釋，因為Docker映像檔的設(shè)計，使得Docker得以打破過去「程式碼即應(yīng)用」的觀念。

傳統(tǒng)上認(rèn)為，軟體開發(fā)結(jié)束后，所產(chǎn)出的成果即是程式碼，或是能夠編譯執(zhí)行的二元執(zhí)行檔。

而為了讓這些程式碼可以順利執(zhí)行，開發(fā)團隊也得準(zhǔn)備完整的部署文件，讓維運團隊得以部署應(yīng)用程式，不過，即便如此，仍然常常發(fā)生部署失敗的狀況。孫宏亮表示，Docker透過映像檔，將作業(yè)系統(tǒng)核心外，運作應(yīng)用程式所需要的系統(tǒng)環(huán)境，由下而上打包，達(dá)到應(yīng)用程式跨平臺間的無縫接軌運作。

而微軟已經(jīng)宣布，將在下一代的Windows Server 2016中內(nèi)建Docker Engine，使得Windows Sever可以原生支援Docker。但孫宏亮也解釋，目前Windows對Docker的支援，多數(shù)還是在API層。除了Windows作業(yè)系統(tǒng)與Linux在Kernel層差異很大外，Windows也有發(fā)展有自家的Container技術(shù)。

Docker映像檔的設(shè)計，使得Docker得以打破過去「程式碼即應(yīng)用」的觀念。透過映像檔，將作業(yè)系統(tǒng)核心除外，運作應(yīng)用程式所需要的系統(tǒng)環(huán)境，由下而上打包，達(dá)到應(yīng)用程式跨平臺間的無縫接軌運作。（圖片來源／孫宏亮）

系統(tǒng)服務(wù)Docker化的障礙

雖然Docker透過了映像檔設(shè)計，解決傳統(tǒng)維運團隊在部署上的問題。但是，在將系統(tǒng)服務(wù)Docker化、應(yīng)用程式Docker化時，使用者仍然會碰到實際面的問題。

孫宏亮表示，當(dāng)應(yīng)用程式必須調(diào)度系統(tǒng)的服務(wù)，例如利用cron服務(wù)，將工作設(shè)定為自動化執(zhí)行，或是執(zhí)行syslog服務(wù)收集系統(tǒng)日志時，此時開發(fā)者就會碰到使用Docker的障礙。

例如，雖然可以使用Docker將cron服務(wù)打包，但是Docker化的cron服務(wù)，與傳統(tǒng)Linux中cron服務(wù)間有很大的區(qū)別。孫宏亮表示，一旦將cron服務(wù)容器化后，原始的環(huán)境變數(shù)設(shè)定都會失效。所以使用者必須分析軟體、Container的運行方式，才能滿足使用的需求。另外，Docker與Linux Kernel的溝通能力薄弱，行程間溝通（inter-process communication，IPC）會被進(jìn)行隔離。像是NFS伺服器接受客戶端提出的請求后，會將需求再次傳遞給Linux Kernel，「使用者將這些功能容器化前，都必須再三考慮。」他表示。

并非任何應(yīng)用程式都適合Docker化

而在應(yīng)用程式Docker化的方面，雖然Docker的快速部署特性很吸引人，但是未必所有的應(yīng)用程式都適合Docker化，像是MySQL，孫宏亮認(rèn)為如果將其Docker化則存在一些弊端。例如，當(dāng)使用者的資料需要進(jìn)行額外備份，需要創(chuàng)造MySQL的資料庫Container，可以透過Docker run指令，創(chuàng)建一個MySQL的Database Container，或是使用docker run指令，修改MySQL的環(huán)境變數(shù)。而這些環(huán)境變數(shù)會透過Docker Daemon、Docker Engine，用json的檔桉格式儲存在Docker Container中。

存在于Docker Container中的環(huán)境變數(shù)，對于Docker Engine并沒有意義，但是對于使用Docker的用戶則存在隱憂，如果被無關(guān)的第三方看見，使用者的Container可能會產(chǎn)生資安上疑慮。所以，孫宏亮認(rèn)為，傳統(tǒng)開發(fā)者在使用MySQL的思維，并不能無縫轉(zhuǎn)移到Docker的世界中運作。

孫宏亮表示，在Docker問世后，Docker官方也宣稱Docker的設(shè)計是以應(yīng)用程式為中心（application-centric），希望使用者將心力集中在開發(fā)應(yīng)用程式，而Docker官方也不特別鼓勵使用者，將Docker視為取代VM，作為新一代運算單元的想法。他認(rèn)為，當(dāng)Docker用于打包網(wǎng)頁應(yīng)用程式，或是比較單純的系統(tǒng)服務(wù)，可以達(dá)到很好的Docker化效果。不過，如果要將Docker的使用范圍擴大，開始涉及到作業(yè)系統(tǒng)的基礎(chǔ)運行層次，或是分散式系統(tǒng)在推動微服務(wù)時，使用Docker會產(chǎn)生一些問題。

共用Linux Kernel，讓Docker安全性先天不足

而從技術(shù)面的角度切入，孫宏亮表示，Docker就是分配硬體資源、實現(xiàn)資源隔離的Container技術(shù)。而談到資源隔離，他表示，一般人會聯(lián)想到Container技術(shù)中最基本的觀念，像是命名區(qū)域namespace及cgroup等技術(shù)。而Docker Container技術(shù)的火紅，以前無法透過VM執(zhí)行的功能，現(xiàn)在也可以透過Container實現(xiàn)。許多使用者因此也開始議論，是否可以利用Container技術(shù)取代VM。

一般的實體伺服器，只要具備Linux Kernel就可以運行Container，或是透過Hypervisor層，使用Linux Kernel上運作的虛擬機，運行Container。孫宏亮認(rèn)為，以這樣的角度看待，Linux Kernel是運作Container，所需滿足的最重要條件，而無論是實體伺服器或是VM，都能達(dá)到上述的條件。不過，Container在實體機上運作，可以達(dá)到媲美裸機的效能，而在VM中運作時，則會產(chǎn)生效能折損。

而談到Container的資源隔離，孫宏亮表示，一般使用者最直覺想到的不外乎是CPU、記憶體以及IO等運算資源。而他認(rèn)為，「資源」的范疇?wèi)?yīng)該不只如此。雖然Container可以透過cgroup、namespace做到運算資源的隔離，但是，「如果沒有Linux Kernel，使用者也不可能運作Container。」他表示，如果將Linux Kernel也納入資源的范疇，因為Container與作業(yè)系統(tǒng)同時共用Kernel，所以其實并沒有實現(xiàn)資源隔離。但是，VM與VM之間，并不會共用作業(yè)系統(tǒng)核心。因此，VM的資源隔離性一定會比Container來得更好。

雖然Docker Container也會受到資源的隔離、控制，以及權(quán)限控制，但是由于跟Linux共用作業(yè)系統(tǒng)核心，進(jìn)而會產(chǎn)生安全上的漏洞。為了解決這樣的問題，孫宏亮表示，可以透過Linux的capability機制，加強權(quán)限的控管，使Container內(nèi)部的root跟外部的root權(quán)限產(chǎn)生差異外，同時也讓Container在系統(tǒng)管理的能力，與宿主主機進(jìn)行區(qū)隔，藉此解決Container的安全問題。

在去年推出的Docker 1.9.0當(dāng)中，Docker也加入了username space機制，孫宏亮表示，在安全性方面，這是Docker所達(dá)成的一個里程碑。只要透過namespace，讓Container運作的時候，使用者可以擁有更多權(quán)限，同時也不會影響到宿主主機。