随着美国国防机构虚拟化的开始,这项技术的诸多优点和缺点正变得显而易见。
虚拟化使用户能够在比以往更小的空间内 packed 更多的计算能力。它还在操作系统和硬件之间创建了一个抽象层,这为用户提供了选择、灵活性、供应商竞争以及满足其需求的最佳价值。但代价是以昂贵而笨重的设备、软件许可和购置费用以及漫长的安装时间和补丁周期形式支付的。
这些挑战促使许多管理员转向应用程序容器技术,以寻求解决其虚拟化需求的方法。在本文中,我们将特别关注Linux 容器,它由两个核心组件组成:容器技术本身和应用程序打包技术。它们使多个隔离的 Linux 系统能够在单个控制主机上运行。最重要的是,它们使战士能够在传统虚拟化所需空间的一小部分空间内拥有更多功能。
突破传统
在传统虚拟化中,每个应用程序都在其自己的访客操作系统上运行。这些操作系统需要在整个生命周期内单独购买、安装和维护。这可能既耗时又昂贵。
使用 Linux 容器,只需要购买、安装和维护一个 Linux 操作系统。Linux 容器没有通过将每个应用程序安装在其自己的访客操作系统上来隔离它们,而是使用控制组 (cgroups) 进行资源管理;命名空间用于进程隔离;以及 NSA 开发的 Security-Enhanced Linux (SELinux) 用于安全,这实现了安全的多租户并减少了安全漏洞的潜在风险。
基于 SELinux 的 Linux 容器隔离为使用基于 SELinux 的 sVirt 隔离技术的基于 KVM 的虚拟化和云环境提供了额外的防御层。类似于俄罗斯套娃,许多 Linux 容器被打包在一个 VM 中,许多 VM 在一个虚拟机监控程序中,许多虚拟机监控程序在一个安全云中。结果是一个快速、高效且轻量级的解决方案,它独立于底层物理硬件;非常适合军事嵌入式领域。
最后,通过消除每个应用程序的访客操作系统的开销,Linux 容器实现了比传统虚拟化高 10 倍的应用程序密度。SWaP(尺寸、重量和功率)显著降低,并且有可能消除对传统虚拟化的需求,因为容器可以在裸机上与 Linux 原生运行。
Docker 因素
借助开源 Docker 项目,容器化应用程序需要使用与底层系统相同的运行时堆栈现在已不再必要。这是因为 Docker 使应用程序能够运行与底层容器主机相同的 Linux 内核,但使用完全不同的运行时堆栈
Docker 还
- 提供以标准格式打包任务应用程序及其用户空间运行时依赖项的能力。这使得“黄金镜像”战士应用程序能够从也支持 Docker 的各种供应商处共享和部署在 Linux 主机上。
- 适用于在物理、虚拟或云系统上运行的 Linux 容器主机。集成商可以使用敏捷方法在其云中开发,并在战术裸机设备上部署容器化应用程序,而无需虚拟化基础设施。
- 允许管理员分层容器化镜像并将它们放入类似应用商店的注册表中。例如,美国陆军可以开发一个预先 STIG化的 Linux 容器,并将其发布到陆军应用注册表中,供所有授权的政府和集成商员工使用。这些镜像可以扩展为包含用于 Java 应用程序服务器、Web 服务器等的认证分层产品和服务
Dave Egts 的照片
集成商还可以基于这些容器开发应用程序,并将它们发布回陆军注册表,供政府和其他集成商使用和重新混合。
Atomic 选项
战术环境需要更纤薄的容器化占用空间,以便于维护。进入 Project Atomic。
Project Atomic 提供了一个 Atomic 主机,它实际上是一个精简的企业 Linux 发行版,其唯一的工作是运行 Docker 容器。它的名称源自两个文字游戏:“atomic”,如上所述,表示占用空间小;以及“atomic operations”,必须完全执行或根本不执行。Atomic 主机对于战术环境很有吸引力,因为它们使容器化应用程序能够在系统重建或更新时统一“刷写”或快速“重新刷写”。这与修补已部署系统的传统方法截然不同,在传统方法中,配置可能会随着时间的推移而偏离相同状态,从而使安全测量变得极其困难。
随着美国军方继续向虚拟化迈进,它将需要在运行更敏捷解决方案的环境中运行。Linux 容器非常适合这一需求,使国防部机构能够充分利用虚拟化的优势。
最初发表在 DefenseSystems.com 上,标题为 Linux 容器如何解决 DOD 虚拟化问题。经许可转载。
评论已关闭。