在生产环境中使用Docker必须注意的事情

  • 时间:
  • 浏览:1

却说 一种视频中也犀利的指出了顶端的技术运用方面的间题图片:

目前在Windows中集成的Linux内核API的目标是大帕累托图的Linux系统调用,里能使得Windows对软件开发者来说成为如此 更有吸引力的平台(仅对目前)。将最近发生的一点事件通过如此 如此精彩的办法来展现,亲戚大伙 向一种视频的创造者致敬!Hacker-News上的讨论参考:Ignore the Hype原文链接:Docker Caveats(翻译:李光成)========================================================译者介绍李光成,IBM中国研究院资深研究员,研究方向是云计算基础设施及技术。目前在做的是Docker资源隔离方面的研究项目。

本文作者:liguangcheng 

里能参考Docker docsthe Docker Security Portal

Docker缺省配置

正如博文Docker Internals强调的那样,不可能 你的Linux内核版本大于2.6.x,你时需关闭Docker守护程序运行运行运行上的userland-proxy以支持Hairpin NAT。

本文讲的是在生产环境中使用Docker时需注意的事情【编者得话】本文以最近非常火的希特勒怒喷Docker的视频为线索,详细分析了Docker发生的一点间题图片和弱点,以及在生产环境中使用Docker所要注意的方面。哪此间题图片包括隔离性、镜像安全、Docker缺省配置、发布及部署;文章的最后分析了微软最近在容器支持方面的动作。

微软似乎扩展了Astoria项目(如此 Andriod模拟器)成为如此 令人印象深刻的模拟Linux的Windows子系统(WSL),微软上周公布了WSL使得整个业界感到震惊。

#GIFEE 后后,视频指出了另外如此 关于实施容器运行时隔离的间题图片:

神化Docker的想法的幻灭。Jérôme Petazzoni在他的DockerCon EU 2015上的演讲蕴藏了更多的细节,cgroups详细的蕴藏了Linux容器对于资源管理的基本需求。对于视频里关于fork炸弹的吐槽,Docker 1.11蕴藏了如此 修改,详情见一种视频的作者和Docker的维护者@jfrazelle之间的一段Twitter会话:

@frazelledazzell @francesc @nixcraft @m1keil nproc cgroup的支持只会在1.11.0中https://t.co/lCKjdNmx5Y

— Avishai Ish-Shalom (@nukemberg) April 11, 2016
在云环境中如此 值得注意的间题图片是熵的消耗(译者注:entropy depletion https://en.wikipedia.org/wiki/ ... %2529),这在共享内核的场景中是非常有意义的,里能参考HAVEGED作为如此 变通方案。

亲戚大伙 相信,一种段的启示应该是:

不可能 你的基础设施的整体设计如此保证每一种资源的可靠性和冗余性则暂且使用容器。
你或许里能通过统统 技术的运用重新提升可靠性,类似于使用共享存储、服务编排、监控以及蕴藏自愈功能的框架如Swarm中的当有节点失败时进行容器重新调度;不可能 Kubernetes副本设置中的“The Reconciliation Loop”的概念。

这强调了共享内核带来的第如此 间题图片:降低了可靠性与冗余。

程序运行运行的可扩展性依然时需你自己去关注,时需去探索适合容器的用户场景。容器Pods的概念鼓励将程序运行运行分解成更小、更专注、合作协议协议协议的模块。容器提供的隔离性足够允许通过可重用的模块提供比单个的容器更可靠,更可扩展和变慢的服务。亲戚大伙 相信哪此概念时需一种针对怎么构建云环境中的应用的思考办法的变化。请参考容器编排模式即使对于哪此传统的否有 如此“CloudNative”的应用,容器也提供了强大的部署模式类似于Joyent倡导的自动驾驶模式

微软

微软前段时间承诺在Windows Server 2016中支持Windows容器的Docker API。在向Docker社区贡献代码使得Docke客户端工具里能在Windows工作后后,微软在Windows内核中实现了文件系统和容器基础功能,甚至开源了Dot Net核心CLR 。

博文Sandwich Analogy深入的解释了为哪此使用Docker Hub上的非官方公共镜像应该是使人担心的。

让亲戚大伙 在三明治的上下文中思考容器技术。通过观察,无需轻易的了解到三明治的基本信息类似于顶端夹的是番茄还是生菜还是火腿不可能 火鸡肉;或许顶端一点你看如此的东西,却说 你基本里能能了解大帕累托图的内容。这就跟容器类似于,无需了解到的信息诸如操作系统是Fedora不可能 RedHat不可能 Ubuntu,否有有httpd,shell类型,systemd的使用等等,却说 顶端统统 可能 是你意想如此的隐藏间题图片,类似于/bin/sh或许被替换成了如此 Python脚本,这就像是三明治里在生菜顶端藏着橄榄一样。
镜像内容的安全间题图片出显在2014和2015年的统统 新闻中。Docker有有三个 劲努力的为处理一种间题图片换成时需的功能。内容可寻址镜像层用来验证镜像的签名内容,有镜像抓取验证功能的镜像源不再将镜像ID作为保密内容,Docker Hub的Nautilus层厚检视保证官方公共镜像的安全漏洞被及时被修复,另外Docker引擎还蕴藏了诸如用户名字空间,Secomp和AppArmor配置以及其它一点安全相关的功能。

通常来说,时需仔细研究Docker的缺省值在你的环境和使用案例中否有一种优化的配置。类似于Docker文档中覆盖了怎么选则COW文件系统的所有内容。

容器vs 虚机

容易在“应用打包”的场景中提供了比虚机更多的优势,容器里能变慢的构造,更容易分享,才里能变慢的启动和停止。

亲戚大伙 如此公布Linux容器是如此 非常强大的概念,它组合了众多优秀的Linux内核功能和Docker开源工具,任何背景知识的开发者都很容易使用。在2016年容器峰会上,Bryan Cantrill深入的比较了容器技术造成的业界以及大众接受的间题图片与对新的用户不可能 出显的间题图片(链接中是离米 48分钟的专题讨论)。间题图片诸如:不可能 对新技术手中的支撑功能的理解发生问题深入而造成的技术不当使用以及使人不愉快的意外。昨天,Avishai Ish-Shalom做了如此 恶搞视频指出了在还如此准备好的状况下使用Docker带来的挫折、意外和震惊。非常搞笑的视频,希特勒使用Docker:https://t.co/cmXB2Clj8D (译者注:该视频的中文版本在http://v.qq.com/page/n/u/a/n0193j4ylua.html)。在这篇博文中,亲戚大伙 希望看一下其中的每如此 陈述并解构它们,以更深入的理解是哪此使得一种视频如此精巧,而一起才里能作为任何如此 希望在生产环境中使用Docker的单位和自己的有益参考。

隔离性

视频以如此 非常流行的CI/CD场景后后后后刚开始英文,使用Docker的公有镜像源、Docker Hub及其多容器管理工具Docker-Compose。应该指出的是,Docker的官方文档明确说明了Docker-Compose在目前主统统 针对开发和测试环境的,暂且适合在大规模的生产环境中使用。

原文标题:在生产环境中使用Docker时需注意的事情

不幸的是,在Windows和OSX中,要使用Linux容器时需在虚拟化环境中运行Linux内核,不可能 一种间题图片如此被充分的理解则不可能 带来的间题图片和挫折。Docker也正在通过Docker客户端来改善一种间题图片(在写这篇文章的后后一种新的Docker客户端版本还在Beta阶段)。新的Docker客户端所使用的处理办法是通过更为紧密的与宿主机操作系统整合来错综复杂开发人员在非Linux操作系统上的体验。

发布&部署

Docker工具箱不仅使得容器技术更流行,也蕴藏了关键的发布功能组件使得容器成为更流行的代码打包和部署办法。容器镜像使用已有的打包和部署工具处理了统统 实际的间题图片。

然而,容器技术被大众接受的办法与虚拟机的使用办法并如此哪此区别,镜像有有三个 劲蕴藏了整个Linux系统和几滴 非时需的二进制程序运行运行。这不但使得镜像文件变大进而使得部署变慢,也使得在生产环境中使用时增大了被攻击的不可能 性。幸运的是社区不可能 接受了slim应用容器的概念,通过使用最小化的Linux发行版类似于Alpine – 现在所有的Docker官方镜像都使用Alpine,Alpine蕴藏了静态编译的仅依赖于其所编译的内核的二进制程序运行运行。

原文发布时间为:2016-04-17

本文来自云栖社区合作协议协议伙伴DockerOne,了解相关信息里能关注DockerOne。