网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

高可用和可恢复性：Docker对业务的高可用支持是通过快速重新部署实现的，关于数据本地的高可用、备份和远程容灾等没有较好的解决方案。虚拟化具备负载均衡、高可用、容错、迁移和数据保护等经过生产实践检验的成熟保障机制，VMware可承诺虚拟机99.999%高可用，保证业务连续性。

连通性：容器是基于主机的解决方案，不同主机上的网络访问比较原始，可通过端口映射到主机操作系统，使服务可以通过网络访问。相比之下网络虚拟化技术，基于封装和隧道技术，如vlan、vxlan、NVGRE等，已能满足虚拟机间、跨主机间的通信需求。此外，Docker适用于单一类型的操作系统之间共享内核，对于多操作系统的环境，虚拟化更能满足。

安全性：Docker的租户root和宿主root等同，一旦容器内的用户从普通用户权限提升为root权限，它就直接具备了宿主机的root权限，进而可进行几乎无限制的操作。虚拟机租户root权限和宿主机的root权限是分离的，并且虚拟机利用如Intel的VT-d和VT-x的ring-1硬件隔离技术，这种隔离可以防止虚拟机突破和彼此交互，而容器至今还没有任何形式的硬件隔离，这使它容易受到攻击。而对于企业生产环境而言，安全毕竟是第一要务。

企业生产环境运维中虚拟化较为胜任。与面向应用的Docker不同，虚拟化是面向底层架构的，目标是构建高可用云计算的IaaS资源池。在以往容器技术发展并不成熟之前，虚拟化技术抢占了一些面向应用的需求，预计在将来的发展中这些需求将被Docker收编。

Docker、虚拟机：我们在一起了

虚拟化的厂家开始支持容器：亚马逊推出了弹性容器服务（ECS），并在2014年秋正式推出该服务。在AWS客户启动容器后，ECS将负责扩展容器，并提供中央管理门户网站来追踪它们，提高了云移植性和降低了成本。VMware已经宣布将支持容器，强调采用虚拟机作为介质部署容器可对容器安全性和管理控制进行补充。Linux大佬、KVM的主要支持者Redhat也开始支持Docker，Linux系统是容器技术的顶梁柱，得到Redhat支持意义非常重大。Redhat将Docker集成到自己的操作系统RHEL中以KVM承载Docker，并推出了RHEL 7 Atomic HOST容器优化系统，Atomic定义了Redhat认证的Docker宿主、容器源、容器开发包等，瞄准了原本安全堪忧的Docker，从整体架构的各个层面进行可信认证。另外还提供更小的Docker镜像文件，在集群管理方面采用Kubernetes实现。

Docker主动向虚拟化靠拢：在欧洲DockerCon会议上，Docker公司发布了跨容器的分布式应用编排服务，编排服务可以帮助开发者和运维人员创建并管理新一代可移植的分布式应用程序。在这些容器编排服务中，有一个重要的服务叫Docker Machine，主要是方便在各个云计算厂商的基础架构上快速安装部署Docker服务，目前官方已经支持AWS、Azure。

取长补短，和而不同

从开源协作到DevOps，从持续集成交付到微服务，Docker一次次颠覆了软件开发生命周期，不难看出，Docker可以屏蔽架构层的实现，只关注PaaS层的需求，而虚拟机擅长解决原来物理机时代所带来的高可用、运维、管理等问题。Docker和虚拟机结合可以弥补纯物理机架构下使用容器的不足，例如在安全性和管理控制方面，直接在裸机运行容器需要配置网络和安全连接，虚拟机可以在管理系统中轻松处理这些问题。

正如虚拟化技术KVM已集成到内核中，成为标准Linux内核模块一样，预计Docker将来会向内核集成发展，容器技术将成为标准的操作系统服务。那么，二者除了以上的关注层面不同外，虚拟机、Docker+虚拟机、Docker+物理机这三种组合，面对不同业务类型我们将如何选择？

对于高I/O要求的业务，例如数据库服务，建议部署Docker+物理机，因为在虚拟机中部署Docker，I/O性能将受到虚拟机的限制。

对于虚拟桌面服务等强调租户权限和安全的业务，建议采用虚拟机方式，虚拟机的多租户强隔离特性，保证租户在拥有虚机root权限的同时，其他租户和主机的安全。

此外，大部分业务系统将适用于虚拟机+Docker形式的组合，操作系统和Docker引擎采用虚拟机镜像封装，平台软件、业务组件等与业务相关软件采用容器镜像封装，为实现安全隔离和资源的高利用率，基本应该遵循：不同租户的业务运行采用虚拟机隔离，相似类型的业务部署在同一组容器上的思路。

(责任编辑：admin)