Bezpieczne kontenery bez maszyn wirtualnych? - 112it
Produkt został dodany do zapytania Produkt został dodany do zapytania.

Bezpieczne kontenery bez maszyn wirtualnych?

Maszyny wirtualne często wykorzystywane są w środowiskach opartych na kontenerach ze względów bezpieczeństwa. Dzieje się tak ponieważ aplikacje operujące w kontenerach działających w ramach maszyn wirtualnych są lepiej izolowane niż te, które pracują na samodzielnych kontenerach.


Triton


Jasne jest jednak także to, że wykorzystując kontenery na maszynach wirtualnych zmniejsza się ilość kontenerów możliwych do uruchomienia na danym hoście. Maszyna wirtualna zużywa zasoby, które mogłyby zostać wykorzystane do operowania większej ilości kontenerów.


Idąc tropem większej izolacji aplikacji, nie można zapominać o jej wpływie na ich wydajność, która zwłaszcza w przypadku tych najbardziej zaawansowanych będzie mniejsza w przypadku kontenerów operujących w ramach maszyny wirtualnej.  


I tu właśnie pojawia się najnowsza platforma cloud od Joyent – Triton Elastic Container. Dzięki jej wykorzystaniu możliwa jest praca na kontenerach bez udziału maszyn wirtualnych przy zachowaniu wysokiego poziomu izolacji aplikacji. Takie zapewniania można było usłyszeć od Bryana Cantrilla, głównego inżyniera Joyent.


"Możemy zapewnić taki sam poziom szczelności kontenera, jak w przypadku procesów w ramach systemu operacyjnego", powiedział Cantrill.


Triton Elastic Container Infrastructure to prywatna platforma chmurowa, natomiast Triton Elastic Container Service jest publiczną opcją containers-as-a-service (CaaS).


Sekretem możliwości platformy Triton jest fakt, że nie jest ona oparta na systemie Linux. W rzeczywistości wykorzystywany jest SmartOS, będący pochodną Illumos, jednej z części OpenSolaris, opcji rodzaju open source od firmy Sun Microsystems. Izolacja aplikacji jest zapewniona dzięki rozwiązaniu Zones, wywodzącemu się od Solaris.


Co ważne, LXC – Linux Containers, technologia wokół której zbudowano cało projekt firmy Docker, nigdy nie była zaprojektowana w opcji wielodostępowej, zapewniającej odpowiednią izolację. Rozwiązanie Zones - wręcz przeciwnie.


Wszystko to wyglądałoby naprawdę dobrze, gdyby nie jedna kwestia. Nie ma możliwości uruchomienia linuksowych plików binarnych w ramach Zones. "W związku z tym musieliśmy wskrzesić starą technologię Sun, dzięki której będą one mogły działać z pełną prędkością w CoreOS", powiedział Cantrill.


Technologia lx-branded Zones zapewnia pełne wsparcia dla aplikacji Linux w Zones.


"Nie wiedzieliśmy czy będzie to możliwe, jednak udało nam się doprowadzić do sytuacji, w której kontenery mogą pracować bezpośrednio na serwerach w ramach jednego systemu operacyjnego".


Jak działa Triton?


Mówiąc w skrócie, Triton zmienia zasoby obliczeniowe data center – innymi słowy serwery – w pojedyncze wirtualne hosty Docker zapewniające bezpieczny poziom izolacji między operującymi kontenerami.


Triton wyposażony jest w system do zarządzania SmartDataCenter,  dający administratorowi wgląd w kontrolowane serwery i to, jak kontenery są rozmieszczone w ramach każdego z nich. Z perspektywy użytkownika cały "system" wygląda jak host Docker, pozwalający na uruchomienie dowolnej ilości kontenerów.


Jakie plusy niesie za sobą tego rodzaju praca na kontenerach, w porównaniu z wykorzystaniem ich w połączeniu z maszynami wirtualnymi? Według przedstawiciela Joyent zależy to od rodzaju aplikacji. Jeśli aplikacja zajmuje się czystym przetwarzaniem danych poprawa wydajności będzie niewielka bądź żadna. Jeśli jednak aplikacja obsługuje dużą ilość operacji sieciowych lub dyskowych, wtedy różnica jest ogromna.


"Przy aplikacjach takich jak Postgres wydajność wzrasta nawet dziesięciokrotnie, co przekłada się na ogromne zwiększenie szybkości pracy", powiedział Cantrill.


W kwestii wielodostępowości lub umieszczania większej ilości kontenerów na dostępnym sprzęcie, Cantrill twierdzi, że samodzielne operowanie kontenerów jest o wiele bardziej wydajne niż w przypadku łączeniu ich z maszyną wirtualną. "Oznacza to, że dzięki Triton poziom dostępowości jest znacznie wyższy [niż w przypadku kontenerów pracujących na VM]. W naszej publicznej usłudze najwyższe zagęszczenie to 400 kontenerów 128Mb w ramach jednostki. W rzeczywistości liczba to może osiągnąć nawet ponad 1000."


 

Podsumowując, mimo że platforma jest relatywnie nowa, jej możliwości brzmią bardzo obiecująco.  Jeśli rozwiązanie to rzeczywiście zapewni podobny poziom izolacji jak w przypadku maszyn wirtualnych, a system zarządzania okaże się odpowiednio wydajny, można spodziewać się, że znajdzie ono swoich zwolenników wśród wielu firm operujących na własnych prywatnych chmurach.



Wczytaj inny kod


 

Back to Top