冲量网络 | 可信计算与容器云(2)

上一期我们提到了容器云的基本概念和特点,对于开发者来说,容器是一种更轻量级,更灵活的虚拟化处理方式,它将一个应用程序所需的一切打包在一起。因此,容器的出现别能确保应用程序从一个环境移动到另一个环境的正确运行。除此之外,在可信技术加持下,可信容器也获得了快速发展,其使得容器云技术变得更安全,更可信。


在应用的实现过程中,如果其只允许指定的应用来实现,便可以成为应用可信,在实际操作中,一般会建立白名单认证机制,经过认证的应用才能在容器中运行,非白名单应用无法在容器环境中运行,同时白名单应用受到监控,其运行行为一旦被发现异常,系统会根据异常行为的安全危害等级报警并采取相应措施。


因此在实现应用可信过程中,容器可以监控CPU、系统本身、内存等一系列的软硬件部分,在发生攻击时可以阻断应用、删除应用、重启系统等。对环境中运行的应用进行限制可减少不安全的应用对云平台进行攻击的可能性,而对应用的监控可以及时发现攻击并做响应。这些都能在容器中高效编译和运行,从而实现应用可信。



说到可信技术和分布式技术,绕不开的话题便是容器技术与微服务。微服务作为一个新兴的软件架构,和容器技术也有着密不可分的关系。微服务就是把一个大型的单个应用程序和服务拆分为数十个小型的服务。一个微服务的策略可以让工作变得更为简便,它最大的一个优点是可以比传统的应用程序更有效地利用计算资源。


在实际开发中,大多数服务都有不同的资源要求。无论是网络,磁盘,处理器还是内存,某个资源会比其他资源使用得更多,这就好比某些游戏需要大量的处理器运算,却不需要高端显卡的支撑。虽然云供应商可以针对性的进行设置,但不可能提前预知到所有的产品需求,因此,系统仍然会留下大量的冗余资源。因此通过微服务,混合具有不同资源分配配置文件的服务可以提供最佳利用率。


但是微服务其类似于一个应用,如果采用虚拟机技术,其效率太难保证了,使用容器技术,可以降低性能开销并在同一台服务器部署上千个微服务,因为容器比虚拟机需要的计算资源要少得多。微服务进行容器化是很有必要的。它可以提高利用率和可用性,降低成本。因此,如果想建立起分布式计算资源网,那便需要采用容器技术来整合微服务,大幅降低分布式计算资源构建复杂度,大幅降低使用成本。


一个容器包含了完整的运行时环境,除了应用程序本身之外,这个应用所需的全部依赖、类库、其他二进制文件、配置文件等,都统一被打入了一个称为容器镜像的包中。通过将应用程序本身,和其依赖容器化,操作系统发行版本和其他基础环境造成的差异,都被抽象掉了。容器封装了所有运行应用程序所必需的相关的细节,比如应用依赖以及操作系统,这就使得镜像从一个环境移植到另外一个环境更加灵活。


在安全性方面,利用容器技术,能提供版本控制,这样就可以追踪不同版本的容器,监控版本之间的差异。即使一台机器上可以运行多个容器,但这些容器内的进程也是相互隔离的,且无法相互感知。其中一个容器的升级或者出现故障,不会影响其他容器。其也是保证可信和安全的基础特性。


随着各个互联网巨头都开始研发自己的微服务架构,可信容器越来越多地被提及,容器技术能保证重复和浪费的操作系统和资源获得正确的分配,从而大大减少了云服务提供商对硬件的投入,节省了云服务中心的成本。同时,将其与可信计算技术相结合,将能使得整个运转过程都处于可信隔离的状态,以此来实现数据的隐私与安全。


容器技术致力于对应用程序及其关联性进行隔离,从而构建起一套能够不依赖于具体环境而运行的应用单元。更加轻量化,启动速度更快。在未来,容器技术将在安全保护、可信协作和开发中得到更加广泛的应用。


冲量网络将利用容器技术,将系统、程序库、配置文件等一系列应用整合,大幅度提升开发速度,并结合可信计算技术,打造完善的可信计算网络,为金融、政务、电信、互联网等行业用户提供订制化的数据联合计算解决方案。