最近Docker和CoreOS联手创建了一个新的Linux基础项目,叫做开放容器项目(OpenContainerProject)。什么是开放容器计划?它如何提高软件容器的安全性?DanSullivan:OpenContainerInitiative,又称开放容器倡议,旨在创建一个标准的容器可视化模型和运行时引擎。该项目由Linux基金会组织和赞助。虽然Docker已经有了一套完善的标准,但Linux软件厂商CoreOS对应的标准rkt与Docker不同,分裂了容器行业。很难想象软件开发人员在软件堆栈的这个关键级别上通过这种差异化获得竞争优势,事实上,它可能会阻碍它并引入不必要的跨平台问题。包括谷歌、红帽、甲骨文、Suse、VMware在内的主流软件服务商也纷纷加入,与Docker、CoreOS、Linux基金会共同打造开放容器项目。该项目最重要的任务之一是制定安全容器标准。这包括保护程序孤岛以及容器中的资源。该标准还包括对强大的加密原语、应用程序识别服务和图像审计功能的支持。项目成员计划创建一个用于保护容器的简约标准,而无需解决支持工具,例如云服务或正在运行的集群。CoreOS构建rkt的部分原因是Docker计划扩展了容器标准的最初关注点。还有人担心需要从root运行Docker。构建安全容器镜像的倡议将间接提高安全性。例如,如果要重复使用,团队可以分配时间来强化应用程序映像。容器支持自动化部署,有助于降低手动配置错误的风险。此外,可以审查自动化脚本以确保适当的安全控制到位。多个容器标准并没有否定这些好处,但需要额外的努力和资源来维护。
