## 在基礎架構中部署Docker #### 將容器與虛擬機結合 容器和虛擬機都能在一個共享主機上為運行的應用程序提供隔離環境，只是來自不同的技術視角而且可以基于應用程序環境的需要很好地獨立使用或者結合在一起。 虛擬機使用一個完整的OS，包括它自己的內存管理和虛擬設備驅動程序。隔離是在虛擬機層面提供的，因為資源是為客戶OS（guestOS）仿真而來的，因此允許在單一主機上運行一個或多個并行（而且甚至是不同的）OS。虛擬機提供了應用程序進程和邏輯系統之間的邊界。Hypervisor會拒絕虛擬機執行可能會危害主機平臺完整性的指令。對主機的保護有賴于提供一個安全的虛擬硬件環境來運行一個OS。這個架構對于主機資源利用率有不同的影響，但是允許在單一主機上通過不同的OS運行應用程序。 Docker容器在相同主機上運行的所有應用程序容器之間共享一個單獨的主機OS。隔離是由Docker Engine在每一個應用程序層面上提供的。使用容器降低了每個應用程序的開銷因為避免了多個OS實例。這使得容器更加輕量、快速且易于擴展和收縮，并且可以實現比完整的虛擬機更高的密度等級。這種方式只能對共享一個通用OS的應用程序有效，就像Linux用于分布式應用程序一樣。 虛擬機的常規方式不允許他們能真正縮小到只運行一個單獨應用程序服務的級別。一個虛擬機可以支持一個相對豐富的應用程序集，但是在單一虛擬機內運行多個微服務而不使用容器則會帶來問題因為對于有些組織而言每個虛擬機只運行一個微服務在經濟上是不可行的。與虛擬機相結合地部署Docker容器能夠實現整個服務組中的服務彼此隔離而且運行在一個虛擬機中。這種方式通過引入兩個層級：容器與虛擬機，而提升了分布式應用程序的安全。另外這種方式達成了更有效的資源使用并且可以為所定義的隔離和安全目標在減少虛擬機數量的同時增加容器的密度。 [](http://dockerone.com/uploads/article/20151109/08e76d21407ce7d4a6db2a65cc0e9631.png) 因此可以通過把虛擬化和容器相結合所提供的隔離比單獨使用虛擬化在成本和資源效率上更好。Docker容器與可以保護虛擬機自身的虛擬化技術能夠完備搭配，并且為主機提供深度防御。 #### 在裸機上運行Docker 容器在主機及其應用程序之間提供了一層保護，在應用程序和主機之間提供了隔離。相比于不使用任何虛擬化或者容器技術，這使得它在邏輯上部署應用程序會更加安全。借助容器，很多應用程序服務可以部署在單一主機上從而使得組織能夠實現對其基礎架構更好的利用率。 然而，裸機部署不能提供最底層的硬件隔離，故而它不能充分發揮Intel的VT－d和VT－x技術的優勢。在這個情境下，對于主機隔離的等級而言容器不能完全替代虛擬化。 [](http://dockerone.com/uploads/article/20151109/bbb3ca661f0c47147e76175768770897.png) 容器為運行在裸機之上的應用程序提供了隔離，它保護了主機去應對大量的威脅而且能夠滿足非常廣泛的使用場景需求。在以下的場景中虛擬機可能不是最好的選擇而容器則可以取而代之；性能至上的應用程序運行在一個單租戶的私有云中，跨租戶或跨應用程序的攻擊并不是一個值得關注的問題；或者他們正在使用不能直接映射給虛擬機的專用硬件，或者該硬件提供直接內存訪問而使得虛擬化的優勢無法發揮。很多GPU運算的用戶就面對著這個問題。 運行在裸機之上的Docker容器與他們運行在虛擬機上時擁有相同的高級別限制。無論那種場景，一個容器通常都被允許修改物理的或虛擬的設備。 #### 生命周期管理 軟件開發只是應用程序生命周期的一個階段。測試、運行及管理階段的安全需求是非常關鍵的，并且涉及了不同的團隊、工具和流程。無論計劃內或者計劃外的持續運維和更新都需要保持操作運行的安全和平穩。更新應用程序部件的過程往往不是小事兒甚至更嚴重，即使有補丁自動發布工具也會很繁瑣。此時的問題是安裝的補丁是否影響了其他的東西？安裝這個補丁有多難？如果更新失敗要如何完全地回滾？構建映像的便利性應該延展到對這些映像的更新并且安裝安全更新。運維工程師可以利用映像標簽來以一種自動的方式來安全地、容易地安裝計劃內的安全更新并為之前的版本安裝更新。計劃外的補丁和修復程序也可以通過提交、更新和重新發布容器映像的方式安裝。更新的映像可以推送到Docker Hub或任何其他的注冊機以便于同其他團隊進行分享和發布。 Docker容器的這些特點使得系統管理員在更新系統工具、軟件包甚至是主機的內核都很容易。OS的升級周期被明顯地縮短而且也容易實現，顯著地降低了基礎架構在攻擊面前的總體暴露面。相比于虛擬化模型中每個主機有多個OS需要維護，Docker環境中每個主機只有一個OS需要維護。需要打補丁和更新的OS實例數量減少將降低與安全合規相關的開銷。 確保安全合規性等同于應用最新的更新并保持對系統包含什么及其變更歷史進行跟蹤。對生產環境中容器的變更歷史能夠進行審計可以驗證對生產系統沒有進行有危害的變更，而且當問題出現時也有能力把容器回滾到一個已知的正常狀態下。總之，使用分層手段使得參照公開常見風險和漏洞列表（CVE）來檢查OS包和應用程序依賴性變得更加容易。 #### 總結 基于微服務的架構為應用程序在整個生命周期內如何開發、部署及管理提出了不同的需求而且打包工具的變化及安全模型也要能夠支持它。安全需求可以采取分層的方式來滿足，它以應用程序棧來對待整個基礎架構而且通常會綜合多種技術來保證滿足每一層的安全需求等級。 Docker在組織使得深度防御概念的部署簡單化了。使用Docker可以立即帶來有益，不僅僅是在應用程序開發和部署的速度和便利性方面，也表現在安全方面。通過隔離、約束及隱形地應用了大量的最佳實踐–否則需要在組織內的每個OS上進行明確的配置，直接部署Docker自然就會提升系統的整體安全等級。 總而言之，企業使用了Docker容器可以在不增加應用程序基礎架構開銷的前提下增強安全： * 容器通過在應用程序與主機之間以及在應用程序之間進行隔離而不需要使用更多的底層基礎架構資源和降低主機的暴露區域來提供了更多一層的保護。 * 容器和虛擬機可以部署在一起來為所選擇的服務提供更多的隔離和安全層級。 * 容器的性質有利于快速、便捷的應用程序打補丁以及OS更新，應用程序及基礎架構的分層，有助于維持整體的安全合規性。 原文鏈接：[Introduction to Container Security](https://d3oypxn00j2a10.cloudfront.net/assets/img/Docker%20Security/WP_Intro_to_container_security_03.20.2015.pdf)（翻譯：李毅）