2017年Docker大事件回顾——LinuxKit工具包,dockerlinuxkit
2017年Docker大事件回顾——LinuxKit工具包,dockerlinuxkit
出品丨Docker公司(ID:docker-cn)
编译丨小东
每周一、三、五晚6点10分 与您不见不散
说在前面
今天我将为大家带来2017年最受读者欢迎的5篇Docker文章中的第三篇,这篇文章将详细介绍LinuxKit——一个可以为您构建安全、精简和可移植的Linux子系统工具包。如果您错过了之前的两篇文章,您可以点击下列标题查看详情:
2017微软拥抱容器技术历程回顾,手把手带您构建原生的Windows 容器
2017年Docker 大事件回顾,Kubernetes 登陆Docker 平台
LinuxKit所包含的工具可以允许用户构建自定义的Linux子系统。所有的系统服务都是可以替换的容器,并且用户可以移除所有不需要的东西。这是一款非常符合Docker设计理念的工具,所有默认的组件都可以替换成与用户需求相匹配的组件。LinuxKit是一个开源项目,您可以点击文尾处“阅读原文”了解相关信息。
为了构建一个安全、精简和可移植的操作系统,我们将其构建在容器中。安全性是我们最高等级的目标,这个目标与NIST(美国国家标准技术研究所)在其《Application Container Security Guide》草案中的声明是一致的,即“使用特定的容器操作系统而不是通用的操作系统来减少攻击平面。当使用特定的容器操作系统时,其可攻击平面通常远小于通用操作系统,因此攻击和危害特定的容器操作系统的机会就更少了。
如果操作系统是围绕着运行容器的单一用例进行设计的,那么这种精简就可以直接有助于系统的安全性。因为LinuxKit是原生的容器,所以它的体积非常小仅有35MB,因此用户只需非常短的时间就可以启动它了。所有系统服务都是容器,这就意味着用户可以删除或替换所有的东西。
在容器中系统服务就是一个沙盒(只拥有它们所需的特权)。该配置是为容器用例而设计的。整个系统被构建成一个不可改变的基础设施,所以您可以在CI管道中对它进行构建、测试和部署,并且在您需要更新它的时候重新部署新版本。
内核是来自我们与Linux内核社区和诸如内核自我保护项目(KSPP)这样的组织共同合作来完成。有着LinuxKit的支持,只需一个很小的补丁就可以解决问题。内核安全进程的开发对于单个公司来说实在是太庞大了,因此需要整个行业进行合作。
此外,LinuxKit还提供了一个孵化安全性项目的空间,这些安全性项目展现出提高Linux安全性的美好前景。我们正在积极与 Wireguard, Landlock, Mirage, oKernel, Clear Containers等外部开源项目合作,并提供了一个测试平台。接下来我们将把工作重点放在容器空间的创新以及生产环境上。
LinuxKit是可移植的,因为它是为Docker目前所运行的多平台而构建的,并且它还将支持更多的平台。作为容器,它可以运行在任何地方,无论是在大型或是小型机器、裸机或是虚拟机、大型主机或是其他使用物联网场景的设备上。
点击下列标题,阅读更多干货
DevOps势不可挡,竟然还有15%的企业对其一无所知!
精选5个成功的Docker应用案例,看国外大神如何使用Docker!
两年打造150,000个容器,看PAYPAL的Docker实践之路
如果本文对你有帮助,欢迎分享到朋友圈!获取更多Docker实用技巧,扫描下图二维码!
点击下方“阅读全文”,获取更多信息!
评论暂时关闭