转载

王旭：多租户环境下，Docker的安全隔离怎么破

2015年4月16-18日，由CSDN主办、CSDN专家顾问团支持的OpenCloud 2015大会将在北京国家会议中心拉开帷幕。为期三天的大会，以推进行业应用中的云计算核心技术发展为主旨，聚焦技术创新与应用实践，设置了“2015 OpenStack技术大会”、“2015 Spark技术峰会”、“2015 Container技术峰会”三大技术峰会及多场深度行业实战培训。

本次大会将邀请近40位国内外云计算技术领域顶尖专家与一线实践者，深入讨论OpenStack、Spark、Docker、Kubernetes等开源技术的最新进展，各个核心项目/组件的演进趋势，以及它们的最新业界应用。点击报名。

在“2015 Container技术峰会”，我们请到了北京引众思源科技有限公司 CTO 王旭 担任演讲嘉宾，他将带来的分享主题为《 多租户环境下的Docker的安全隔离 》，将结合VM和Container技术，探讨隔离性和性能的折衷方案。

作为云计算和运维领域目前最为热门的开源技术，Docker同时也不断遭受安全性的质疑。由于Docker本身安全隔离是基于Linux内核的Namespace/cgroup这些容器隔离和资源的组调度机制的，所有进程运行在同一个内核中，这对于多租户环境而言显然是安全性不足，而且Namespace机制也曾出现过安全漏洞。王旭认为，通过Image和Container的集成，Docker让DevOps在部署中依赖的复杂的配置管理变得简单，Docker的出现是运维领域的一次革命，可以推动运维服务向更高层次的发展。他表示，鉴于Docker Image对应用测试、分发、部署乃至回滚所带来的便利已使Docker拥有庞大的用户社区，我们能够继承Docker的社区优势，将VM和Container技术相结合，增强在不同租户、不同安全需求的容器间的隔离性，同时尽量避免强隔离带来的过多的性能损失。他将在演讲中具体解释如何做到这一点。

王旭：多租户环境下，Docker的安全隔离怎么破王旭

CTO

北京引众思源科技有限公司

王旭在北京邮电大学获得博士学位。在加入引众思源公司之前，曾就职于盛大云计算和中国移动研究院，从事云计算、Hadoop以及大规模计算集群管理与优化、弹性块存储服务的开发等方面的工作，个人研究涉及Linux内核、文件系统、虚拟化、Hadoop、ZooKeeper、NoSQL与分布式存储系统等。

对话王旭：

CSDN：首先请介绍下您自己，以及您在Container/Docker技术方面所做的工作。

王旭： 我是王旭。在加入现在的公司之前，曾在中国移动研究院和盛大云计算工作。在盛大云计算做弹性块存储服务，在中国移动研究院时在大云项目组里，负责Hadoop开发和分布式存储的项目，并曾经是为中国移动研究院云计算方面的开源社区和标准化协调人。作为一位业余的作者和译者，翻译过O'Reilly的《Cassandra权威指南》，更早的时候写过一本Debian的书，个人Blog上放着原来的不少关于kernel、存储、NoSQL的译文。

我们现在主要是做DevOps工具的，帮运维来更代码化、自动化地管理集群系统，Docker 是我们的工具链上的重要一环。

CSDN：您所在的企业是如何使用Container/Docker技术的？为企业带来了哪些好处？

王旭： Docker发布出来的时候，我们认为它的革命性在于Image和Container的集成，因为Image是不可变的（Immutable），开发、测试和部署被统一了，执行环境被简单化了，之前DevOps在部署中依赖的复杂的配置管理变得简单了。

CSDN：您认为Container/Docker技术最适用于哪些应用场景？

王旭： Docker目前的适用场景主要包括以下三类：

适合于需要经常部署的模块，良好的封装会让持续部署变得方便。
适合于无状态服务，迁移、重部署、水平扩展都很方便。
还很适合于测试环境，因为封装良好，做各种场景模拟测试和压力测试都很方便。

CSDN：企业在应用Container/Docker技术时，需要做哪些改变吗？企业如果想快速应用Docker应该如何去做？

王旭： Docker的粒度介于传统的虚拟机和软件包之间，Docker的生命周期短于传统的VM，数量多于VM。

对于应用架构而言，Docker希望应用尽量无状态、可重新部署、可水平扩展，如果应用比较传统可能需要调整。
对于运维来说，监控采集的指标可能会发生一些变化，不能把传统的针对OS和虚机的监控简单迁移到Docker来，需要针对其数量和生命周期进行相应的调整。

CSDN：作为当前最流行的Container技术，您认为Docker还有哪些方面需要改进？

王旭： 最近有一些针对Docker的质疑，其中最严厉的莫过于针对Docker安全性的质疑，因为所有容器都由同一个内核调度，一旦有什么Bug被利用，突破这层隔离，就会危及到宿主机和其他容器。虽然Docker和整个Linux社区都在容器能力限制、Namespace隔离方面一直在不懈努力，但随着Docker逐渐被采纳，甚至进入多租户服务，这方面的担心与日俱增。

CSDN：您在本次演讲中将分享哪些话题？

王旭： 本次演讲中，我们将介绍我们最近做的一点工作，结合VM和Container技术，提供一个一个隔离性和性能的折衷方案。

CSDN：哪些听众最应该了解这些话题？您所分享的主题可以帮助听众解决哪些问题？

王旭： 听众对Docker和Linux系统管理有一定了解即可。如果用户希望在多租户环境中提供Docker的服务，那么这个话题可能会比较有兴趣。

2015 Container技术峰会已经邀请Google Kubernetes核心开发人员来华，和国内用户分享Kubernetes的技术细节，探讨Container未来的发展方向，此外还有VMware、华为、红帽、美团、腾讯、云雀科技、数人科技、上海点融等公司Container/Docker技术实践者，也将同台分享Container/Docker及其相关项目的实战经验。

附：Container技术峰会全日程