无论您是否考虑过将应用程序放到“沙箱”中以确保其安全,或者想知道“软件即服务”(SaaS)提供商如何使您的应用程序和数据与其他客户隔离,您都一直在考虑软件容器.容器是将应用程序分离从操作系统的越来越流行的方法以及它用于连接到网络的物理基础架构。容器在操作系统的内核内实例化并虚拟化应用程序的实例。大多数人都没有意识到容器是多么受欢迎的容器已成为和今天正在使用的地方。
改变根目录:
几十年前,UNIX管理员建立了一种控制软件包安全性的一种方法。他们把它放进了一个“chroot监狱”。chroot.(缩短单词更改根)是更改允许进程使用的目录的UNIX命令的名称,并包含生成的任何子进程。如果此软件受到损害,则此Chroot技术将限制可能的特权升级。这被认为是多年来最好的做法,但这种方法的关键问题是它可能是绕过如果程序以根权限运行。Chroot也不提供许多人认为必不可少的功能,比如:内存/磁盘配额、I/O/CPU速率限制、检查点和网络隔离。
服务器虚拟化:
在过去,我们有一个物理服务器,我们将在每个物理服务器上运行一个应用程序。然后行业拥抱服务器虚拟化,其中许多虚拟机(VM)将在一个物理服务器上运行。最初,每个物理服务器都有一个主机操作系统(OS),管理程序在该主机OS的顶部(例如类型2)虚拟机管理程序).组织意识到他们可以消除多余的主机操作系统和运行在“裸机”管理程序(例如,1型虚拟机管理程序).
随着更多VMS部署,组织在其自己的虚拟服务器上运行了每个应用程序,每个应用程序都基本上有自己的专用资源(CPU,内存,I / O,网络配置)。但是,该服务器虚拟化模型需要每个应用程序的单独操作系统(和许可)。如果所有企业关注的是应用程序,那么为什么不尝试将应用程序获取到他们自己的计算实例中的每个运行?
然后出现了使用软件容器来隔离应用程序的想法。使用容器降低了为每个应用程序拥有许可操作系统的要求。通过这种方式,每个应用程序都是在自身内进行管理的,只获取它需要的资源,并且可以与其他应用程序分开进行保护。
Linux内核控制:
Linux容器(LXC)是一种更为现代的应用程序虚拟化方法。LXC利用cgroups来隔离CPU、内存、文件/块I/O和网络资源。LXC还使用名称空间将应用程序与操作系统隔离开来,并分离进程树、网络访问、用户id和文件访问。LXC被认为是介于chroot和虚拟机之间的一种技术。现在LXC的1.0版本,未经特势平的容器更加安全,因为它们作为常规未经特权的用户运行。
Linux容器很灵活,因为它允许管理员虚拟化单个应用程序,而不是在虚拟机(VM)中虚拟化整个操作系统。因此,不需要或不需要操作系统许可。LXC还提供了非常低的开销,因为应用程序使用其正常的系统调用和到接口的连接,并且不执行模拟。但是,如果您想在轻量级Linux操作系统中运行软件容器,您可以考虑CoreOS.LXC也被使用heroku.功率计这是一个云平台即服务(PaaS)系统,几年前被Saleforce.com收购。
Docker:
码头工人建于LXC之上,并为虚拟化应用程序添加图像管理和部署协助。码头工人提供自动化和快速发放LXC cgroups,而不需要VM。Docker提供了一个API,扩展了LXC的功能,用于构建平台即服务(PaaS)产品。可以想象,Docker开源系统可以用于整个主机(没有双关语)的目的。
Docker只有大约一岁(最初是Dotcloud),但它已经获得了流行度,现在与其他工具相结合,如:Ansible.,厨师,OpenStack.,木偶,和盐.Docker包含在内RHEL7.0,openshift.PaaS,谷歌计算引擎(格索),黛,现在亚马逊Web服务(AWS.)弹性豆茎。现在Docker正在成为实际Linux标准用于虚拟化应用程序。
使用其他地方容器:
还有许多其他操作系统级虚拟化系统,例如:LinuxOpenVZ,Linux-VServer, FreeBSD监狱, AIX工作负载分区(WPAR.s)、HP-UX容器(SRP.),Solaris容器等等。
手机也使用容器来分离和安全地运行它们的应用程序。事实上,像Nexus One这样的Android手机使用LXCandroid.内核。迈克菲提供A.安全容器为Android.苹果iphone还可以使用容器来划分应用程序及其数据。
公司使用的移动设备管理(MDM)实用程序用于保护进入企业网络域的个人设备;La带上自己的设备(byod)。这些MDM系统中的许多也包括用于公司应用程序和数据的容器。如果丢失设备或离开本组织的员工,可以擦除公司数据和机密应用程序。Citrix XenMobile MDM提供应用程序集装箱(Citrix MDX)和数据容器化(Citrix ShareFile)。
沙箱浏览器是考虑应用程序虚拟化以及如何一次保护一个应用程序的另一种方式。沙盒是一个可以在基于windows的系统上创建沙箱功能的程序。
思科安全桌面(CSD.)(最近弃用)已经成为思科ASA防火墙和AnyConnect基于ssl的VPN的一部分很多年了。CSD用于保护VPN连接期间运行的数据和业务,当VPN连接终止时删除CSD。这与容器的概念类似。
思科UCS导演坚固的容器是将VM分组成单独的飞地的方法。此产品名称中具有“容器”一词,但它不是为特定应用程序提供的集装箱化。相反,它将VMS分组为安全域/区域/区域。
思科Nexus 9000实际上运行的是Linux内核OnePK代理在LXC容器中运行。这有助于从NX-OS内核隔离OnePK到OnePK控制器的连接。管理员还可以在交换机处理器上使用64位Linux容器
简介:
我们可能会看到未来使用的基于软件的容器。企业倾向于关注应用程序提供的应用程序和业务价值。商业护理较少,少于用于支持应用程序的物理硬件和操作系统。如果容器可以为任务关键型应用程序提供改进的安全性,并且使用非常低的开销,因此组织将更频繁地使用容器。LXC和Docker在过去的12到18个月内变得非常流行,我们正在看到他们在云市场的影响。我们将继续见证这些类型的中断,因为软件变得更加重要,并且硬件伴随着普及。
斯科特