最近Docker和CoreOS聯(lián)手打造一個(gè)新的Linux基金項(xiàng)目叫做開(kāi)放容器計(jì)劃(Open Container Project)。何謂開(kāi)放容器計(jì)劃?他如何改善軟件容器的安全性?

Dan Sullivan：開(kāi)放容器計(jì)劃，也被稱為開(kāi)放容器倡議，意在創(chuàng)建一個(gè)標(biāo)準(zhǔn)的容器顯像模式和運(yùn)行引擎。該項(xiàng)目由Linux基金會(huì)組織并贊助。盡管Docker已經(jīng)有一個(gè)成形的標(biāo)準(zhǔn)了，Linux軟件商CoreOS的相應(yīng)的叫做rkt的標(biāo)準(zhǔn)與Docker不同，將容器行業(yè)分裂開(kāi)來(lái)。

很難想象在軟件堆棧這個(gè)關(guān)鍵層面上有如此區(qū)分的軟件開(kāi)發(fā)者們能夠獲取競(jìng)爭(zhēng)優(yōu)勢(shì)，事實(shí)上，這很可能阻礙其發(fā)展并帶來(lái)不必要的跨平臺(tái)問(wèn)題。主流的軟件服務(wù)提供商，包括谷歌、紅帽、Oracle、Suse以及VMware也加入進(jìn)來(lái)，與Docker、CoreOS和Linux基金會(huì)共建開(kāi)放容器計(jì)劃。

該項(xiàng)目最重要的使命之一就是開(kāi)發(fā)一個(gè)安全的容器標(biāo)準(zhǔn)。這包括保護(hù)程序孤島以及容器中的資源。標(biāo)準(zhǔn)還包括對(duì)強(qiáng)加密原語(yǔ)、應(yīng)用程序識(shí)別服務(wù)以及圖像審計(jì)功能的支持。

項(xiàng)目成員計(jì)劃創(chuàng)造一個(gè)簡(jiǎn)約的標(biāo)準(zhǔn)，在沒(méi)有解決支持工具的情況下確保容器安全，如云服務(wù)或運(yùn)行的集群。CoreOS構(gòu)建rkt，某種程度上是因?yàn)镈ocker計(jì)劃擴(kuò)大了范圍，超過(guò)了容器標(biāo)準(zhǔn)初始關(guān)注點(diǎn)。也有人擔(dān)心是否需要從根上運(yùn)行Docker。

該計(jì)劃構(gòu)建安全的容器映像將會(huì)間接地改善安全。例如，團(tuán)隊(duì)可以合理分配時(shí)間來(lái)強(qiáng)化應(yīng)用程序圖像，如果其將被重復(fù)使用的話。容器支持自動(dòng)部署，有助于減少手動(dòng)配置錯(cuò)誤的風(fēng)險(xiǎn)。此外，自動(dòng)化腳本可以審查以確保部署了恰當(dāng)?shù)陌踩刂啤６喾N容器標(biāo)準(zhǔn)也不會(huì)泯滅這些好處，不過(guò)需要額外的精力和資源用以維護(hù)就是了。