最新架構(gòu)和云計算的發(fā)展，正推動虛擬化容器應(yīng)用到數(shù)據(jù)中心生產(chǎn)環(huán)境。

容器化方法對虛擬化行業(yè)發(fā)出的傳票，正如虛擬化對傳統(tǒng)數(shù)據(jù)中心一樣，容器化虛擬方案與虛擬機管理程序一樣，都必須面對跨租戶窺探的漏洞。當(dāng)虛擬機管理程序因未授權(quán)或意外而暴露企業(yè)信息，Intel增加了硬件功能來遠程消除租戶信息，防止數(shù)據(jù)泄露。當(dāng)固態(tài)硬盤實例過度配置問題得以解決后，行業(yè)又遇到并克服了數(shù)據(jù)安全漏洞這一問題。

現(xiàn)在，隨之而來的是容器方法的快速發(fā)展。容器運行在單一操作系統(tǒng)上，而且這些硬件內(nèi)存控制工具無法隔離多個容器。

為確保數(shù)據(jù)安全，數(shù)據(jù)中心可以在虛擬化管理程序里的一臺虛擬機中運行容器，但這可能會減緩容器創(chuàng)建速度，也沒有利用到容器技術(shù)的這一主要賣點。IT架構(gòu)師可以在單一虛擬機中建造成百容器，以此來隔離其他用戶在另一臺虛擬機中創(chuàng)建的幾百個容器，但結(jié)果是操作非常繁瑣。IT團隊需要調(diào)整虛擬化演變而來的隔離機制，以更好的支持容器。

Intel已經(jīng)對準(zhǔn)虛擬化容器的發(fā)展方向進行了架構(gòu)開發(fā)。在改變硬件時額外增加DMA重映射邊界控制，可以限制每個設(shè)備可訪問的系統(tǒng)內(nèi)存，Intel通過容器化方法，推出了Clear Containers作為一種聚合輕量級虛擬化管理程序，很像kvmtool。這種結(jié)合擴展了內(nèi)存共享能力。

增加輕量級虛擬化管理程序的額外開銷大約在20MB左右，這對生產(chǎn)環(huán)境中幾乎沒有影響。更重要的是，新容器的啟動時間大概是150毫秒。雖然比Docker容器慢了點，但對大多數(shù)用途是夠用的。

Intel評估，管理員可以在一臺擁有128GB內(nèi)存的服務(wù)器上運行大約3,500個輕量級虛擬化容器。這樣會導(dǎo)致I/O饑餓，但數(shù)量確實高的驚人，也突出了容器方法的價值所在。

Intel同樣還開發(fā)了針對虛擬化容器的安全功能。Kernel-Guard Technology在硬件與內(nèi)核之間增加了一個小型監(jiān)視器，可以防止內(nèi)核與寄存器被修改。Cloud Integrity Technology生成密鑰模塊哈希，并且調(diào)用Trusted Platform Module進行簽名，這樣他們在被驗證時能夠確保有效。Software Guard Extension允許在內(nèi)存中存在安全飛地，定義用來協(xié)助維護加密密鑰的安全。Intel計劃在未來進一步改進容器性能，包括QEMU虛擬機模擬器摻入和內(nèi)存使用優(yōu)化。

仍舊缺失的與文件訪問保護沖突的數(shù)據(jù)共享。這既是虛擬機管理程序和操作系統(tǒng)的問題，也是容器的問題。Intel正在尋找通過NVMe來解決這一問題的方案，基于隊列的存儲接口，可以避免多層SCSI棧。NVMe允許I/O直接與虛擬機或容器直接關(guān)聯(lián)，并且最高可達64,000個隊列。這可能是機械化存儲I/O的有效途徑。

CoreOS宣布，Intel Clear Containers成為他們Rocket 容器的解決方案。Clear Containers可能打開容器部署的開發(fā)局面——如果我是一名虛擬化管理軟件供應(yīng)商，我會非常關(guān)注容器根據(jù)我得具體需求收斂后，具體的步長。有可能出現(xiàn)共存的情況，但Clear Containers會讓邊界盡可能的接近容器的領(lǐng)地。

虛擬化容器對數(shù)據(jù)中心的影響

小尺寸、可靠的安全容器意義在于，我們將需要更少的服務(wù)器來承載相同的工作量。因為容器可以在現(xiàn)有的服務(wù)器上進行部署，幾乎在兩年內(nèi)無須采購新的設(shè)備。數(shù)據(jù)中心預(yù)算也可能會被花費到別的地方。

提高I/O性能以滿足容器數(shù)量是個不小的挑戰(zhàn)，但本地固態(tài)硬盤能夠為容器提供非?？捎^的IOPS水平。超強的性能意味著容器不會出現(xiàn)I/O饑餓，同時還能采用少量主SSD存儲與更便宜的二級SATA存儲方案。

針對虛擬化容器方案的增強可以應(yīng)用在Intel 3D Xpoint near-in內(nèi)存場景。增加這些到服務(wù)器上能夠大幅提高服務(wù)器整體性能，因為X-Point安裝在DIMM總線上的內(nèi)存擴展器。

優(yōu)秀的I/O性能能夠提高容器的接受程度，但所有這一切將給網(wǎng)絡(luò)性能也帶來不少難題。單獨一臺操作系統(tǒng)所產(chǎn)生的網(wǎng)絡(luò)流量會比虛擬機管理程序中多臺操作系統(tǒng)之間交互要少得多，但密集容器解決方案仍然會增加網(wǎng)絡(luò)負載。

數(shù)據(jù)中心可以采用10Gb以太網(wǎng)，2016年將開始使用25Gb以太網(wǎng)。更快的帶寬可以緩解網(wǎng)絡(luò)擁堵，但也增加了成本。在辯論中，我們得到的是利用RDMA over Ethernet技術(shù)來降低服務(wù)器開銷負載;能節(jié)省非常多。Chelsio的iWarp似乎是Ethernet RDMA的商業(yè)贏家。這樣就能夠運行更多的容器，網(wǎng)絡(luò)利用效率也會更高。

結(jié)合兩者，服務(wù)器、存儲與網(wǎng)絡(luò)的密度增加和性能提升，將減少IT支出，并讓數(shù)據(jù)中心在一段時間內(nèi)保持相同甚至更小的空間占用增長。