2017年Docker大事件回顾——LinuxKit工具包

2017年Docker大事件回顾——LinuxKit工具包_第1张图片


出品丨Docker公司(ID:docker-cn)

编译丨小东

每周一、三、五晚6点10分  与您不见不散


说在前面


今天我将为大家带来2017年最受读者欢迎的5篇Docker文章中的第三篇,这篇文章将详细介绍LinuxKit——一个可以为您构建安全、精简和可移植的Linux子系统工具包。如果您错过了之前的两篇文章,您可以点击下列标题查看详情:


  • 2017微软拥抱容器技术历程回顾,手把手带您构建原生的Windows 容器


  • 2017年Docker 大事件回顾,Kubernetes 登陆Docker 平台

0?wx_fmt=png


LinuxKit所包含的工具可以允许用户构建自定义的Linux子系统。所有的系统服务都是可以替换的容器,并且用户可以移除所有不需要的东西。这是一款非常符合Docker设计理念的工具,所有默认的组件都可以替换成与用户需求相匹配的组件。LinuxKit是一个开源项目,您可以点击文尾处“阅读原文”了解相关信息。


0?wx_fmt=png


为了构建一个安全、精简和可移植的操作系统,我们将其构建在容器中。安全性是我们最高等级的目标,这个目标与NIST(美国国家标准技术研究所)在其《Application Container Security Guide》草案中的声明是一致的,即“使用特定的容器操作系统而不是通用的操作系统来减少攻击平面。当使用特定的容器操作系统时,其可攻击平面通常远小于通用操作系统,因此攻击和危害特定的容器操作系统的机会就更少了。

2017年Docker大事件回顾——LinuxKit工具包_第2张图片


如果操作系统是围绕着运行容器的单一用例进行设计的,那么这种精简就可以直接有助于系统的安全性。因为LinuxKit是原生的容器,所以它的体积非常小仅有35MB,因此用户只需非常短的时间就可以启动它了。所有系统服务都是容器,这就意味着用户可以删除或替换所有的东西。


在容器中系统服务就是一个沙盒(只拥有它们所需的特权)。该配置是为容器用例而设计的。整个系统被构建成一个不可改变的基础设施,所以您可以在CI管道中对它进行构建、测试和部署,并且在您需要更新它的时候重新部署新版本。

2017年Docker大事件回顾——LinuxKit工具包_第3张图片


内核是来自我们与Linux内核社区和诸如内核自我保护项目(KSPP)这样的组织共同合作来完成。有着LinuxKit的支持,只需一个很小的补丁就可以解决问题。内核安全进程的开发对于单个公司来说实在是太庞大了,因此需要整个行业进行合作。


此外,LinuxKit还提供了一个孵化安全性项目的空间,这些安全性项目展现出提高Linux安全性的美好前景。我们正在积极与 WireguardLandlockMirageoKernel, Clear Containers等外部开源项目合作,并提供了一个测试平台。接下来我们将把工作重点放在容器空间的创新以及生产环境上。

2017年Docker大事件回顾——LinuxKit工具包_第4张图片


LinuxKit是可移植的,因为它是为Docker目前所运行的多平台而构建的,并且它还将支持更多的平台。作为容器,它可以运行在任何地方,无论是在大型或是小型机器、裸机或是虚拟机、大型主机或是其他使用物联网场景的设备上。


0?wx_fmt=png


点击下列标题,阅读更多干货


  • DevOps势不可挡,竟然还有15%的企业对其一无所知!

  • 精选5个成功的Docker应用案例,看国外大神如何使用Docker!

  • 两年打造150,000个容器,看PAYPAL的Docker实践之路


如果本文对你有帮助,欢迎分享到朋友圈!获取更多Docker实用技巧,扫描下图二维码!


2017年Docker大事件回顾——LinuxKit工具包_第5张图片


0?wx_fmt=gif点击下方“阅读全文”,获取更多信息

你可能感兴趣的:(2017年Docker大事件回顾——LinuxKit工具包)