作者:容器镜像服务团队
伴随着企业 IT 数字化转型演变的进程,越来越多的企业采用云原生化架构升级的方式,改善应用开发运维迭代的效率,加速企业业务创新;改进资源弹性管理和迁移的效率,帮助企业降本增效。
将业务进行容器化改造并打包成容器镜像是云原生化实践的第一步,为了使企业开发者更简便地打造云原生应用交付流程,2023 年 1 月,阿里云容器镜像服务 ACR 正式推出“云原生制品中心”, 为容器开发者免费提供了来源于阿里云官方、龙蜥社区的安全可信容器基础镜像。
很多企业会依靠来自公开平台的容器基础镜像来打包,这存在以下的问题:
安全风险肆意:以全球最大规模的公共容器镜像平台 Docker Hub 为例,据文献 [ 1] 分析其中 2500 个镜像后发现,高达 82% 被认证的容器镜像至少包含 1 个高危漏洞,不含漏洞的容器镜像仅占比 17.8%。攻击者可能利用组件中存在的漏洞,注入恶意代码或控制第三方机器环境,执行从加密货币挖矿、发送垃圾邮件、到通过大型僵尸网络发起 DDoS 攻击。
无法便捷获取:以 Docker 公司的政策约束 [ 2] ,2020 年 11 月 01 日起将逐步向 Docker Hub 匿名和免费用户实施速率和拉取请求次数限制。国内的客户由于网络和性能限制,无法便捷高效、大规模拉取对应的容器基础镜像,甚至导致 K8s 上节点卡住其他业务镜像运行。
缺少维护及优化:大多公共容器镜像平台都缺少对镜像上软件包的持续维护更新、问题修复、新功能支持等。并且容器镜像都是面向通用的应用环境,缺少对各类业务场景的性能优化,无法让客户更高效利用底层基础设施的能力。
为了解决以上的问题,阿里云容器镜像服务(ACR)推出了云原生制品中心,为容器开发者免费提供了来源于阿里云官方、龙蜥社区的安全可信容器基础镜像。包含应用容器化基础 OS 镜像、基础语言镜像、AI/大数据相关镜像类别,覆盖 ARM、ARM 64、x64、x86-64 多种系统架构,让您业务容器化过程更加便捷高效、更加安全可信。
内容安全可信
容器镜像均以 Anolis OS(Anolis OS由龙蜥开源社区发布的龙蜥操作系统,兼容 RHEL/CentOS Linux的社区发行版)、Alibaba Cloud Linux(Alibaba Cloud Linux 简称 Alinux,是由阿里云操作系统团队以 Anolis OS 为基础构建的阿里云操作系统发行版)为基础镜像。在上层软件包来源上,阿里云操作系统团队及龙蜥社区会定期对镜像中软件包进行定期 CVE 修复,从软件供应链的源头保障容器业务的安全。
便捷使用支持
长期维护支持
Alibaba Cloud Linux 是阿里云基于龙蜥社区(OpenAnolis)的龙蜥操作系统(Anolis OS)打造的操作系统发行版,在兼容 RHEL/CentOS 生态的同时,为云上应用程序提供安全、稳定、高性能的定制化运行环境。Alinux2/Alinux3 容器镜像中用户态软件包保持与新版 CentOS 兼容,为保障系统的安全性,会紧密跟进业界与社区发现的软件包问题及安全漏洞(CVE),及时更新修复软件缺陷和修补安全漏洞,确保容器镜像的内容完整安全。
Alibaba Dragonwell 是阿里巴巴开源的 JDK,它是 OpenJDK 的下游,提供了 OpenJDK 的所有能力,并且通过 AdopeOpenJDK 社区进行构建发布,提供高质量的经过测试验证的 JDK 发行版。除了 OpenJDK 已有功能外,Alibaba Dragonwell 还增加了以下独有特性:
Golang/Nginx
基于 Anolis OS 构建的 golang 语言镜像、nginx 应用镜像,可以让用户开箱即用的搭建业务容器镜像。龙蜥社区上基础应用软件包,如 nginx,也是会紧密跟进业界与社区发现的软件包问题及安全漏洞,及时更新修复软件缺陷和修补安全漏洞,确保容器镜像的内容完整安全。
基于 Alinux3 的倚天优化镜像,主要是在镜像中集成了智能优化调优软件 KeenTune,KeenTune(轻豚)是一款 AI 算法与专家知识库双轮驱动的操作系统全栈式智能优化产品,提供 CPU、内存、IO、网络等领域的调优解决方案。在典型业务场景,倚天优化镜像在 g8y.2xlarge 规格上验证,大部分场景可以带来20% 以上的性能提升。其中 mysql 在 write only 场景有30%左右提升,redis 在 set/get 等场景都有 30% 左右的性能提升。
阿里云容器镜像服务将持续与龙蜥社区合作,在近期将陆续提供高频使用的容器基础镜像 50 个,包含应用容器镜像 influxdb、tomcat、consul 等,其中部分应用镜像将集成 Keentune 智能调度优化能力。同时我们也期待更多 ISV 或者开源软件愿意加入我们的合作伙伴计划,您可以通过留言与我们联系。希望我们能打造内容丰富、安全可信的云原生制品生态,让众多容器开发者更放心、更便捷、更高效的实现云原生化转型。
[1] WIST K, HELSEM M, GLIGOROSKI D. Vulnerability analysis of 2500 docker hub images[M]//DAIMI K, ARABNIAHR, DELIGIANNIDISL, et al. Advances in security, networks, and Internet of things. Cham:Springer,2021:307-327.
[2] https://docs.docker.com/docker-hub/download-rate-limit/
点击此处,直达阿里云 ACR 云原生制品中心