张海宁：VMware推出免费的虚拟化开发引擎

个人简介 张海宁,现在为VMware中国研发中心云原生应用资深架构师，同时也是CloudFoundry中国社区最早的技术布道师之一，目前着重关注云原生应用的研发工作，内容包括Container、PaaS、IaaS等方面，10年前曾在SUN公司研究和推广Solaris的容器技术应用，2012年加入VMware中国研发中心，先后负责开源平台CloudFoundry、大数据虚拟化、软件定义存储等领域的技术布道和解决方案推广。

QCon是由InfoQ主办的全球顶级技术盛会，每年在伦敦、北京、东京、纽约、圣保罗、杭州、旧金山召开。自2007年3月份首次举办以来，已经有包括传统制造、金融、电信、互联网、航空航天等领域的近万名架构师、项目经理、团队领导者和高级开发人员参加过QCon大会。

   

1. 大家好，在QCon上海大会的现场，我们今天很高兴邀请到VMWare的资深架构师张海宁先生接受采访。请海宁做一下自我介绍吧。

张海宁：我叫张海宁，我是来自VMware中国研发中心的架构师，我所在的部门是云衍生应用。

   

2. 您之前一直在做Cloud Foundry方面的工作，好像云原生应用这块是去年开始的，能简单介绍一下你们这个部门现在的情况吗？

张海宁：我们部门最早是在2012——2013年做Cloud Foundry在中国社区的技术推广工作，我也是最早的社区的技术导师之一。去年我们这个部门重点是转向以容器和Docker为代表的云原生应用技术上，所负责的事情包括云原生应用的一些产品的研发、孵化，还有其他相关技术解决方案的研发，等等。

   

3. 你们是希望让VMware的企业客户都能够比较好地用上容器技术吧？能不能介绍一下现在进展如何？

张海宁：去年VMware大会上就已经提出了一个口号，就是让虚拟机和容器更好地在一起工作。我们很多的企业用户找我们咨询，VMware有什么好的办法能让容器应用和传统虚拟机应用很好地结合在一起？这个问题VMware现在已经有很好的解决方案。在2015 VMware大会上，我们发布了一些产品预览，帮助用户解决现在面临的问题，在云原生应用里边到底是用容器，还是用虚拟机并提出了更好的解决方案。归纳起来讲，我们是有两个产品，一个是vSphere Integrated Container，另外一个叫做Photon OS，这两个是直接跟容器相关的项目。有兴趣的用户可以找我们联系做Demo。vSphere Integrated Container这个产品是帮助用户在已有的ESX平台上面运行容器应用，它重点解决两个问题：1）现在容器有一个内在的问题是隔离度比较差，那么它的安全性难以受到保障，这一点受制于Linux容器固有的技术局限性，隔离性这个问题在一段时间里是不太可能解决的。我们用VEM办法可以很好地帮助用户解决这样的问题。我知道企业客户对安全性是非常重视的，有很多关键的、机密的数据不能泄露。像Docker这种容器技术在公有云或要求度很高的私有云里，制约它进一步使用的一个根本的原因是，用户对安全性的担忧。另一方面就是，用户有很多虚拟机应用已经跑在生产系统上，不可能短时间全部取消，替换成Container，那么就需要有一种平台帮助用户同时管理容器应用和虚拟机应用，VMware看到客户有这样的需求，最终推出了vSphere Integrated Container。简单讲，这个技术就是把容器用轻量级的虚拟机封装起来，以便实现很好的隔离度。另一方面，我们想办法用一些优化技术，使得包裹容器的虚拟机能够迅速生成，运行起来，把应用跑起来。既有容器快速部署的优点，又有虚拟机安全性的优点。这个产品的Demo上线后受到广大用户的强烈反响，我们也正在想办法满足用户的需要，把这个技术做成产品交给用户使用。另外一个相关的是跑Container的Linux平台优化，即Photon OS。这个发行版是针对虚拟化环境中使用容器而发布的基础操作系统，那么对做了很多优化，把一些没有用的package删除，增强了很多跟安全性相关的package，以后在vSphere企业级平台里可以直接使用这个优化过的操作系统，运行容器相关的应用。

   

4. VIC主要提供隔离的功能，让容器的隔离性，安全性更好一些。Photom OS，它是基于这个，还是基于Unbreakalbe Linux做一些经典的改造吗？

张海宁：我们在中间做了一些优化，举一个简单的例子，因为现在大部分容器应用基本运行在虚拟机中，虚拟机的操作系统其实不需要向通用的Linux那样把各种各样Driver加进去，普通的Linux发行版为了应对不同的硬件环境，要带上很多Driver，有网络的，有存储的，还有各种各样的外设，但是我们知道跑在这个虚拟机里边的容器或者操作系统，对硬件的要求非常简单，比如网卡可能只有一种， IO设备的Driver可能也只有一种，那么这个容器操作系统就可以做得比较精简，把没用的东西全部拿掉，东西少了，这个操作系统被攻击的可能性也就越少，从安全角度看更加有保障，这也是我们做这种优化精简的原因之一。

   

5. 你们在镜像管理、容器的管理方面有什么动作吗？

张海宁：我们中国的研发团队现在在做一些项目孵化，主要涉及刚才提到的容器镜像管理问题。现在很多企业里，容器镜像管理都是一个比较大的问题，因为容器开发的整个生命周期都需要管理镜像，比如从它开发出来打包成容器，容器再发布到生产系统，中间的贯穿全部靠镜像组织，那么非常强有力的Registry Service对用户来说是非常有用的，特别是企业用户。现在企业用户面临的一些问题是， Registry Service需要有些权限的控制，比如什么人能访问这个镜像，什么人不可以访问，什么人只能读，不能写等权限的控制。还有功能就是镜像数字签名问题，确保镜像的完整性，不至于被黑客攻破，等等。希望不久的将来能够将这个产品推广给企业用户使用。

   

6. 最后还有什么想跟大家分享的吗？

张海宁：VMvare最近在云原生应用领域做了大量工作，刚才说的VIC和Photon OS是基于生产技术的，在开发者这边我们发布了一个产品的Bata版，叫做App Catalytic ，从字面上解释就是应用的催化器。目的是帮助开发者快速地发布原生云应用，它可以在Mac OS上迅速生成容器运行环境hypervisor，能够帮助程序员能很快地生成Container，帮助他们调试，开发程序。点像拿着一个笔记本，就可以闯荡江湖了，不论在飞机上，在乘船上，在火车上，甚至没有网络的情况下，都可以开发完整的云原生应用，而且是免费的。VMware Workstation或Mac上的fusion是很多用户非常喜欢的桌面虚拟化平台，这个App Catalytic确实免费推给开发者，加快他们的开发效率，提高开发速度。App Catalytic可以跟已有的Docker Machine等工具直接对接，能把开发里面的自动化引擎都能接进来，这是它的一个优势。

   

7. 如果用Mac安装虚拟机只是为了做一些部署到Docker上的事情，那我直接用免费的App Catalytic就可以了，就不用去买fusion了是吗？

张海宁：我们VMware是特意把这个fusion的虚拟化开发引擎免费提供给广大开发者的，这对开发者来说是非常好的一个消息。