2015年4月16-18日,，由CSDN主辦、CSDN專家顧問團支持的OpenCloud2015大會將在北京國家會議中心拉開帷幕。為期三天的大會,，以推進行業(yè)應用中的云計算核心技術發(fā)展為主旨,，聚焦技術創(chuàng)新與應用實踐,，設置了“2015OpenStack技術大會”,、“2015Spark技術峰會”、“2015Container技術峰會”三大技術峰會及多場深度行業(yè)實戰(zhàn)培訓,。

本次大會將邀請近40位國內外云計算技術領域頂尖專家與一線實踐者,，深入討論OpenStack、Spark,、Docker,、Kubernetes等開源技術的最新進展，各個核心項目/組件的演進趨勢,，以及它們的最新業(yè)界應用,。

在“2015Container技術峰會”，我們請到了北京引眾思源科技有限公司CTO王旭擔任演講嘉賓,，他將帶來的分享主題為《多租戶環(huán)境下的Docker的安全隔離》,，將結合VM和Container技術，探討隔離性和性能的折衷方案,。

作為云計算和運維領域目前最為熱門的開源技術,，Docker同時也不斷遭受安全性的質疑。由于Docker本身安全隔離是基于Linux內核的Namespace/cgroup這些容器隔離和資源的組調度機制的,，所有進程運行在同一個內核中,，這對于多租戶環(huán)境而言顯然是安全性不足，而且 Namespace機制也曾出現過安全漏洞,。王旭認為,，通過Image和Container的集成，Docker讓DevOps在部署中依賴的復雜的配置管理變得簡單,，Docker的出現是運維領域的一次革命,，可以推動運維服務向更高層次的發(fā)展。他表示,，鑒于Docker Image對應用測試,、分發(fā)、部署乃至回滾所帶來的便利已使Docker擁有龐大的用戶社區(qū),，我們能夠繼承Docker的社區(qū)優(yōu)勢,，將VM和Container技術相結合，增強在不同租戶,、不同安全需求的容器間的隔離性,，同時盡量避免強隔離帶來的過多的性能損失。他將在演講中具體解釋如何做到這一點,。

王旭

CTO

北京引眾思源科技有限公司

王旭在北京郵電大學獲得博士學位,。在加入引眾思源公司之前,，曾就職于盛大云計算和中國移動研究院，從事云計算,、Hadoop以及大規(guī)模計算集群管理與優(yōu)化,、彈性塊存儲服務的開發(fā)等方面的工作，個人研究涉及Linux內核,、文件系統,、虛擬化、Hadoop,、ZooKeeper,、NoSQL與分布式存儲系統等。

對話王旭：

CSDN：首先請介紹下您自己,，以及您在Container/Docker技術方面所做的工作,。

王旭：我是王旭。在加入現在的公司之前,，曾在中國移動研究院和盛大云計算工作,。在盛大云計算做彈性塊存儲服務，在中國移動研究院時在大云項目組里,，負責 Hadoop開發(fā)和分布式存儲的項目,，并曾經是為中國移動研究院云計算方面的開源社區(qū)和標準化協調人。作為一位業(yè)余的作者和譯者,，翻譯過O'Reilly 的《Cassandra權威指南》,，更早的時候寫過一本Debian的書，個人Blog上放著原來的不少關于kernel,、存儲,、NoSQL的譯文。

我們現在主要是做DevOps工具的,，幫運維來更代碼化,、自動化地管理集群系統，Docker是我們的工具鏈上的重要一環(huán),。

CSDN：您所在的企業(yè)是如何使用Container/Docker技術的,？為企業(yè)帶來了哪些好處？

王旭：Docker發(fā)布出來的時候,，我們認為它的革命性在于Image和Container的集成,，因為Image是不可變的(Immutable），開發(fā),、測試和部署被統一了,，執(zhí)行環(huán)境被簡單化了，之前DevOps在部署中依賴的復雜的配置管理變得簡單了。

CSDN：您認為Container/Docker技術最適用于哪些應用場景,？

王旭：Docker目前的適用場景主要包括以下三類：

• 適合于需要經常部署的模塊,，良好的封裝會讓持續(xù)部署變得方便。

• 適合于無狀態(tài)服務,，遷移,、重部署、水平擴展都很方便,。

• 還很適合于測試環(huán)境,，因為封裝良好,，做各種場景模擬測試和壓力測試都很方便,。

CSDN：企業(yè)在應用Container/Docker技術時，需要做哪些改變嗎,？企業(yè)如果想快速應用Docker應該如何去做,？

王旭：Docker的粒度介于傳統的虛擬機和軟件包之間，Docker的生命周期短于傳統的VM,，數量多于VM,。

• 對于應用架構而言，Docker希望應用盡量無狀態(tài),、可重新部署,、可水平擴展，如果應用比較傳統可能需要調整,。

• 對于運維來說,，監(jiān)控采集的指標可能會發(fā)生一些變化，不能把傳統的針對OS和虛機的監(jiān)控簡單遷移到Docker來,，需要針對其數量和生命周期進行相應的調整,。

CSDN：作為當前最流行的Container技術，您認為Docker還有哪些方面需要改進,？

王旭：最近有一些針對Docker的質疑,，其中最嚴厲的莫過于針對Docker安全性的質疑，因為所有容器都由同一個內核調度,，一旦有什么Bug被利用,，突破這層隔離，就會危及到宿主機和其他容器,。雖然Docker和整個Linux社區(qū)都在容器能力限制,、Namespace隔離方面一直在不懈努力，但隨著Docker逐漸被采納,，甚至進入多租戶服務,，這方面的擔心與日俱增。

CSDN：您在本次演講中將分享哪些話題？

王旭：本次演講中,，我們將介紹我們最近做的一點工作,，結合VM和Container技術，提供一個一個隔離性和性能的折衷方案,。

CSDN：哪些聽眾最應該了解這些話題,？您所分享的主題可以幫助聽眾解決哪些問題？

王旭：聽眾對Docker和Linux系統管理有一定了解即可,。如果用戶希望在多租戶環(huán)境中提供Docker的服務,，那么這個話題可能會比較有興趣。

2015Container技術峰會已經邀請Google Kubernetes核心開發(fā)人員來華,，和國內用戶分享Kubernetes的技術細節(jié),，探討Container未來的發(fā)展方向，此外還有VMware,、華為,、紅帽、美團,、騰訊,、云雀科技、數人科技,、上海點融等公司Container/Docker技術實踐者,，也將同臺分享Container /Docker及其相關項目的實戰(zhàn)經驗。

附：Container技術峰會全日程

“2015 OpenStack技術大會”,、“2015 Spark技術峰會”,、“2015 Container技術峰會” 4月17-18日在北京召開。日程全部公開,！ OpenStack 2015,，懂行的人都在這里！更多講師和日程信息請關注OpenCloud 2015介紹和官網,。