Rocket 希望以硬件隔离引领潮流， Docker 说” NO”

下一代 CoreOS 的容器使用基于 Intel 的硬件隔离来增加安全性。其他容器系统也会如法炮制吗？

既然 Open Container Initiative （ OCI ）承诺让所有的容器都殊途同归， 但是除了 Docker ，其他容器技术都停止发展了吗？答案是否定的。以 CoreOS 为例，它正在加速发展。

CoreOS ，利用 Docker 的许多 idea ，打造了另一个容器系统 Rocket 。一直高调宣传以安全和简单来标榜自己的容器特性， Rocket 0.8 （又名 rkt ）带来了基于 Intel 工程设计特性， CoreOS 声称在其他容器上暂时还没有发现。

Rocket 0.8 利用了 Intel 的 Clear Containers 项目，它在英特尔芯片中使用 VT-x 指令集为容器增加硬件隔离。事实上， Intel 利用 Rocket 为其建立一个概念验证项目，目前的工作只不过是 CoreOS 和 Intel 之间的合作。一个容器在 Rocket 0.8 执行其整个进程按层级封装在一个 KVM 中，这意味着容器的 contents 被防火墙从主机隔离。

这么多隔离听起来好像有些过分，但是这是对容器安全的持续关注。大多数容器环境中声称提供容器技术、 cgroups 和 namespaces 隔离。在多租户环境中，隔离度是至关重要的。

最大的问题是， Rocket'新特性是否被 OCI 采用。根据 CoreOS CTO Brandon Philips 表示，由 CoreOS 提议的最初的 appc 容器规范涵盖了容器管理的四个不同元素： packaging 、 signing 、 naming (sharing the container with others )以及 runtime.。

“当前 OCI 的焦点主要集中在 runtime 。虽然我们也在努力让 appc 与 OCI 协调，但他同时表示也希望 OCI 规范应该为用户提供一个完整的 container image story 。

CoreOS 想做个带头人，但 Docker 也提供 Philips 概述的一些功能。比如 Docker 最近公布的 Docker Content Trust ，一个为 Docker 容器设计的签名和验证机制。通过使用 Content Trust 作为一种选择性机制来验证内容添加到官方 Docker Registry ，并提供它作为一个开源的标准， Docker 希望以身作则，鼓励采用。

本文由丁麒伟编译整理，原文链接： http://blog.tenxcloud.com/?p=380