开发者社区> 志敏> 正文

Docker CTO Solomon说的LinuxKit到底是什么?

简介: LinuxKit:A toolkit for building secure, portable and lean operating systems for containers
+关注继续查看

在奥斯汀举办的DockerCon17上,Docker公司的CTO Solomon宣布了一个新的开源项目LinuxKit 。我们从几个方面出发研究下到底什么是LinuxKit。
linux_kit_2x

1.Linuxkit是什么?

LinuxKit是用来构建安全、可移植、精益的专门为容器服务的操作系统的工具集。(A toolkit for building secure, portable and lean operating systems for containers,https://github.com/linuxkit/linuxkit
C9tDtLWUwAAiimO

精益:

LinuxKit可以构建一个非常轻量裁剪版的操作系统,最小只有35M,所有的系统服务都是基于容器。实际上LinuxKit就是基于Alpine发行版之上。(Linuxkit's roots are in Alpine. A stronger Alpine is a stronger linuxkit. We'll continue to invest in Alpine.)

IMG_2096

安全:

LinuxKit的几个安全设计原则:

  1. 使用现代安全配置的内核
  2. 最小化base
  3. 类型安全的系统Daemon。会借助原先的 MirageOS项目来构建unikernels。
  4. 安全镜像构建链条。通过TUP、签名方式的镜像来保证镜像构建过程的不可变和可信。
  5. 不可变架构。使用一个只读文件系统。
  6. 使用外部可信的资源创建。依赖infrakit来更新LinuxKit的节点
  7. 孵化更多的安全项目,如WireGuard和okernel

可移植:

  1. 支持桌面、服务器、IOT和大型机
  2. 支持Intel和ARM
  3. 支持裸金属和虚拟化。

借助Linuxkit, 终于可以在Windows上运行Linux容器:
C9tGAG2UwAAZB7k

2.LinuxKit有什么作用和场景?

  1. 对于非Linux平台但希望支持Linux容器的场景,如Mac OS和Windwos
  2. 打造一个更安全的操作系统,降低安全攻击平面。
  3. 针对特定的物理设备和需求,打造定制化的OS。

3.如何通过Linuxkit制作一个新的镜像。

LinuxKit需要编写一个yaml文件,来配置所需要的服务。可选的配置包括

kernel:指定内核的Docker镜像,镜像里面需要包含内核和文件系统tar包。
init:指定根系统的docker镜像,包括init、runc、containerd等。
onboot:启动过程中执行的系统服务,按顺序逐个运行,并且很快执行结束。
services:基于docker镜像的系统服务,这些服务在build的时候会由docker将其转换为OCI格式,以便后续runc来启动
files:指定额外添加到镜像的文件
outputs:构建完成后的输出文件。支持通过Mac OS、Qemu、Google Cloud Platform、Vmware等执行。未来也会支持在阿里云上直接运行。

我们看下只有redis的精简操作系统的YAML样例

  image: "linuxkit/kernel:4.9.x"
  cmdline: "console=ttyS0 console=tty0 page_poison=1"
init:
  - linuxkit/init:63eed9ca7a09d2ce4c0c5e7238ac005fa44f564b
  - linuxkit/runc:b0fb122e10dbb7e4e45115177a61a3f8d68c19a9
  - linuxkit/containerd:18eaf72f3f4f9a9f29ca1951f66df701f873060b
services:
  - name: dhcpcd
    image: "linuxkit/dhcpcd:0d4012269cb142972fed8542fbdc3ff5a7b695cd"
    binds:
     - /var:/var
     - /tmp/etc:/etc
    capabilities:
     - CAP_NET_ADMIN
     - CAP_NET_BIND_SERVICE
     - CAP_NET_RAW
    net: host
  - name: redis
    image: "redis:3.0.7-alpine"
    capabilities:
     - CAP_NET_BIND_SERVICE
     - CAP_CHOWN
     - CAP_SETUID
     - CAP_SETGID
     - CAP_DAC_OVERRIDE
    net: host
outputs:
  - format: kernel+initrd

接下来就可以用moby来构建和启动这个镜像。

4.LinuxKit和原来的面向容器的操作系统CoreOS Container Linux, RancherOS or Atomic有什么关系?

LinuxKit更多是一个工具集。而后面几个是面向终端用户的产品OS。Docker通过推出LinuxKit不可避免的触及了这些OS公司的利益。RancherOS表示,他们对LinuxKit持拥抱态度。

5.Linuxkit和Unikernel什么关系?

在16年1月份Docker收购了英国的创业公司Unikernel Systems,LinuxKit也是来自这个团队的出品。LinuxKit的思想和unikernel相对来说是一脉相传,不过unikernel有不同的分支,比如MirageOS、OSv等。而在Linuxkit里主要是使用了MirageOS的unikernel方案。有了LinuxKit的加持,“Docker是否真正安全”有了新的解法。
如果大家对Unikernel不了解,可以参看这篇文章:https://yq.aliyun.com/articles/55911

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
14305 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
20363 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
29764 0
首席技术官:CTO 是做什么的
这是 Quora 上的一篇回答,作答的是 Cloudera 的 Founder/CTO Amr Awadallah,原文 在这里。第二次翻译文章,还有点喜欢上它了呢! 以下为翻译全文: 早在 2012 年当我成为 Cloudera 的全职 CTO 时,我就四处寻找这个问题的答案。
2172 0
阿里管控系统靠什么扛住全球最大规模的流量洪峰?
双 11 不仅是一场全球消费者的狂欢,也是对中国互联网技术体系的实力检验。一下子几千万人涌进来买买买,这种真实的商业场景全世界一年也只有一次。全球最大的支付平台之一, Visa,在实验室取得的测试数据是 5.6w 笔每秒;而双十一这天,支付宝在实战中达到了每秒钟 8.6 万笔,交易订单的创建量更是达到了每秒钟 14 万笔,刷新了网络交易峰值的世界纪录。
3699 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
22810 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
16925 0
+关注
志敏
志敏,阿里云高级专家,目前负责阿里云容器技术相关的产品。主要关注Kubernetes和云原生计算。
12
文章
0
问答
来源圈子
更多
容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级 Kubernetes 容器化应用的全生命周期管理。容器服务 Kubernetes 版简化集群的搭建和扩容等工作,整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳的 Kubernetes 容器化应用运行环境。
+ 订阅
相关文档: 容器镜像服务 ACR 容器服务 ACK 服务网格 ASM
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载