實現更大容器的隔離成為CoreOS的Rocket目標

【編者的話】Docker容器給廣大中小企業帶來了福音，但在容器間隔離所保證的安全性成為人們關注的問題。本文主要介紹CoreOS在大容器隔離方面的現狀與目標。

下一代CoreOS的容器運行采用了基于Intel硬件隔離技術，以增加安全性。這會不會成為其他容器系統的榜樣？

現在，開放容器協議（OCI）已經承諾， 天下容器是一家 ，除了Docker工作的停滯，是否已經在其他容器技術中開工？簡短的回答是：沒有。然而在CoreOS的這里，卻是只有發展的加快。

CoreOS的一臺使用了很多Docker理念的備用容器系統已經很難在它的Rocket容器運行時工作了。Pitched作為容器在安全性和簡便性的一種處理方式也引起了擔擾，Rocket（又名RKT）， 現在是0.8版本 ，配帶了CoreOs所要求的Intel制造的特征，然而在其他容器中運行時并沒有發現。

［挖掘紅帽開源框架，在InfoWorld的 Docker新手指南 ，今天把它撿起來!｜在 InfoWorld每日新聞 獲取當天的最高科技報道摘要。]

Rocket0.8的高效率工作來自于Intel的 清除容器 項目，它在Intel芯片中使用了VT-X指令集來添加硬件以隔離容器。事實上，英特爾在它的項目中使用過Rocket建立一個證明型概念;目前的工作與 Rocket被更好的描述為CoreOS與Intel的合作。一個在Rocket0.8下運行的容器，在一個KVM進程中有它完整的進程層級封裝，意味著 容器的內容從主機防火墻關閉。

這么多的隔離聽起來有點小題大做，但它是一個焦點中的容器。大多數容器的環境（如 OpenStack ）聲稱提供了一種隔離該容器的技術，一般的cgroup和命名空間，不會調集。例如，在多用戶環境中，那種程度的隔離是至關重要的。

Rocket的新功能是否將適應OCI的世界是最大的問題。據布蘭登Philips，CoreOS的CTO，提出CoreOS原APPC容器規格包括容器管理的四個不同的元素：包裝，標志，命名（共享容器等），和運行。

“OCI目前的重點一直只是運行”，Philips說，“雖然因為工作繼續“協調APPC與OCI，”他表示，希望“OCI的規格可以有一個完整的容器鏡象故事讓用戶從中工作。“

CoreOS想要成為引導案例，但Docker也提供了一些Philips零碎的概述。最近Docker發布 內容信托 ，一種Docker 容器的簽名和驗證機制。通過使用內容信托作為一個可選機制，可驗證添加到官方的Docker注冊內容，并提供它作為一個開源的標準，Docker希望通過案例來引導，并鼓勵采用。

原文鏈接： CoreOS's Rocket aims for greater container isolation （翻譯：黃雅靜）