基于Kubernetes和Docker技术的企业级容器云平台解决方案

基于Kubernetes和Docker技术的企业级容器云平台解决方案

宋平

重庆有线电视网络股份有限公司重庆市400000

摘要：信息基础设施是开展信息化的基础，在传统物理机或者vmware虚拟机的方式中，存在资源占用高、资源调度不灵活、可用性差及运维成本高等问题。文章通过对容器技术的基本概述及实现方式进行分析，探讨了Docker容器技术的应用优势及安全风险防范措施。

关键词：云平台；容器技术；分布式应用

1、前言

以Docker为代表的容器化技术对业务应用提供了很好的支持和应用的兼容，在是云计算的关键技术之一。和传统vmware虚拟机相比，容器化采用了轻量级的虚拟化技术，其启动、管理和部署与普通进程一增，但使用过程中与虚拟机又相同，传统的云平台服务平台架构模式存在着许多缺陷，例如物理服务器数量巨大且分布零散，不适用于高并发、高性能、高流量的场景中，无法将单台服务器的性能发挥到最优的效果等。近年来，随着云计算技术的不断进步，形成了许多成熟的落地解决方案。云计算技术的基本原理就是将许多物理计算机的计算能力和存储能力都集中起来，形成一个计算池，在此基础上再计算池中分割出所需要的业务模块进行部署应用，提供给各个服务模块使用，进而提供给用户。

2、容器技术的基本概述及实现方式

从本质上来讲，容器技术是云计算操作系统的一种虚拟化信息技术，相比较于传统虚拟技术来说，容器技术并非是模拟硬件化操作，而是基于内核操作系统的特定支持下合理分配容器主机的磁盘、中心处理器以及内存设置等资源数据，最终形成独立的操作容器系统，最终达到容器主机共享资源的硬件虚拟化计算效果，最终达到操作系统实际应用的系统隔离。在传统硬件虚拟化技术的基础上，由于容器主机只能容纳相同类别的系统内核，导致跨操作系统信息资源的共享模式难以实现。

2.1、传统虚拟化技术的限制

在传统的虚拟化技术中，通过软件的方式将硬件资源同时提供给多个操作系统使用。该模式打破了传统的单台物理服务器上运行单个操作系统的瓶颈。通过虚拟化技术，可以显著提高物理设备的使用效率、减少电力能源消耗并方便进行资源的统一管理与配置。但是传统虚拟化技术为大家提供一套包括内核、虚拟化后的CPU、内存、IO设备资源、操作系统在内的一个完整的系统，类似一台完整计算机，每个虚拟机占用主机的硬件与网络资源。在资源调度的灵活性和资源的利用率方面存在一定的限制，

2.2、Docker技术基础容器

Docker技术采用进程技术，直接运行在主机的内核，docker内没有自己的内核，也没有进行对硬件进行虚拟化，因此docker要比传统的虚拟机更加高效的利用系统资源。Docker容器类似于一个集装箱，容器与容器之间相互独立，容器内所存储的内容可以提前定制和预装，针对需要的内容提取对应的容器。这种系统架构模式能有效避免部署环境不同，版本不兼容的问题。由于容器技术具有灵活便捷、可以自由编排、环境规范统一等特点，允许我们在资源隔离的过程中，运行应用程序和其依赖项的、轻量的、操作系统级别的虚拟化技术。运行应用程序所需的所有必要组件都打包为单个镜像，当镜像运行时，它是运行在独立的环境中，并不会和其他的应用共享主机操作作系统的内存，CPU或磁盘。这保证了容器内的进程不会影响到容器外的任何进程。

3、Docker容器技术的应用优势

3.1简化部署

容器技术的开发者通常会建立一个标准的镜像，使其开发性能和服务标准能够符合用户需求。当系统开发结束以后，运维人员不需要进行重复安装，可以直接将Docker容器部署到运行环境中，从而极大地简化了部署条件。这就意味着不论把云平台服务部署到任何地方，此容器技术均能通过一行命令完成独立的部署，在根本上简化了部署应用的细节工作。

3.2虚拟高效化

Docker容器是云平台内核操作系统的的一种虚拟化技术，它在运行时并不需要hypervisor等后台支持。因此，Docker容器不仅能够提高云计算平台的基本性能和运行效率，而且以接近裸机性能的操作服务逐渐被广大用户所认可。

3.3微服务化

我们通常遇到的云平台服务中，小型虚拟机的数据资源过于复杂和庞大，这就需要处理较多的工作任务；或者从用户角度分析，实现一次性拓展虚拟机的工作量也无法得到有效控制。这就需要无限细化资源粒度的Docker容器技术来节约上述的问题，从而达到事半功倍的效果。

3.4易迁移和扩展

Docker容器运行平台较广泛，兼容性较强，其中有虚拟机、公有云、私有云等多项服务器。为了避免云平台被频繁封锁，该容器技术能够实现应用程序的平台迁移。

4、容器技术的应用安全风险防范措施

4.1加固容器主机系统

4.1.1降低容器主机的漏洞系数

在云计算平台操作中，应当尽量避免容器主机与应用程序发生直接联系，最大程度上将应用程序内容打包为容器化设置，既可以达到自身功能最小化的目标，又能实时控制漏洞的发生系数。比如采用WindowsNanoServer等容器技术可以满足上述要求。

4.1.2提高容器主机的访问权限控制

容器技术有其自身可容纳限制的用户权限数量，为了避免权限超过使用额度，建议采取SELinux、AppArmor等强制性访问控制技术，旨在限制容器技术对主机系统的访问权限，从而有效隔离超用户级别的系统。

4.2加强容器技术的隔离系统

为了提升容器技术的安全设置系数，建议将其划分为不同类别的安全组，使其部署条件尽量符合各对应的容器主机。若存在安全系数较高的容器技术，需要对其数据存储进行加密操作，或者加密设置内存页面，以此防止资源数据被入侵和非法访问。

5、结语

综上所述，云计算时代已到来，Docker容器技术在整体运作和管理过程中已逐步颠覆了传统硬件设施下的虚拟化技术，这充分证明云平台系统产品在各行领域占据重要发展趋势。在市场化竞争日益激烈的信息大数据时期，云计算的发展既面临着机遇，又存在着重大挑战，因此要确保云计算平台应用容器技术的信息安全风险和质量保证。这就需要明确容器技术的适用范围和利益权衡，尽量避免容器技术在符合安全性较高要求的基础上进行操作。云计算平台的基础服务是面向集体化和大众化的信息终端，其安全系数会随着信息技术的完善而得到不断提高，最终将其风险系数控制在可控范围内。

参考文献：

[1]王静.基于飞腾平台的容器虚拟化技术研究[D].长沙:国防科学技术大学,2013.

[2]杨鹏,马志程,彭博等.集成Docker容器的OpenStack云平台性能研究[J].计算机工程,2017,43(08).

[3]汪恺,张功萱,周秀敏.基于容器虚拟化技术研究[J].计算机技术与发展,2015,25(08):138-141.