《Container技术峰会-DVM:Make VM run like Container-王旭.pdf》由会员分享,可在线阅读,更多相关《Container技术峰会-DVM:Make VM run like Container-王旭.pdf(25页珍藏版)》请在三一文库上搜索。
1、DVM:Make VM run like Container 王旭 “All problems in computer science can be solved by another level of indirection” David Wheeler (1927-2004) 计算机科学中的所有问题,都可以通过 插入另一个间接层来解决 几则旧闻 2015年4月14日,Docker获得D轮9500万美元融资 2015年4月6日,CoreOS 宣布获得 Google 领衔的1200万美元投资 2014年11月13日,亚马逊在 re:Invent 大会发布 Amazon EC2 Containe
2、r Service (ECS) 2014年11月5日,谷歌发布 Google Container Engine (GKE) 2014年10月15日,微软和 Docker 宣布将合作把 Docker 移植到Windows上 2014年7月10日,微软宣布将不谷歌、Docker 合作,在 Azure 上支持 Kubernetes 和 libswarm 2014年6月9日,Docker 1.0 正式发布 2013年3月20日,Docker发布第一个版本 几种常见的容器技术 Unix Chroot1982 FreeBSD Jail1998 Linux vserver2001 Solaris Zone2
3、004 Linux OpenVZ2005 Linux LXC2008 来源:Wikipedia: Operating-system-level virtualization 开发者如是说 对于服务器,操作系统(Distro)做了什么: 系统自己的安装 安装应用和应用依赖的环境(Packaging) 系统的引导、启动应用(init) 管理硬件、调度软件(kernel) “CoreOS 和 Docker终于找回了 操作系统的本质” DockerTM为什么成为引爆点 DockerTM Container (LXC) Layered Image (aufs) DockerTM& DevOps 丌可变镜
4、像 开发、测试不部署的高度一致 性 快速收敛,降低对配置管理系 统的需求 部署可回滚 分层镜像 共享基础层,降低部署的带宽 和存储开销 共享内存页面,降低内存开销 容器服务? IaaS戒是PaaS,还是 CaaS 容器安全吗 黄强 2015年3月 对于 可信业务 是 安全的 那么多租户环境呢 隔离性的根本问题 虚拟机中,虚拟机到宿主机的出口很少 容器中,每个系统调用都可能存在漏洞 SELinux, Namespace也曾出过漏洞 “故备前则后寡,备后则前寡,备左 则右寡,备右则左寡,无所不备,则 无所不寡。” 孙子兵法虚实第六 如果得不到像虚机的容器 那么能不能把虚机变得像容器 我们(的用户们
5、)青睐DockerTM带来的运维革命 我们有时候需要多租户的隔离 那么 换一个思路 在多租户的环境下,我们需要 可以和DockerTM一样使用 Image 开发、测试、部署的一致 部署、管理的原子性 分层镜像降低开销 可以放在虚拟机里,和其他用户隔离 开销丌要太大 这个思路借鉴了 Google 的novm项目 我们的工作(简单地说) DVMKVM Layered Image (Docker Image) 我们的工作 基于KVM/Qemu,天然的隔离性 精心裁剪,尽量降低开销 直接运行 Docker Image “原生”的POD支持 易于Orchestrate 我们叫它DVM,D没有什么意思 D
6、VM 架构 DVM Daemon Client 3rdParty Tool Restful Interface C VM Kernel DVM DVM Initrd CCC POD DVM POD POD 概念来自于Google 的Kubernetes Google 如是说 rather than individual application containers, pods are the smallest deployable units that can be created, scheduled, and managed. POD 是一组紧耦合的Image 彼此是独立的Image,方便
7、开发、测试和维护 彼此紧密相关,常常一起工作 (部分)接近概念DockerTMCompose VM 刚好是一个天然边界 DVM 基本工作流程 和使用 DockerTM类似,可以直接使用已有的Image 将任务提交给DVM Daemon 运行 DVM会启动 Qemu/KVM虚拟机 DVM会通过 Initrd,将指定的 Image 运行在虚拟机 中 可以一次在虚拟机中运行多个容器(POD) DVM开销 性能开销 CPU/内存子系统 IO 启动时间开销 VM 引导时间 启动容器(应用)时间 内存开销 Qemu开销 内核开销 DVM限制 特权限制 Privilege 不host 共享ipc/netwo
8、rk 关联性限制 Link 不其他容器共享ipc/network/volumes 其他限制 DVM POD DVM与生态圈 DVM是为了在集群(CaaS)中使用而设计 DVM & Kernel DVM kernel 裁剪过的,更轻小的kernel 自定义kernel 用户自带的kernel Hypervisor 目前是基于Qemu/KVM的,将来支持更多Hypervisor 不其他系统集成的可能 Orchestration Puppet, Chef, Saltstack, VisualOps 调度系统 如Mesos/Marathon 网络服务 如OpenStack Neutron 存储服务 如Ceph, OpenStack Cinder 谢谢 2015.04.18