最近Docker和CoreOS聯(lián)手打造一個新的Linux基金項目叫做開放容器計劃(Open Container Project)。何謂開放容器計劃?他如何改善軟件容器的安全性?

[[154034]]

Dan Sullivan：開放容器計劃，也被稱為開放容器倡議，意在創(chuàng)建一個標準的容器顯像模式和運行引擎。該項目由Linux基金會組織并贊助。盡管Docker已經有一個成形的標準了，Linux軟件商CoreOS的相應的叫做rkt的標準與Docker不同，將容器行業(yè)分裂開來。

很難想象在軟件堆棧這個關鍵層面上有如此區(qū)分的軟件開發(fā)者們能夠獲取競爭優(yōu)勢，事實上，這很可能阻礙其發(fā)展并帶來不必要的跨平臺問題。主流的軟件服務提供商，包括谷歌、紅帽、Oracle、Suse以及VMware也加入進來，與Docker、CoreOS和Linux基金會共建開放容器計劃。

該項目最重要的使命之一就是開發(fā)一個安全的容器標準。這包括保護程序孤島以及容器中的資源。標準還包括對強加密原語、應用程序識別服務以及圖像審計功能的支持。

項目成員計劃創(chuàng)造一個簡約的標準，在沒有解決支持工具的情況下確保容器安全，如云服務或運行的集群。CoreOS構建rkt，某種程度上是因為Docker計劃擴大了范圍，超過了容器標準初始關注點。也有人擔心是否需要從根上運行Docker。

該計劃構建安全的容器映像將會間接地改善安全。例如，團隊可以合理分配時間來強化應用程序圖像，如果其將被重復使用的話。容器支持自動部署，有助于減少手動配置錯誤的風險。此外，自動化腳本可以審查以確保部署了恰當?shù)陌踩刂?。多種容器標準也不會泯滅這些好處，不過需要額外的精力和資源用以維護就是了。