Solomon Hykes解释了开源Docker容器虚拟化项目的下一步发展
芝加哥-所罗门·海克斯(Solomon Hykes)于2013年3月启动了开源Docker项目,在过去的一年半中,该项目发展成为业内最受关注的虚拟化新技术之一。Hykes在这里的LinuxCon会议上接受eWEEK的采访时,Hykes讨论了Docker的下一步发展,特别讨论了如何设置安全性以获得重大改进。
Docker 1.0 于6月9日发布,此后每月都有新更新发布。Hykes解释说,Docker的新版本每个月都会在滚动发布周期中首次亮相。
下一组发行版将包括用于访问和身份控制的新安全功能。
Hykes说:“目标是提供足够简单且可靠的基元,以构建所有这些不同的复杂方案。” “基本思想是,如果在某个地方安装Docker运行时,则该运行时将具有与其关联的密钥对,然后,您(最终用户)可以管理授权哪个运行时来执行操作。”
Hykes解释说,密钥对是公钥加密技术,最重要的是密钥的授权模型。更进一步,可能存在一种验证机制,该机制将仅信任由授权证书颁发机构(CA)颁发的数字签名密钥。
Hykes说:“我们的目标是拥有您可以依赖的默认信任链。”
Docker在Linux上运行,在帮助确保Docker容器隔离方面也可以发挥作用。Linux内核包括cgroup和名称空间,它们是在操作系统中提供控制级别和沙箱级别的功能。
Hykes说:“至于沙箱,大多数情况下,我们正在跟踪[Linux]内核的进度,我们也参与其中。” “有了cgroups和命名空间,内核级别的安全性就走上了正轨。安全社区只需花费时间对其进行加强和审查。”
Docker社区中正在研究的另一个想法是容器起源。
Hykes说:“在生产中,您希望能够问:'谁制造了它,从哪个来源以及什么时间制造的,是否已经由我信任的密钥签名了?'” “总的来说,我们称之为出处,这是一个很大的话题。”