虛擬化容器正迫使服務(wù)器架構(gòu)升級

責(zé)任編輯:editor005

作者:Jim O'Reilly

2016-01-21 14:05:00

摘自:TechTarget中國

摘要:最新架構(gòu)和云計(jì)算的發(fā)展,正推動虛擬化容器應(yīng)用到數(shù)據(jù)中心生產(chǎn)環(huán)境。最新架構(gòu)和云計(jì)算的發(fā)展,正推動虛擬化容器應(yīng)用到數(shù)據(jù)中心生產(chǎn)環(huán)境。

最新架構(gòu)和云計(jì)算的發(fā)展,正推動虛擬化容器應(yīng)用到數(shù)據(jù)中心生產(chǎn)環(huán)境。

容器化方法對虛擬化行業(yè)發(fā)出的傳票,正如虛擬化對傳統(tǒng)數(shù)據(jù)中心一樣,容器化虛擬方案與虛擬機(jī)管理程序一樣,都必須面對跨租戶窺探的漏洞。當(dāng)虛擬機(jī)管理程序因未授權(quán)或意外而暴露企業(yè)信息,Intel增加了硬件功能來遠(yuǎn)程消除租戶信息,防止數(shù)據(jù)泄露。當(dāng)固態(tài)硬盤實(shí)例過度配置問題得以解決后,行業(yè)又遇到并克服了數(shù)據(jù)安全漏洞這一問題。

現(xiàn)在,隨之而來的是容器方法的快速發(fā)展。容器運(yùn)行在單一操作系統(tǒng)上,而且這些硬件內(nèi)存控制工具無法隔離多個容器。

為確保數(shù)據(jù)安全,數(shù)據(jù)中心可以在虛擬化管理程序里的一臺虛擬機(jī)中運(yùn)行容器,但這可能會減緩容器創(chuàng)建速度,也沒有利用到容器技術(shù)的這一主要賣點(diǎn)。IT架構(gòu)師可以在單一虛擬機(jī)中建造成百容器,以此來隔離其他用戶在另一臺虛擬機(jī)中創(chuàng)建的幾百個容器,但結(jié)果是操作非常繁瑣。IT團(tuán)隊(duì)需要調(diào)整虛擬化演變而來的隔離機(jī)制,以更好的支持容器。

Intel已經(jīng)對準(zhǔn)虛擬化容器的發(fā)展方向進(jìn)行了架構(gòu)開發(fā)。在改變硬件時額外增加DMA重映射邊界控制,可以限制每個設(shè)備可訪問的系統(tǒng)內(nèi)存,Intel通過容器化方法,推出了Clear Containers作為一種聚合輕量級虛擬化管理程序,很像kvmtool。這種結(jié)合擴(kuò)展了內(nèi)存共享能力。

增加輕量級虛擬化管理程序的額外開銷大約在20MB左右,這對生產(chǎn)環(huán)境中幾乎沒有影響。更重要的是,新容器的啟動時間大概是150毫秒。雖然比Docker容器慢了點(diǎn),但對大多數(shù)用途是夠用的。

Intel評估,管理員可以在一臺擁有128GB內(nèi)存的服務(wù)器上運(yùn)行大約3,500個輕量級虛擬化容器。這樣會導(dǎo)致I/O饑餓,但數(shù)量確實(shí)高的驚人,也突出了容器方法的價值所在。

Intel同樣還開發(fā)了針對虛擬化容器的安全功能。Kernel-Guard Technology在硬件與內(nèi)核之間增加了一個小型監(jiān)視器,可以防止內(nèi)核與寄存器被修改。Cloud Integrity Technology生成密鑰模塊哈希,并且調(diào)用Trusted Platform Module進(jìn)行簽名,這樣他們在被驗(yàn)證時能夠確保有效。Software Guard Extension允許在內(nèi)存中存在安全飛地,定義用來協(xié)助維護(hù)加密密鑰的安全。Intel計(jì)劃在未來進(jìn)一步改進(jìn)容器性能,包括QEMU虛擬機(jī)模擬器摻入和內(nèi)存使用優(yōu)化。

仍舊缺失的與文件訪問保護(hù)沖突的數(shù)據(jù)共享。這既是虛擬機(jī)管理程序和操作系統(tǒng)的問題,也是容器的問題。Intel正在尋找通過NVMe來解決這一問題的方案,基于隊(duì)列的存儲接口,可以避免多層SCSI棧。NVMe允許I/O直接與虛擬機(jī)或容器直接關(guān)聯(lián),并且最高可達(dá)64,000個隊(duì)列。這可能是機(jī)械化存儲I/O的有效途徑。

CoreOS宣布,Intel Clear Containers成為他們Rocket 容器的解決方案。Clear Containers可能打開容器部署的開發(fā)局面——如果我是一名虛擬化管理軟件供應(yīng)商,我會非常關(guān)注容器根據(jù)我得具體需求收斂后,具體的步長。有可能出現(xiàn)共存的情況,但Clear Containers會讓邊界盡可能的接近容器的領(lǐng)地。

虛擬化容器對數(shù)據(jù)中心的影響

小尺寸、可靠的安全容器意義在于,我們將需要更少的服務(wù)器來承載相同的工作量。因?yàn)槿萜骺梢栽诂F(xiàn)有的服務(wù)器上進(jìn)行部署,幾乎在兩年內(nèi)無須采購新的設(shè)備。數(shù)據(jù)中心預(yù)算也可能會被花費(fèi)到別的地方。

提高I/O性能以滿足容器數(shù)量是個不小的挑戰(zhàn),但本地固態(tài)硬盤能夠?yàn)槿萜魈峁┓浅?捎^的IOPS水平。超強(qiáng)的性能意味著容器不會出現(xiàn)I/O饑餓,同時還能采用少量主SSD存儲與更便宜的二級SATA存儲方案。

針對虛擬化容器方案的增強(qiáng)可以應(yīng)用在Intel 3D Xpoint near-in內(nèi)存場景。增加這些到服務(wù)器上能夠大幅提高服務(wù)器整體性能,因?yàn)閄-Point安裝在DIMM總線上的內(nèi)存擴(kuò)展器。

優(yōu)秀的I/O性能能夠提高容器的接受程度,但所有這一切將給網(wǎng)絡(luò)性能也帶來不少難題。單獨(dú)一臺操作系統(tǒng)所產(chǎn)生的網(wǎng)絡(luò)流量會比虛擬機(jī)管理程序中多臺操作系統(tǒng)之間交互要少得多,但密集容器解決方案仍然會增加網(wǎng)絡(luò)負(fù)載。

數(shù)據(jù)中心可以采用10Gb以太網(wǎng),2016年將開始使用25Gb以太網(wǎng)。更快的帶寬可以緩解網(wǎng)絡(luò)擁堵,但也增加了成本。在辯論中,我們得到的是利用RDMA over Ethernet技術(shù)來降低服務(wù)器開銷負(fù)載;能節(jié)省非常多。Chelsio的iWarp似乎是Ethernet RDMA的商業(yè)贏家。這樣就能夠運(yùn)行更多的容器,網(wǎng)絡(luò)利用效率也會更高。

結(jié)合兩者,服務(wù)器、存儲與網(wǎng)絡(luò)的密度增加和性能提升,將減少IT支出,并讓數(shù)據(jù)中心在一段時間內(nèi)保持相同甚至更小的空間占用增長。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號