但是我不知道什么是容器

我最近在一些会议和研讨会上一直在谈论DevOps（也称为“ DevSecOps” ^*）中的安全性，并且开始以一个简短的问题作为讨论的开头：“谁在这里了解容器是什么？” 通常我并不认为有很多手往上走， ^**所以我已经开始简单地解释什么是集装箱^***是之前更大的进展。

需要说明的是：您可以在没有容器的情况下执行DevOps，并且可以在没有容器的情况下进行DevSecOps。 但是容器非常适合于DevOps方法和事实（对DevSecOps而言），以至于即使没有它们也可以进行DevOps，我将假设大多数人会使用容器。

什么是容器？

^****我的老板和我有些傻笑，并确保我们在下一个休息时间纠正他。

我的同事要说的是-稍后再澄清-容器的概念实际上并不是Linux内核中的明确元素。 换句话说，容器使用Linux内核中的许多抽象，组件，工具和机制，但是这些并没有什么特别的。 它们也可以用于其他目的。 因此，“根据Linux内核，没有容器这样的东西”。

那么，什么是容器？ 嗯，我来自虚拟化（系统管理程序和虚拟机（VM））的背景，在我看来，容器既非常类似于VM，也非常不同于VM。 我意识到这听起来可能不是很有帮助，但请允许我解释一下。

容器如何像VM？

容器像VM一样，其主要方式是执行单元。 您将某些东西（图像）捆绑在一起，然后可以在装备适当的主机平台上运行。 像VM一样，它是主机上的工作负载，而像VM一样，它在该主机上运行。 除了为工作负载提供完成工作所需的资源（CPU周期，网络，存储访问等）之外，主机还需要完成以下两项工作：

1. 相互保护工作负载，并确保恶意的，受到威胁的或编写不当的工作负载不会影响其他任何工作负载。
2. 保护自身（主机）免受工作负载的影响，并确保恶意，受到威胁或写得不好的工作负载不会影响主机的运行。

VM和容器实现这种隔离的方式本质上是不同的，虚拟机管理程序利用硬件功能隔离VM，而Linux内核提供的软件控制隔离容器。 ^******这些控件围绕各种“命名空间”，以确保一个容器看不到其他容器的文件，用户，网络连接等，也看不到主机的文件。 这些可以通过SELinux之类的工具进行补充，该工具提供用于进一步隔离容器的功能控件。

容器与VM有何不同？

上面描述的问题在于，如果您甚至还不太了解虚拟机管理程序，那么您可能会认为容器就像VM，而实际上并非如此。

容器首先是^*******，是包装格式。 “什么？” 你说，“但是你只是说那是被执行的事情。” 嗯，是的，但最主要的原因容器是如此有趣的是，它很容易创建从他们实例化的图像，这些图像是典型的多，比虚拟机小得多 。 因此，它们占用的内存很少，并且可以非常非常快地旋转和旋转。 拥有一个可以放置几分钟甚至几秒钟（如果需要，可以，毫秒）的容器是一个完全明智和可行的想法。 对于VM，不是很多。

鉴于容器如此轻巧且易于更换，人们正在使用它们来创建微服务，即从应用程序中分离出的最小组件，一个或多个其他微服务可以使用它们来构建所需的任何内容。 鉴于您打算只将特定功能或服务所需的内容放入容器中，因此现在可以将其缩小到很小的程度，这意味着编写新功能或丢弃旧功能非常可行。 在以后的文章中，我将继续探讨此问​​题以及它可能对安全性以及因此对DevSecOps产生的一些影响。

希望这对容器是有用的介绍，并且您有动机学习有关DevSecOps的更多信息。 （如果不是，则假装。）

---

^*我认为SecDevOps读起来很奇怪，而DevOpsSec趋于多元化，那么您的话题就完全不同了。

^**我应该指出，这不仅限于英国观众，他们是保守的，不喜欢引起人们的注意。 加拿大和美国的观众也会发生这种情况，在这方面……是不同的。

^***我将要谈论Linux容器。 我知道这里有历史，所以值得注意。 如果是修脚。

^****我使用了grep -ir容器linux-4.9.2 | wc -l ，以防您感兴趣。 ^*****

^*****坦白地说，乍一看，其中许多用途与容器无关，就像我们将它们讨论为“ Linux容器”一样，但指的是抽象，可以说包含其他元素，因此在逻辑上称为容器。

^******有许多巧妙的方法可以将虚拟机和容器结合起来，以从它们的优势中受益。 我今天不讨论那些。

^*******好吧，显然，除了我们刚才介绍的执行部分。

本文最初出现在安全博客Alice，Eve和Bob上 ，经许可重新发布。

翻译自: https://opensource.com/article/17/10/what-are-containers