为什么 Sandstorm 不能运行 Docker 应用

Sandstorm 是由前谷歌工程师 Kenton Varda 开发的一个开源的个人云平台项目，Sandstorm 允许开发者在自己的服务器上通过一个类似 App Store 的界面来安装自己的应用。它的目标是帮助用户快速简单的在自己的服务器上安装并运行 Web 应用。近日，Kenton 发表了一篇名为《为什么 Sandstorm 不能运行 Docker 应用》的文章。

文章首先指出，虽然 Sandstorm 和 Docker 的底层技术都是一样的（都是基于相同的 Linux 内核特性），但它们是两个完全不同的平台。关于 Standstorm 为什么不能运行 Docker 应用的问题就像为什么 Android 不能运行 Linux 桌面应用的问题一样，它们本身的出发点就不一样。Docker 是设计用来在容器内安装并运行现有的服务器软件包，站在应用的角度来看，Docker 其实就是 Linux；站在用户的角度来看，Docker 更像是传统的虚拟机，只不过它性能更好。而 Sandstorm 做的事情完全不一样，Sandstorm 的目标用户并不是开发人员或者管理员，他们可能不知道如何使用数据库或者命令行，Standstorm 支持的应用有以下几个特点：

1. 每个应用都必须有用户界面，用户可以在界面中完成所有的配置选项。
2. 应用必须能够独立安装并管理数据库。
3. 应用需要和 Sandstorm 统一的登录系统相集成。
4. 用户不需要为不同的应用管理不同的共享模式，Sandstorm 支持细粒度的容器，以保证每一个文件都可以在一个单独的容器中。
5. 授权操作需要通过一种用户可以理解的方式来展现。
6. 可以一键或者自动完成应用的更新。
7. 用户会不时地安装恶意程序，Sandstorm 需要保证系统的安全。

文章接着解释了为什么 Standstorm 不直接使用 Docker 而是自己开发容器。其实 Sandstorm 使用了很多和 Docker 相同的技术，比如 namespaces、cgroups。但是当涉及到用户空间的工具时，Standstorm 发现他们并不需要 Docker，Docker 工具被设计用来运行 Linux 软件，而 Sandstorm 上的应用必须为 Sandstorm 环境量身定制，所以 Standstorm 需要提供尽可能少的配置以保证核心系统简单。设置一个 Sandstorm sandbox，基于 Linux 系统的一些函数，可能只需要几百行的代码，但是如果使用 Docker，取而代之的是几百行的配置，并且增加了额外的依赖以及维护，另外 Docker 的也不能满足 Sandstorm 的一些个性需求。

文章最后也表示 Docker 很强大，Sandstorm 在开发中也使用了 Docker，他们很希望看到 Docker 能替代传统的 IaaS 解决方案。