写点什么

Baruch Sadogursky 谈 Docker 容器生命周期管理面临的挑战

2016 年 7 月 03 日

JFrog 开发大使 Baruch Sadogursky 在多个会议上做过演讲,包括去年 5 月举行的 DevOps Days Kiel
内容涉及控制和跟踪 Docker 镜像从开发环境到生产环境的流程所面临的挑战,以及 JFrog 提出的解决方案。

为了更好地了解 Docker 容器生命周期管理所面临的部分挑战,InfoQ 采访了 Sadogursky。

InfoQ:如今,您看到有许多工程团队使用 Docker 镜像作为构件,并通过部署管道推送它们吗?

Baruch Sadogursky: 我们看到,人们如今对 Docker 非常感兴趣。人们试图像使用先前的技术栈那样,借助 Docker 实现推送管道,但那并不总是有效。有些 Docker 的架构决策让做正确的事变得困难,而部分 Docker 的最大优势却让人容易做错。

InfoQ:那些使用 Docker 的人,他们是真正地将镜像部署到生产环境,还是只是使用它们作为复制实际的 VM 生产实例的一种快速而简单的方式?

Sadogursky: 真正在生产环境中使用 Docker 的团队,比“摆弄”Docker、做概念验证或者在开发环境中使用 Docker 的团队要少得多。我们认为,其中的一个原因是,增加一个更不透明的抽象层会增加生产级工件不能有的不确定性。

InfoQ:您能简要地说明下,为什么您主张使用 Docker 镜像作为工件而不是 Dockerfiles(有依赖管理)+ 应用程序二进制文件(比如 WAR 文件)?

Sadogursky:这篇博文对整个理论进行了解释,但简单来说——如果你从 Dockerfiles 多次构建(每个环境的)镜像,那么并没有什么方法可以确保你最终获得的工件相同。那是由 Dockerfile 的性质决定的——它的大多数命令都会引入不同的依赖项,而且经常会使用一个不稳定的版本。

InfoQ:在您看来,Dockerfile 应该包含什么类型的信息,而又不应该包含什么信息?

Sadogursky: 设法锁定所有依赖项的版本,越多越好。对于有些依赖项,这可以做到,例如使用一个版本号运行 apt-get,但对于其他依赖项,这无法做到(例如基于 Ubuntu 的镜像会累积相同版本下的安全补丁),但要试一下。

InfoQ:通过部署管道推送 Docker 镜像面临什么挑战?

Sadogursky: 当前,大多数 Docker 注册中心使用的推送模式是获取镜像、重打标签并添加到新的注册中心(或库),用于管道的下一个步骤,并把它重新放回。相当愚蠢,不是吗?

InfoQ:您如何看待(Docker 及其竞争者的)Docker 注册中心的现状?它们之间主要有什么不同?

Sadogursky: 这是一个相当宽泛的问题。有一大堆指标可以用于比较注册中心。其中一个最有趣的是,管道的其他部分是否需要额外的工具。Docker 是一种容器技术,容器会包含某些东西。如果你可以在和容器镜像一样的工件库里管理这些“东西”,你就可以在创建镜像的构建和创建容器所含内容的构建之间建立可追溯的元数据。

InfoQ:如果你需要确保源代码、应用程序二进制版本和 Docker 镜像版本之间的可追溯性,那么如何才能避免依赖管理地狱?

Sadogursky:“一次构建,推送不可变二进制版本”实际上同样解决了这个问题。你运行一次依赖管理系统,这样,一旦二进制版本创建了出来,到源代码的追溯就是不变的,一直到生产环境都是如此。

InfoQ:从安全的角度讲,在确保推送到生产环境的 Docker 镜像不易受到攻击方面,您有什么建议吗?

Sadogursky: 这没有什么特别之处。你应该使用安全扫描器。务必要确保,使用的工具既能扫描 Docker 容器,又能扫描镜像内容及镜像内的工件内容,等等。它们都可以在运行时暴露出容器的安全漏洞。

InfoQ:基于 Docker 镜像的推送管道可以帮助团队实现不可变基础设施吗?为了支持那种“构建 & 清除(build & forget)”的基础设施建设方法,还需要考虑什么其他的因素吗?

Sadogursky: 基于 Docker 镜像的方法就是指不可变基础设施。尽快创建不可变镜像的思想恰恰就是不可变基础设施的方法论。一旦你有了一个很好的持续集成(CI)管道,每次源代码修改就会触发一系列的 CI 构建和推送,最终进入一组新的 Docker 容器——那就是最好的不可变基础设施。

InfoQ:像 Chef 或 Puppet 这样的配置管理工具如何纳入那种场景?

Sadogursky: 那是个价值 10 亿美元的问题。我不知道有谁现在能够回答这个问题。看可变基础设施软件在不可变基础设施领域如何自我改造是非常意思的。也许 Chef Habitat 是向那个方向迈出的第一步?等着瞧吧。

查看英文原文 Q&A with Baruch Sadogursky on the Challenges of Managing Docker Containers Lifecycle

2016 年 7 月 03 日 19:00715
用户头像

发布了 1008 篇内容, 共 316.8 次阅读, 收获喜欢 287 次。

关注

评论

发布
暂无评论
发现更多内容

Gartner免费在线研讨会:安全访问服务边缘(SASE)产品策略

Geek_bacee5

Gartner在线研讨会 SASE技术免费在线研讨会

很坑的Could not transfer artifact报错

CoderJ

maven Mac IDEA

使用transform制作书本翻页效果

空城机

JavaScript 前端 4月日更 书本翻页

vue2的$refs在vue3组合式API中的替代方法

devpoint

Vue3 $refs vue2 this.$refs

合约跟单系统开发|合约跟单APP软件开发

开發I852946OIIO

征服耶鲁教授的算法大神程序媛,是如何践行“以人为本”开发智慧社区大脑的?

华为云开发者社区

算法 音视频 智慧社区 华为智慧园区数字平台 数字平台

MySQL性能监控与调优

Sakura

四月日更

合约量化交易机器人系统开发|合约量化交易机器人APP软件开发

开發I852946OIIO

天哪,没有设计经验的ta,居然掌握着“PS大师级

Adobe国际认证

ps

我们真的可以使世界成为无密码的地方吗?

龙归科技

网络 安全性

一周信创舆情观察(4.5~4.11)

统小信uos

使用Python映射,过滤和缩减函数:所有您需要知道的

华为云开发者社区

Python 函数 映射 内置函数

web简易视频聊天室+媒体流插入

anyRTC开发者

前端 音视频 WebRTC RTC

深入浅出带你掌握线程、多线程和线程池

华为云开发者社区

Java 线程 多线程 线程池 操作系统

HTTPS双向认证

上海派拉基础研发

https HTTP ssl SSL 连接

构建智慧金融新引擎|DataPipeline与巨杉数据库完成产品兼容互认证

DataPipeline

磁盘快照服务USnap:公有云连续数据保护(CDP)系统升级改造实践

UCloud技术

在有道 | L同学:一位十五年有道人的成长故事

有道技术团队

分享 访谈录 阅读 网易有道

让GitHub低头的10W字阿里内部Java面试手册有多强?

周老师

Java 编程 程序员 架构 面试

合约量化机器人系统开发|合约量化机器人软件APP开发

开發I852946OIIO

系统开发

Linux df 命令

一个大红包

linux命令 4月日更

借助 Serverless 容器服务Cube,筷子科技轻松打造 10 万+ 爆款短视频

UCloud技术

维度数据模型建模过程(Kimball)

大数据技术指南

数据仓库 维度建模 4月日更

聪明人的训练(十六)

Changing Lin

4月日更

拍乐云入选 2021 爱分析·产业数字化厂商全景报告

拍乐云Pano

RTC

从阿里被罚182亿,看DeCom时代的崛起!

北熊说链

区块链 太空猫公链

13年Java开发经验精华总结!29大核心知识模块,带你直达架构师!

Java架构追梦

Java 阿里巴巴 架构 全栈知识点

病毒:注册表的认识以及用c语言编写一个“百分之一熊猫烧香”

Machine Gun

网络安全 信息安全 WEB安全 病毒

中国SaaS的终局:神仙打架,小鬼遭殃

ToB行业头条

合约量化交易APP开发|合约量化交易系统软件开发

开發I852946OIIO

系统开发

【有奖征文】WEB前端大作战,走在技术最前端!

华为云开发者社区

node.js Vue 前端 Web Web框架

Baruch Sadogursky谈Docker容器生命周期管理面临的挑战-InfoQ