Joyent公司CTO谈容器安全问题

面对视安全如生命的企业级项目，如何才能帮助他们快速扫清拥抱容器技术的障碍？致力于容器云服务的Joyent公司CTO Bryan Cantrill在第97期The New Stack Analysts中探讨了Joyent对容器安全问题的一些看法。本文根据这次访谈整理而成。

现在开发者开始拥抱容器技术，很多人使用例如Docker、Kubernetes Pods和Amazon EC2实例来承载容器的运行，所以容器的安全性问题被很多企业视为是否将容器技术纳入他们技术栈最关键的决策点之一。

对CTO和IT管理团队来说，在生产环境部署容器，确保容器的可见性和安全性是同等重要的。将容器的灵活性带给企业是像Joyent这样的云端化平台的长期目标。

在第97期The New Stack Analysts中（访谈实录），我们讨论了一些和容器在安全性相关的问题的尺度、硬件虚拟化是如何影响容器的安全性，和Joyent在生产环境中持续使用容器的方式。The New Stack创始人Alex Williams、联合主办及电子书作者Benjamin Ball，与Joyent CTO Bryan Cantrill共同探讨了他在一些问题上的想法。

通过一项在Twitter上进行的调查显示，在过去一年中，Joyent发现对超过50%的技术企业来说，把容器技术作为生产环境的最大障碍是安全性问题。简而言之就是：当开发者和IT团队成员能够通过基础设施发现并连接到这些服务的时候，企业应该如何确保容器的安全。

对每个安全相关的问题，Cantrill指出更紧迫的事情在于：“如果你关心安全问题，你可能并不知道容器网络对整个技术栈来讲可能是一个灾难。我们有许多不同的问题需要面对，但是安全问题必须放在第一位来考虑。这很难做到，因为当你构建一个系统时，安全是一个需要精心设计的约束条件”，Cantrill强调说，“（一旦定义）它很难被修改。”

Joyent提供了多租户的容器安全管理方式。例如容器可以进行跨Internet的协作编排，就像在相同栈中运行一样，而不对其他容器或系统造成任何额外的影响。所有运行在Joyent上的容器可以实现跨网络的发现，这意味着可以更好的联合使用容器，而不是让它们各自分隔私有的虚拟机孤岛上。

“也许你认为依赖硬件虚拟化层隔离可以阻止容器的干扰。这本来应当是使用容器技术来避免的，然而遗憾的是，如果你的容器分隔在虚拟机孤岛上，或者依赖与硬件虚拟化，反而是它们导致了这些问题。” Cantrill解释说。

为了尽快上线代码，开发者不得不回到代码中加强和安全相关事情。对Cantrill来说，这是错误的方式。“处理这些事情的时间节点是不正确的，你必须从最开始就考虑安全性”，Cantrill如是说。为了解决这一问题，Joyent投入了一些实践到容器命名服务中，以实现本地运行的容器也能被发现使用。Cantrill强调，可以在本地立即运行带有安全基础设施的容器，对于开发者分解并解决问题来说至关重要。

“不仅仅是安全性，Joyent为你提供构建一个安全系统的一切事情。”Cantrill说道。

译者介绍：刘思贤 ，爱油科技架构师，PMP，喜欢关注互联网相关技术与软件项目管理，是一名DevOps实践者，乐于整理和分享一些实践经验。文章原标题：Joyent公司CTO谈容器安全：安全性是容器部署面临的首要问题