写点什么

Baruch Sadogursky 谈 Docker 容器生命周期管理面临的挑战

  • 2016-07-03
  • 本文字数:1745 字

    阅读完需:约 6 分钟

JFrog 开发大使 Baruch Sadogursky 在多个会议上做过演讲,包括去年 5 月举行的 DevOps Days Kiel
内容涉及控制和跟踪 Docker 镜像从开发环境到生产环境的流程所面临的挑战,以及 JFrog 提出的解决方案。

为了更好地了解 Docker 容器生命周期管理所面临的部分挑战,InfoQ 采访了 Sadogursky。

InfoQ:如今,您看到有许多工程团队使用 Docker 镜像作为构件,并通过部署管道推送它们吗?

Baruch Sadogursky: 我们看到,人们如今对 Docker 非常感兴趣。人们试图像使用先前的技术栈那样,借助 Docker 实现推送管道,但那并不总是有效。有些 Docker 的架构决策让做正确的事变得困难,而部分 Docker 的最大优势却让人容易做错。

InfoQ:那些使用 Docker 的人,他们是真正地将镜像部署到生产环境,还是只是使用它们作为复制实际的 VM 生产实例的一种快速而简单的方式?

Sadogursky: 真正在生产环境中使用 Docker 的团队,比“摆弄”Docker、做概念验证或者在开发环境中使用 Docker 的团队要少得多。我们认为,其中的一个原因是,增加一个更不透明的抽象层会增加生产级工件不能有的不确定性。

InfoQ:您能简要地说明下,为什么您主张使用 Docker 镜像作为工件而不是 Dockerfiles(有依赖管理)+ 应用程序二进制文件(比如 WAR 文件)?

Sadogursky:这篇博文对整个理论进行了解释,但简单来说——如果你从 Dockerfiles 多次构建(每个环境的)镜像,那么并没有什么方法可以确保你最终获得的工件相同。那是由 Dockerfile 的性质决定的——它的大多数命令都会引入不同的依赖项,而且经常会使用一个不稳定的版本。

InfoQ:在您看来,Dockerfile 应该包含什么类型的信息,而又不应该包含什么信息?

Sadogursky: 设法锁定所有依赖项的版本,越多越好。对于有些依赖项,这可以做到,例如使用一个版本号运行 apt-get,但对于其他依赖项,这无法做到(例如基于 Ubuntu 的镜像会累积相同版本下的安全补丁),但要试一下。

InfoQ:通过部署管道推送 Docker 镜像面临什么挑战?

Sadogursky: 当前,大多数 Docker 注册中心使用的推送模式是获取镜像、重打标签并添加到新的注册中心(或库),用于管道的下一个步骤,并把它重新放回。相当愚蠢,不是吗?

InfoQ:您如何看待(Docker 及其竞争者的)Docker 注册中心的现状?它们之间主要有什么不同?

Sadogursky: 这是一个相当宽泛的问题。有一大堆指标可以用于比较注册中心。其中一个最有趣的是,管道的其他部分是否需要额外的工具。Docker 是一种容器技术,容器会包含某些东西。如果你可以在和容器镜像一样的工件库里管理这些“东西”,你就可以在创建镜像的构建和创建容器所含内容的构建之间建立可追溯的元数据。

InfoQ:如果你需要确保源代码、应用程序二进制版本和 Docker 镜像版本之间的可追溯性,那么如何才能避免依赖管理地狱?

Sadogursky:“一次构建,推送不可变二进制版本”实际上同样解决了这个问题。你运行一次依赖管理系统,这样,一旦二进制版本创建了出来,到源代码的追溯就是不变的,一直到生产环境都是如此。

InfoQ:从安全的角度讲,在确保推送到生产环境的 Docker 镜像不易受到攻击方面,您有什么建议吗?

Sadogursky: 这没有什么特别之处。你应该使用安全扫描器。务必要确保,使用的工具既能扫描 Docker 容器,又能扫描镜像内容及镜像内的工件内容,等等。它们都可以在运行时暴露出容器的安全漏洞。

InfoQ:基于 Docker 镜像的推送管道可以帮助团队实现不可变基础设施吗?为了支持那种“构建 & 清除(build & forget)”的基础设施建设方法,还需要考虑什么其他的因素吗?

Sadogursky: 基于 Docker 镜像的方法就是指不可变基础设施。尽快创建不可变镜像的思想恰恰就是不可变基础设施的方法论。一旦你有了一个很好的持续集成(CI)管道,每次源代码修改就会触发一系列的 CI 构建和推送,最终进入一组新的 Docker 容器——那就是最好的不可变基础设施。

InfoQ:像 Chef 或 Puppet 这样的配置管理工具如何纳入那种场景?

Sadogursky: 那是个价值 10 亿美元的问题。我不知道有谁现在能够回答这个问题。看可变基础设施软件在不可变基础设施领域如何自我改造是非常意思的。也许 Chef Habitat 是向那个方向迈出的第一步?等着瞧吧。

查看英文原文 Q&A with Baruch Sadogursky on the Challenges of Managing Docker Containers Lifecycle

2016-07-03 19:001153
用户头像

发布了 1008 篇内容, 共 389.4 次阅读, 收获喜欢 344 次。

关注

评论

发布
暂无评论
发现更多内容

Android开发:往项目工程里面新引入工具包的步骤

三掌柜

11月日更

Hadoop之MapReduce04【客户端源码分析】

Java 程序员 后端

HttpClient工具类

Java 程序员 后端

Java-进阶:集合框架3

Java 程序员 后端

gRPC学习之五:gRPC-Gateway实战

Java 程序员 后端

Java-14-发布了,再也不怕-NullPointerException-了!

Java 程序员 后端

Jaeger的客户端采样配置(Java版)

Java 程序员 后端

Java 结合实例学会使用 静态代理、JDK动态代理、CGLIB动态代理

Java 程序员 后端

HttpClient的两种重试机制

Java 程序员 后端

IBM大面积辞退40岁+的员工,如何避免可怕的中年危机?

Java 程序员 后端

Git Flow 的正确使用姿势

Java 程序员 后端

Gitlab Runner的分布式缓存实战

Java 程序员 后端

HarmonyOS(鸿蒙)——全面入门

Java 程序员 后端

JAVA 微信小程序 解密 用户信息encryptedData

Java 程序员 后端

JAVA 语法 - 关键字 - volatile

Java 程序员 后端

GitHub上标星75k+超牛的《Java面试突击版》,分享PDF离线版

Java 程序员 后端

Go实战(三)-数组array、切片slice语法详解

Java 程序员 后端

jackson学习之二:jackson-core

Java 程序员 后端

Java 多线程 —— 生产者消费者问题

Java 程序员 后端

Java 小记 — RabbitMQ 的实践与思考

Java 程序员 后端

Java 移除List中的元素,这玩意讲究!

Java 程序员 后端

Java 线程池原理分析

Java 程序员 后端

intellij idea2019打开项目启动总闪退

Java 程序员 后端

IT人不仅要提升挣钱能力,更要拓展挣钱途径

Java 程序员 后端

模块三作业:外包学生管理系统架构文档

dean

架构实战营

Java 生态圈中的嵌入式数据库,哪家强?

Java 程序员 后端

JAVA 线上故障排查完整套路

Java 程序员 后端

JAVA 雪花算法 唯一ID生成工具类

Java 程序员 后端

Java-从-Map-到-HashMap-的一步步实现,看这篇足矣了!

Java 程序员 后端

Flutter中的widget

Java 程序员 后端

GitHub 上 1

Java 程序员 后端

Baruch Sadogursky谈Docker容器生命周期管理面临的挑战_DevOps & 平台工程_Manuel Pais_InfoQ精选文章