虛拟化容器正迫使伺服器架構更新

最新架構和雲計算的發展，正推動虛拟化容器應用到資料中心生産環境。

容器化方法對虛拟化行業發出的傳票，正如虛拟化對傳統資料中心一樣，容器化虛拟方案與虛拟機管理程式一樣，都必須面對跨租戶窺探的漏洞。當虛拟機管理程式因未授權或意外而暴露企業資訊，intel增加了硬體功能來遠端消除租戶資訊，防止資料洩露。當固态硬碟執行個體過度配置問題得以解決後，行業又遇到并克服了資料安全漏洞這一問題。

現在，随之而來的是容器方法的快速發展。容器運作在單一作業系統上，而且這些硬體記憶體控制工具無法隔離多個容器。

為確定資料安全，資料中心可以在虛拟化管理程式裡的一台虛拟機中運作容器，但這可能會減緩容器建立速度，也沒有利用到容器技術的這一主要賣點。it架構師可以在單一虛拟機中建造成百容器，以此來隔離其他使用者在另一台虛拟機中建立的幾百個容器，但結果是操作非常繁瑣。it團隊需要調整虛拟化演變而來的隔離機制，以更好的支援容器。

intel已經對準虛拟化容器的發展方向進行了架構開發。在改變硬體時額外增加dma重映射邊界控制，可以限制每個裝置可通路的系統記憶體，intel通過容器化方法，推出了clear containers作為一種聚合輕量級虛拟化管理程式，很像kvmtool。這種結合擴充了記憶體共享能力。

增加輕量級虛拟化管理程式的額外開銷大約在20mb左右，這對生産環境中幾乎沒有影響。更重要的是，新容器的啟動時間大概是150毫秒。雖然比docker容器慢了點，但對大多數用途是夠用的。

intel評估，管理者可以在一台擁有128gb記憶體的伺服器上運作大約3,500個輕量級虛拟化容器。這樣會導緻i/o饑餓，但數量确實高的驚人，也突出了容器方法的價值所在。

intel同樣還開發了針對虛拟化容器的安全功能。kernel-guard technology在硬體與核心之間增加了一個小型螢幕，可以防止核心與寄存器被修改。cloud integrity technology生成密鑰子產品哈希，并且調用trusted platform module進行簽名，這樣他們在被驗證時能夠確定有效。software guard extension允許在記憶體中存在安全飛地，定義用來協助維護加密密鑰的安全。intel計劃在未來進一步改進容器性能，包括qemu虛拟機模拟器摻入和記憶體使用優化。

仍舊缺失的與檔案通路保護沖突的資料共享。這既是虛拟機管理程式和作業系統的問題，也是容器的問題。intel正在尋找通過nvme來解決這一問題的方案，基于隊列的存儲接口，可以避免多層scsi棧。nvme允許i/o直接與虛拟機或容器直接關聯，并且最高可達64,000個隊列。這可能是機械化存儲i/o的有效途徑。

coreos宣布，intel clear containers成為他們rocket 容器的解決方案。clear containers可能打開容器部署的開發局面——如果我是一名虛拟化管理軟體供應商，我會非常關注容器根據我得具體需求收斂後，具體的步長。有可能出現共存的情況，但clear containers會讓邊界盡可能的接近容器的領地。

虛拟化容器對資料中心的影響

小尺寸、可靠的安全容器意義在于，我們将需要更少的伺服器來承載相同的工作量。因為容器可以在現有的伺服器上進行部署，幾乎在兩年内無須采購新的裝置。資料中心預算也可能會被花費到别的地方。

提高i/o性能以滿足容器數量是個不小的挑戰，但本地固态硬碟能夠為容器提供非常可觀的iops水準。超強的性能意味着容器不會出現i/o饑餓，同時還能采用少量主ssd存儲與更便宜的二級sata存儲方案。

針對虛拟化容器方案的增強可以應用在intel 3d xpoint near-in記憶體場景。增加這些到伺服器上能夠大幅提高伺服器整體性能，因為x-point安裝在dimm總線上的記憶體擴充器。

優秀的i/o性能能夠提高容器的接受程度，但所有這一切将給網絡性能也帶來不少難題。單獨一台作業系統所産生的網絡流量會比虛拟機管理程式中多台作業系統之間互動要少得多，但密集容器解決方案仍然會增加網絡負載。

資料中心可以采用10gb以太網，2016年将開始使用25gb以太網。更快的帶寬可以緩解網絡擁堵，但也增加了成本。在辯論中，我們得到的是利用rdma over ethernet技術來降低伺服器開銷負載;能節省非常多。chelsio的iwarp似乎是ethernet rdma的商業赢家。這樣就能夠運作更多的容器，網絡利用效率也會更高。

結合兩者，伺服器、存儲與網絡的密度增加和性能提升，将減少it支出，并讓資料中心在一段時間内保持相同甚至更小的空間占用增長。

本文轉自d1net（轉載）