SUSE工程產品創新總裁Thomas Di Giacomo。(攝影/王宏仁)

「容器不夠安全,而且VM的可攜性又太差。」SUSE工程產品創新總裁Thomas Di Giacomo直言,折衷辦法就是,直接將容器放進VM中執行。

Thomas可是全球開源技術和網路界的大人物,憑著電信產業多年技術長經歷,2016年成為SUSE技術長後,代表SUSE,成了兼任多個全球開源組織或基金會的董事會成員,包括OPNFV董事、Linux基金會網路計畫董事、Cloud Foundry基金會董事,以及力推Kubernetes的CNCF基金會的董事等,他是開源和雲端原生產業的意見領袖之一。在SUSE今年3月獨立後,他更進一步接下現在的職位。

2003年,Novell買下SUSE後,將SUSE產品開源,發起了openSUSE專案,也將SUSE推到開源技術的第一線,7年後,Novell將SUSE賣給了Attachmate,後來,Micros Focus收購Attachmate,連帶買下了SUSE,但只允許SUSE以半獨立的狀態營運,直到去年中,EQT從Micro Focus買下SUSE股權,3月完成併購作業後,讓SUSE成為獨立營運的公司。

SUSE自此有了更大的自主權。Thomas Di Giacomo透露,產品研發和未來藍圖依舊聚焦在開源技術,獨立後最大的改變是,可以主動投資甚至併購有助於SUSE成長的公司,目前已有目標,未來幾個月後就會揭曉。

站在全球開源雲端技術的第一線,Thomas認為,容器還是一項太年輕的技術,尤其,從企業角度來看,容器不夠安全。

但是,VM問世超過15年,虛擬化技術已經有成熟的網路管理、儲存支援與安全政策管理機制,不論是VMware、KVM或Hyper-V等,都在網路安全和儲存機制上著墨很深。這些都是目前容器技術還不夠成熟之處。「總有一天,容器開發社群會趕上,但不是現在。」他坦言。

結合容器和VM,走出基礎架構第三條路

可是,微服務世界已經來了,雲端原生應用到處都是,這些都非得靠容器技術,才能更輕巧地,快速擴張和移動。安全怎麼辦?最快的方法,他認為:「將容器放進VM,兩者結合就走出了基礎架構的第三條路。」

而從VM技術起家的OpenStack,也在Kubernetes競賽上慢了一步,為了追上容器技術競爭的腳步,選擇從VM優勢來切入容器,2017年12月,OpenStack基金會整合了Intel的容器技術Clear Container和一家虛擬化新創Hyper打造的Hypervisor級runtime,啟動了Kata計畫,這是一個利用VM技術來隔離容器的新專案。

Thomas解釋,正是因為資安需求,OpenStack才發起了Kata這個專案,「當時,不管哪一種容器格式,都無法真的可以提供足夠的隔離,Kata是第一個擁抱VM級隔離性的容器。」

不同於傳統容器直接靠Linux核心機制來建立隔離,Kata容器則是先建立VM環境,搭配輕量級的Linux核心,以便在VM內執行容器。(攝影/王宏仁)

擔任OpenStack基金會主席的Alan Clark,也在SUSE擔任產業創新總監,直屬於Thomas。SUSE很快就決定要全力支援Kata,直接放進了自家企業級Linux產品中,要讓SUSE Linux成為部署Kata容器的平臺,不只可以上雲,也可直接在裸機上部署。

如今,隨著Kata越來越成熟,今年7月時,SUSE正式宣布,將Kata納入SUSE Linux滾動升級版本中,新版自動內建新版Kata容器。Thomas表示:「這將會是Linux作業系統的重要能力之一。」

Thomas指出,Kata用VM技術來建立隔離,最大好處是,可以直接套用VM的網路政策和儲存政策,讓不同的VM各自有其獨占的權限,一來可以保護容器受到外部的影響,另一方面,容器內的程式發生問題或感染惡意程式,也不能用來攻擊或接觸到VM以外的區域。

所以,不只OpenStack基金會的Kata專案,後來,Google也推出了容器沙盒技術gVisor,「gVisor也是一種容器技術的格式,和Kata計畫想做的事類似。」

Thomas進一步釐清:「Kata是一種容器格式,就像是gVisor或Docker一樣,而不是Kubernetes那一類的管理或調度平臺,所以,Kubernetes也可以用來調度Kata容器。」

傳統的容器是利用Linux核心的機制,包括了Namespaces、cgroup等,將CPU、記憶體、網路和儲存資源,分配給不同的容器,透過各自獨立的Namespaces來區隔,不同容器所能調度的硬體資源。

而Kata容器的作法是,底層一樣是Linux核心,但先透過一個Hypervisor runtime來建立一個硬體資源的虛擬池,再分配給不同的輕量級VM,供VM內的容器來使用。

Thomas解釋,Kata使用最小化的Hypervisor層,VM內也採用了輕量化的Linux核心來建立容器環境,因此,Kata不算是一種全套式的VM,而是介於完整VM和容器之間的技術,沒有放入AP程式碼時,Kata容器大約只有幾MB大小。在部署上,Kata可以透過作業系統如SUSE Linux,部署到裸機環境。

容器不夠安全,但微服務世界已經來了,將容器放進VM,就走出了基礎架構的第三條路。── SUSE工程產品創新總裁Thomas Di Giacomo

將容器放進VM得付出效能代價

但是,將容器放進VM,雖然兼具了兩家之長,但也喪失了不少容器輕量化的優勢,儘管Kata容器不會像傳統VM那樣的笨重,不過,還是比容器的檔案大了許多,Thomas坦言,為了安全,第一個付出的代價是「損失了容器的密度。」同樣一臺伺服器,部署Kata容器的最大量,會比容器少得多。

除了容器格式和容器調度平臺之外,企業導入容器還需要好用的容器派送工具,Thomas表示,目前SUSE也正在尋找一種可以剖析現有VM後,將VM中的AP打包成容器化應用的工具,而且不只程式碼,連同中介層的軟體和Runtime,也可以自動搬進Kata容器中的工具。

「一旦容器安全機制發展得更好了,企業應用就可以大量轉移到新型態的容器應用模式。但目前是處於轉型的階段,得靠這種銜接兩者的工具來加速轉移。」Thomas表示。

不過,將容器放入VM後,除了影響效能和移動力之外,還帶來了一個大挑戰是「基礎架構維運的複雜度增加了」,Thomas強調,試想在Kubernetes平臺上,一群虛擬化的容器組成了Kubernetes的POD叢集時,監控機制能否同時蒐集到容器和VM的狀態和變化,將比過去的難度更高上好幾倍。

其中一項複雜度是應用碎片化的挑戰,容器技術,結合了微服務架構,甚至是無伺服器技術,企業將放入容器中的功能的規模越小,若又搭配不同的開源軟體來提供這些功能,應用程式碎片化的程度就越高。

「服務網格(Service Mesh)適合用來定義容器和容器之間的互動。在容器世界中,移動微服務,需要服務網格,不過,如何組合和管理碎片化的應用,將是一大挑戰。」他說。SUSE產品也會納入這類技術和產品,例如Istio。

基礎架構技術的下一波挑戰

下一個IT基礎架構技術發展的大挑戰,Thomas Di Giacomo認為是:「如何自動將對的功能,放到對的硬體上執行,而且還能進行最佳化。」像Kubernetes對運算資源的支援能力很高,可以分辨使用哪一類CPU來執行哪些應用,現在還可以支援GPU,未來或許還能支援到FPGA處理器、HPC或專屬CPU,如何確保不同的服務或功能,可以使用到合適的硬體資源,將是Kubernetes的課題。

而從企業管理角度來看,他認為,當容器、微服務、無伺服器應用,再加上了混合雲或多雲架構變成主流之後,企業面臨的考驗可能是,IT要判斷,一支AI應用,可能要用GCP來執行TensorFlow的模型訓練,再透過Azure上提供服務,再將資料存回本地端的資料中心,如何組合不同環境中的應用和服務,提供最佳化的作法。

Thomas觀察,多數優化工具大多用於私有雲或單朵雲的環境,還沒有能優化跨雲調度資源的工具。「目前,沒有開源專案聚焦在這麼複雜的領域。」

尤其,目前的Kubernetes叢集優化工具,大多是用於內部的自我優化之用,Kubernetes叢集無法自動跨叢集溝通,更遑論跨混合雲或多雲之間的Kubernetes叢集溝通。「一旦容器再進一步結合了VM之後,效能監測和優化的工具,就更顯得重要。」就像在分散式系統中,再放入一套分散式系統,如同一層又一層疊加的俄羅斯娃娃一樣,如何了解內容物非常費工。

「未來,容器一定會越用越多,」新應用都會使用容器,可是沒人想花時間重新改寫老舊應用。所以,這兩者還會共同存活很長、很長一段時間,就像30年前的大型主機,至今仍在一樣。

「創新往往不見得完全取代了過去,只是增加新選擇,舊事物依舊在,只是越來越少。」看過開源科技圈起起伏伏的Thomas這樣告訴我。

 

CTO小檔案

Thomas Di Giacomo

SUSE工程產品創新總裁

學經歷:日內瓦大學電腦科學博士。曾擔任過瑞士電信技術長多年,2016年進入SUSE擔任全球技術長,先後代表SUSE,兼任多個全球開源組織或基金會董事會成員,包括OPNFV董事、Linux基金會網路計畫董事、Cloud Foundry基金會董事、CNCF基金會董事等。2019年1月更成為SUSE工程產品創新總裁。

 

公司檔案

SUSE

● 成立時間:1992年

● 網址:www.suse.com

● 執行長:Melissa Di Donato

● 年營收:2017年約3億美元

● 總部地址:總部位於德國紐倫堡。

● 全球員工人數:1,400人(2017年)

公司大事紀

● 1994年:推出S.u.S.E Linux 1.0

● 1996年:首款完整的Linux作業系統套件SUSE Linux 4.2

● 1997年:展開全球布局,先擴大到北美市場,1999年進入亞洲市場

● 2000年:推出企業級OS產品SUSE Linux Enterprise Server

● 2003年:推出桌面版SUSE Linux Desktop

● 2004年:將產品完全開源,啟動openSUSE開源計畫,並以此來發展企業版Linux

● 2012年:推出SUSE OpenStack Cloud

● 2014年:推出SUSE Manager,進軍基礎架構管理市場

● 2015年:推出Ceph打造的SUSE Enterprise Storage,進軍儲存市場

● 2017年:推出K8s容器平臺產品SUSE CaaS Platform,也買下HPE的OpenStack團隊和Cloud Foundry團隊

● 2019年3月:EQT從Micro Focus買下SUSE股權,並將SUSE成為獨立營運的公司


Advertisement

更多 iThome相關內容