Tổng quan

Linux® container là một tập hợp gồm 1 hoặc nhiều tiến trình được tách biệt khỏi phần còn lại của hệ thống. Tất cả các tệp cần thiết để chạy chúng đều được cung cấp từ một ảnh image riêng biệt, nghĩa là các Linux containers có tính di động và nhất quán khi chúng chuyển từ giai đoạn phát triển, thử nghiệm và cuối cùng là sản xuất. Điều này làm cho chúng được sử dụng nhanh hơn nhiều so với các quy trình phát triển dựa vào việc sao chép các môi trường thử nghiệm truyền thống. Do tính phổ biến và dễ sử dụng của chúng, các container cũng là một phần quan trọng trong bảo mật CNTT.

Đây không phải chỉ là ảo hóa sao?

Không chính xác. Hãy nghĩ về chúng nhiều hơn như sự bổ sung cho nhau. Dưới đây là một cách dễ dàng để suy nghĩ về chúng:

• Ảo hóa “Virtualization” cho phép hệ điều hành của bạn (Windows hoặc Linux) chạy đồng thời trên một hệ thống phần cứng duy nhất.
• Các vùng chứa “Containers” chia sẻ cùng một nhân hệ điều hành (tiếng Anh gọi là Kernel) và tách biệt các tiến trình ứng dụng khỏi phần còn lại của hệ thống. Ví dụ: Hệ thống ARM Linux chạy vùng chứa ARM Linux container, hệ thống Linux x86 chạy vùng chứa Linux x86 container, hệ thống Windows x86 chạy vùng chứa Windows x86 container. Các vùng chứa Linux container cực kỳ di động nhưng chúng phải tương thích với hệ thống cơ bản.

Điều đó có nghĩa là gì? Đầu tiên, Ảo hóa “Virtualization” sử dụng bộ ảo hóa “hypervisor” để mô phỏng phần cứng, cho phép nhiều hệ điều hành chạy cạnh nhau. Cách này không nhẹ bằng việc sử dụng container. Khi bạn có tài nguyên hữu hạn với khả năng hữu hạn, bạn cần các ứng dụng nhẹ có thể được triển khai với mật độ dày đặc. Các vùng chứa Linux container chạy tự nhiên trên hệ điều hành, chia sẻ nó trên tất cả các vùng chứa container của bạn, nhờ đó các ứng dụng và dịch vụ của bạn luôn nhẹ và chạy song song nhanh chóng.

Linux containers là một bước tiến hóa khác trong cách chúng ta phát triển, triển khai và quản lý ứng dụng. Hình ảnh vùng chứa Linux containers images cung cấp khả năng di động và kiểm soát phiên bản, giúp đảm bảo rằng những gì hoạt động trên máy tính xách tay của nhà phát triển cũng hoạt động trong sản xuất. Một loại hình ảnh vùng chứa đặc biệt được gọi là hình ảnh vàng tạo ra đường cơ sở nhất quán, đáng tin cậy cho cấu hình hệ thống. So với các máy ảo, Linux containers đang chạy ít tốn tài nguyên hơn, có giao diện chuẩn (khởi động, dừng, biến môi trường, v.v.), duy trì sự cách ly ứng dụng và được quản lý dễ dàng hơn như một phần của ứng dụng lớn hơn (nhiều bộ chứa) . Ngoài ra, các ứng dụng nhiều vùng chứa đó có thể được sắp xếp trên nhiều đám mây.

Thậm chí còn có những công cụ kết hợp điều phối container và quản lý máy ảo. Tìm hiểu thêm về điều đó trong lộ trình Red Hat Summit 2020 này, bao gồm phiên thảo luận đột phá về một công cụ như vậy.

Tìm hiểu thêm về ảo hóa

LXC là gì?

Dự án Linux Containers project (LXC) là một nền tảng bộ chứa nguồn mở cung cấp một bộ công cụ, mẫu, thư viện và liên kết ngôn ngữ. LXC có giao diện dòng lệnh đơn giản giúp cải thiện trải nghiệm người dùng khi khởi động vùng chứa.

LXC cung cấp môi trường ảo hóa cấp hệ điều hành có sẵn để cài đặt trên nhiều hệ thống dựa trên Linux. Bản phân phối Linux của bạn có thể có sẵn thông qua kho lưu trữ Repository của nó.

Sơ lược về lịch sử của container

Ý tưởng về cái mà ngày nay chúng ta gọi là công nghệ vùng chứa “Container technology” xuất hiện lần đầu tiên vào năm 2000 với tên gọi FreeBSD jails, một công nghệ cho phép phân vùng hệ thống FreeBSD thành nhiều hệ thống con “subsystems” hoặc môi trường biệt lật “jails”. Jails được phát triển như môi trường an toàn mà quản trị viên hệ thống có thể chia sẻ với nhiều người dùng trong hoặc ngoài tổ chức.

Năm 2001, việc triển khai một môi trường biệt lập đã được đưa vào Linux thông qua dự án VServer của Jacques Gélinas. Sau khi nền tảng này được thiết lập cho nhiều không gian người dùng được kiểm soát trong Linux, các phần bắt đầu được lắp đặt để tạo thành vùng chứa Linux container ngày nay.

Rất nhanh chóng, nhiều công nghệ hơn được kết hợp để biến phương pháp biệt lập này thành hiện thực. Nhóm điều khiển “Control groups” (cgroups) là một tính năng hạt nhân kiểm soát và giới hạn việc sử dụng tài nguyên cho một quy trình hoặc nhóm quy trình. Và systemd, một hệ thống khởi tạo giúp thiết lập không gian người dùng và quản lý các quy trình của họ, được các nhóm sử dụng để cung cấp khả năng kiểm soát tốt hơn đối với các quy trình biệt lập này. Cả hai công nghệ này, đồng thời bổ sung khả năng kiểm soát tổng thể cho Linux, đều là khuôn khổ giúp các môi trường có thể duy trì sự tách biệt thành công.

Docker gia nhập

Năm 2008, Docker xuất hiện (thông qua dotCloud) với công nghệ container cùng tên của họ. Công nghệ docker đã bổ sung thêm nhiều khái niệm và công cụ mới—giao diện dòng lệnh đơn giản để chạy và xây dựng các hình ảnh lớp mới, trình nền máy chủ, thư viện các hình ảnh vùng chứa dựng sẵn và khái niệm về máy chủ đăng ký. Kết hợp lại, những công nghệ này cho phép người dùng nhanh chóng xây dựng các vùng chứa nhiều lớp mới và dễ dàng chia sẻ chúng với những người khác.

Có 3 tiêu chuẩn chính để đảm bảo khả năng tương tác của các công nghệ vùng chứa—các thông số kỹ thuật về OCI Image, Distribution và Runtime . Việc kết hợp các thông số kỹ thuật này cho phép các dự án cộng đồng, sản phẩm thương mại và nhà cung cấp đám mây xây dựng các công nghệ vùng chứa có thể tương tác (hãy nghĩ đến việc đẩy hình ảnh được tạo tùy chỉnh của bạn vào máy chủ đăng ký của nhà cung cấp đám mây - bạn cần điều đó để hoạt động). Ngày nay, Red Hat và Docker, cùng nhiều công ty khác, là thành viên của sáng kiến Open Container Initiative (OCI)—đang tạo điều kiện cho việc tiêu chuẩn hóa ngành công nghệ container mở.

Docker là gì?

Vấn đề về bảo mật container?

Container phổ biến nhưng độ an toàn của chúng như thế nào? Có rất nhiều bộ phận chuyển động sang bảo mật vùng chứa “Container Security”—bạn cần bảo vệ đường dẫn và ứng dụng vùng chứa; (các) môi trường triển khai và cơ sở hạ tầng, đồng thời bạn cần có kế hoạch tích hợp với các công cụ và chính sách bảo mật của doanh nghiệp. Bạn cần một kế hoạch. Chúng tôi có thể giúp.

Đọc thêm về bảo mật container

Tại sao chọn Red Hat for Linux containers?

Red Hat có lịch sử làm việc lâu dài trong cộng đồng nguồn mở để làm cho các công nghệ như container trở nên an toàn, ổn định và đáng tin cậy. Đó là những gì Red Hat  làm. Sau đó, Red Hat hỗ trợ những công nghệ đó. Vì vậy, nếu bạn cần trợ giúp, Red Hat luôn sẵn sàng.

Công nghệ của Red Hat loại bỏ mọi phỏng đoán để tạo ra các thùng chứa đúng cách. Cho dù đó là mục tiêu giúp nhóm phát triển của bạn sử dụng nền tảng được xây dựng bằng container, chạy cơ sở hạ tầng container của bạn trên hệ điều hành tốt nhất hay cung cấp giải pháp lưu trữ cho dữ liệu khổng lồ do container tạo ra, các giải pháp của Red Hat đều có thể đáp ứng được nhu cầu của bạn.

Xem lý do tại sao bạn nên tin tưởng giao container của bạn cho Red Hat

Nguồn: https://www.redhat.com/en/topics/containers/whats-a-linux-container