Что такое контейнер? Обзор технологии контейнеризации
Контейнеризация – это легковесная виртуализация и изоляция ресурсов на уровне операционной системы, которая позволяет запускать приложение и необходимый ему минимум системных библиотек в полностью стандартизованном контейнере, соединяющемся с хостом или чем-либо внешним по отношению к нему при помощи определенных интерфейсов. Контейнер не зависит от ресурсов или архитектуры хоста, на котором он работает.
Все компоненты, необходимые для запуска приложения, упаковываются как один образ и могут быть использованы повторно. Приложение в контейнере работает в изолированной среде и не использует память, процессор или диск хостовой операционной системы. Это гарантирует изолированность процессов внутри контейнера.
Разница между виртуальными машинами и контейнерами
Существуют два основных варианта виртуализации, а точнее два подхода к созданию независимых изолированных вычислительных пространств на одном физическом сервере: виртуальные машины, которым нужен гипервизор, и виртуальные контейнеры. В первом случае для каждой виртуальной машины используется собственная гостевая ОС, а во втором для всех контейнеров применяется ядро одной хостовой ОС. Соответственно, первая позволяет создавать неоднородные вычислительные среды на одной компьютере, вторая – только однородные.
Однако, поскольку виртуальные машины включают операционную систему, их размер может составлять несколько гигабайт. Также недостатком виртуальных машин можно назвать то, что для загрузки ОС и инициализации приложения, которое в них размещено, требуется относительно больше времени. Контейнеры более легкие и, в основном, их размер измеряется в мегабайтах. Сравнивая их производительность с виртуальными машинами, контейнеры могут запускаться почти мгновенно. При выборе между контейнерами и виртуальными машинами следует учитывать цели, которые требуется достичь.
Какие проблемы решаются контейнерами?
Многие проблемы обнаруживаются при изменении среды приложений. Это может произойти, например, когда разработчик запускает код в тестовой среде после разработки. Изменения могут касаться не только вычислительных ресурсов, но также и сетей. Топология сети, политики безопасности и многое другое может быть разным.
Преимущества контейнеров
Гибкая среда. Самое большое преимущество в использовании технологий контейнеров заключается в том, что их можно создавать гораздо быстрее, чем экземпляры виртуальных машин. Их легкий вес обеспечивает меньшие накладные расходы с точки зрения производительности и размера.
Повышенная производительность. Контейнеры повышают производительность разработчиков за счет устранения межсетевых зависимостей и конфликтов. Каждый контейнер может рассматриваться как отдельный микросервис и, следовательно, может быть независимо обновлен без каких-либо проблем с синхронизацией.
Управление версиями позволяет отслеживать версии контейнера, следить за различиями между ними и т. д.
Переносимость среды вычислений. Контейнеры инкапсулируют все соответствующие детали, такие как зависимости приложений и операционные системы, необходимые для запуска приложения. Это облегчает переносимость образа контейнера из одной среды в другую. Например, один и тот же образ можно использовать для работы в среде Windows/Linux или dev/test/stage.
Стандартизация. Большинство контейнеров основаны на открытых стандартах и могут работать во всех основных дистрибутивах Linux, Microsoft и т. д.
Безопасность. Контейнеры изолируют процессы одного контейнера от другого и от базовой инфраструктуры. Таким образом, любое обновление или изменение в одном контейнере не влияет на другой контейнер.
Недостатки контейнеров
Повышенная сложность: при n числе контейнеров, работающих с приложением, также увеличивается коэффициент сложности. Управление множеством контейнеров может быть сложной задачей в производственной среде. Такие инструменты, как Kubernetes и Mesos, могут облегчить управление большим количеством контейнеров.
Также сложность заключается в том, что обычно в контейнер «пакуется» гораздо больше ресурсов, чем нужно, а это приводит к разрастанию образа и большому размеру контейнера.
Поддержка Native Linux: большинство контейнерных технологий, таких как Docker, основаны на Linux-контейнерах (LXC). Поэтому запуск этих контейнеров в среде Microsoft — немного неуклюжий процесс, а их ежедневное использование может вызвать сложности по сравнению с изначальным запуском этих экземпляров на Linux.
Незрелость: Контейнеры — относительно новая технология на рынке. Если у вас есть какая-то проблема, может понадобиться некоторое время, чтобы выяснить решение.
Классификация контейнеров
Согласно Википедии, «Виртуализация на уровне операционной системы — это метод виртуализации, при котором ядро операционной системы допускает существование нескольких изолированных экземпляров пользовательского пространства, а не только одного. Такие экземпляры могут выглядеть как настоящие компьютеры с точки зрения программ, запущенных в них. Такой подход полезен, когда необходимо настроить парк ОС с идентичными конфигурациями.
Различные приложения могут быть установлены, настроены и могут выполняться так же, как если мы запускаем приложение на ОС хоста. Ресурсы, назначенные контейнеру, видны только ему.
Для создания контейнеров ОС мы можем использовать такие контейнерные технологии, как LXC, OpenVZ, Linux VServer, BSD Jails и Solaris.
Контейнеры приложений: согласно Википедии, «Виртуализация приложений — это программная технология, которая инкапсулирует компьютерные программы из базовой операционной системы, на которой она выполнена. Полностью виртуализованное приложение не установлено в традиционном смысле, хотя оно все равно выполняется так, как если бы оно было установлено. Приложение ведет себя во время выполнения, так как будто оно напрямую взаимодействует с исходной операционной системой и всеми ресурсами, которыми она управляет, но может быть изолированным в разной степени.
Контейнеры приложений предназначены для упаковки и запуска служб как одного процесса, тогда как в контейнерах ОС могут выполняться несколько сервисов и процессов.
Контейнерные технологии, такие как Docker и Rocket, являются примерами контейнеров для приложений.
Хотите сравнить виртуальные машины и контейнеры на практике? Воспользуйтесь тестовым доступом к облаку Cloud4Y.
www.cloud4y.ru
«»Контейнерные технологии»» — контакты, товары, услуги, цены
Компания «Контейнерные технологии», как это видно уже из названия, реализует и сдает в аренду морские и ж/д контейнеры, занимается изготовлением из них бытовок, вагончиков и прочих подобных конструкций. Наличие современных производственных мощностей позволяет нам изготавливать первоклассную продукцию с отличными эксплуатационными характеристиками и по очень низкой стоимости. Высокий профессионализм работников и двухлетняя гарантия на новые товары прилагаются!
Практичные морские и ж/д контейнеры, бытовки, вагончики
В нашем каталоге представлено около 500 разновидностей продукции, реализацией/сдачей в аренду и изготовлением которой занимается наше предприятие. Выделим основные категории:
- контейнер;
- морской контейнер;
- контейнер-платформа;
- бытовое помещение;
- ж/д контейнер;
- вагончик;
- металлическая тара и т.д.
Данные конструкции могут использоваться для морских и ж/д перевозок, хранения различной продукции, обеспечения помещениями работников, постов охраны. Использование качественных материалов для изготовления представленных на сайте изделий позволяет им выдерживать высокие нагрузки, не бояться коррозии и служить годами. Это универсальные конструкции, которые найдут себе применение в самых разных отраслях человеческой деятельности.
Помимо абсолютно новых конструкций, предприятие «Контейнерные технологии» имеет большой ассортимент б/у морских и ж/д контейнеров, которые выделяются превосходным качеством и отличным техническим состоянием. Зачем тратиться на приобретение более дорогостоящего изделия, если можно взять в аренду бывший в употреблении контейнер по очень низкой цене? Весь товар тщательно проверяется сотрудниками нашей компании на отсутствие дефектов и целостность. Все обнаруженные проблемы мгновенно устраняются, поэтому вы получаете конструкцию в оптимальном состоянии и максимально быстро.
Качественное изготовление контейнеров и прочие выгоды
Несмотря на большое количество конкурентов, компания «Контейнерные технологии» имеет массу уникальных преимуществ, которые позволяют нам оставаться успешными и предлагать клиентам интересные условия для сотрудничества. К таким выгодам можно отнести:
- полный ассортимент морских и ж/д контейнеров;
- конструкции собственного изготовления из контейнеров;
- идеальное соотношение цены и качества, отгрузка во все регионы России;
- бесплатная погрузка конструкций на транспорт заказчика;
- двухлетняя гарантия производителя на все новые контейнеры;
- минимальное время изготовления и возврат средств при просрочке поставки.
Индивидуальный подход и большое внимание к обслуживанию позволяют нам ежемесячно отгружать до 180 морских контейнеров, что является отличным показателем. Но мы не стоим на месте и постоянно работаем над улучшением количества отгрузок!
«Контейнерные технологии» — надежный поставщик контейнеров в РФ
Взять в аренду у нас б/у ж/д контейнер или сделать заказ на изготовление практичной конструкции очень легко. Свяжитесь с нами по телефону или через сайт, и опытный менеджер компании с удовольствием ознакомит вас с ассортиментом реализуемой продукции и подберет оптимальные условия для поставок. Мы обслуживаем клиентов по всей территории Российской Федерации, выполняя отгрузку максимально быстро. Не стоит терять время, оформляйте заявку и получайте универсальные контейнеры для морских и сухопутных перевозок, вагончики для охраны или работников. Доверяйте профессионалам — обращайтесь в компанию «Контейнерные технологии»!
konteiner.tiu.ru
Информация о компании «»Контейнерные технологии»»
Основным направлением работы компании «Контейнерные технологии» является производство тары для контейнерных перевозок. Мы предлагаем своим клиентам исключительно высококачественную продукцию по самым доступным ценам на рынке. Контейнеры для грузовых перевозок представлены не только продукцией собственного производства, но и изделиями от компаний ЖМЗ, RST, ILME и других фирм производителей. Вся продукция отличается:
- длительным периодом эксплуатации и бесперебойной работы;
- минимальными затратами на техническое обслуживание;
- устойчивостью к воздействию агрессивной внешней среды;
- широким диапазоном рабочих температур.
Мы производим контейнеры для морских, ж/д и других транспортных средств из высокопрочных металлических сплавов с использованием самых современных технологий. Многоуровневый контроль качества исключает какие-либо дефекты и позволяет нам создавать долговечную и востребованную продукцию.
Бытовки и вагончики для персонала и охраны
Также одним из ведущих направлений деятельности нашей компании является производство и реализация бытовок для персонала. Они изготавливаются из перфорированного металлического листа, который придает всей конструкции жесткость. Вагончик полностью утепляется, а также оборудуется необходимым количеством окон и дверей. Обычно такой контейнер делят на 2 комнаты.
Данное жилое помещение позволяет быстро и с минимальными финансовыми затратами оборудовать комфортные условия для сотрудников, поста охраны или прораба. Наиболее часто применяют такие бытовки на строительных площадках. Также они помогают решить вопрос с жильем в труднодоступных регионах. Одним из основных преимуществ контейнеров-вагончиков является их простая транспортировка. А благодаря тому, что они могут эксплуатироваться в зонах с различным климатом бытовки от компании «Контейнерные технологии» помогут надежно и комфортно проживать людям даже в условиях низких температур. Не менее популярными они также являются среди дачников, ведь позволяют с минимальными затратами организовать как жилую, так и складскую зоны.
Конкурентные преимущества компании «Контейнерные технологии»
За длительный период своего существования на рынке компания «Контейнерные технологии» успела завоевать любовь и доверие множества клиентов. Мы являемся одними из крупнейших производителей и продавцов контейнеров для транспортировки грузов. Сотрудничая с нами, вы получаете:
- доступные цены, которые, в среднем, ниже среднерыночных на 7%;
- бесплатную погрузку товара на ваш транспорт;
- отгрузку товара во все регионы России;
- самый полный ассортимент контейнеров различного назначения;
- гарантию на новый товар в течении 2 лет;
- 100% возврат средств в случае, если отправка товара задержана более чем на 3 дня.
Приобретая долговечные и надежные контейнеры в компании «Контейнерные технологии», вы гарантированно получаете продукцию, которая полностью окупает себя!
Схема работы с нашей компанией
Для того, чтобы приобрести или арендовать контейнер вам достаточно просто обратиться к нам по указанным телефонам. Наши специалисты обстоятельно ответят на все вопросы и оформят заявку. Вы также можете лично приехать на наши площадки хранения товара и выбрать понравившийся контейнер. Доставка осуществляется транспортными компаниями или вашим автотранспортом. Забрать контейнер вы можете в любое удобное время, так как мы работаем без выходных.
Организуйте безопасную доставку и хранение ваших грузов вместе с компанией «Контейнерные технологии»!
konteiner.tiu.ru
Microsoft представляет новые контейнерные технологии для следующего поколения облака
В современном мире, когда облачные технологии выходят на первое место, бизнес-индустрия особенно полагается на приложения, которые будут способствовать развитию инноваций и продуктивности. С развитием облака, контейнеры становятся привлекательным способом для разработчиков быстро и эффективно создавать и разворачивать приложения на нужной для бизнеса скорости. Предлагая разработчиками и IT-профессионалам возможность развернуть приложения с рабочей станции на сервер в считанные секунды, контейнеры переносят разработку приложений на совершенно новый уровень. Из-за стремления разработчиков использовать возможности контейнеров для более широкого набора приложений возникают новые требования. Например, для корпоративных систем или же для размещенных сред могут понадобиться повышенные уровни доверия. Кроме того, разработчики часто разворачивают приложения в смешанных средах, где они могут не иметь возможности контролировать платформу, на которой размещено приложение. Виртуализация исторически предоставляла значительный уровень изоляции, который позволял такие сценарии, но сейчас существуют возможности объединения эффективности и плотности модели контейнера с правильными уровнем изоляции.
В прошлом октябре, Microsoft и Docker Inc. совместно объявили о планах по предоставлению контейнеров для всех разработчиков в экосистемах Docker и Microsoft с помощью контейнеров Windows Server, которые будут доступны в следующей версии Windows Server. Мы проведем первую открытую демонстрацию через несколько недель, начнем с конференции BUILD. Сегодня мы переносим контейнеризацию на один шаг дальше благодаря расширению сценариев и нагрузок, доступных разработчикам с помощью контейнеров:
- Контейнеры Hyper-V – новый вариант развертывания контейнера с повышенной изоляцией, приведенный в действие виртуализацией Hyper-V.
- Nano Server – минимальная установка Windows Server, которая оптимизирована для облака и идеальна для контейнеров.
Первые в своем роде: контейнеры Hyper-V
Усиливая наш глубокий опыт виртуализации, сегодня Microsoft предлагает контейнеры с новым уровнем изоляции, ранее зарезервированным только для полностью выделенных физических или виртуальных машин, поддерживая при этом гибкий и эффективный опыт с полной кросс-платформенной интеграцией Docker. Посредством этого первого в своем роде предложения, контейнеры Hyper-V гарантируют, что код, запущенный в одном контейнере остается изолированным и не может повлиять на гостевую операционную систему или другие контейнеры, запущенные на этом же хосте.
В то время, как контейнеры Hyper-V предлагают дополнительные варианты развертывания между контейнерами Windows Server и виртуальными машинами Hyper-V, у вас будет возможность развернуть их используя те же инструменты для разработки, программирования и управления, что вы бы использовали в случае контейнеров Windows Server. В дополнение, приложения, разработанные для контейнеров Windows Server могут быть развернуты как контейнеры Hyper-V без каких-либо дополнительных модификаций, предоставляя большую гибкость операторам, которые должны выбрать степень плотности, гибкости и изоляция в много-платформенной и мульти-прикладной среде.
Наши контейнеры в экосистеме Docker
Docker играет важную роль в обеспечении экосистемы контейнеров в Linux, Windows и ожидающихся контейнерах Hyper-V. Мы тесно сотрудничали с сообществом Docker, чтобы оценить и расширить контейнерные инновации в Windows Server и Microsoft Azure, включая представление развития движка Docker для контейнеров Windows Server, принимая участие в развитие репозитория Docker на GitHub. Кроме того, мы упростили развертывание последнего движка Docker с помощью расширений Azure для установки хоста Docker в виртуальные машины Azure под управлением Linux и для развертывания виртуальным машин, управляемых Docker сразу из Azure Marketplace. Наконец, мы добавили интеграцию для Docker Swarm, Docker Machine и Docker Compose в Azure и Hyper-V.
“Microsoft был отличным партнером и участником проекта Docker начиная с совместного анонса в октябре 2014”, — говорит Nick Stinemates, руководитель отдела по развитию бизнеса и технических альянсов. – “Они сделали ряд улучшений для повышения опыта разработчиков для Docker в Azure, привнося вклад во все аспекты платформы Docker, включая клиент Docker для Windows и инструменты оркестрации Docker. Также Microsoft продемонстрировал свое лидерство в сообществе, предоставляя полностью новый контент, например, докеризированный .NET для Linux. В то же время, они работали над тем, чтобы расширить преимущества контейнеров Docker – возможность переноса приложения в любую инфраструктуру и ускорение процесса разработки – для сообщества разработчиков Windows”.
Представление Nano Server: Ядро современных приложений и облака
Операционные системы резко изменились с переходом к облаку. Сегодня большинству клиентов нужны их ОС для основной цели: запуска их приложений, созданных в облаке. Используя годы опыта создания и запуска гипер-масштабных центров обработки данных, Microsoft находится в уникальной позиции для создания ОС, предназначенной для запуска современных приложений и контейнеров.
Результатом является Nano Server, минимальный вариант установки Windows Server, который максимально оптимизирован для облака, включая контейнеры. Nano Server предоставляет только те компоненты, которые нужны – ничего лишнего, что означает меньший размер образа сервера, который, в свою очередь, уменьшает время развертки, сокращает потребление пропускной способности сети и улучшает безопасность и работоспособность. Этот минимализм делает Nano Server идеальным дополнением для контейнеров Windows Server и Hyper-V, так же как и для других, оптимизированных для облака, сценариев. Превью версия будет доступна в ближайшие несколько недель, и вы можете прочитать больше о технологии в блоге Windows Server.
В современном мире облачных технологий, контейнеры переносят скорость и масштабируемость на новый уровень. Microsoft находится в уникальном положении, что продвинуть организации вперед, в следующую эру контейнеризации, предлагая гибкость и выбор между контейнерами Windows Server, контейнерами Linux и контейнерами Hyper-V как в облаке, так и локально. Сегодняшний анонс – всего лишь начало того, что последует дальше, т.к. мы продолжаем развивать как рост контейнеров в индустрии, так и новые уровни инноваций в приложениях для разработчиков.
Оставайтесь на связи, чтобы узнать еще больше информации об инновациях, начиная с конференции BUILD через несколько недель.
habr.com
Немного о контейнерах / ИТ-ГРАД corporate blog / Habr
Назовите любую технологическую компанию, и практически со 100% вероятностью окажется, что она заинтересована в продвижении контейнерных технологий. Google – конечно. IBM – да. Microsoft – разумеется. Вот и VMware не смогла пройти мимо.
Принимая во внимание тот факт, что в портфолио VMware имеется полный набор программного обеспечения для виртуализированных ЦОД, то интерес компании к популярной технологии ожидаем. Раньше системы на базе vSphere работали с контейнерами как с обычными виртуальными машинами, а это затрудняло управление и вело к проблемам с безопасностью.
«Теперь контейнеры станут полноправными элементами vSphere. Можно управлять как традиционными приложениями внутри виртуальных машин, так и приложениями следующего поколения на базе контейнеров. Обе технологии будут работать бок о бок на одной платформе», – говорит Кит Колберт (Kit Colbert), директор по облачным приложениям VMware.
Для поддержки новой технологии инженеры компании доработали виртуальную машину и вынесли часть ее функций на уровень гипервизора. Это позволило добавить поддержку контейнеров, сохранив им привычные качества виртуальной машины. Получается, что VMware представила возможность получить сразу все преимущества Linux-контейнеров и традиционной виртуализации на одной платформе vSphere.
И, возможно, это решение является самым правильным. Контейнеры позволяют уместить гораздо больше приложений на одном физическом сервере, чем любая виртуальная машина. ВМ занимают много системных ресурсов, поскольку каждая из них содержит не только операционную систему, но и необходимое для работы виртуальное оборудование, а это сразу отнимает довольно много оперативной памяти и процессорных циклов.
В случае контейнеров ситуация совсем другая – в них можно размещать только приложение и необходимый минимум системных библиотек. На практике это означает, что при использовании контейнеров вы сможете запустить в два-три раза больше приложений на одном сервере. Кроме того, контейнеризация позволяет создавать портативное и целостное окружение для разработки, тестирования и последующего развертывания.
Кажется, что контейнеры укладывают на лопатки ВМ по всем статьям. И это было бы правдой, если бы сравнение на этом заканчивалось. Однако вопрос все же несколько сложнее и шире, чем простое «куда поместится больше приложений».
Первая и самая серьезная проблема, которая часто упускается из виду – это безопасность, кто бы что ни говорил. Дэниэл Уолш (Daniel Walsh), инженер по безопасности Red Hat, опубликовал статью «Пустые контейнеры». В ней рассматривается Docker, который в качестве основы использует libcontainers. Libcontainers взаимодействует с пятью пространствами: Process, Network, Mount, Hostname, Shared Memory.
При этом оказывается, что множество важных подсистем ядра Linux функционируют вне контейнера. К ним относятся различные устройства, SELinux, Cgroups и вся файловая система внутри /sys. Это значит, что при наличии у пользователя или приложения прав суперпользователя в контейнере операционная система может быть взломана.
Есть много способов обезопасить Docker и другие технологии контейнеризации. Например, можно смонтировать раздел /sys только для чтения, заставить процессы контейнеров работать с определенными разделами файловой системы и настроить сеть так, чтобы можно было подключаться лишь к определенным внутренним сегментам. Однако об этом придется позаботиться самостоятельно.
Вот три совета, которые дает Уолш по этому поводу:
- Удалите привилегии;
- Старайтесь не запускать службы с root-правами;
- Всегда учитывайте, что root-права могут действовать и вне контейнера.
Но безопасность не является единственной проблемой. Еще существует проблема обеспечения качества. Допустим, что веб-сервер NGINX в состоянии поддерживать X контейнеров, но достаточно ли вам этого? Включен ли туда обновленный балансировщик TCP? Развернуть приложение в контейнере довольно легко, но если ошибиться с выбором компонентов, то вы просто потратите время впустую.
«Разделение системы на множество более мелких отдельных частей – это хорошая идея. Но это означает и то, что управлять придется большим числом элементов. Существует тонкая грань между декомпозицией и неконтролируемым разрастанием», – комментирует Роб Хиршфельд, генеральный директор RackN.
Помните, что вся суть контейнера заключается в запуске одного изолированного приложения. Большое количество задач на контейнер противоречит его концепции. Docker позволяет вам упаковать ваше приложение и все его зависимости в единый образ. Сложность заключается в том, что обычно вы «пакуете» гораздо больше ресурсов, чем нужно, а это приводит к разрастанию образа и большому размеру контейнера.
Большинство людей, которые начинают работу с Docker, используют официальные репозитории Docker, которые, к сожалению, как раз приводят к образу размером с небоскреб, когда он мог быть не больше скворечника. В них слишком много лишнего хлама. Стандартный размер образа Node занимает минимум 643 МБ – это очень много.
Здесь на помощь придут микроконтейнеры, которые содержат только библиотеки операционной системы и другие зависимости, требуемые для запуска приложения, и само приложение. Вы увидите, как приложение, которое занимало 643 МБ, будет занимать 29 МБ, что в 22 раза меньше.
Микроконтейнеры дают множество преимуществ. Первое, разумеется, это размер, второе – быстрая и простая передача на различные машины, ну а третье – повышенная безопасность. Меньшее количество кода означает меньшее количество уязвимостей.
На эту тему есть неплохое поясняющее видео:
Так как же создать эти микроконтейнеры? Лучше всего начать со scratch-образа, в котором нет абсолютно ничего. С его помощью вы можете создать самый маленький образ для своего приложения, если вам удастся скомпилировать проект в один бинарный файл без зависимостей, как это позволяет сделать Go. Например, этот образ содержит веб-приложение на Go и весит всего 5 МБ.
Однако не все пишут программы на Go, потому, вероятно, у вас будут несколько зависимостей, и scratch-образ вам не подойдет. Воспользуемся Alpine Linux. Образ Alpine весит всего 5 МБ. Поэтому для нашего простого приложения на Node Docker-файл примет следующий вид:
FROM alpine
RUN apk update && apk upgrade
RUN apk add nodejs
Теперь, чтобы добавить код к образу, нужно прописать еще пару дополнительных строк:
FROM alpine
RUN apk update && apk upgrade
RUN apk add nodejs
WORKDIR /app
ADD . /app
ENTRYPOINT [ "node", "server.js" ]
Код приложения и подробные инструкции можно найти здесь.
Такие образы Docker содержат только необходимые компоненты для работы приложения. Ничего лишнего. Таков мир микроконтейнеров.
habr.com
Инструменты управления контейнерами / ua-hosting.company corporate blog / Habr
Развертывание приложений всегда было головной болью разработчиков. Олдфаги, которым довелось кодить во времена Windows COM, наверняка помнят «DLL Hell» – настоящий кошмар девелоперов и сисадминов. Но хотя прошли годы, ежедневно растущий поток новых технологий зачастую создает путаницу и неуверенность.
Практически во всех случаях разработки ПО среда разработки значительно отличается от окружения, в котором приложение реально будет работать. Тот факт, что различные компьютеры будут сконфигурированы по-разному — очевиден и предсказуем, но при этом различное поведение приложения на этих компьютерах недопустимо.
С учетом описанных трудностей, контейнерные технологии фактически стали революцией в деплойменте, а разработки, такие как Docker, привели к взрывному росту популярности. Что же делают контейнеры? Позволяют развернуть ПО вместе со всеми необходимыми зависимостями и в конфигурации, необходимой для успешной работы приложения в пользовательской среде выполнения. Таким образом, контейнерные образы позволяют «упакованной», конечной среде выполнения быть почти идентичной среде разработки, при этом избегая затратной эмуляции операционной системы.
В результате получаем весьма легковесный пакет, зачастую запускающий всего несколько процессов, специфичных для приложения. Такой пакет легко распространять, деплоить и запускать на различных инстансах. Если подытожить вышесказанное, контейнеры гарантируют одинаковое поведение приложения в различной программной среде.
В этой статье — краткий обзор нескольких важных инструментов управления контейнерами. Если вы планируете работать с контейнерными технологиями, вам необходимо хотя бы ознакомится с этим набором приложений.
Это не детальный обзор, так же не предоставляет сравнение или оценку. Рассматривайте ее как начальную точку в исследовании инструментов управления контейнерами. Ниже небольшой список и краткий обзор, в надежде помочь вам выбрать инструменты для дальнейшего более глубокого изучения.
Docker
Docker – одна из наиболее популярных платформ. Вполне возможно, что именно Докер является причиной недавнего взлета популярности технологии контейнеров (сама технология не так уж нова, и существует более 10 лет).
Docker обеспечивает функционал для развертывания и запуска контейнерных приложений. Контейнеры чем-то напоминают виртуальные машины, но реализованы на более высоком уровне, чем ОС и с меньшей изоляцией. Вместо упаковки всей операционной системы со всем необходимым софтом, контейнеры упаковывают только приложение и его прямые зависимости. Это основная концепция, реализованная Docker.
Формат Docker похож на обычный package, за исключением того, что пакет является автономным, и несколько копий может быть запущено на одном хосте (или на различных хостах). Такой подход максимально эффективно использует ресурсы, повышает производительность и снижает размер приложения. При этом Docker обеспечивает высокую степень изоляции, ограничивая проблемы приложения внутри самого контейнера, без ущерба для машины.
Kubernetes
Docker отлично подходит для работы с контейнерами на одном хосте и обеспечивает весь необходимый функционал для этой цели. Но в сегодняшних реалиях распределенных сервисов важной задачей является управление ресурсами и рабочими нагрузками на серверах и в сложных инфраструктурах.
Одним из таких инструментов является Google Kubernetes. Это непривычное греческое слово переводится как «губернатор» или «командир». Как подсказывает название, Kubernetes берет на себя тяжелую работу по оркестрации (организации) контейнеров на многих узлах, предлагая большой выбор полезных функций.
Service Discovery
В последнее время экосистема контейнерных приложений выросла вместе с ростом популярности архитектурного стиля Микросервисов. Идея Microservices Architecture состоит в разделении тяжелого монолитного приложения на небольшие (полу)автономные службы, которые взаимосвязаны между собой в распределенной системе. А поскольку количество сервисов в такой системе увеличивается в разы, нет смысла вручную назначать и учитывать порты, которые приложения «прослушивают». Разумнее после развертывания контейнера назначить порт автоматически. И хотя такой подход решает проблему конфликта между портами, он же делает невозможным поиск нужного сервиса и предоставление его другим службам.
Решение указанной проблемы – технология Service Discovery. Работает Service Discovery следующим образом: в момент запуска служб происходит регистрация в реестре распределенных ключей / значений с IP-адресом и номером порта, где другие службы могут легко находить и вызывать нужный сервис.
Планировщик (Sheduler)
Другая важная функция, предоставляемая Kubernetes, — планирование. Планировщик берет на себя задачу запуска контейнеризованных приложений с учетом доступных ресурсов, текущих задач и запросов. Другими словами, планировщик выполняет масштабирование, переназначение задач на разные хосты и перемещение рабочих нагрузок между мощностями в случае неполадок.
Благодаря множеству полезных функций и большому комьюнити, популярность Kubernetes последнее время быстро растет.
CoreOS
CoreOS — это операционная система на базе Linux, которая поставляется в комплекте с функционалом, необходимым для развертывания и запуска контейнерных приложений. Несмотря на относительно небольшие возможности по распределению нагрузки, CoreOS подходит как для односерверных, так и для кластерных вычислительных сред.
CoreOS выглядит серьезным конкурентом для других популярных дистрибутивов Linux благодаря своей встроенной возможности работать с контейнерами и адаптации для работы с публичными облачными приложениями.
CoreOS начинал с использования Docker как дополнительного уровня абстракции – и как стандартизованного формата для контейнеров, но позднее выпустил и поддерживает собственный контейнерный движок Rocket (rkt — keep reading).
Хотя CoreOS – ПО с открытым исходным кодом, доступна так же коммерческая версия системы под названием Tectonic. Tectonic является «freemium», его серьезным преимуществом является наличие в дистрибутиве Kubernetes для оркестровки контейнеров.
Etcd
Etcd, разработанный CoreOS, представляет собой легковесное распределенное хранилище ключ / значение с открытым исходным кодом. Etcd предоставляет приложениям надежный инструмент хранения данных в кластере серверов и позволяет им соответственно реагировать на изменения значений. Он используется Kubernetes как центральное хранилище, где все узлы кластера могут считывать / записывать данные конфигурации, а также для обнаружения сервисов (Service Discovery) и для управления выбором лидера (Leader Election).
rkt
rkt — платформа управления контейнерами для кластеров Linux. Базируясь на дизайне собственной ОС и на опыте взаимодействия с Docker, CoreOS разработал инструмент для создания, верификации и запуска контейнерных приложений с изоляцией.
rkt, как альтернатива Docker, была выпущена почти год спустя и с тех пор набирает популярность. Можно рассматривать rkt как улучшение Докера как минимум по двум причинам:
— обладает большей безопасностью, так как использует проверку подписи и разделение привилегий по умолчанию;
— обеспечивает переносимость: помимо возможности запуска образов Docker, rkt предназначен для запуска App Container Images (ACI) – образов в формате, указанном в открытой спецификации App Container Specification (appc).
Mesos
Apache Mesos — это ядро для распределенных вычислительных систем, построенное на тех же принципах, что и ядро Linux, но с другим уровнем абстракции. Его основная цель — с высоким уровнем изоляции консолидировать вычислительные ресурсы нескольких физических или виртуальных машин и сделать их доступными для центральной службы управления, как если бы это был один большой пул ресурсов. В двух словах, Mesos позволяет использовать кластер серверов как единую вычислительную мощность.
Размещая агента, который измеряет и сообщает о доступности ресурсов на каждой машине, Mesos может планировать и организовывать выполнение задач, а также проводить проверку их выполнения. Таким образом, задачи параллельно выполняются на нескольких серверах, чьи доступные ресурсы рассматриваются как единый пул (так называемые Mesos Frameworks).
Consul
Consul — это распределенная система, которая включает множество операций, но главное значение в ней имеют функции обнаружения сервисов (Service Discovery) и предоставление хранилища ключ / значение.
Как инструмент обнаружения сервисов, Consul позволяет приложениям регистрироваться у себя в качестве клиентов, предоставляющих услуги, такие как API. Затем другие системы могут обращаться непосредственно к Consul для поиска доступных сервисов. Встроенная проверка health check обеспечивает возможность принимать меры при возникновении угрозы, например, отказ принимать трафик от узлов, не прошедших проверку.
В качестве хранилища ключ / значение Consul предоставляет приложениям возможность сохранять данные конфигурации по узлам и реагировать на изменения этих данных, так же как и etcd. Consul, кроме этого, обеспечивает нативную поддержку нескольких дата-центров, более полную систему проверки работоспособности, основанную на gossip pool, свой собственный пул поиска сервисов и веб-интерфейс для мониторинга служб.
Google Container Engine
Google Container Engine (GKE) — это менеджер кластеров и система оркестровки для контейнеров Docker. Система с открытым исходным кодом, созданная кампанией Google на основе Kubernetes, может использоваться для:
- создания, изменения размеров и отладки кластеров контейнеров
- автоматического масштабирования приложений
- создания и управления подами (pods)
В сравнении с Kubernetes, Google Container Engine предоставляет дополнительный набор сервисов для разработчиков и системных администраторов. Например, балансировка нагрузки, отслеживание метрик и логирование обеспечиваются системой GKE.
AWS ECS
Аналог Гугловского GKE производства Amazon — контейнерная служба EC2 (ECS). Как и большинство подобных сервисов, ECS поддерживает Docker и позволяет запускать контейнеризованные приложения на инстансах EC2 от Amazon.
Как и GKE, ECS — это активно управляемый сервис с множеством удобных функций, в том числе развертывание контейнеров, планирование, автоматическое масштабирование, балансировка нагрузки, мониторинг ресурсов на уровне кластера, а также бесшовное взаимодействие с остальным стеком сервисов AWS. Хотя ECS работает только на VPC (Amazon Virtual Private Cloud), сама служба предоставляется бесплатно, поэтому платить придётся только за использование ресурсов Amazon по обычному тарифу.
На правах рекламы. Это не просто виртуальные серверы! Это VPS (KVM) с выделенными накопителями, которые могут быть не хуже выделенных серверов, а в большинстве случаев — лучше! Мы сделали VPS (KVM) c выделенными накопителями в Нидерландах и США (конфигурации от VPS (KVM) — E5-2650v4 (6 Cores) / 10GB DDR4 / 240GB SSD или 4TB HDD / 1Gbps 10TB доступными по уникально низкой цене — от $29 / месяц, доступны варианты с RAID1 и RAID10), не упустите шанс оформить заказ на новый тип виртуального сервера, где все ресурсы принадлежат Вам, как на выделенном, а цена значительно ниже, при гораздо более производительном «железе»!
Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки? Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США!
habr.com
Ажиотаж вокруг контейнеров | Журнал сетевых решений/LAN
Контейнерная виртуализация еще недавно воспринималась как некая диковинка, в лучшем случае ее рассматривали как недорогой вариант создания инфраструктуры для хостинга. Но сегодня, когда благодаря облачной революции на первый план вышли такие требования к центрам обработки данных, как эластичность, масштабируемость и высокая вычислительная плотность, контейнеры стали предметом повышенного интереса — прежде всего потому, что они как нельзя лучше подходят для решения названных задач. Почему же о них раньше забывали и почему вспомнили теперь?
В самых общих чертах виртуализация — это искусство запуска одной операционной системы поверх другой. История ее развития довольно долгая и богатая. Задолго до гипервизоров и UNIX-систем виртуализация использовалась в мейнфреймах для разделения различных операционных систем. Широкое распространение в системах UNIX и Linux она получила лишь в начале века. В 2001 году компания VMware выпустила серверный продукт для виртуализации на основе гипервизора, привлекший внимание корпоративных заказчиков. Практически в то же самое время компания Parallels представила решение для контейнерной виртуализации Virtuozzo, заслужившее признание у провайдеров услуг хостинга. Такое разделение сохранялось почти 12 лет: гипервизорной виртуализации не удавалось завоевать сколько-нибудь значимый кусок рынка хостинга, а контейнеры не могли проникнуть в корпоративный сегмент. Перелом наметился в 2013 году, когда новый разработчик Docker привлек внимание представителей бизнеса к преимуществам контейнерной технологии.
КОНТЕЙНЕРЫ ПРОТИВ ГИПЕРВИЗОРОВ — ВСЕ ДЕЛО В ПЛОТНОСТИ
Гипервизор работает следующим образом (см. Рисунок 1): операционная система хоста эмулирует аппаратное обеспечение, поверх которого уже запускаются гостевые операционные системы. Это означает, что взаимосвязь между гостевой и хостовой операционными системами следует «железной» парадигме: все, что «умеет» делать оборудование, должно быть доступно гостевой ОС со стороны хостовой. Напротив, контейнеры (см. Рисунок 2) — это виртуализация на уровне операционной системы, а не оборудования, то есть каждая гостевая ОС использует то же самое ядро (а в некоторых случаях — и другие части ОС), что и хостовая. Это дает контейнерам большое преимущество: они меньше и компактнее гипервизорных гостевых сред, поскольку у них с хостом гораздо больше общего.
 |
| Рисунок 1. Схема гипервизорной виртуализации. |
 |
| Рисунок 2. Схема контейнерной виртуализации. |
Другой большой плюс — значительно большая эффективность контейнерной виртуализации в отношении совместного использования ресурсов, так как для нее контейнеры — это всего лишь управляемые ресурсы. К примеру, когда Контейнер 1 и Контейнер 2 работают с одним и тем же файлом, ядро хоста открывает этот файл и размещает страницы из него в страничный кэш ядра, которые затем передаются Контейнеру 1 и Контейнеру 2: если оба «хотят» прочитать одни и те же данные, они получают одну и ту же страницу. Если же гипервизорным виртуальным машинам VM1 и VM2 надо выполнить такую же операцию, то сначала сам хост открывает запрашиваемый файл (создавая страницы в своем страничном кэше), а затем еще и каждое из ядер VM1 и VM2 выполняет аналогичное действие. Таким образом, в процессе чтения машинами VM1 и VM2 одного и того же файла в памяти существует целых три одинаковых страницы (по одной в страничном кэше хоста и в ядрах VM1 и VM2), потому что они не «умеют» одновременно использовать одну и ту же страницу, как это делают контейнеры.
Дело даже не столько в «чтении» файлов, сколько в возможности использовать одну копию исполняемых файлов и разделяемых библиотек (shared libs) в разных контейнерах. В обычной системе, если два или более процесса обращаются к одной и той же разделяемой библиотеке (например, libc), ее код присутствует в памяти только в одном экземпляре. Это относится и к исполняемым файлам, и к сегментам немодифицируемых данных, что позволяет существенно снизить требования к размеру оперативной памяти. Так как контейнеры используют единое ядро, вышеописанный механизм при некоторых условиях распространяется и на них, что приводит, в частности, к повышению плотности их размещения, которая и без этого механизма изначально выше, чем у виртуальных машин, поскольку отсутствуют множественные копии ядра.
В результате у контейнеров плотность (количество виртуальных сред, которые можно запустить на сервере) может быть до трех раз выше, чем у виртуальных машин, а на одном сервере вполне может размещаться несколько сотен контейнеров. Столь высокая плотность — одна из главных причин популярности контейнеров на рынке хостинга виртуальных выделенных серверов (VPS). Если на одном и том же сервере можно создать в три раза больше VPS, то в расчете на один VPS затраты снижаются на 66%, что для такого низкомаржинального бизнеса, как хостинг, иногда равно разнице между убыточностью и прибыльностью.
Конечно, не все идеально в мире контейнеров. Например, из-за совместного использования ядра на одном сервере нельзя запускать разные гостевые ОС (например, на системе с Linux-контейнерами невозможно запустить FreeBSD или Windows, но разные дистрибутивы Linux — сколько угодно). Поэтому Windows и Linux на одном и том же сервере (что для гипервизоров не проблема) не работают. Однако по крайней мере в случае Linux этот недостаток можно смягчить за счет использования интерфейсов ABI и библиотек: благодаря этому появляется возможность запускать на одном сервере контейнеры с различными дистрибутивами Linux, но одновременно сокращается общая для этих контейнеров часть ресурсов. В максимальной же степени преимущества контейнеров проявляются в однородной среде.
ИСТОРИЯ КОНТЕЙНЕРОВ
В 2005 году компания Google занялась задачей массового предоставления Web-сервисов, а именно искала способ эластичного масштабирования ресурсов в своем центре обработки данных, чтобы каждый пользователь имел возможность получить достаточный уровень сервиса в любой момент, независимо от текущей загрузки, а оставшиеся ресурсы можно было использовать для служебных фоновых задач.
Поэкспериментировав с традиционной виртуализацией, сотрудники Google сочли ее не подходящей для решения этой задачи. Главной проблемой стали слишком большие потери производительности (соответственно, плотность оказалась слишком низкой) и недостаточно эластичный отклик для динамического переконфигурирования системы под изменившуюся нагрузку для массового предоставления Web-сервисов.
Последний пункт очень важен, потому что заранее предсказать, сколько запросов — десятки, сотни тысяч или даже миллионы — будут обслуживать Web-сервисы, невозможно. Но пользователи всегда ждут немедленного отклика (а это означает, что разница между нажатием кнопки и появлением результата на экране должна быть незаметна для глаз) независимо от того, сколько именно других людей в этот же момент работают с сервисом. Среднее время загрузки гипервизорной виртуальной машины — десятки секунд, поэтому такой тип виртуализации не подходит для этой задачи.
В то же самое время одна группа разработчиков экспериментировала с Linux и концепцией, основанной на механизме cgroups — так называемые контейнеры процессов. Google наняла этих специалистов для работы над контейнеризацией своих ЦОД с целью решения проблемы эластичности при масштабировании. В январе 2008 года часть технологии cgroup, используемой Google, была перенесена в ядро Linux. Так родился проект LinuX Containers (LXC). Тем временем Parallels выпустила версию своей виртуализации Virtuozzo с открытым исходным кодом под названием OpenVZ. В 2011 году Google и Parallels пришли к соглашению о сотрудничестве в области контейнерных технологий. Результатом стал релиз ядра Linux версии 3.8, представленный в 2013 году. В нем были объединены все актуальные на тот момент контейнерные технологии для Linux, что позволило избежать повторения болезненного разделения ядер, как в случае с KVM и Xen.
КОНТЕЙНЕРЫ НА ПРЕДПРИЯТИИ: ПОЧЕМУ АЖИОТАЖ ИМЕННО СЕЙЧАС?
Для хостинг-провайдеров основное преимущество контейнерной виртуализации заключается в плотности, которая корпоративным клиентам была не очень-то нужна. Для последних виртуализация предлагалась как решение проблемы низкой загруженности серверного оборудования (чтобы не простаивало) и способ использования свободных вычислительных ресурсов. А раз необходимости увеличивать нагрузку не было, то и контейнеры практически игнорировались корпоративным сегментом, на который приходится 85% всего рынка виртуализации.
Ситуация начала меняться после 2010 года — с ростом объемов облачных вычислений. При этом компании столкнулись с такими же трудностями, что и Google, — как добиться эластичного масштабирования ресурсов в центрах обработки данных и вдобавок обеспечить хороший уровень сервиса. И в этом случае у гипервизоров время загрузки оказалось слишком медленным для обеспечения быстрого отклика системы, что приводило к неспособности оперативно выделять необходимые объемы ресурсов. В то же время контейнеры позволяют обслуживать больше (как уже говорилось — до трех раз) клиентских запросов без необходимости добавлять оборудование. В результате корпоративные заказчики наконец обратили внимание на контейнеры.
Но возникли следующие проблемы: во-первых, сотрудники многих компаний просто не знали, что возможны и другие варианты виртуализации, кроме гипервизоров, и не умели работать с другой технологией, а во-вторых, значительные бюджеты уже были потрачены на покупку и управление гипервизорными решениями. В подобных условиях полный переход на новую технологию — не лучшая идея.
Такая ситуация сохранялась до 2013 года, когда только что вышедшая на рынок компания-разработчик Docker продемонстрировала, как легко «упаковать» контейнеризованное приложение в Linux и развернуть его с возможностью масштабирования прямо в dotCloud (сервис Platform as a Service, PaaS от Docker). Предприятия заинтересовались данным подходом. Одновременно OpenStack пообещала объединить системы управления облаками (Cloud Management) в единую платформу, охватывающую обе технологии виртуализации. Когда бизнес наконец-то увидел возможность управлять своими центрами обработки данных на основе гипервизоров с помощью единого инструмента, который параллельно позволяет осуществлять масштабное развертывание контейнеризованных приложений, начался настоящий бум.
КОНТЕЙНЕРЫ И NFV
В качестве примера нестандартного подхода к решению задач виртуализации с помощью контейнеров рассмотрим виртуализацию сетевых функций (Network Function Virtualization), весьма востребованную технологию на рынке телекоммуникаций. Традиционно при NFV с использованием гипервизора сетевая функция выполняется в гостевом ядре и пропускает через себя весь сетевой трафик, для чего применяются средства виртуального драйвера. Последний, в свою очередь, извлекает этот трафик непосредственно из физического канала передачи информации (что соответствует первому уровню сетевой модели OSI). Благодаря такому подходу гостевая система может обрабатывать сетевой трафик с эффективностью физического устройства, находясь при этом в виртуальной среде под программным контролем.
Упомянутую сетевую функцию можно реализовать в гостевой системе через один или несколько стандартных сетевых интерфейсов. А вместо внедрения драйвера можно попробовать подсоединить контейнер к такой проксирующей функции с помощью средств сетевого интерфейса. Применяемая в контейнерах технология под названием «сетевое пространство имен» (network namespace) позволяет превратить сетевой интерфейс из совместно используемого в выделяемый одному контейнеру. Поэтому, если есть возможность внедрить специальный драйвер в общее ядро операционной системы, сетевой интерфейс, с которым связан этот драйвер, можно по-прежнему (как при использовании гипервизора) передать в отдельный контейнер посредством пространства имен.
С помощью такого специального драйвера контейнер получает способность обрабатывать сетевой трафик в виртуальной среде, при этом достигаются большая плотность виртуальных объектов и высокая эффективность, ведь контейнерная инфраструктура занимает меньший объем (по сравнению с виртуальными машинами). Эту концепцию можно развить: поскольку приложение в контейнере может пользоваться сервисами физической операционной системы, каждое из запущенных в ней приложений можно вынести в отдельный контейнер с собственной прокси-функцией и отдельное приложение будет запускаться в своем собственном сетевом окружении. В этом подходе, называемом контейнеризацией приложения, в контейнере размещается только приложение, без операционной системы. В результате плотность размещения приложений будет почти в 100 раз больше, чем при традиционной виртуализации.
БЛИЖАЙШЕЕ БУДУЩЕЕ: КОНТЕЙНЕРЫ РЕШАЮТ ВСЕ?
Контейнеры — это проверенная технология для достижения высокой плотности, большой гибкости и необходимого масштабирования. Они могут помочь с упаковкой и масштабным развертыванием Web-приложений, а использование их свойств в Web-приложениях и платформах способствует решению некоторых проблем, возникающих при предоставлении облачных услуг, таких, например, как многопользовательский доступ.
Однако контейнеры — не универсальное решение, тем более что бизнес уже инвестировал в такие ориентированные на гипервизоры технологии, как SR-IOV, VT-D и Network Function Virtualization. Большинство из них разработаны для осуществления прямой связи между гостевой виртуальной машиной и аппаратной или коммутационной системой с помощью специального драйвера, установленного в гостевом ядре. Так как контейнерная технология работает на уровне операционной системы, она не может «говорить» на языке «железа», но почти для каждой корпоративной аппаратной гипервизорной технологии (например, SR-IOV или NFV) есть решение, которое может быть использовано в контейнере.
Однако реальность такова, что контейнерный подход не будет работать, если рассуждать о нем в парадигме гипервизора. Вместо этого стоит подумать, как сделать одну из упомянутых выше технологий доступной для контейнеров. Или просто оценить потребности своего бизнеса и современные возможности виртуализации и спросить себя, а что будет, если выбрать контейнеры. Результаты могут вас удивить.
Джеймс Боттомли — технический директор продуктов серверной виртуализации Parallels, член совета Linux Foundation (Technical Advisory Board Member of Linux Foundation).
Поделитесь материалом с коллегами и друзьями
www.osp.ru