为什么要进行服务器虚拟化？

服务器虚拟化，就能实现在指定的物理服务器主机上以访客身份运行多个服务器 *** 作系统。这样就能将服务器软件从物理计算机抽离出来，服务器就会成为与物理层面分离的虚拟机 ，尽管服务器认定它拥有专属计算和内存资源，然而实际上，它是在服务器硬件的虚拟仿真品上运行。

服务器虚拟化能够比以往更高效地利用 IT 资源。在服务器虚拟化之前，同一数据中心内的硬件利用不足或过度利用的情况比比皆是。通过虚拟化，数据中心可以根据负载情况在虚拟机之间转移工作负载。同一台物理服务器也可以运行多个服务器 *** 作系统和配置，从而进一步提高效率。服务器虚拟化是云计算和混合 IT 的基础。

作为一种新兴的虚拟化方式，docker跟传统的虚拟化方式相比具有众多优势。
首先，docker容器的启动可以在秒级实现，这相比传统的虚拟机方式要快很多;其次，docker对系统资源的利用率很高，一台主机上可以同时运行数千个docker容器。
容器除了运行其中应用外，基本不消耗额外的系统资源，使得应用的性能很高，同时系统的开销尽量小。传统虚拟机方式运行10个不同的应用就要起10个虚拟机，而docker只需要启动10个隔离的应用即可。

随着互联网的不断发展，我们在软件编程开发以及硬件设备架构等领域都有了新的方法，而关于安全问题的环境优化一直都没有忘记，下面电脑培训就一起来了解一下，关于容器设置的安全问题都有哪些方面。

隔离

早期，很多企业都会使用硬件虚拟化，更换为容器后要注意，容器中所谈的隔离与虚拟机(VM)隔离存在很大不同。当应用程序被攻击时，VM提供的隔离可以有效限制攻击者在应用程序堆栈内横向移动，但容器化应用程序共享主机 *** 作系统资源，无法做到完全隔离。但是，两者被攻击的概率并没有显著不同，只是虚拟机被攻击后的影响范围会相对小些。

解决隔离问题简单的方法就是在虚拟机上运行容器。容器的显著好处是运行时可在任何地方运行，包括正在被逐渐抛弃的虚拟机。一些企业在虚拟机上运行容器化应用程序，以通过虚拟机隔离容器，防止攻击者在应用程序堆栈中横向移动以访问属于其他应用程序的数据。虽然此策略可以限制攻击的严重性，但并不会阻止攻击发生。

运行时

容器的动态特性引入了应用程序部署团队必须理解和管理的新运行时复杂性，类似Kubernetes这样的容器编排系统旨在快速提供容器镜像的复制实例。容器化应用程序由一个或多个容器镜像组成，这些镜像耦合以形成应用程序所需的功能。

应用程序可伸缩性是指在给定点部署特定容器镜像数量的函数。当新功能准备部署，应用程序所有者将创建更新策略，以确保应用程序的现有用户不受更新影响。此更新策略定义了随更新前滚的镜像百分比，以及在发现错误时如何进行回滚。

由于容器化部署的动态特性，对恶意行为或未授权访问的监控变得比传统IT环境更难，容器化应用程序通常具有在主机服务器级别共享的不同资源请求。出于这些原因，IT运营和安全团队应成为其开发团队的合作伙伴，并实施信息共享以了解应用程序的预期行为。

运行时安全解决方案是实时检测和阻止其运行恶意活动的常用选项。通过监视对主机网络调用并尝试登录容器，这些解决方案构建了环境中每个应用程序的行为模型，这些行为模型可以了解所期望的网络 *** 作和文件系统以及 *** 作系统活动和功能。

补丁管理

大多数容器应用程序从基本镜像创建，基本镜像本质上是有限的、轻量级 *** 作系统。应用程序容器镜像将基本映像与特定于应用程序的元素(例如框架、运行时和应用程序本身)组合在一起，每个元素都是镜像中的一层，这些层可能存在软件漏洞，从而带来风险。传统应用程序安全性测试注重应用程序漏洞，而容器化应用程序安全测试必须解决图像层内隐藏的漏洞。

为创建自动化工作流和分享应用创建的云服务组成，由直接 *** 作虚拟主机（VM）, NodeJitsu 等云服务商都采用了类似这种轻量级的虚拟化技术。
好的部分
Docker相对于VM虚拟机的优势十分明显、轻量级的运行环境和包管理器，的：
Docker Engine: 一个便携式。
云支持
不计其数的云服务提供创建和管理Linux容器框架,转换到 *** 作程序运行的“容器”上来Docker是什么。
生态系统
正在越来越受欢迎，在bare metal（裸机）上布署像点个按钮一样简单，而且会更便宜？
简单得来说。
其实Container技术并非Docker的创新，但Docker是第一个将这这种Container技术大规模开源并被社区广泛接受的，重启等等） 都是以秒或毫秒为单位的，仅供参考，仅需添加或减小镜像即可，注定比VMs要便宜。在一台服务器上可以布署100~1000个Containers容器;包管理 vs npm包管理，第一个版本的Docker正式发布到 2014年6月Docker 1，docker or LXC？）
Docker Hub，是不是跟npm特别像、 *** 作单元，用来发布和运行分布式应用程序的一个开放性。由现代Linux内核支持并驱动； 目前云服务的基石是 *** 作系统级别的隔离，从各个方面比VMs（OS系统级别虚拟化）都有非常大的提升？）
从2013年3月20日。 虽然发展历程很短，HeroKu。
便宜
开源的，在同一台物理服务器上虚拟出多个主机，开始，经历了15个月，Docker是一个由GO语言写的程序运行的“容器”（Linux containers，
轻量
你会拥有足够的“ *** 作系统”。
敏捷
像虚拟机一样敏捷，但Docker正在有越来越流行的趋势，不添加额外的 *** 作系统0 正式发布； 它改变我们基本的开发。（注 单OS vs 单线程。
Docker是为开发者和系统管理员设计的。由两部分组成，还可参考此IBM工程师对性能提升的评测，是不是跟NodeJS特别像，低成本的，只需要看一看Google的趋势就知道了。（注 云端镜像47， 以下部分摘自，那就是轻量和高性能和便捷性：KVM and Docker LXC Benchmarking with OpenStack
快
运行时的性能可以获取极大提升（经典的案例是提升97%）
管理 *** 作（启动。
有关Docker性能方面的优势。Docker则实现了一种应用程序级别的隔离。
灵活
将应用和系统“容器化”。注 轻量的Container必定可以在一个物理机上开启更多“容器”
还有不计其数的社区和第三方应用。转载， LXCs），停止

---