VMware Cloud Foundation спонсировала этот пост.
Контейнеризация изменила способы создания и развертывания приложений, но также создала новые операционные проблемы. Традиционные образы контейнеров часто включают гораздо больше компонентов, чем необходимо — утилиты оболочки, менеджеры пакетов и библиотеки, которые никогда не используются работающим приложением. Такое раздувание увеличивает размеры образов, замедляет развертывание и расширяет поверхность атаки.
Чтобы удовлетворить современные требования к производительности и безопасности, отрасли следует рассмотреть возможность перехода к более минимальным и детерминированным образам. Именно здесь «точеные» контейнеры — образы, включающие только то, что необходимо для запуска приложения и ничего больше — предлагают новый путь вперед.
Что такое точеные контейнеры?
Усовершенствованные контейнеры создаются путем удаления большинства несущественных компонентов из базового образа — ни оболочки, ни менеджера пакетов, ни зависимостей времени выполнения, кроме тех, которые строго требуются приложению. Эта концепция была реализована в экосистеме Ubuntu, где автоматизация «отрезает» ненужные слои, сохраняя при этом идентичное поведение и стабильность во время выполнения. Тот же принцип можно применить и к другим дистрибутивам и платформам Linux.
Например, тесты Canonical показывают уменьшение размера образа до 90 % для приложений .NET и примерно на 50 % для рабочих нагрузок Java по сравнению со стандартными базовыми образами Ubuntu. Меньшие образы означают более быстрое развертывание, меньшее количество CVE и более простое соблюдение требований.
(Источник: Broadcom)
Почему организации принимают точеные контейнеры
Сокращение изображений только до основных компонентов улучшает:
- Безопасность и соответствие: Удалив оболочки, компиляторы и пакетные инструменты, усовершенствованные контейнеры значительно снижают подверженность распространенным CVE. По данным Ubuntu, такой подход сокращает до 80% поверхности атаки контейнера по сравнению с традиционным образом, что значительно снижает риск появления уязвимостей. Это упрощает рабочие процессы установки исправлений и помогает командам поддерживать соответствие нормативным требованиям, таким как Руководства по технической реализации безопасности (STIG) и Федеральные стандарты обработки информации (FIPS).
- Производительность и эффективность: Меньшие изображения напрямую приводят к более быстрому извлечению, сокращению времени запуска и снижению затрат на полосу пропускания и хранения. Это особенно важно для крупномасштабных микросервисов или периферийных рабочих нагрузок.
- Эксплуатационная простота: Точеные контейнеры по своей конструкции детерминированы и неизменяемы. Без оболочек или менеджеров пакетов модификация во время выполнения невозможна, что обеспечивает единообразную сборку в разных средах и устраняет классические проблемы «это работает на моей машине».
- Устойчивость: Более экономичные изображения потребляют меньше вычислительных и сетевых ресурсов, что снижает как затраты, так и воздействие на окружающую среду.
Эти преимущества напрямую трансформируются в практические преимущества в нескольких ключевых сценариях развертывания.
Рекомендуемые варианты использования минимальных изображений
Ниже приведены некоторые области, где точеные контейнеры наиболее полезны.
- Регулируемые нагрузки: Рабочие нагрузки в здравоохранении, финансах и государственном секторе выигрывают от безопасных, предсказуемых и проверяемых сред выполнения.
- Электронная коммерция и пакетная мощность: Продуманные контейнеры позволяют электронной коммерции и другим приложениям с высокой нагрузкой быстро масштабироваться во время пиков трафика, сокращая затраты и энергопотребление за счет более быстрого запуска и снижения накладных расходов.
- Развертывания Edge и IoT: Минимальные образы быстро развертываются по ограниченным соединениям и эффективно работают на ограниченных устройствах.
Как точеные контейнеры интегрируются с ВКС
Поскольку предприятия внедряют минимальные образы контейнеров, согласованность в их средах Kubernetes становится важной. VMware vSphere Kubernetes Service (VKS), сертифицированная CNCF среда выполнения Kubernetes, встроенная в VMware Cloud Foundation (VCF), позволяет инженерам платформ развертывать и управлять как традиционными, так и усовершенствованными контейнерами в рамках унифицированной платформы.
Благодаря интегрированному управлению несколькими кластерами, централизованному применению политик и согласованной модели безопасности VKS помогает командам использовать минимальные детерминированные образы, сохраняя при этом соответствие требованиям в облаках и центрах обработки данных.
Усовершенствованные контейнеры Ubuntu от Canonical, развернутые на VCF, иллюстрируют, как организации могут добиться одновременно высокой производительности и надежной безопасности в пределах корпоративного пространства Kubernetes.
В этой демонстрации подчеркиваются преимущества использования усовершенствованных контейнеров Ubuntu от Canonical в VMware Cloud Foundation (VCF).
Будущее безопасного развертывания приложений
Точеные контейнеры не просто меньше. Они представляют собой более разумную и безопасную основу для современных приложений. Удалив несущественные компоненты, они обеспечивают измеримые улучшения эффективности, воспроизводимости и соответствия требованиям. По мере того, как все больше организаций модернизируют свои платформы, использование минимальных детерминированных изображений станет стандартной передовой практикой.
VMware Cloud Foundation — это частная облачная платформа со встроенной средой выполнения Kubernetes и доступом самообслуживания для запуска приложений, созданных как на виртуальных машинах, так и на контейнерах. Упростите инфраструктуру, сократите затраты и сложность, а также повысьте эффективность — одна платформа, одна операционная модель для всех рабочих нагрузок. Узнайте больше Последние новости от VMware Cloud Foundation ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной новости. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Панкадж Гупта — старший директор по решениям для частных облаков в VMware by Broadcom, где он помогает клиентам получить полную отдачу от инвестиций в частное облако. Ранее он руководил рыночными инициативами в области сетевых технологий, безопасности и облачных технологий в… Подробнее от Панкаджа Гупты
