Docker容器的將來，將繼續充分利用Linux功能

點關注，不迷路；持續更新Java架構相關技術及資訊熱文！！！

Michael Crosby是現在最有影響力的Docker容器開發人員之一，他幫助領導containerd的開發以及擔任Open Container Initiative（OCI）技術監督主席。近日，他在DockerCon 19上，Crosby在演講中概述了Docker的過去，如今以及將來。Docker的早期歷史與Linux密切相關，事實證實，Docker的將來也是如此。

Crosby指出，Docker在2013年開始使用LXC做爲其基礎，但在過去的六年中，它已經超越了這一點，首先是由docker主導的libcontainer工做，以及最近在Linux基金會的相關方面OCI的工做，它開發了一個容器運行時的開放規範。該規範包括runc容器運行時，它是Crosby幫助領導的開源容器項目的核心。Containerd是雲計算原生基金會（CNCF）的託管項目，是Kubernetes等少數項目之一，已經「畢業」，在項目穩定性和成熟度方面將其置於CNCF層次結構的頂層。

Docker 19.03

Docker既有緩慢發展的企業版，也有更快速發佈的社區版。在DockerCon 19上，基於Docker Community Edition（CE）18.09里程碑宣佈了Docker Enterprise 3.0。Docker開發人員目前正在努力完成版本爲19.03的Docker CE的下一個主要版本。

Docker CE發佈的基於時間的命名意味着19.03應該是在2019年3月發佈，但事實並不是如此。Docker的編號發佈週期有所延遲，最近的發佈日期與實際的通常可用性不匹配。例如，目前的Docker CE 18.09里程碑在2018年11月廣泛可用，而不是2018年9月。可是，當前的Docker CE編號與版本的功能凍結日期更緊密地對齊。Docker CE的GitHub存儲庫指出19.03版本的功能凍結直到3月22日才發生。測試版4的發佈時間是5月13日，最終的通常可用性發布日期在5月某個時候列爲「待定」。

Crosby表示，在Docker CE 19.03中出現的新功能中，全面支持英偉達GPU，這標誌着Docker首次以無縫方式集成了GPU支持。Crosby補充說，英偉達GPU支持將使容器工做負載可以充分利用這些GPU提供的額外處理能力，這一般是人工智能和機器學習用例所須要的。

Containerd也獲得了提高，推動了Docker CE中的1.2版本。Containerd 1.2受益於多個錯誤修復和性能提高。此版本中的新功能包括一個更新的運行時，它集成了一個gRPC接口，旨在簡化容器管理。整體而言，Crosby評論說Docker的許多常見基礎元素隨着時間的推移保持不變。 「儘管咱們在2013年在Docker中擁有了相同的原型，但它們已通過優化，並且預趨成熟了，」Crosby說。

Docker的將來

Docker容器最初都是爲了充分利用Linux功能。就像Docker容器基於一系列Linux內核功能開始同樣，Docker的將來就是充分利用更新的內核功能。Crosby說，「容器由各類內核功能組成，如cgroups，命名空間，LSM和seccomp。咱們必須把全部這些東西捆綁在一塊兒，以創造咱們如今所知的容器。

期待容器和Docker的下一步，Crosby表示，這徹底是爲了處理近年來出現的不一樣需求。這些要求之一是須要利用Linux 5.0及更高版本中的現代內核功能，以及處理不一樣類型的新工做負載，包括狀態工做負載，這須要必定程度的持久性，而無狀態工做負載中不存在這種持續性。用於網絡邊緣部署的邊緣工做負載，是另外一個新興的用例，而不只僅是雲。物聯網（IoT）和小型設備和工業設置中的嵌入式工做負載也是Docker在2019年的一個重要用例。

Docker將在將來充分利用的Linux內核功能之一是eBPF，它有一天可用於編寫seccomp過濾器。Crosby解釋說，seccomp和BPF容許在內核中進行靈活的系統調用攔截，這爲容器的新控制和安全機會打開了大門。

控制組（cgroups）v2是Docker即將從中受益的另外一個Linux功能。自Linux 4.5發佈以來，Cgroups v2一直在內核中，但Docker並無當即採用它做爲支持技術。該項目並非惟一一個不當即支持cgroups v2，紅帽的Fedora社區Linux發行版也沒有集成cgroups v2，儘管它計劃發佈目前定於11月發佈的Fedora 31版本。Crosby表示，cgroups v2將爲Docker提供更好的資源隔離和管理功能。

做爲無根容器更普遍努力的一部分，Docker的路線圖也加強了用戶名稱空間支持；經過默認狀況下不過分配置權限來運行容器，它將有助於提升安全性。使用用戶命名空間運行無根Docker容器的想法並非一個新概念，但它很快就會成爲技術現實。「最後，通過這麼多年，用戶名稱空間處於一個咱們能夠真正構建它們並啓用無特權容器的地方，」Crosby說。

將來還將向Docker提供更多內核安全支持。Crosby表示，SELinux和AppArmor再也不是開發人員想要的惟一Linux安全模塊（LSM）。Docker開發人員正在努力支持的新興的LSM是Landlock。Crosby補充說，開發人員還可使用eBPF編寫本身的自定義LSM。此外，他強調了seccomp BPF的出現。

使容器更有狀態

Crosby最感興趣的領域之一是Docker的狀態功能，他認爲目前這些功能相對有限。更好的有狀態功能包括單個容器的備份，還原，克隆和遷移功能。Crosby解釋說，今天Docker中的有狀態管理一般依賴於存儲卷而不是實際的容器自己。

Crosby提到，「咱們如今理解鏡像是可移植的，但我也想將容器視爲能夠從一臺機器移動到另外一臺機器的鏡像。咱們但願RW [讀/寫]層能夠與容器一塊兒移動，而沒必要依賴存儲卷。」他還但願確保不只連接容器的文件系統數據，還要確保容器配置，包括用戶級數據和網絡信息。

從新思考容器鏡像傳遞

今天的容器鏡像主要經過容器註冊表提供，例如用於公共訪問的Docker Hub，或組織內的內部註冊表部署。Crosby解釋說，Docker鏡像是用一個名稱來標識的，這個名稱基本上是指向給定容器註冊表中內容的指針。每一個容器鏡像都歸結爲摘要，摘要是鏡像中包含的JSON文件和圖層的內容地址哈希。Crosby和Docker如今正在考慮的是一種方法，即經過跨節點的某種形式的點對點（P2P）傳輸方法來訪問和共享容器鏡像，而不是依靠集中式註冊表來分發鏡像。

Crosby解釋說，仍然須要一個註冊表來處理鏡像的命名，但內容地址blob能夠從一臺機器轉移到另外一臺機器，而無需直接與註冊表交互。在用於鏡像傳遞的P2P模型中，註冊表能夠將容器鏡像發送到一個節點，而後用戶可使用諸如BitTorrent同步之類的東西來共享和分發鏡像。Crosby說，雖然自2013年以來容器開發已經成熟了不少，但仍有工做要作。「從咱們過去幾年到如今，我認爲會看到不少相同類型的東西，咱們仍然會關注穩定性和性能。」

寫在最後

最後，歡迎作Java的工程師朋友們加入Java高級架構進階Qqun：963944895

羣內有技術大咖指點難題，還提供免費的Java架構學習資料（裏面有高可用、高併發、高性能及分佈式、Jvm性能調優、Spring源碼，MyBatis，Netty,Redis,Kafka,Mysql,Zookeeper,Tomcat,Docker,Dubbo,Nginx等多個知識點的架構資料）

比你優秀的對手在學習，你的仇人在磨刀，你的閨蜜在減肥，隔壁老王在練腰， 咱們必須不斷學習，不然咱們將被學習者超越！

趁年輕，使勁拼，給將來的本身一個交代！