作者:容器鏡像服務團隊
伴隨着企業 IT 數字化轉型演變的進程,越來越多的企業採用雲原生化架構升級的方式,改善應用開發運維迭代的效率,加速企業業務創新;改進資源彈性管理和遷移的效率,幫助企業降本增效。
將業務進行容器化改造並打包成容器鏡像是雲原生化實踐的第一步,爲了使企業開發者更簡便地打造雲原生應用交付流程,2023 年 1 月,阿里雲容器鏡像服務 ACR 正式推出“雲原生製品中心”, 爲容器開發者免費提供了來源於阿里雲官方、龍蜥社區的安全可信容器基礎鏡像。
企業容器鏡像常見風險
很多企業會依靠來自公開平臺的容器基礎鏡像來打包,這存在以下的問題:
安全風險肆意:以全球最大規模的公共容器鏡像平臺 Docker Hub 爲例,據文獻 [ 1] 分析其中 2500 個鏡像後發現,高達 82% 被認證的容器鏡像至少包含 1 個高危漏洞,不含漏洞的容器鏡像僅佔比 17.8%。攻擊者可能利用組件中存在的漏洞,注入惡意代碼或控制第三方機器環境,執行從加密貨幣挖礦、發送垃圾郵件、到通過大型殭屍網絡發起 DDoS 攻擊。
無法便捷獲取:以 Docker 公司的政策約束 [ 2] ,2020 年 11 月 01 日起將逐步向 Docker Hub 匿名和免費用戶實施速率和拉取請求次數限制。國內的客戶由於網絡和性能限制,無法便捷高效、大規模拉取對應的容器基礎鏡像,甚至導致 K8s 上節點卡住其他業務鏡像運行。
缺少維護及優化:大多公共容器鏡像平臺都缺少對鏡像上軟件包的持續維護更新、問題修復、新功能支持等。並且容器鏡像都是面向通用的應用環境,缺少對各類業務場景的性能優化,無法讓客戶更高效利用底層基礎設施的能力。
阿里雲 ACR 雲原生製品中心
爲了解決以上的問題,阿里雲容器鏡像服務(ACR)推出了雲原生製品中心,爲容器開發者免費提供了來源於阿里雲官方、龍蜥社區的安全可信容器基礎鏡像。包含應用容器化基礎 OS 鏡像、基礎語言鏡像、AI/大數據相關鏡像類別,覆蓋 ARM、ARM 64、x64、x86-64 多種系統架構,讓您業務容器化過程更加便捷高效、更加安全可信。
內容安全可信
容器鏡像均以 Anolis OS(Anolis OS由龍蜥開源社區發佈的龍蜥操作系統,兼容 RHEL/CentOS Linux的社區發行版)、Alibaba Cloud Linux(Alibaba Cloud Linux 簡稱 Alinux,是由阿里雲操作系統團隊以 Anolis OS 爲基礎構建的阿里雲操作系統發行版)爲基礎鏡像。在上層軟件包來源上,阿里雲操作系統團隊及龍蜥社區會定期對鏡像中軟件包進行定期 CVE 修復,從軟件供應鏈的源頭保障容器業務的安全。
便捷使用支持
-
- 大規模分發:阿里云云原生製品中心本身基於 ACR 企業版實例搭建,支持容器鏡像、Helm Chart 等符合 OCI 標準的雲原生製品安全託管及高效分發,支持千節點的分發,確保您大規模拉取及使用體驗。
- 鏡像訂閱:如果同時您的業務鏡像也放在 ACR 企業版實例上,您可以使用製品訂閱功能,訂閱製品中心的鏡像,滿足訂閱規則的容器鏡像版本將會被自動同步到企業版實例的目標倉庫中。
長期維護支持
-
- 阿里雲官方:來源於阿里雲官方的容器鏡像,將由阿里雲確保對應的鏡像版本更新及鏡像安全修復。您可以通過加入釘釘羣,享受由阿里雲提供的技術支持服務。(釘釘羣號:33605007047)
- 龍蜥社區:來源於龍蜥社區的容器鏡像,將由龍蜥社區確保對應的鏡像版本更新及鏡像安全修復。有相關問題諮詢,您可以直接通過龍蜥社區渠道反饋,阿里雲將會協助您與龍蜥社區間的諮詢。(釘釘羣號:44701621)
優質容器鏡像推薦
- Alibaba Cloud Linux 2/3
Alibaba Cloud Linux 是阿里雲基於龍蜥社區(OpenAnolis)的龍蜥操作系統(Anolis OS)打造的操作系統發行版,在兼容 RHEL/CentOS 生態的同時,爲雲上應用程序提供安全、穩定、高性能的定製化運行環境。Alinux2/Alinux3 容器鏡像中用戶態軟件包保持與新版 CentOS 兼容,爲保障系統的安全性,會緊密跟進業界與社區發現的軟件包問題及安全漏洞(CVE),及時更新修復軟件缺陷和修補安全漏洞,確保容器鏡像的內容完整安全。
- Dragonwell
Alibaba Dragonwell 是阿里巴巴開源的 JDK,它是 OpenJDK 的下游,提供了 OpenJDK 的所有能力,並且通過 AdopeOpenJDK 社區進行構建發佈,提供高質量的經過測試驗證的 JDK 發行版。除了 OpenJDK 已有功能外,Alibaba Dragonwell 還增加了以下獨有特性:
-
- JWarmup:根據前一次程序運行的情況,記錄下熱點方法、類編譯順序等信息,在應用下一次啓動的時候積極加載相關的類,並積極編譯相關的方法,進而應用啓動後可以直接運行編譯好的 Java 代碼。
- JFR:Java Flight Recorder (JFR) 是一款用於收集 Java 應用運行過程中的診斷及性能數據的工具,目前已經被集成進 Alibaba Dragonwell 中。在使用默認配置的情況下,JFR 帶來的額外開銷將小於 2%,因此可以用在生產環境。
- Wisp 協程:Wisp 在 JVM 上提供了一種用戶態的線程實現。開啓 Wisp2 後,Java 線程不再簡單地映射到內核級線程,而是對應到一個協程,JVM 在少量內核線上調度大量協程執行,以減少內核的調度開銷,提升 web 服務器的性能。
-
Golang/Nginx
基於 Anolis OS 構建的 golang 語言鏡像、nginx 應用鏡像,可以讓用戶開箱即用的搭建業務容器鏡像。龍蜥社區上基礎應用軟件包,如 nginx,也是會緊密跟進業界與社區發現的軟件包問題及安全漏洞,及時更新修復軟件缺陷和修補安全漏洞,確保容器鏡像的內容完整安全。
- 倚天優化鏡像 mysql/redis
基於 Alinux3 的倚天優化鏡像,主要是在鏡像中集成了智能優化調優軟件 KeenTune,KeenTune(輕豚)是一款 AI 算法與專家知識庫雙輪驅動的操作系統全棧式智能優化產品,提供 CPU、內存、IO、網絡等領域的調優解決方案。在典型業務場景,倚天優化鏡像在 g8y.2xlarge 規格上驗證,大部分場景可以帶來20% 以上的性能提升。其中 mysql 在 write only 場景有30%左右提升,redis 在 set/get 等場景都有 30% 左右的性能提升。
讓雲原生化轉型進程更安全、更便捷、更高效
阿里雲容器鏡像服務將持續與龍蜥社區合作,在近期將陸續提供高頻使用的容器基礎鏡像 50 個,包含應用容器鏡像 influxdb、tomcat、consul 等,其中部分應用鏡像將集成 Keentune 智能調度優化能力。同時我們也期待更多 ISV 或者開源軟件願意加入我們的合作伙伴計劃,您可以通過留言與我們聯繫。希望我們能打造內容豐富、安全可信的雲原生製品生態,讓衆多容器開發者更放心、更便捷、更高效的實現雲原生化轉型。
參考文獻
[1] WIST K, HELSEM M, GLIGOROSKI D. Vulnerability analysis of 2500 docker hub images[M]//DAIMI K, ARABNIAHR, DELIGIANNIDISL, et al. Advances in security, networks, and Internet of things. Cham:Springer,2021:307-327.
[2] https://docs.docker.com/docker-hub/download-rate-limit/
點擊此處,直達阿里雲 ACR 雲原生製品中心