工業物聯網的容器化方法

雲栖号資訊：【 點選檢視更多行業資訊

】

在這裡您可以找到不同行業的第一手的上雲資訊，還在等什麼，快來！

容器化方法為跨實體計算資源的系統的運作和維護帶來了優勢。在IT世界中，企業可以利用容器技術将計算工作負載與運作它們的計算基礎分離。例如，這允許将計算硬體視為實用程式，進而允許在跨機架上部署多個工作負載，并根據需要擴充硬體資源(例如核心處理器、記憶體和存儲設施)。

跨硬體資源采用多個軟體負載可以更有效地利用硬體投資，并提高應對硬體故障的穩定性。通過允許可以更新集中式容器配置，然後将其推送到執行環境的方案，進而使軟體工作負載本身的維護和演化更加容易。應用于傳統企業IT的容器化技術已成為現代雲計算技術的關鍵推動力。

虛拟機

在通常情況下，可以将容器視為輕量級虛拟機。完整的虛拟機能夠完全仿真主機上的目标硬體層，其中包括CPU指令集、外圍裝置集等。虛拟機具有很高的可移植性，但由于在主機内模拟目标計算機的各個方面而導緻大量開銷。與要模拟的目标計算機相比，這實際上要求對主機進行過度指定。在許多情況下，這種仿真水準是不必要的。

基于虛拟機監控程式的虛拟化所需的主機資源少于完整的虛拟機。虛拟機管理程式為每個執行環境提供了基礎硬體的私有視圖，但是大多數情況下它都綁定到基礎主機架構，是以通過将硬體架構限制為主機架構，它确實獲得了一些額外的效率。在工業物聯網(IIoT)應用程式中，通常不需要由完整虛拟機或虛拟機管理程式提供的抽象和隔離級别。

容器并不是完整的虛拟機，而是在主機的限制和架構下運作。這樣，容器能夠與主機的CPU架構和低級作業系統(核心)接口，進而直接共享主機的硬體和核心資源。

容器取決于主機的底層作業系統，但是可以封裝并提供高層作業系統(使用者空間)的一部分。這允許在容器内的應用程式被建構并針對一組固定的版本化作業系統資源進行固定運作。

分區

大多數系統管理者或UNIX應用程式開發人員可能熟悉“依賴地獄”的概念，這使所有系統資源可用以使應用程式運作。在配置為在同一伺服器上運作的所有應用程式之間維護多個應用程式依賴關系，這通常是一項棘手且乏味的工作。容器允許每個應用程式将一組受控的依賴項與應用程式捆綁在一起，以便這些應用程式可以獨立地具有穩定的執行環境，并與同一伺服器上的其他容器化應用程式進行分區和隔離。為了友善起見，甚至應用程式更新也經常打包和部署為容器更新。是以，容器在目标機器上的應用程式元件之間提供了強大的分區。

增強安全性

由于容器是在容器引擎的場景中執行的，是以它可以通過限制容器引擎本身來增強對應用程式的安全性政策和限制。例如，在Linux托管環境中，使用“cgroups”，程序空間隔離、檔案系統控件、核心級強制通路控件之類的機制，可以強制限制容器引擎在這些控件下運作，例如限制記憶體、CPU使用率、對檔案系統特定部分的通路、對網絡資源的通路，或僅允許某些事先準許的核心操作子集。

通過容器引擎的機制施加這些限制，即使封閉的應用程式不知道或不合作參與這些控制，也施加了這樣的安全控制。這與現代IT安全優秀實踐一緻。

容器與應用程式類似，可以對其進行簽名和身份驗證，以便将内容分發到計算節點，并且可以在容器引擎的強加密下進行身份驗證。

編排系統

現代的容器化系統還包括編排系統或與編排系統互操作。編排系統提供了将容器分派到主機，并确定要将哪些容器分派到哪些主機的方法。此外，大多數編排系統允許應用配置以參數化容器，并支援管理名額/儀表闆以監視系統。當需要大規模協調容器的部署、供應和操作時，編排系統必須具備這些功能。

容器化方法和收益

在構造和維護容器方面，某些系統比其他系統具有更多的功能和特性。容器總是可以通過人工建造的，但是開放源代碼生态系統中經常有工具和材料可以幫助實作這一目标。現代系統通常将允許容器從參考容器的組成/庫中派生。這些庫可促進重用，利用生态系統，并允許快速開發和部署容器。

概括而言，容器化方案消除了以受控方式配置應用程式及其執行環境以有效利用基礎硬體計算資源的挑戰。容器帶來了分區、安全性和編排的好處。該方法比完整的虛拟機便宜，并且仍然導緻作業系統/使用者空間元件的重複。

利用工業物聯網(IIoT)的容器化方法

盡管容器化技術主要是為傳統企業IT開發的，但是為工業物聯網(IIoT)采用類似方案具有明顯的相似之處和優勢。

要考慮的一件事是要在其中部署容器的工業物聯網(IIoT)主機的類型，這通常需要考慮用例、未來驗證和投資回報率(ROI)。在某些情況下，這可能是一個高價值的安裝，保證邊緣節點的高性能計算資源，類似于部署在企業資料中心的伺服器。在其他情況下，需求可以證明在該邊緣節點配置設定的成本較低且能力較低的機器是合理的。在功能齊全的工業物聯網(IIoT)的部署中，可能會有不同層次的資産與不同類别的邊緣硬體相關聯。如何在相關規模上經濟地啟用每一類資産，可以很快成為選擇邊緣節點硬體和體系結構的重要驅動因素。

要考慮的另一件事是如何利用容器的分區屬性，即沙箱。是否在邊緣部署了一個包含所有應用程式功能的整體容器?還是希望通過将應用程式元件隔離到單獨的空間/單獨的容器中來獲得更好、更可靠的姿态?

例如，通過在不同容器之間劃分邊緣功能，可以為一個容器授予更多特權。可以授予其工作是定期讀取、評估和報告警報的應用程式元件以隻讀特權，以便與邊緣資産進行互動。打算在邊緣資産上執行軟體更新的應用程式将需要更多特權，但是可以應用不同的基于角色的安全性來與該應用程式進行互動。

該架構可以映射為分層的安全性方法，在該方法中，可以将強大的權限強制執行和角色映射正交限制在同一邊緣節點上托管的單獨應用程式周圍。此外，能夠分離應用程式元件可以導緻更健壯的實作，其中一個應用程式的行為(或錯誤行為)不會直接影響另一個應用程式。這種方法還允許輕松地向邊緣裝置添加增量增強功能。

應用程式元件之間的互動是另外一個考慮因素。由于應用程式是分離的，是以将需要實作程序間通信(IPC)方案/遠端過程調用(RPC)方案，以使單獨的應用程式在邊緣節點内進行互動。此類程序間通信(IPC)方案/遠端過程調用(RPC)方案也應進行身份驗證和控制，以僅允許準許的互動。需要注意，典型的容器化方案并未提供這些機制。

容器化方案的安全功能與現代作業系統設計和現代安全優秀實踐一緻。通過設計作業系統級别的控制和政策，可以更好地限制安全漏洞對系統的潛在影響。驗證和認證在邊緣運作的應用程式元件的機制也與現代安全态勢所要求的方法一緻。

編排方案在工業物聯網(IIoT)中具有明确的價值。絕對有必要利用一種用于以受控和集中方式管理工業物聯網(IIoT)邊緣節點群的方案來管理、版本化、維護，并将容器化的應用程式元件推送到邊緣。

與傳統的IT環境不同，這裡的挑戰是将針對特定邊緣裝置的容器進行分組和協調。容器工作負載必須映射到邊緣裝置的具體實體部署，因為這些裝置直接綁定到現場資産。編排系統無法選擇任何硬體來運作容器，但是需要足夠靈活以輕松地針對特定邊緣節點。

編排方案可能也不足以完全管理工業物聯網(IIoT)系統，因為需要管理或提供主機系統的其他注意事項(網絡接口、VPN、安全憑證、蜂窩數據機等)。這些資源通常由主機作業系統直接管理，并且僅可供容器使用工業物聯網(IIoT)平台的傳統方法在裝置管理下封裝了這一功能，裝置中托管的容器/應用程式的管理可能是統一裝置管理的子集。

還需要考慮選擇開放源代碼或封閉源容器引擎，因為維護它可能依賴于第三方。對第三方技術的持續支援、在容器中自定義應用程式、不斷發展的功能，以及與不同的協定棧和雲計算內建是其他需要考慮的因素。

【雲栖号線上課堂】每天都有産品技術專家分享！

課程位址：

https://yqh.aliyun.com/live

立即加入社群，與專家面對面，及時了解課程最新動态！

【雲栖号線上課堂 社群】

https://c.tb.cn/F3.Z8gvnK

原文釋出時間：2020-05-18

本文作者：Tim Winter

本文來自：“

企業網D1Net

”，了解相關資訊可以關注“

”