مقایسه Docker با ماشین‌های مجازی: راهنمایی برای انتخاب بین VMها و Containerهای Docker

۲۳ مهر ۱۴۰۱
۱۰:۰۶
بدون دیدگاه
زمان مطالعه: 6 دقیقه
امنیت شبکه

Docker، Kubernetes وContainerها تکنولوژی‌های قدرتمندی هستند که می‌توانند مزایای زیادی را برای کسب‌و‌کار به همراه داشته باشند. اما بسته به نوع بار کاری سازمان، ممکن است بهتر باشد از ماشین‌های مجازی یا همان VMها یا ترکیبی از Containerها و VMها استفاده شود.

به همین دلیل بهتر است در مورد زمان استفاده از Containerهای Docker در قیاس با VMها بحث شود، مخصوصاً با تمرکز روی انواع موارد کاربرد و استراتژی‌هایی که هر تکنولوژی برای پشتیبانی از آن مناسب است.

مقایسه‌ بین Containerها و VMها

در ابتدا باید شباهت‌ها و تفاوت‌های بین Docker و ماشین‌های مجازی را تعریف کنیم.

Containerها و ماشین‌های مجازی Docker هر دو راه‌هایی برای پیاده‌سازی برنامه‌های کاربردی درون محیط‌هایی هستند که از سخت‌افزار زیرین جدا می‌شوند. تفاوت اصلی بین آن‌ها سطح جداسازی است.

با اجرای یک Container مثل Docker، برنامه کاربردی درون ویژگی‌های جداسازی که Container فراهم می‌کند Sandbox می‌شود، اما همچنان Kernel یکسانی با Containerهای درون هاست دارد. درنتیجه، فرایندهایی که درون Containerها اجرا می‌شوند از سیستم Host قابل‌مشاهده هستند و سطح دسترسی کافی برای فهرست کردن تمامی فرایندها دارند. مثلاً اگر یک MongoDB Container با Docker آغاز به کار کند، سپس ps -e | grep mongo در یک Shell عادی روی هاست (نه در Docker) اجرا شود، فرایند قابل‌مشاهده خواهد بود. وقتی چندین Container داشته باشیم که Kernel یکسانی داشته باشند، می‌توانیم Containerهای خیلی زیادی را با زمان شروع به کار تقریباً بلافاصله‌ای روی ماشین یکسانی Bin-Pack کنیم. همچنین درنتیجه‌ی اینکه Containerها نیازمند یک سیستم عامل کامل نیستند، بسیار سبک‌وزن، تقریباً حدود ۵ الی ۱۰۰ مگابایت هستند.

در حالیکه با یک ماشین مجازی، همه‌ی چیزی که درون VM اجرا می‌شود از سیستم عامل هاست یا Hypervisor مستقل است. پلتفرم ماشین مجازی فرایندی را آغاز می‌کند (که مانیتورینگ ماشین مجازی یا VMM نام دارد) تا فرایند مجازی‌سازی را برای یک VM به‌خصوص مدیریت‌ کند و سیستم هاست برخی از منابع سخت‌افزاری خود را به VM تخصیص می‌دهد. اما تفاوت اساسی که در ماشین مجازی وجود دارد این است که در زمان شروع، یک Kernel تازه و اختصاصی را برای محیط VM بوت می‌کند و مجموعه‌ای (معمولاً بزرگ) از فرایندهای ماشین مجازی را راه‌اندازی می‌کند. این امر باعث می‌شود که اندازه‌ی VM بسیار بزرگ‌تر از یک Container باشد که فقط حاوی برنامه کاربردی است.

اجرای یک Kernel و سیستم عامل اختصاصی چندین مزیت دارد. امنیت جداسازی یکی از مهم‌ترین مزیت‌ها است. مثلاً از دیدگاه سیستم هاست، هیچ راهی برای درک اینکه چه چیزی درون ماشین مجازی اجرا می‌شود وجود ندارد. با توجه به اینکه Kernel روی هاست یکسانی بین Containerها به اشتراک گذاشته می‌شود، ریسک کوچکی وجود دارد که عامل مخرب بتواند از محدوده‌ی خود خارج شده و به هاست زیرین دسترسی پیدا کند. با یک VM این امکان کاهش پیدا می‌کند، زیرا Kernel‌ها مشترک نیستند و این امر میزان آسیب‌پذیری‌ها را برای سخت‌افزار زیرین کاهش می‌دهد.

می‌توان در مورد جزئیات فنی در رابطه با تفاوت‌های بین اجرای یک Container و یک Hypervisor ماشین مجازی صحبت کرد یا اینکه در قیاس با نحوه‌ی حفظ داده در یک ماشین مجازی، Container Storage Snapshoting چگونه پیاده‌سازی می‌شود؛ اما برای کسی که صرفاً تصمیم می‌گیرد که از Container استفاده کند یا VM این تفاوت‌ها معمولاً اهمیت زیادی ندارد. بنابراین به سراغ این مسئله می‌رویم که در چه شرایطی بهتر است Docker را انتخاب کنید و در چه شرایطی ماشین‌های مجازی گزینه‌ی بهتری محسوب می‌شوند و چه زمانی بهتر است هر دو مورد انتخاب شوند.

زمان استفاده از Containerها و VMها

Containerها برای اکثر بارهای کاری برنامه کاربردی انتخاب خوبی هستند. به‌خصوص در موارد زیر، استفاده از Containerها می‌تواند یک اولویت باشد:

زمان شروع

Containerهای Docker معمولاً در عرض چند ثانیه یا حتی کمتر شروع به کار می‌کنند، درحالی‌که شروع به کار ماشین‌های مجازی ممکن است چند دقیقه طول بکشد. درنتیجه بارهای کاری که باید خیلی سریع شروع به کار کنند یا شامل راه‌اندازی و متوقف کردن مداوم برنامه‌های کاربردی هستند، می‌توانند انتخاب خوبی برای Docker باشند.

کارآمدی

ازآنجایی‌که Containerهای Docker منابع مشترک زیادی با سیستم هاست دارند، برای اجرا نیازمند نصب موارد بیشتری هستند. در مقایسه با ماشین مجازی، Container معمولاً فضای کمتری را اشغال می‌کند و زمان کمتری از RAM و CPU می‌گیرد. به همین دلیل، معمولاً با استفاده از Containerها، می‌توان برنامه‌های کاربردی بیشتری را روی یک سرور واحد جا داد تا با استفاده از ماشین‌های مجازی. همچنین به دلیل استفاده‌ی کمتر Containerها از منابع، به صرفه‌جویی در هزینه‌های رایانش ابری کمک می‌کنند.

Licensing

اکثر تکنولوژی‌های اصلی که برای پیاده‌سازی Containerهای Docker ضروری هستند، از جمله Orchestratorها و Runtimeهای Container مثل Kubernetes رایگان و متن‌باز هستند. این امر هم باعث صرفه‌جویی در هزینه و هم افزایش انعطاف‌پذیری می‌شود. (اما جا دارد اشاره شود که در بسیاری از موارد، سازمان‌ها از توزیع تجاری Docker یا Kubernetes استفاده می‌کنند تا پیاده‌سازی را تسهیل کرده و خدمات پشتیبانی حرفه‌ای بدست آورند.)

استفاده مجدد از کد

هر اجرا از Container برمبنای یک Image از Container است که حاوی باینری‌ها و Libraryهایی است که Container برای اجرای یک برنامه کاربردی به آن نیاز دارد. ساختن Imageهای Container با استفاده از Dockerfileها آسان است. می‌توان آن‌ها را با استفاده رجیستری‌های Container به اشتراک گذاشت و مجدداً مورداستفاده قرار داد؛ این رجیستری‌ها معمولاً منابعی هستند که Imageهای Container را هاست می‌کنند. می‌توان یک رجیستری داخلی را تنظیم کرد و Containerهایی را درون شرکت مجدداً مورداستفاده قرار داد. می‌توان هزاران Image از پیش ساخته‌شده را از رجیستری‌های عمومی (مثل Docker Hub یا Quay.io) به رایگان دانلود کرد و به‌عنوان مبنایی برای ساختن برنامه‌های کاربردی Containerizeشده مورداستفاده قرار داد.

البته می‌توان VMها را در Imageها نیز وارد کرد و آن Imageها را نیز می‌توان به اشتراک گذاشت، اما نه به همان کارآمدی و سادگی Containerها. همچنین ساخت Imageهای ماشین‌های مجازی به‌صورت خودکار آسان نیست و معمولاً حجم بیشتری دارند. همچنین ازآنجایی‌که معمولاً حاوی سیستم عامل هستند، توزیع مجدد آن‌ها می‌تواند از نظر حقوقی پیچیده باشد. (مثلاً در اکثر مواقع اگر ویندوز بدون License نصب شده باشد، نمی‌توان به‌طور قانونی یک Image ماشین مجازی را دانلود و اجرا کرد.)

چه زمانی باید از ماشین‌های مجازی استفاده کرد؟

بیایید چند مورد از دلایل صرف‌نظر کردن از Containerهای Docker و استفاده از ماشین‌های مجازی را بیان کنیم.

ترکیب قابلیت انتقال لینوکس و ویندوز

امروز اکثر پلتفرم‌های ماشین مجازی روی هر سیستم عامل اساسی کار می‌کنند و می‌توانید هر نوعی از سیستم عامل را که می‌خواهید داخل ماشین‌های مجازی اجرا کنید. درنتیجه می‌توان یک ماشین مجازی ویندوز را روی لینوکس یا برعکس اجرا کرد. این قابلیت انتقال در صورتی مفید است که زیرساختی داشته باشیم که در آن نیاز باشد یک نوع سیستم عامل را روی دیگری پیاده‌سازی کرد.

Docker به این اندازه قابلیت انتقال ندارد. با اینکه Docker از بعضی لحاظ وابستگی به سیستم عامل را کاهش می‌دهد (مثلاً می‌توان Docker Container یکسانی را روی Ubuntu یا CentOS اجرا کرد، هرچند که هر کدام از این توزیع‌های لینوکس از نوع متفاوتی از سیستم مدیریت Package استفاده می‌کنند)، Docker قابلیت انتقال را روی سیستم عامل‌های مختلف فراهم نمی‌کند. Containerهای Docker برای لینوکس فقط روی هاست‌های لینوکس کار می‌کنند و همین امر در مورد ویندوز نیز صدق می‌کند. (به‌علاوه، Docker فقط روی بعضی از نسخه‌های ویندوز کار می‌کند که به نوبه‌ی خود یک محدودیت دیگر است.)

ویژگی‌های بازگردانی (Rollback)

بسیاری از پلتفرم‌های ماشین مجازی مدرن Snapshot گرفتن از ماشین‌های مجازی در یک زمان به‌خصوص و بازگردانی کردن ماشین در زمان دلخواه را تسهیل می‌کنند. این امر می‌تواند در زمان رسیدگی به خرابی داده و نقض‌های امنیتی و همچنین موارد دیگر مفید باشد.

وقتی که Containerهای Docker را با VMها مقایسه می‌کنیم، می‌بینیم که Docker عملکرد یکسانی را ارائه نمی‌دهد. می‌توان Imageهای Container را بازگردانی کرد، اما به این دلیل که Containerها معمولاً داده‌ها را خارج از Imageها ذخیره می‌کنند، بازگردانی یک Image به بازیابی داده‌هایی که با اجرای برنامه کاربردی از بین رفته بود کمک نمی‌کند. همچنین این کار لزوماً به متوقف کردن نقض امنیتی کمکی نمی‌کند، مگر اینکه نقض امنیتی به دلیل مشکلی در یک نسخه‌ی به‌خصوص از Container Image به وجود آمده باشد.

جداسازی اینترنت از شبکه داخلی: Container یا VM، کدام امن‌تر است؟

برای جداسازی اینترنت از شبکه داخلی، استفاده از ماشین مجازی و دسکتاپ مجازی چندان ایمن نیست، زیرا برای جداسازی امن اینترنت از اینترانت، لازم است هیچ نوع ارتباطی بین مرورگر، شبکه داخلی و سیستم کاربر برقرار نباشد. این در حالی است که در VDI، امکان آلوده شدن کلاینتهایی که از VDI استفاده می‌نمایند به بدافزار وجود دارد. این امر زمانی اتفاق می‌افتد که احراز هویت کاربر در VDI انجام شده و امکان تعامل ایجاد می‌گردد. همچنین اگر در یکی از برنامه های نصب شده بر روی VDI آسیب نرم افزاری داشته باشد، این آسیب پذیری می‌تواند منجر به اجرای بدافزار در یک سیستم عامل سرور واحد شود که چندین نشست/ برنامه کاربردی را میزبانی میکند. بدافزار اکنون به تمام نشست کاربران و کل داده‌های ایشان دسترسی دارد.

این در حالی است که با استفاده از تکنولوژی Container-Docker و جداسازی مرورگر، صرفا انتقال تصویری از مرورگر برای کلاینت فراهم می‌شود . به همین دلیل، مخاطرات و آلودگی فضای سایبری به سیستم کاربر منتقل نمی‌گردد. این حالت به مشابه آن است که کاربر از پشت شیشه ای شفاف به فضای بیرون نگاه کرده و بدیهی است مخاطرات فضای بیرون به ایشان نخواهد رسید. اما در خصوص تجربه کاربری نیز می‌توان گفت که کاربر درکی نسبت به اینکه تصویر مشاهده میکند یا محیط واقعیست نخواهد داشت، بنابراین تجربه کاربری خوشایندی خواهد داشت.

با توجه به ساختارهای معرفی شده در راستای ایجاد بستری امن برای کاربران و جلوگیری از انتشار آلودگی در سطح شبکه و همچنین کاهش حملات از سمت کاربران شبکه پیشنهاد می‌گردد جداسازی مرورگر امن در راستای پیاده‌سازی و بهبود زیرساخت سازمان‌ها قرار داده شود. شرکت امن‌پردازان کویر (APK) پیشرو در ارائه خدمات امنیت سایبری، محصول APKSWAP، سامانه دسترسی امن به اینترنت را با استفاده از فناوری جداسازی مرورگر و تکنولوژی Container-Docker ارایه نموده است. این راه‌حل نسبت به راهکارهای جداسازی فیزیکی از نظر هزینه‌های مالی، منابع انسانی، زیرساختی و همچنین توسعه‌ای مقرون به صرفه است.

در صورت تمایل به کسب اطلاعات بیشتر، درخواست دمو یا مشاوره، نسبت به تکمیل فرم مورد نظر اقدام فرمایید.

درخواست دمو و مشاوره

دموی محصولات

مایلید در جلسه دمو ما، از نزدیک با محصولات مورد نیاز خود آشنا شوید؟

درخواست دمو

مشاوره

مایلید در جلسه مشاوره ما، بهینه‌ترین راهکار مورد نیاز خود را انتخاب نمایید؟

درخواست مشاوره

لیست قیمت

مایلید آخرین و به‌روزترین قیمت محصولات یا خدمات مورد نیاز خود را داشته باشید؟

درخواست قیمت

محصولات بومی

محصولات خارجی

عملیات امنیت

خدمات مدیریت شده پاسخ به رخداد

خدمات پیشرفته امنیت

امنیت صنعتی

مقالات

مقالات

اخبار

اخبار

چندرسانه ای

چندرسانه ای