关于阿里云:让业务容器化更安全便捷阿里云容器镜像服务-ACR-推出免费制品中心

作者：容器镜像服务团队

随同着企业 IT 数字化转型演变的过程，越来越多的企业采纳云原生化架构降级的形式，改善利用开发运维迭代的效率，减速企业业务翻新；改良资源弹性治理和迁徙的效率，帮忙企业降本增效。

将业务进行容器化革新并打包成容器镜像是云原生化实际的第一步，为了使企业开发者更简便地打造云原生利用交付流程，2023 年 1 月，阿里云容器镜像服务 ACR 正式推出“云原生制品核心”，为容器开发者收费提供了来源于阿里云官网、龙蜥社区的平安可信容器根底镜像。

企业容器镜像常见危险

很多企业会依附来自公开平台的容器根底镜像来打包，这存在以下的问题：

平安危险肆意：以寰球最大规模的公共容器镜像平台 Docker Hub 为例，据文献 [ 1] 剖析其中 2500 个镜像后发现，高达 82% 被认证的容器镜像至多蕴含 1 个高危破绽，不含破绽的容器镜像仅占比 17.8%。攻击者可能利用组件中存在的破绽，注入恶意代码或管制第三方机器环境，执行从加密货币挖矿、发送垃圾邮件、到通过大型僵尸网络发动 DDoS 攻打。

无奈便捷获取：以 Docker 公司的政策束缚 [ 2]，2020 年 11 月 01 日起将逐渐向 Docker Hub 匿名和收费用户施行速率和拉取申请次数限度。国内的客户因为网络和性能限度，无奈便捷高效、大规模拉取对应的容器根底镜像，甚至导致 K8s 上节点卡住其余业务镜像运行。

短少保护及优化：大多公共容器镜像平台都短少对镜像上软件包的继续保护更新、问题修复、新性能反对等。并且容器镜像都是面向通用的应用环境，短少对各类业务场景的性能优化，无奈让客户更高效利用底层基础设施的能力。

阿里云 ACR 云原生制品核心

为了解决以上的问题，阿里云容器镜像服务（ACR）推出了云原生制品核心，为容器开发者 收费提供了来源于阿里云官网、龙蜥社区的平安可信容器根底镜像。蕴含利用容器化根底 OS 镜像、根底语言镜像、AI/ 大数据相干镜像类别，笼罩 ARM、ARM 64、x64、x86-64 多种零碎架构，让您业务容器化过程更加便捷高效、更加平安可信。

内容平安可信

容器镜像均以 Anolis OS（Anolis OS 由龙蜥开源社区公布的龙蜥操作系统，兼容 RHEL/CentOS  Linux 的社区发行版）、Alibaba Cloud Linux（Alibaba Cloud Linux 简称 Alinux，是由阿里云操作系统团队以 Anolis OS 为根底构建的阿里云操作系统发行版）为根底镜像。在下层软件包起源上，阿里云操作系统团队及龙蜥社区会定期对镜像中软件包进行定期 CVE 修复，从软件供应链的源头保障容器业务的平安。

便捷应用反对

• • 大规模散发：阿里云云原生制品核心自身基于 ACR 企业版实例搭建，反对容器镜像、Helm Chart 等合乎 OCI 规范的云原生制品平安托管及高效散发，反对千节点的散发，确保您大规模拉取及应用体验。
  • 镜像订阅：如果同时您的业务镜像也放在 ACR 企业版实例上，您能够应用制品订阅性能，订阅制品核心的镜像，满足订阅规定的容器镜像版本将会被主动同步到企业版实例的指标仓库中。

长期保护反对

• • 阿里云官网：来源于阿里云官网的容器镜像，将由阿里云确保对应的镜像版本更新及镜像平安修复。您能够通过退出钉钉群，享受由阿里云提供的技术支持服务。（钉钉群号：33605007047）
  • 龙蜥社区：来源于龙蜥社区的容器镜像，将由龙蜥社区确保对应的镜像版本更新及镜像平安修复。有相干问题征询，您能够间接通过龙蜥社区渠道反馈，阿里云将会帮助您与龙蜥社区间的征询。（钉钉群号：44701621）

优质容器镜像举荐

• Alibaba Cloud Linux 2/3

Alibaba Cloud Linux 是阿里云基于龙蜥社区（OpenAnolis）的龙蜥操作系统（Anolis OS）打造的操作系统发行版，在兼容 RHEL/CentOS 生态的同时，为云上应用程序提供平安、稳固、高性能的定制化运行环境。Alinux2/Alinux3 容器镜像中用户态软件包放弃与新版 CentOS 兼容，为保障系统的安全性，会严密跟进业界与社区发现的软件包问题及安全漏洞（CVE），及时更新修复软件缺陷和修补安全漏洞，确保容器镜像的内容残缺平安。

• Dragonwell

Alibaba Dragonwell 是阿里巴巴开源的 JDK，它是 OpenJDK 的上游，提供了 OpenJDK 的所有能力，并且通过 AdopeOpenJDK 社区进行构建公布，提供高质量的通过测试验证的 JDK 发行版。除了 OpenJDK 已有性能外，Alibaba Dragonwell 还减少了以下独有个性：

• • JWarmup：依据前一次程序运行的状况，记录下热点办法、类编译程序等信息，在利用下一次启动的时候踊跃加载相干的类，并踊跃编译相干的办法，进而利用启动后能够间接运行编译好的 Java 代码。
  • JFR：Java Flight Recorder (JFR) 是一款用于收集 Java 利用运行过程中的诊断及性能数据的工具，目前曾经被集成进 Alibaba Dragonwell 中。在应用默认配置的状况下，JFR 带来的额定开销将小于 2%，因而能够用在生产环境。
  • Wisp 协程：Wisp 在 JVM 上提供了一种用户态的线程实现。开启 Wisp2 后，Java 线程不再简略地映射到内核级线程，而是对应到一个协程，JVM 在大量内核线上调度大量协程执行，以缩小内核的调度开销，晋升 web 服务器的性能。

<!—->

• Golang/Nginx

基于 Anolis OS 构建的 golang 语言镜像、nginx 利用镜像，能够让用户开箱即用的搭建业务容器镜像。龙蜥社区上根底应用软件包，如 nginx，也是会严密跟进业界与社区发现的软件包问题及安全漏洞，及时更新修复软件缺陷和修补安全漏洞，确保容器镜像的内容残缺平安。

• 倚天优化镜像 mysql/redis

基于 Alinux3 的倚天优化镜像，次要是在镜像中集成了智能优化调优软件 KeenTune，KeenTune（轻豚）是一款 AI 算法与专家知识库双轮驱动的操作系统全栈式智能优化产品，提供 CPU、内存、IO、网络等畛域的调优解决方案。在典型业务场景，倚天优化镜像在 g8y.2xlarge 规格上验证，大部分场景能够带来 20% 以上的性能晋升。其中 mysql 在 write only 场景有 30% 左右晋升，redis 在 set/get 等场景都有 30% 左右的性能晋升。

让云原生化转型过程更平安、更便捷、更高效

阿里云容器镜像服务将继续与龙蜥社区单干，在近期将陆续提供高频应用的容器根底镜像 50 个，蕴含利用容器镜像 influxdb、tomcat、consul 等，其中局部利用镜像将集成 Keentune 智能调度优化能力。同时咱们也期待更多 ISV 或者开源软件违心退出咱们的合作伙伴打算，您能够通过留言与咱们分割。心愿咱们能打造内容丰盛、平安可信的云原生制品生态，让泛滥容器开发者更释怀、更便捷、更高效的实现云原生化转型。

参考文献

[1] WIST K, HELSEM M, GLIGOROSKI D. Vulnerability analysis of 2500 docker hub images[M]//DAIMI K, ARABNIAHR, DELIGIANNIDISL, et al. Advances in security, networks, and Internet of things. Cham：Springer，2021:307-327.

[2] https://docs.docker.com/docker-hub/download-rate-limit/

点击此处，中转阿里云 ACR 云原生制品核心