基于Docker的私有云系统的设计

摘要：随着移动设备的兴起，数据与日剧增，每天都会产生大量的数据。云计算为中小型企业或者个人提供数据的存储与计算服务，节省了存储计算成本。但是云计算带来便利同时也存在一定的风险，用户一般将数据存储在公有云中，而公有云系统中多个用户共享计算资源，用户无法确切地知道可控的资源运行在何处，存储在公有云中的数据，有极大地风险被非法使用。本文在分析云安全风险的基础上，提出一种基于Docker技术的私有云设计方案并进行验证。

引言

　　未来几年是个人云计算的时代，每个人每天都在使用着大数据，是大数据中的一员。比如一个家庭拍摄的各种图片、视频和各种传感器数据，在一两年很快就会达到TB级，而且这样的增长速度会越来越快。随着物联网进程的加快，每个人每天将产生大量的个人隐私数据，这些数据可能包括健康数据、家电数据和个人移动位置信息等等，人们会对这些数据的安全性更加关注，而公有云的劣势将无限放大。研究开发私有云系统将会从本质上对这个问题进行一定的缓解。私有云相比于传统的公有云有以下几点好处：

　　第一点，防止数据被窃取。公有云存储服务往往是和用户的某些平台账号绑定在一起的，或者与用户的某个邮箱绑定在一起的，一旦平台账号或邮箱被黑客获取，所有的数据就一览无余了。再加之网络上社工库泛滥，很多用户喜欢在各种网络服务上使用相同的密码，往往是某一个账号失窃，所有数据全部暴露。

　　第二点，防止数据被主动泄漏。用户将数据托管在第三方的云平台上，无法保证云服务提供商不把用户数据提供给其他人使用。

　　第三点，防止数据遗失。2009年底微软的SIDEKICK事件，导致邮件服务器中断一周，而用户数据却未曾备份而丢失。还有2010年，阿里云服务器磁盘错误，导致TeamCola数据丢失等等。

　　从以上几点可以看到，构建家庭私有云是非常必要的。能够保证自己的私人数据与其他互联网账号无关，不被搜索引擎索引，不被别人监视。用户部署的私有云能够保证服务器运行并做好数据备份。如果仅在家庭或公司内部使用可以部署在内网，安全系数更高。

　　在私有云的环境下(如图1所示)，用户的云端服务器再也不是云服务商所提供，而是用户拥有自己的服务器，用户可以使用手持终端与自己的私有云服务器随时随地通信。这种情况下，除了私有云服务器本身不可抗外力的因素，服务器与数据是百分之百安全的，用户只需要利用APP登录自己的云端服务器就可以实现私人数据的存储与重要数据的同步。

1 Docker与Seafile的介绍

　　Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口(类似iPhone的 app)。几乎没有性能开销，可以很容易地在机器和数据中心运行。最重要的是，他们不依赖于任何语言、框架或包装系统。Docker能简化我们的云存储搭建过程，还能使其更安全地运行，更方便的维护。

　　Docker共享一个操作系统，使用容器的概念抽象起来，可以将Docker理解成一种沙盒(Sandbox)，每个Docker容器内运行一个应用，不同容器之间互相隔离，每个容器拥有自己的IP地址，并且可以在网络中被识别。因此Docker容器是一个可访问网络的独立设备，这在概念上类似于虚拟机，使得Docker容器与传统的chroot的概念不同。Docker技术可以使容器跨越物理机器的障碍，不同主机之间的容器可以建立通信机制，可以实现用户应用数据更好的备份，可以简化分布式系统构建的过程，如图2所示。Docker作为一种操作系统层次上的虚拟化方式，不需要额外的虚拟机管理应用和虚拟机操作系统，Docker可以直接复用本地物理主机的操作系统，因此更加轻量级，可以大大减少对硬件配置的要求。比起传统的虚拟机技术有很多新的特性，表1是Docker与传统的虚拟机技术在特性上的比较。

Docker提供了一种灵活的分层技术，你可以使用所需的组件来配置自己的容器。有一个叫作层的容器组件，一层就是一个容器镜像。一般从基础层开始，基础层通常就是你想在容器中使用的操作系统的类型(容器管理器只提供您所需的操作系统的部分，并非主机操作系统)。如果想在容器中运行其他脚本文件，需要构建容器的配置和增加层。这样使得程序的开发使用是十分灵活的。例如在图2中，一个应用程序或服务容器需要PHP 5.5框架，就需要配置相应的容器。另一个应用程序或者服务需要PHP5.6框架，同样仅需利用PHP 5.6配置对应的容器即可。它不像虚拟机那样，改变当前运行的版本时需要进行大量的配