?作者 | 徐杰承

審校 | 云昭

Docker剛剛度過了非常糟糕的一周。3月15日，Docker對外宣布了其最新的付費訂閱計劃，并向所有Free Team的Docker Hub用戶發送了電子郵件，聲稱如果未在一個月內升級到付費團隊，那么他們的賬戶將會被刪除。

這在業界引起了軒然大波，鑒于來自多方組織的壓力，Docker很快便進行了公開道歉：“我們在宣布Docker免費團隊的終結方面做得很糟糕。”然而不出所料的是，這未能安撫用戶們激烈的情緒，大量用戶在對Docker這一行為進行批判的同時，也表示將放棄對Docker的使用與支持。

如今，無論是Docker始終未能解決的安全性問題，還是其早已千瘡百孔并仍在不斷惡化的生態環境，都在牽引著這頭曾經被稱為“硅谷寵兒”的“巨鯨”，慢慢游向一場無法避免的死區。

1、安全性頑疾難消

多年以來，Docker都是開發人員工具箱的重要組成部分，借由Docker的幫助，開發者能夠以標準的方式構建、分發和部署應用程序。然而隨著容器技術的發展以及越來越廣泛的應用，Docker的安全性問題也變得越來越顯著，并成為了用戶逐漸拋棄Docker的一大核心理由。

由于Docker能夠有效減少代碼膨脹并提供更好的兼容性，因此其通常被用于代替虛擬機。也正是由于這一點，企業更加傾向于使用容器。但與虛擬機相比，Docker較低的隔離性勢必會給用戶帶來一些安全性方面的困擾。

虛擬機通過創建離散狀態機實現資源分配，每臺計算機都有自己的操作系統，并通過虛擬機管理程序對其進行管理。在Docker中，這些容器構建在容器引擎之上，容器引擎則運行在主機操作系統的應用程序之中。此外，Linux中的chroot和cgroups等更新允許容器在資源劃分方面更接近虛擬機。

Docker能夠將這些特性打包成易于使用的服務，并添加圖像、Docker文件和Docker CLI等概念，它還使系統管理員能夠在服務器上快速部署大量容器。但這會帶來一些安全隱患——系統管理員可以授予用戶在預先部署的架構上運行Docker容器的權限。

但在默認情況下，Docker會將根級權限授予用戶，而基于Linux的根級用戶訪問權限類似于Windows中的管理員訪問權限，但其功能更加強大。通過根級用戶訪問權限，攻擊者可以刪除整個文件系統，或將普通用戶提升為具有根級權限的用戶，并在沒有通知或警報的情況下安裝其他惡意軟件。

通過訪問不安全的Docker容器，攻擊者可以在獲得運行權限及訪問權限后輕松控制其中的代碼。這就意味著心懷不軌的攻擊者可以隨意控制非特權賬戶的權限，從而開啟一系列新的攻擊媒介。

諸如此類攻擊在Docker社區中并不新鮮，并且時至今日，攻擊者仍在利用這樣的方式在Docker系統中發掘更多可利用的漏洞。在近日由ZDNET所發布的一份報告中也提到：由于尋找管理員訪問權限暴露的錯誤配置非常簡單，因此自2021年以來，Docker已成為了網絡犯罪分子最主要的攻擊目標之一。

不可否認的是，Docker的勢頭在其剛發布的幾年，非常火爆，大量業內人士也表示很少見到如此吸引行業興趣的新興技術。然而，隨著興奮轉化為實際部署，大量企業開始注意到Docker的安全漏洞。尤其是當Docker涉及到安全運營與管理以及具有保密性、完整性和可用性的通用控件的支持時，其表現令大多數人十分失望。

2、因傲慢錯失K8s，生態走下坡路

如果說由于自身漏洞與架構缺陷所帶來的安全性問題，是生來便拴在這條“鯨魚”尾部的一條鎖鏈。那么近年來Docker生態系統的不斷流失，則可以算的上是一塊被人為捆綁在鎖鏈另一端的巨石。

縱觀Docker的整個發展歷程，其早期所取得的成功使該公司圍繞Docker產品建立了一個龐大的社區，并推動了一輪又一輪的融資。而這也使得Docker公司上下變得愈發自大，時至Kubernetes的出現給了他們迎頭一擊。Docker在處理開源社區寵兒Kubernetes時沒能給自己帶來任何好處。

盡管Kubernetes最初更傾向于Docker容器，但彼時傲慢的Docker對這位背靠Google的新朋友擺出了敵對姿態，并一意孤行的推出了自己的容器編排平臺Docker Swarm。然而就在不久之后，Kubernetes就免費提供了Swarm的所有功能與更多優化，在Docker自己創建的游戲中擊敗了它。

伴隨著Kubernetes這顆新星不斷上升，Docker團隊也逐漸意識到了自己所犯下的錯誤。在此后的一次采訪中，Docker創始團隊員工Jér?me Petazzoni表示：“Docker本可以讓Kubernetes成為GitHub上一流的Docker項目，但我們錯過了Kubernetes。我們處于集體思維的泡沫中，在內部我們認為Kubernetes太復雜了，Swarm會更成功。沒有意識到這一點是我們集體的失敗。”

雖然不久之后，Docker于2015年通過創建開放容器標準(OCI)試圖再次領導整個行業的發展趨勢，但事實證明Docker的這一舉動最終變成了搬起石頭砸自己的腳。不可否認的是，創建開放標準確實對Docker的生態發展起到了短暫的幫助，但這也為Docker的對手提供了一張免費的入場券，此后的長期競爭使得Docker的行業地位受到了嚴重侵蝕。

最終在2019年，由于市場、財務等多方面原因，Docker解雇了大批員工，并選擇將幾乎全部核心業務出售給Mirantis。而這次出售所帶來的一系列倉促的商業化改革、收入流限制以及對此前所達成協議的許可條款變更，再度對Docker本就岌岌可危的生態系統造成了一定的影響。隨后不久，Kubernetes v1.2版本也宣布了將徹底棄用Docker。至此，Docker這顆曾經耀眼的明星徹底喪失了光芒。

3、慢性自殺，逐漸凋零

雖然目前的Docker依然稱得上是業內最流行的容器構建工具之一，并擁有極為龐大的用戶群體。但大量開發人員已慢慢開始轉向其他替代方案例如Podman或Containerd。尤其是在如今Docker更改其開源計劃后，這一趨勢一定將會在未來變得更加快速且明顯。

對于Docker如今的處境，一位Reddit用戶發表了這樣的總結：Docker如今正在經歷著慢性死亡，無論是Docker技術還是其背后的公司，都已經幾乎失去了再度走向輝煌的可能性，因為它們已經沒有什么能夠再提供的了。

4、寫在最后

如今可以遇見的是，在未來的幾年內Docker依然能夠在容器市場中占有一定的比例，但很明顯，十年后的IT環境將不會再把Docker作為開發者技術堆棧中的必備部分。也許屆時一些其他依賴于OCI的容器化軟件將占據市場領導者的位置，但從Docker目前的發展軌跡來看，這份名單中將不會再有它的身影。

當然，我們也看到Docker在努力挽救，比如從以往的企業導向變為更加注重開發者，但大勢所趨，積重難返。最后，只想說，偉大的事物往往不是被別人擊潰的，而是自取敗亡。

參考鏈接：

https://analyticsindiamag.com/kubernetes-parting-ways-with-docker-what-does-it-really-mean/

https://analyticsindiamag.com/kubernetes-docker-container-orchestration-race/