苹果在 2025 年的全球开发者大会(WWDC) 上发布了 Containerization 和 Container CLI,这是一个在 Mac 上以轻量级虚拟机方式创建和运行 Linux 容器的工具。这是开发者在 macOS 上运行 Linux 容器方式的重大转变,因为这一新的开源容器化框架消除了对 Docker 等第三方工具的需求。这个基于 Swift 的框架将在 macOS 26 中直接提供原生的 Linux 容器支持,标志着苹果以安全、性能和隐私为关注点进入了容器化领域。
传统的容器化解决方案会在单个大型虚拟机中运行多个容器,与之不同,苹果的方法是在轻量级虚拟机中运行每个 Linux 容器。这种架构提供了多项关键的优势:
增强安全性:每个容器都能获得与完整虚拟机相同的隔离级别,这显著减少了攻击面。最小的文件系统不包含核心实用程序、动态库或 libc 实现,进一步降低了安全风险。
专用资源:每个容器都有自己的 IP 地址,消除了端口转发的需求,并提供了高性能的网络访问。CPU 和内存资源按容器分配,当容器不运行时不消耗资源。
隐私设计:目录和文件共享基于每个容器进行,确保只有请求的容器可以访问共享内容,而不是将其暴露给共享虚拟机中的所有容器。
Containerization 框架广泛使用了 Swift,包括一个完全用 Swift 编写的自定义初始化系统vminitd。这个初始化系统作为每个虚拟机中的第一个进程运行,并处理如下任务:
网络接口的 IP 地址分配
文件系统挂载,包括容器的块设备
进程启动和监管
主机 - 容器通信的 API 管理
为了在没有标准库的环境中实现这一点,苹果使用 Swift 的静态 Linux SDK 直接从 macOS 交叉编译静态 Linux 二进制文件,结合musl提供静态链接支持。
尽管每个容器都在自己的虚拟机中运行,但苹果声称通过多项优化实现了亚秒级的启动时间:
优化 Linux 内核:为容器化工作负载特别设计的自定义内核配置
EXT4 块设备:容器文件系统作为格式化的 EXT4 块设备进行暴露,以实现高性能访问
Apple Silicon 优化:整个技术栈针对苹果定制的 silicon 架构进行了优化
苹果为构建容器化解决方案的开发者提供了框架,并提供了一个命令行工具供立即使用。container CLI 工具提供了熟悉的类 Docker 命令:
# 拉取镜像container image pull alpine:latest# 运行一个可进行交互的容器container run -t -i alpine:latest sh
该工具提供 XPC 服务,用于存储、镜像管理、网络服务和容器运行时管理,所有这些都是使用 Containerization API 构建的。
苹果已经在 GitHub 上将 Containerization 框架和 container CLI 工具作为开源项目发布。代码仓库包括:
框架和工具的完整源代码
演示集成的示例项目
技术文档和架构的概述
vminitd 中使用的跨平台 Swift 包
苹果进入容器化领域使其加入了一个已经形成的开源替代 Docker 的生态系统,这些替代方案最近获得了显著的关注。由红帽开发的 Podman 是最著名的 Docker 替代方案,它提供了符合 OCI 标准的容器管理,具有 daemonless 架构,消除了对 root 权限的需求。这种无 root 操作提供了增强的安全性,使 Podman 在安全至关重要的环境中特别有吸引力。其他值得注意的解决方案包括 containerd,它作为 Kubernetes 使用的底层容器运行时,以及 Buildah,它专门用于在不需要完整容器运行时的情况下构建容器镜像。像 LXD 这样的工具专注于系统容器而不是应用程序容器,而像 Rancher Desktop 这样的解决方案提供了进行容器管理的用户友好的图形界面。苹果的独特方法,即在每个容器中运行自己的轻量级虚拟机,将其与这些现有解决方案区分开来,这些解决方案通常依赖于共享内核容器化技术,如 cgroups 和 namespaces。
Containerization 框架和 containerCLI 将随 macOS 26 提供,开源组件在 GitHub 上立即可用。开发者可以探索框架,为其开发做出贡献,并开始构建在 macOS 上原生集成 Linux 容器的解决方案。
查看英文原文:
Apple Containerization a Native Linux Container Support for macOS(https://www.infoq.com/news/2025/06/apple-container-linux/)
声明:本文由 InfoQ 翻译,未经许可禁止转载。