尽管Docker已经满足了开发人员的使用要求，但容器要在大多数企业中轻松部署还有很长的路要走。与其他应用开发框架一样，开发人员的需求与企业运营团队的需求有所不同。

就在企业中部署容器而言，网络连通性及安全性必须是可管理的。网络部分同样可编程对于保持容器的可编程性至关重要。VMware有一个可编程网络产品NSX；这很可能是VMware用于管理容器编程的工具。

简单来讲，容器是一个可执行程序，运行在操作系统中的一个隔离的文件系统之上。操作系统一般是Linux，位于虚拟机中或者专用物理硬件之上。计算机能够运行多个容器，每个容器拥有单独的文件系统。所有的容器共享底层计算机的资源，比如CPU、内存以及磁盘、网络。

容器考虑了云级别应用

Docker已经应用于云服务中，单个应用可能有成百上千个连接。对于很多易于部署的容器来说，容器之间不需要进行大量的隔离。单台计算机之上的所有容器往往属于相同应用的一部分。单个应用可能是由称之为微服务的多个不同的小程序组成的。很可能有几十个微服务而且每个微服务可能需要几十个乃至上千个实例。结果是运行一个应用可能需要多个很多容器。

在云应用中，交付一个应用可能需要运行上千个容器实例的上百台服务器。在这种情况下通过一组计算机交付一个应用，而且每个应用有单独的服务器都是有意义的。网络安全往往部署于应用的边界。

共享带来了问题

在较小的规模内，多个应用共享一组服务器可能是有必要的。既然应用很可能只有数百个用户使用，那么实例的数量可能更小。如果每个应用只需要很少的容器实例，那么向应用交付硬件将会限制灵活性。对企业用户而言，很可能很多应用的容器是融合在一起。

现在，需要在可能共用一个主机的容器之间提供隔离，因为容器可能是不同应用的组成部分。面向消费者的订购网站需要与企业资源规划及工资单应用相隔离。这将需要一台防火墙，能识别出运行在一台主机之上的容器之间的差异。我们已经看到NSX能够针对运行在一台虚拟机之上的不同应用设置不同的防火墙策略。NSX应该能够识别出运行在容器内的应用并针对每个应用设置不同的策略。

安全可编程性是关键

容器最大的价值之一是其波动性。新容器实例可以由应用创建、删除。网站繁忙时，应用能够创建多个Web服务器容器。网站访问量小时，可以删除这些容器。可伸缩性应该由应用程序自动实现。波动性对任何人工过程，尤其是安全过程来说是一个挑战。为适应容器的波动性，需要采用编程方式创建、销毁容器，安全工具必须是可编程的。增加Web服务器的容器时，安全工具应该增加规则，允许访问该容器。软件定义的网络对新应用是至关重要的。应用扩展时直接联系NSX并指导面向容器的防火墙策略创建，应该是相当简单的事儿。

VMware一直恪守承诺，通过开发项目Lightwave和Photon，为基于微服务的架构提供基础设施。 Lightware提供了身份认证，对允许哪些容器运行在环境中进行控制。与NSX集成将允许安全规则用于支撑与应用相关的一组容器。
VMware似乎期望容器隔离能够通过在每个虚拟机内运行单个容器的方式实现。这使用了VMFork技术—曾经被称为Project Fargo—使虚拟机创建与容器一样快。VMFork解决了容器所需要的文件系统安全性，但并未解决网络配置与安全性。VMware仍旧需要NSX交付基于策略的连接性与安全性。

VMware致力于在企业中推广基于容器的应用。我希望NSX成为虚拟化基础设施中可编程基础设施的顶梁柱。