隐私保护措施:目录与文件共享操作是针对每个容器独立进行的,这保证了只有被请求的容器能够接触到共享资料,从而避免了将信息泄露给共享虚拟机内其他所有容器的情况。
容器化架构中广泛采用了 Swift 语言,其中包括一个完全由 Swift 编写的自定义初始化模块——vminitd。该模块作为每个虚拟机启动后的首个进程执行,负责执行以下任务:
为了在缺乏标准库的条件下达成此目标,苹果公司采用了Swift语言的静态Linux软件开发工具包,直接在macOS平台上进行交叉编译,生成了静态的Linux二进制文件。同时,借助musl库提供的静态链接功能,确保了这些二进制文件的正常运行。
即便每个容器均独立于其虚拟机环境内运行,苹果公司宣称,他们已通过一系列优化措施,成功将启动时间缩短至亚秒级别。
提升Linux内核性能:针对容器化任务而专门定制的内核设置
EXT4块设备:将容器文件系统以格式化后的EXT4块设备的形式进行展示,从而确保高效的数据访问。
苹果硅芯片优化:该技术体系全面针对苹果公司定制的硅架构进行了专门的优化处理。
苹果公司为致力于打造容器化解决方案的开发者准备了相应的框架,并且还提供了一款可直接使用的命令行应用程序。这款container CLI工具,它包含了与Docker命令相似的命令集。
该工具具备XPC服务功能,主要应用于存储、镜像管理、网络服务以及容器运行时管理,而这些功能均是通过Containerization API进行构建实现的。
苹果公司已将 Containerization 框架及 container CLI 工具项目开源,并放置于 GitHub 平台。该项目代码库中涵盖了:
苹果公司进军容器化市场,从而融入了一个已经存在的、以开源方式替代 Docker 的生态系统,而这一生态系统近期受到了广泛的关注。其中,由红帽公司开发的 Podman 是最为知名的 Docker 替代品,它能够提供遵循 OCI 标准的容器管理功能,并采用无守护进程的架构,从而不再需要 root 权限。这种无root权限的操作显著提升了安全性,让Podman在安全性要求极高的环境中显得尤为诱人。此外,还有一些值得关注的解决方案,例如containerd,它是Kubernetes所依赖的基础容器运行时;还有Buildah,这款工具专门用于在不依赖完整容器运行时的情况下构建容器镜像。LXD这类工具主要针对系统容器进行开发,并不涉及应用程序容器的管理;与此同时,Rancher Desktop这类解决方案则通过提供用户友好的图形界面,使得容器管理变得更加便捷。苹果采用的独特技术在于,每个容器都独立运行一个轻量级的虚拟机,这一做法与常规的解决方案形成了鲜明对比,后者普遍采用基于共享内核的容器化技术,例如cgroups和namespaces。
macOS 26 将搭载 Containerization 框架和 containerCLI,这些开源组件可在 GitHub 上直接获取。开发者得以深入研究该框架,为其开发贡献力量,并着手打造 macOS 平台上原生支持 Linux 容器的解决方案。
查看英文原文:
苹果公司为macOS推出了原生Linux容器支持,具体信息可参考InfoQ网站在2025年6月发布的新闻(https://www.infoq.com/news/2025/06/apple-container-linux/)。
