你问我答:容器平台改造后的安全是如何解决的?

BoCloud博云微信公众号【你问我答】小栏目,将收集和整理企业在IT建设所遇到的问题与难题,由博云产品与技术团队进行针对性回答,每周五通过【你问我答】栏目进行发布,希望能为企业IT建设提供思路与方法。无论您是哪个行业的IT建设者,如果您有在容器云平台建设、微服务架构转型、DevOps平台建设、多云管理平台建设等技术方面所遇到的问题,欢迎您直接评论留言提问。

以下是本周问题精选:

网友1:容器平台改造后的安全是如何解决的?

传统的单体应用的安全边界清晰,安装Agent就可以解决大量的监控木马入侵的问题,但是容器平台的共享内核特性、无状态特性,造成了安全便捷的不清晰,传统的安全产品因为网络的原因也无法对容器内的网络进行监控,所以改造后安全的问题怎么进行解决?是通过三方产品么?

博云产品团队:针对安全问题,可以参考商业化的容器云平台解决方案,提供多维度安全设计,保证系统数据安全、环境安全、网络安全、运行安全等全面的要求。在容器主机操作系统本身提供的安全措施(Linux 命名空间、安全增强型 Linux (SELinux)、Cgroups、功能和安全计算模式 (seccomp) 等)之外,商业化的容器云解决方案中,还可以在安全层面提供以下措施:
支持HTTPS安全协议访问、非root用户部署及管理、终端访问安全限制。
提供基于角色的访问权限控制功能,管理提取和推送特定的容器镜像的权限,保证租户隔离,资源隔离。
自动化安全测试功能整合到构建或 CI 流程,如应用安全扫描,保证镜像安全。
网络隔离:借助网络命名空间,各个容器集合都能获得自己所要绑定的 IP 和端口范围,因此能使节点上的容器集网络相互分隔开;利用路由器或防火墙的方法来控制出口流量的容器平台,以便利用 IP 白名单来进行控制(例如,控制数据库访问)。
API 管理/端点安全和单点登录 (SSO)。

网友2:保险行业中上容器云项目的企业多吗?现在是什么形势?

博云产品团队:未来保险要从主要依赖销售,转向依赖从头到尾的动态大数据风控。如今“互联网”思维+最新科技手段,已经深刻地影响、甚至是震动着每个行业,保险业自然也不例外。从管理模式、业务流程、经营模式、风控方式、到营销模式、产品开发、服务客户方式等各个方面,保险业正在被深刻影响着。而这些对保险公司来说都意味着内部的变革。

目前在国内外保险企业中,均启动了新一代信息系统建设计划。它旨在通过容器云、微服务、DevOps、应用大数据、物联网、人工智能等新技术,打造具有快速交付能力的、安全的、以客户为中心的、能满足现在及未来发展需要的“IT生产力”,从而使企业能快速、灵活应对业务发展的变化,并实现业务和服务创新。

针对此问,举例说说我的看法。众所周知,保险业务越来越多样化,尤其各种促销活动也越来越多,因此对于系统的快速扩展能力有很高的要求。保险行业里,运营活动促销、开门红促销等活动频繁发布,尤其是“秒杀”这一促销手段,这对保险公司来说,无疑是对其系统性能极限和灵活性的巨大挑战。如果系统按“秒杀”的峰值配置资源,那么平时资源利用率低,无疑是一种巨大的浪费。因此,就要求IT资源和服务可快速弹性扩展。

那么容器云平台的建设在未来保险行业的IT建设规划中必定是计划之一,目前国内保险行业在容器云的建设上还处于初级起步阶段,勇于尝试的企业还不多,大多处于调研、测试阶段,但随着未来1-3年业务的爆发增长以及应用服务的多元化,相信各大保险公司将在建设容器云PAAS平台上发力。

网友3:Docker的应用越来越多,与虚拟机的核心区别是什么?

博云产品团队:VMWare/OpenStack的虚拟化技术为我们打开了一扇新的大门,原来我们可以不用如此麻烦的管理物理机,采用虚拟化的技术,同时辅助各种工具,可以更好的实现对资源的管理,提高资源的利用率。当没有容器技术时,为了实现应用的快速发布和运维,会有两个问题:

1.应用以虚拟机镜像的方式发布:相比于容器镜像,因为要包含内核以及操作系统的文件,所以会大很多。另外镜像构建和编辑的过程不如容器镜像方便。

2.服务调度以虚拟机的粒度实现:由于虚拟机内的进程要多很多,一方面会造成资源浪费,另一方面,在评估资源占用率上,虚拟机也没有容器方式更加科学和准确。

如果没有虚拟化,容器编排系统Kubernetes直接接入物理机,如果说在私有云情况下还可以通过一系列物理机纳管工具实现灵活的资源分配与回收,那么在公有云场景下,厂商将自己的物理服务器都拿出来供用户自由申请分配,单是想想就能明白,对用户来说成本只会高不低,推广难度自然是很大。当然,为了特定的需求,公有云厂商为用户直接提供特定硬件的服务器,甚至是托管数据中心,是另外一种场景了。

总的来说,虚拟化技术使得数据中心内的管理对象从静态的物理机编程到动态的虚拟机,容器技术则是在虚拟化技术基础之上实现应用的打包构建、部署调度和运行,二者绝不是为了解决同一种问题搞出来两种方案,而是互为补充,二者结合起来才使得云计算IaaS/PaaS理念真正落地。

网友4:微服务和容器之间是什么关系?

博云产品团队:微服务是一种架构风格,是一种使用一套小服务来开发大型复杂软件应用的方式途径。

容器是一种运行时技术,允许许多应用以互相隔离的方式运行在虚拟机、物理机等之上。同时,分层的容器镜像技术、类似Kubernetes的容器编排技术等的出现,使得运维人员管理成百上千的应用实例变成了非常简单的一件事情。

所以可以看到,使用容器技术作为微服务架构的基础,是非常自然不过的选择。

K8S中文社区微信公众号

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址