你問我答:容器平臺改造後的安全是如何解決的?
BoCloud博雲微信公眾號【你問我答】小欄目,將收集和整理企業在IT建設所遇到的問題與難題,由博雲產品與技術團隊進行針對性回答,每週五透過【你問我答】欄目進行釋出,希望能為企業IT建設提供思路與方法。無論您是哪個行業的IT建設者,如果您有在容器雲平臺建設、微服務架構轉型、DevOps平臺建設、多雲管理平臺建設等技術方面所遇到的問題,歡迎您直接評論留言提問。
以下是本週問題精選:
網友1: 容器平臺改造後的安全是如何解決的?
傳統的單體應用的安全邊界清晰,安裝Agent就可以解決大量的監控木馬入侵的問題,但是容器平臺的共享核心特性、無狀態特性,造成了安全便捷的不清晰,傳統的安全產品因為網路的原因也無法對容器內的網路進行監控,所以改造後安全的問題怎麼進行解決?是透過三方產品麼?
博雲產品團隊: 針對安全問題,可以參考商業化的容器雲平臺解決方案,提供多維度安全設計,保證系統資料安全、環境安全、網路安全、執行安全等全面的要求。在容器主機作業系統本身提供的安全措施(Linux 名稱空間、安全增強型 Linux (SELinux)、Cgroups、功能和安全計算模式 (seccomp) 等)之外,商業化的容器雲解決方案中,還可以在安全層面提供以下措施:
- 支援HTTPS安全協議訪問、非root使用者部署及管理、終端訪問安全限制。
- 提供基於角色的訪問許可權控制功能,管理提取和推送特定的容器映象的許可權,保證租戶隔離,資源隔離。
- 自動化安全測試功能整合到構建或 CI 流程,如應用安全掃描,保證映象安全。
- 網路隔離:藉助網路名稱空間,各個容器集合都能獲得自己所要繫結的 IP 和埠範圍,因此能使節點上的容器集網路相互分隔開;利用路由器或防火牆的方法來控制出口流量的容器平臺,以便利用 IP 白名單來進行控制(例如,控制資料庫訪問)。
- API 管理/端點安全和單點登入 (SSO)。
網友2: 保險行業中上容器雲專案的企業多嗎?現在是什麼形勢?
博雲產品團隊: 未來保險要從主要依賴銷售,轉向依賴從頭到尾的動態大資料風控。如今“網際網路”思維+最新科技手段,已經深刻地影響、甚至是震動著每個行業,保險業自然也不例外。從管理模式、業務流程、經營模式、風控方式、到營銷模式、產品開發、服務客戶方式等各個方面,保險業正在被深刻影響著。而這些對保險公司來說都意味著內部的變革。
目前在國內外保險企業中,均啟動了新一代資訊系統建設計劃。它旨在透過容器雲、微服務、DevOps、應用大資料、物聯網、人工智慧等新技術,打造具有快速交付能力的、安全的、以客戶為中心的、能滿足現在及未來發展需要的“IT生產力”,從而使企業能快速、靈活應對業務發展的變化,並實現業務和服務創新。
針對此問,舉例說說我的看法。眾所周知,保險業務越來越多樣化,尤其各種促銷活動也越來越多,因此對於系統的快速擴充套件能力有很高的要求。保險行業裡,運營活動促銷、開門紅促銷等活動頻繁釋出,尤其是“秒殺”這一促銷手段,這對保險公司來說,無疑是對其系統效能極限和靈活性的巨大挑戰。如果系統按“秒殺”的峰值配置資源,那麼平時資源利用率低,無疑是一種巨大的浪費。因此,就要求IT資源和服務可快速彈性擴充套件。
那麼容器雲平臺的建設在未來保險行業的IT建設規劃中必定是計劃之一,目前國內保險行業在容器雲的建設上還處於初級起步階段,勇於嘗試的企業還不多,大多處於調研、測試階段,但隨著未來1-3年業務的爆發增長以及應用服務的多元化,相信各大保險公司將在建設容器雲PAAS平臺上發力。
網友3: Docker的應用越來越多,與虛擬機器的核心區別是什麼?
博雲產品團隊: VMWare/OpenStack的虛擬化技術為我們開啟了一扇新的大門,原來我們可以不用如此麻煩的管理物理機,採用虛擬化的技術,同時輔助各種工具,可以更好的實現對資源的管理,提高資源的利用率。當沒有容器技術時,為了實現應用的快速釋出和運維,會有兩個問題:
1.應用以虛擬機器映象的方式釋出:相比於容器映象,因為要包含核心以及作業系統的檔案,所以會大很多。另外映象構建和編輯的過程不如容器映象方便。
2.服務排程以虛擬機器的粒度實現:由於虛擬機器內的程式要多很多,一方面會造成資源浪費,另一方面,在評估資源佔用率上,虛擬機器也沒有容器方式更加科學和準確。
如果沒有虛擬化,容器編排系統Kubernetes直接接入物理機,如果說在私有云情況下還可以透過一系列物理機納管工具實現靈活的資源分配與回收,那麼在公有云場景下,廠商將自己的物理伺服器都拿出來供使用者自由申請分配,單是想想就能明白,對使用者來說成本只會高不低,推廣難度自然是很大。當然,為了特定的需求,公有云廠商為使用者直接提供特定硬體的伺服器,甚至是託管資料中心,是另外一種場景了。
總的來說,虛擬化技術使得資料中心內的管理物件從靜態的物理機程式設計到動態的虛擬機器,容器技術則是在虛擬化技術基礎之上實現應用的打包構建、部署排程和執行,二者絕不是為了解決同一種問題搞出來兩種方案,而是互為補充,二者結合起來才使得雲端計算IaaS/PaaS理念真正落地。
網友4:微服務和容器之間是什麼關係?
博雲產品團隊: 微服務是一種架構風格,是一種使用一套小服務來開發大型複雜軟體應用的方式途徑。
容器是一種執行時技術,允許許多應用以互相隔離的方式執行在虛擬機器、物理機等之上。同時,分層的容器映象技術、類似Kubernetes的容器編排技術等的出現,使得運維人員管理成百上千的應用例項變成了非常簡單的一件事情。
所以可以看到,使用容器技術作為微服務架構的基礎,是非常自然不過的選擇。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69923336/viewspace-2717654/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 你問我答:容器篇(1)
- 你問我答:現有的應用有必要做微服務改造嗎?微服務
- 你問我答:DevOps完美實現一定要用容器嗎?dev
- 問答營銷怎麼做?問答網路推廣的平臺和形式
- 這11個靈魂問答,解決你80%的資料中臺困境
- 搭建一個問答交流平臺
- DCOS雲平臺之應用容器化改造規範
- 你問我答|虛擬機器、容器和無伺服器,怎麼選?虛擬機伺服器
- IBM區塊鏈負責人Jesse Lund的“你問我答”IBM區塊鏈
- 你問我答:微服務治理應該如何去做?微服務
- macOS Big Sur更新後你遇到了哪些問題如何解決Mac
- 容器平臺
- 影片服務平臺如何解決直播平臺開發中具有挑戰的工作
- vue-element-admin改造接入後臺,搭建有來商城youlai-mall後臺前端管理平臺VueAI前端
- cAdvisor:你的容器效能顧問
- JAVA容器-自問自答學LinkedListJava
- CDP平臺:如何解決使用者畫像標籤資料不準的問題?
- 如何解決網站登入後反爬的問題?網站
- 掘金 AMA:我是天貓營銷平臺前端-- ?耗子,你有什麼問題要問我?前端
- 掘金 AMA:我是天貓營銷平臺前端– ?耗子,你有什麼問題要問我?前端
- 答 《部落格作者呀,我想採訪你這 9 個問題!》 問卷
- 如何解決大地圖戰略遊戲後期乏味的問題?地圖遊戲
- 低程式碼平臺的常見安全漏洞,J2PaaS低程式碼平臺如何解決?
- 如何解決 github 訪問慢的問題Github
- 關於onethink移植後登陸不了後臺問題的解決
- 問答平臺研究:知識變現推動下的迭代升級(附下載)
- 資料庫分庫分表之後,你是如何解決事務問題?資料庫
- windows10安裝程式正在檢查你的電腦如何解決Windows
- 直播平臺開發的小店功能強大,如何解決直播帶貨的貨源
- 如何解決dell win10你的電腦遇到問題需要重新啟動的問題Win10
- 解決vscode安裝後無法啟動的問題VSCode
- 如何解決sms-activate的解決問題
- 如何解決windows無法安裝ubuntu問題WindowsUbuntu
- 在 X86_64(amd64) 平臺上的docker支援打包跨平臺的映象(如arm64)Docker
- 如何解決應用安裝失敗錯誤碼-13的問題
- 如何構建高效自主的容器雲交付平臺?
- 解決docker安裝minio容器時,minio容器啟動幾秒後自動退出的一種方法Docker
- Rust 如何解決 C++ 的問題?RustC++