你問我答：容器平臺改造後的安全是如何解決的？

BoCloud博雲微信公眾號【你問我答】小欄目，將收集和整理企業在IT建設所遇到的問題與難題，由博雲產品與技術團隊進行針對性回答，每週五透過【你問我答】欄目進行釋出，希望能為企業IT建設提供思路與方法。無論您是哪個行業的IT建設者，如果您有在容器雲平臺建設、微服務架構轉型、DevOps平臺建設、多雲管理平臺建設等技術方面所遇到的問題，歡迎您直接評論留言提問。

以下是本週問題精選：

網友1： 容器平臺改造後的安全是如何解決的？

傳統的單體應用的安全邊界清晰，安裝Agent就可以解決大量的監控木馬入侵的問題，但是容器平臺的共享核心特性、無狀態特性，造成了安全便捷的不清晰，傳統的安全產品因為網路的原因也無法對容器內的網路進行監控，所以改造後安全的問題怎麼進行解決？是透過三方產品麼？

 

博雲產品團隊： 針對安全問題，可以參考商業化的容器雲平臺解決方案，提供多維度安全設計，保證系統資料安全、環境安全、網路安全、執行安全等全面的要求。在容器主機作業系統本身提供的安全措施（Linux 名稱空間、安全增強型 Linux (SELinux)、Cgroups、功能和安全計算模式 (seccomp) 等）之外，商業化的容器雲解決方案中，還可以在安全層面提供以下措施：

1. 支援HTTPS安全協議訪問、非root使用者部署及管理、終端訪問安全限制。
2. 提供基於角色的訪問許可權控制功能，管理提取和推送特定的容器映象的許可權，保證租戶隔離，資源隔離。
3. 自動化安全測試功能整合到構建或 CI 流程，如應用安全掃描，保證映象安全。
4. 網路隔離：藉助網路名稱空間，各個容器集合都能獲得自己所要繫結的 IP 和埠範圍，因此能使節點上的容器集網路相互分隔開；利用路由器或防火牆的方法來控制出口流量的容器平臺，以便利用 IP 白名單來進行控制（例如，控制資料庫訪問）。
5. API 管理/端點安全和單點登入 (SSO)。

 

網友2： 保險行業中上容器雲專案的企業多嗎？現在是什麼形勢？

 

博雲產品團隊： 未來保險要從主要依賴銷售，轉向依賴從頭到尾的動態大資料風控。如今“網際網路”思維+最新科技手段，已經深刻地影響、甚至是震動著每個行業，保險業自然也不例外。從管理模式、業務流程、經營模式、風控方式、到營銷模式、產品開發、服務客戶方式等各個方面，保險業正在被深刻影響著。而這些對保險公司來說都意味著內部的變革。

 

目前在國內外保險企業中，均啟動了新一代資訊系統建設計劃。它旨在透過容器雲、微服務、DevOps、應用大資料、物聯網、人工智慧等新技術，打造具有快速交付能力的、安全的、以客戶為中心的、能滿足現在及未來發展需要的“IT生產力”，從而使企業能快速、靈活應對業務發展的變化，並實現業務和服務創新。

 

針對此問，舉例說說我的看法。眾所周知，保險業務越來越多樣化，尤其各種促銷活動也越來越多，因此對於系統的快速擴充套件能力有很高的要求。保險行業裡，運營活動促銷、開門紅促銷等活動頻繁釋出，尤其是“秒殺”這一促銷手段，這對保險公司來說，無疑是對其系統效能極限和靈活性的巨大挑戰。如果系統按“秒殺”的峰值配置資源，那麼平時資源利用率低，無疑是一種巨大的浪費。因此，就要求IT資源和服務可快速彈性擴充套件。

 

那麼容器雲平臺的建設在未來保險行業的IT建設規劃中必定是計劃之一，目前國內保險行業在容器雲的建設上還處於初級起步階段，勇於嘗試的企業還不多，大多處於調研、測試階段，但隨著未來1-3年業務的爆發增長以及應用服務的多元化，相信各大保險公司將在建設容器雲PAAS平臺上發力。

網友3： Docker的應用越來越多，與虛擬機器的核心區別是什麼？

博雲產品團隊： VMWare/OpenStack的虛擬化技術為我們開啟了一扇新的大門，原來我們可以不用如此麻煩的管理物理機，採用虛擬化的技術，同時輔助各種工具，可以更好的實現對資源的管理，提高資源的利用率。當沒有容器技術時，為了實現應用的快速釋出和運維，會有兩個問題：

 

1.應用以虛擬機器映象的方式釋出：相比於容器映象，因為要包含核心以及作業系統的檔案，所以會大很多。另外映象構建和編輯的過程不如容器映象方便。

 

2.服務排程以虛擬機器的粒度實現：由於虛擬機器內的程式要多很多，一方面會造成資源浪費，另一方面，在評估資源佔用率上，虛擬機器也沒有容器方式更加科學和準確。

 

如果沒有虛擬化，容器編排系統Kubernetes直接接入物理機，如果說在私有云情況下還可以透過一系列物理機納管工具實現靈活的資源分配與回收，那麼在公有云場景下，廠商將自己的物理伺服器都拿出來供使用者自由申請分配，單是想想就能明白，對使用者來說成本只會高不低，推廣難度自然是很大。當然，為了特定的需求，公有云廠商為使用者直接提供特定硬體的伺服器，甚至是託管資料中心，是另外一種場景了。

 

總的來說，虛擬化技術使得資料中心內的管理物件從靜態的物理機程式設計到動態的虛擬機器，容器技術則是在虛擬化技術基礎之上實現應用的打包構建、部署排程和執行，二者絕不是為了解決同一種問題搞出來兩種方案，而是互為補充，二者結合起來才使得雲端計算IaaS/PaaS理念真正落地。

 

網友4：微服務和容器之間是什麼關係？

 

博雲產品團隊： 微服務是一種架構風格，是一種使用一套小服務來開發大型複雜軟體應用的方式途徑。

 

容器是一種執行時技術，允許許多應用以互相隔離的方式執行在虛擬機器、物理機等之上。同時，分層的容器映象技術、類似Kubernetes的容器編排技術等的出現，使得運維人員管理成百上千的應用例項變成了非常簡單的一件事情。

 

所以可以看到，使用容器技術作為微服務架構的基礎，是非常自然不過的選擇。