8. 存储
最后,标记好你的定制构建容器,如许可以确保在构建和安排时不会搞纷乱。
5. 控制好在同一个集群内安排应用
当然,它并不仅关乎安然。你须要供给一个你的开辟者团队和运营团队有相干经验的容器平台。他们须要一个安然的、企业级的基于容器的应用平台,它可以或许同时知足开辟者和运营者的须要,并且还可以或许进步操作效力和基本举措措施应用率。
如不雅是在构建过程中出现的任何问题,或者在镜像被安排之后发明的任何马脚,那么,请在基于策略的、主动化对象上添加别的的安然层。
我们来看一下,一个应用法度榜样的构建应用了三个容器镜像层:内核、中心件,以及应用法度榜样。如不雅在内核镜像中发清楚明了问题,那么只能从新构建镜像。一旦构建完成,镜像就会被宣布到容器平台注册库中。这个平台可以主动检测到产生变更的镜像。对于基于这个镜像的其它构建将被触发一个预定义的动作,平台将本身从新构建应用镜像,归并该修复的库。
一旦构建完成,镜像将被宣布到容器平台的内部注册库中。在它的内部注册库中,会急速检测到镜像产生变更,应用法度榜样在这老将会被触发一个预定义的动作,主动安排更新镜像,确保运行在临盆体系中的代码老是应用更新后的最新的镜像。所有的┞封些功能协同工作,将安然功能集成到你的持续集成和持续安排(CI/CD)过程和管道中。
6. 容器编配:保护容器平台安然
当然了,应用法度榜样很少会以单一容器分发。甚至,简单的应用法度榜样一般情况下都邑有一个前端、一个后端、以及一个数据库。而在容器中以微办事模式安排的应用法度榜样,意味着应用法度榜样将安排在多个容器中,有时它们在同一台宿主机上,有时它们是分布在多个宿主机或者节点上,如下面的图所示:
在大年夜范围的容器安排时,你应当推敲:
- 哪个容器应当被安排在哪个宿主机上?
- 那个宿主机应当有什么样的机能?
- 哪个容器须要拜访其它容器?它们之间若何发明彼此?
- 你若何控制和治理对共享资本的拜访,像收集和存储?
- 若何监督容器健康状况?
- 若何去主动扩大机能以知足应用法度榜样的须要?
- 如安在知足安然需求的同时启用开辟者的自助办事?
推敲到开辟者和运营者的才能,供给基于角色的拜访控制是容器平台的关键要素。例如,编配治理办事器是中间拜访点,应当接收最高等其余安然检查。API 是范围化的主动容器平台治理的关键,可以用于为 pod、办事,以及复制控制器验证和设备数据;在入站请求上履行项目验证;以及调用其它重要体系组件上的触发器。
7. 收集隔离
在容器中安排现代微办事应用,经平平易近味着跨多个节点在多个容器上安排。推敲到收集防御,你须要一种在一个集群中的应用之间的互相隔离的办法。一个典范的公有云容器办事,像 Google 容器引擎(GKE)、Azure 容器办事,或者 Amazon Web 办事(AWS)容器办事,是单租户办事。他们让你在你初始化建立的虚拟机集群上运行你的容器。对于多租户容器的安然,你须要容器平台为你启用一个单一集群,并且瓜分流量以隔离不合的用户、团队、应用、以及在这个集群中的情况。
容器即可被用于无状况应用,也可被用于有状况应用。保护外加的存储是保护有状况办事的一个关键要素。容器平台对多种受迎接的存储供给了插件,包含收集文件体系(NFS)、AWS 弹性块存储(EBS)、GCE 持久磁盘、GlusterFS、iSCSI、 RADOS(Ceph)、Cinder 等等。
一个持久卷(PV)可以经由过程资本供给者支撑的任何方法装载到一个主机上。供给者有不合的机能,而每个 PV 的拜访模式被设置为特定的卷支撑的特定模式。例如,NFS 可以或许支撑多路客户端同时读/写,然则,一个特定的 NFS 的 PV 可以在办事器上被宣布为只读模式。每个 PV 有它本身的一组反竽暌功特定 PV 机能的拜访模式的描述,比如,ReadWriteOnce、ReadOnlyMany、以及 ReadWriteMany。
9. API 治理、终端安然、以及单点登录(SSO)
保护你的应用安然,包含治理应用、以及 API 的认证和授权。
企业须要高度安然,在容器中运行核心办事的任何人都邑问,“容器安然吗?”以及“我们能信赖运行在容器中的应用法度榜样吗?”
Web SSO 才能是现代应用法度榜样的一个关键部分。在构建它们的应用时,容器平台带来了开辟者可以应用的多种容器化办事。
API 是微办事构成的应用法度榜样的关键地点。这些应用法度榜样有多个自力的 API 办事,这导致了终端办事数量的激增,它就须要额外的治理对象。推荐应用 API 治理对象。所有的 API 平台应当供给多种 API 认证和安然所须要的标准选项,这些选项既可以零丁应用,也可以组合应用,以用于宣布证书或者控制拜访。
这些选项包含标准的 API key、应用 ID 和密钥对,以及 OAuth 2.0。
10. 在一个结合集群中的角色和拜访治理
在 2016 年 7 月份,Kubernetes 1.3 惹人了 Kubernetes 结合集群。这是一个令人高兴的新特点之一,它是在 Kubernetes 上游、当前的 Kubernetes 1.6 beta 中引用的。结合是用于安排和拜访跨多集群运行在公有云或企业数据中间的应用法度榜样办事的。多个集群可以或许用于去实现应用法度榜样的高可用性,应用法度榜样可以跨多个可用区域,或者去启用安排公共治理,或者跨不合的供给商进行迁徙,比如,AWS、Google Cloud、以及 Azure。
想大年夜 Daniel 在 欧盟开源峰会 上的 容器安然的十个层面 的演讲中进修更多常识吗?这个峰会已于 10 月 23 - 26 日在 Prague 举办。
【编辑推荐】
- 9个进步体系运行速度的轻量级Linux应用
- Linux下最好的图片朝长进步和视频截录对象
- 在Linux中主动设备IPv6地址
- 为初学者介绍的Linux tee敕令(6个例子)
推荐阅读
ldd [object-name] 沙龙晃荡 | 3月31日 京东、微博拭魅战专家与你合营商量容器技巧实践! How to make ldd produce unused direct dependenciesQ4、 若何让 ldd 履行重定位?如不雅您的工作>>>详细阅读
本文标题:Linux容器安全的10个层面
地址:http://www.17bianji.com/lsqh/40630.html
1/2 1