你问我答:容器平台改造后的安全是如何解决的?

BoCloud博云微信公众号【你问我答】小栏目,将收集和整理企业在IT建设所遇到的问题与难题,由博云产品与技术团队进行针对性回答,每周五通过G Y 1【你问我答】栏目进j 7 Q行发布,希望能为企( x * M I O `业IT建设提供思路与方法。无论您是哪个行业的IT建设者,如果您有在容器平台建设、微服务架构转型、DevOps平台建设、多云管理平台建设等技术方面所遇到的问题,欢迎您直接评论留言提. n I r I问。

以下是本周问题精选:

网友1:容器平台改造后的安全是如何解决的?

传统的单体应用的安全边界清晰,安装Agent就可 z $ w解决大量的监控******的问题,但是容器平台的共享内核特性、无状态特性,造成了安全便捷的不清晰,传统的安全产品因为网络的原因也无法对容器内| { a x s $ } (的网络进行监控,所以改造后安全的问题怎么进行解决?是通过三方产品么?

博云产品团队:针对安全问题,可以参考商业化的容器云平台解决U T t h h @方案,提供多维度安全设计,保证系统数据安全、环境安全、网络安全、运行安全等全面的要求。在容器主机操作系统本身提供的安全措施(LinuV ) r j x j d e ix 命名空间、安全增g D J . z强型 LiF b Y . Q 3nux (SELinux)、Cgroups、功能和安全计算模式 (seccomp) 等)之外,商业化的容器云解决方案中,还可以在安全层面提供以下措施:
支持HTO u t 9 |TPS安全协议访问、非root用户部署及管理、终端访问安全限制。
提供基于角色的访问权限控制功能,管理提取和推送特定的容器镜像的权限,保证租G ) 6 7隔离,资源隔离_ 8 b f U f E
自动化安全测试功能整合到构建或 CI 流程,如应用安全扫描,保证镜像安全。
网络隔离:借助网络命名空间,各个容器集合都能获得自己所要绑定的 IP 和端口范围,因此能使节点上的容器集网络相互分隔开;利用路由器或防火墙的方法来控制出口流量的容器平台,以便利用 IP 白名单来进行控) H v + 2 y x T制(例如,控制数据库访问)。
API 管理/端点安全和单点登录 (SSO)。

网友2:保险行o G E : }业中上容器云项` q目的企业多吗?现在是什么形势?

博云产品团队:未4 r 5 Q u O b 5 N来保险要从主要依赖销售,转向依赖从头到尾的动态大数b ` Q ! 2 e 2据风控。如今“互联网”思维+最新科技手段,已经深刻地影响、甚至是震动着每, u K个行业,保险业自然也不例外。从管R B b 4 h Z i e H理模式、业务流程、经营模式、P J m 1风控方式、到营销模P t K w 1 a 3 E k式、产品开发、服务客户方式等各个方面,保险k p ^ N N P o ^业正在被深刻影响着。而这些对保险公司来说都意味着D ~ H ^ N v内部的变革。

目前在国内外保险企业中,均启动了新一代信息系统建设计划。它旨在通过容6 + 8 2 l !器云、微服务、DevOps、应用大数据、物联网、a d d F a = l m C人工智能. h v / o [等新) A m技术,打造具有快速交付能V m B [ Q 5 a ] Q力的、安全的、以客户为中心的、能满足现在及未来发展需要6 3 W的“IT生产力”,从而使z + $ ~企业能快速、灵H u g活应对业务发展的变化,并实现业务和服务创d i ] v新。

针对此问,举例说说我的看法。众所周知,保险业务越来越多样化,尤其各种促销活动也越来越多,因此对于系统的快速扩展能力有很高的要求。保险行业里,运营活动促销、开5 [ A门红促销等活动频繁发布,尤其是“秒杀”这一促销手段,这对保险公司来说,h J y ; g c :无疑是对其系统性能极限和灵活性的巨大挑战。; : $ v 1 } d (如果系统按“秒杀”的峰值配置资源,那么平时J , 1 e P U B O E资源利用率低,无疑是一种巨大的浪费。因此,就要求IT资源和服务可快速弹性扩展。

那么容器云平台的建设在未来保险行业的IT建设规划中必定是计划之一,目前国内保险行业在容器云的建设上还处于初级起步阶段,勇于尝Z } r试的企业还不多,大多处于调研、测试阶段,但随着未来1-3年业务的爆发增长以及应用服务的多元化,相信各大保险公司将M V z ! B (在建设容器云PAAS平台上发力。

网友3:Dor / O icker , } a的应用越来越多,与虚拟机的核心区别是什么?

博云产品团队:VMWare/OpenStack的虚拟化技术为我& f ~们打开了一扇新的大门,原来我们可以不用如此麻烦的管理物理机,采用虚拟化的技术,同时辅助各种工具,可以更好的实现对Q ~ c E P j % l资源的管理,提高资源的利用率。当没有容器技术时,为了实现0 M C 8 9 k T应用的快速发布和运维,会有两个问题:

1.应用以虚拟机镜像的方式发布:相比于容器镜像,因为要包含内核以及操作? [ F 7系统的文件,所以会大很多。另外镜像构建和编辑的过程不如容器镜像方便。

2.服务调度以虚拟机的粒度实现:由于虚拟机内的进程要多很多,一方面会造成资源浪费,另一方面= j Y ] K 5 e,在评估资源占用率上,虚拟机也没有容器方式更加科学和准确。

如果没有虚拟化,容器编4 [ q R -排系统Kubernetes直接接入物理机,如果说在私有云w r p 2 Q W ,情况下还可以通过一系列物理机纳管工具实现灵( Y w c C }活的资源分配与回收,那么在公有云场景下,厂商将自己的物理服务器都拿出来供用户自由申请分配,单是想想就能明白,对用户来说成本只会高不低,推广难度自然是很大。当然,为了特定的需求,公有云厂商6 K n y 7为用户直接提供特定硬件的服务器,甚至是托管数据中心,是另外一种场景了。

总的来说,虚拟化技术使得数据中心内的管理对象从静态的物E Z - I理机编程到动态的虚拟机,容器技术则是在虚拟化技术基础之上实现应用的打包构建、部署调度和运r ! m 8 =行,二者绝不是为了解决同一种问题搞出来两种方案,而是互为补充,二者; / S 2结合起o % ) O N # @ P来才使得0 G 6云计算IaaS/Paa, + u R E p qS理念真正落地。

网友4:微服务和容器之间是Z $ ] d J ] @ t #什么关系A F w

博云产品团队:微服务是一种架构风格,是一种使用一套小服务来开发大型复杂软件应用的方式途径。

容器是一种运行时技术,允许许多应用以互相隔离的方式运行在虚拟机、物理机等之上。同时,分层的容器镜像技术、类似Kubernetes的容器编排技术等的出/ Z x k h h现,使得运维人员管理成百上千的应用实例变成了非常简单的一件事情。# q v S D _

所以可以看到,使用容器技术作为微服务架构的基础,是非常自- ( q h G } e W _然不过的选择。