-容器技术架构
容器映像是由开发人员创建和注册的包,其中包含在容器中运行所需的所有文件,通常按层组织。映像通常包括层,例如最小操作系统核心(又名基础层)、应用程序框架和自定义代码。
尽管主机可以直接联系注册中心获取镜像并将其部署到容器中,但协调器(例如Kubernetes(K8S)、Docker Swarm、Mesos等)可以自动执行部署过程,从注册中心拉取镜像,并将其部署到容器中,并管理容器运行时。
不变性和弹性(Immutability and Elasticity)
正如宠物中的鸡、牛、鸡和昆虫类比,部署容器是为了弹性,具有自动“横向扩展”和“纵向扩展”的能力。
我们很好地照顾我们的宠物,但杀死和吃掉像牛和鸡这样的动物而不会後悔。虚拟机和容器是可以随时销毁、替换和添加的工作负载。不变性和无状态是容器实现弹性的两个关键属性。
不变性意味着“随时间不变或无法改变”。(Google) 我们可以将容器视为只读的;更新容器的唯一方法是用新容器替换它。无状态意味着容器不会在其本地存储中保留数据;但是,远程存储库用於跨容器持久化和共享状态。
大多数应用程序容器技术都实现了不变性的概念。换句话说,容器本身应该作为已部署但未更改的无状态实体运行。当正在运行的容器需要升级或更改其内容时,它会被简单地销毁并替换为具有更新的新容器。
资料来源: NIST SP 800-192
覆盖网络(Overlay Networks)
覆盖网络通常用於隔离节点之间的流量。相反,可能会导致非容器感知防御工具难以监控流量。
对容器进行分段和分组(Segmenting and Grouping Containers)
在某些情况下,适合将具有相同用途、敏感性和威胁态势的容器分组在单个主机上。尽管如此,它并不适用於所有不具有相同安全要求的容器。
仅将具有相同用途、敏感性和威胁态势的容器分组到单个主机操作系统内核上,以实现额外的纵深防御。
按用途、敏感性和威胁态势分割容器提供了额外的纵深防御。这种分段可以通过使用多个物理服务器来提供,但现代虚拟机管理程序也提供了足够强大的隔离来有效地降低这些风险。
资料来源: NIST SP 800-192
NIST 应用程序容器安全指南(NIST Application Container Security Guide)
NIST 建议组织应遵循以下建议,以帮助确保其容器技术实施和使用的安全性:
参考
. 什麽是容器安全?
. NIST SP 800-192(应用容器安全指南)
. 容器安全指南——你需要知道的一切
. 宠物和牛的类比展示了无服务器如何融入软件基础设施领域
. 宠物与牛的历史以及如何正确使用类比
. 弹性
. 自动化弹性
资料来源: Wentz Wu QOTD-20210408
My Blog: https://choson.lifenet.com.tw/
什麽是 Interceptor? 中文名称为拦截器,受到 剖面导向程序设计 (Aspect Orie...
我们前面说过,中文不像英文,字与字中间与空白相间,所以中文句子要搭配 TF-IDF 前,需要先经过适...
Sort Key的用途 在建立Table的时候, 可看到有一个非必要的选项Sort Key. 在某些...
我相今天的篇章是大家期待已久的,因为经过前面十天的努力,今天终於要将我们的部落格公开在世人面前啦!不...
零信任(Zero Trust) 这个名词已经出现了十年。如果您使用Google进行搜索,则会有大量...