很久很久以前,人们提起搭建网络服务,第一时间想到的就是买服务器。因为应用要依赖于操作系统,而一台服务器只能对应一个操作系统。为了使服务能力更强,人们只能不断的增加物理服务器,花费大量金钱,也耗费了不少IT农民搬砖来维护。
于是乎伟大的虚拟化技术诞生了,让一台服务器可以运行多个操作系统,物尽其用。从这时起,人们开始了“合租”生活的日子,把一个物理服务器(宿主机)变成了 N个虚拟服务器(虚拟机)。“以1变N”,IT农民以低于市场的价格,使用上了网络服务。而本文我们要说的,是一种叫容器的虚拟化技术。如果把传统的网络搭建比作是“农村盖房子”劳心费力重资产、虚拟机是“房车”中资产,那么容器就是“舒心称意的租房”轻资产!让你拎包入住,中式欧式日式装修风格,想换就换!!
我们先来了解下网络上容器的定义:
Containers are a solution to the problem of how to get software to run reliably when moved from one computing environment to another. This could be from a developer's laptop to a test environment, from a staging environment into production, and perhaps from a physical machine in a data center to a virtual machine in a private or public cloud.
怎么样?看不懂吧!
简单来说,容器不依赖于硬件环境和操作系统 ,它将应用程序及其所依赖的环境打包成镜像。再把镜像存放在镜像仓库中。镜像仓库类似于手机下载APP的应用商店,分为公开仓库和私有仓库。人们可以通过访问镜像仓库,将镜像拉取到任何运行着容器引擎(比如Docker)的机器上,并运行镜像。再通过编排调度平台(比如K8S),完成容器的自动调度、配置、监管和故障处理, 轻松搞定大规模容器的部署管理。
那容器又比虚机好在哪里呢?
我们可以看到, 比起传统的虚拟机, 容器技术可以在同一操作系统上 运行多个相互独立的容器,而服务运行在容器中,想要迁移服务只需把容器带走就可以,摒弃了臃肿的操作系统。但任何一个虚机的运行,都需要一个完整的操作系统和安装其中的大量应用程序。虚拟机占用空间数十GB,是“操作系统级别”的资源隔离,容器 本质上却是“进程级”的资源隔离!
容器的跨平台性更佳,而且,一台物理机通常能支持成百上千的容器,创建和释放的速度都是“秒”级的,轻装上阵、易于移植,自然跑的更快更远。
山石网科容器安全防护系统
随着容器在越来越多的领域得到广泛应用,使得容器的安全问题变得尤为关键。比如容器虚拟机化安全风险(容器隔离问题、容器逃逸攻击)、网络安全风险(容器网络攻击、网络DoS攻击)等。除此之外,容器镜像本身也存在一定的风险。比如镜像中可能包含高危漏洞、公共镜像库中有恶意镜像或者镜像在传输过程中被恶意篡改。容器的安全问题不容小视,它需要安全产品的防护。
有了山石网科的容器安全防护系统“云铠”,你可以不再惧怕容器云平台内部的安全问题。我们把容器云平台想象成一个幼儿园,一群小朋友(容器业务)坐在一间教室里上课玩耍,这时有人得了感冒,而小朋友们的抵抗力比较低,在没有防范的情况下,很快更多的小朋友都被传染了。
山石云铠:运行安全+微隔离两大特性
亮点1. 运行安全
首先我们可以记录下容器应用一段时间内的行为活动,看看他们都在干什么。然后进行实时观察,与记录下的行为进行对比,如果他们出现了异常的举动,比如读写打开不必要的文件、运行不必要的进程,就可以识别出业务可能出现异常,并且立马上报告警,也可以控制其异常行为(将行为设置为黑名单)。
亮点2. 微隔离
当前环境内,容器业务之间可以无阻碍地随意互访,这对于风险的规避和业务关系的梳理都是极为不利的。有了山石云铠之后,我们可以配置微隔离策略,让容器业务有规则地进行流量互访。井然有序代替了之前的混沌杂乱!
这些牛X闪闪的功能,如果你还不了解,点击文末“阅读原文”进入山石网科技术文档下载中心下载它的产品配置手册吧!最后的最后,我们的心愿是:容器风险归零,疫情快快结束。
514
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
