容器安全技术容器网络支撑技术

最新推荐文章于 2023-08-23 17:15:00 发布
最新推荐文章于 2023-08-23 17:15:00 发布
阅读量488 收藏
点赞数
文章标签: 网络 安全 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73803866/article/details/127303424
版权

容器网络

云计算
系统的发展来看,业界普遍的共识是,计算虚拟化和存储虚拟化已经不断突破和成熟,但网络虚拟 化的发展仍相对滞后,成为制约云计算发展的一大瓶颈。网络虚拟化、多租户、混合云等特性均不同程度地给云 网络的安全建设提出全新的挑战。容器技术提供了轻量级
虚拟化的能力,使实例资源占用大幅降低,提升了分布式计算系统的性能,但分布式 容器系统的网络仍是较为复杂的部分。本节将针对容器主机网络以及容器集群网络分别进行介绍。

容器网络支撑技术

容器网络虽然有多种形态,但多数使用了若干种支撑技术,例如网络命名空间(Network Namespa
ce)、 Linux网桥(Linux Bridge)以及虚拟网络接口对(Veth Pair)。1. 网络命名空间
网络命名空间是一种实现网络隔离的技术,创建一个网络命名空间后就有一个包括网络接口、路由、访问控 制规则(Iptables)等网络资源的独立网络环境,该命名空间的网络与其它网络隔离。
2. Linux 网桥
Linux网桥是 Linux系统中的虚拟网桥,它可以将不同主机的网络接口连接,从而实现主机间的通信。 Docker 启动后,会默认创建名为 docker0 的 Linux网桥。在未创建任何容器时,可以看到 docker0 网桥没有
接口连接。
brctl show
bridge name bridge id STP enabled interfaces docker0 8000
.0242d1837f60 no
当创建容器时(d458f9bd528),Docker 会为容器创建虚拟网络接口,并将其连接到 docker0 网桥上。

brctl show
bridge name  bridge id  STP enab[led](http://github5.com/search?f=p&wd=led)
  interfaces docker0   8000.0242f22b2de4  no  veth4d91464veth6ed0a8c

2.3.1.3 虚拟网络接口对
为了实现容器与宿主机网络、外部网络之间的通信,需要通过虚拟网络接口对将容器与 Linux网桥连接。
当 Docker 启动一个容器时(d458f9bd528),会创建一个虚拟网络接口对,即两个相连的虚拟网络接口。 其中一个连接容器,成为容器 d458f9bd528 的网卡 eth0 ;另一个被连接到 docker0 网桥上,从而容器内部的数 据包先后经过 eth0 和 veth6ed0a8c 对到达 docker0 网桥,实现在同一子网内不同容器之间的通信。
通过下面命令可以得到容器的网卡 eth0 在宿主机上的编号(peer-ifindex)。

  • docker exec d458f9bd528 ethtool -S eth0 NIC statistics:
    peer_ifindex: 37
    继续执行下面命令找到宿主机上 peer_ifindex 为 37 的接口名称。
  • ip link | grep 37
    37: vethfaa2a17@if36: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP mode DEFAULT
    运行 ethtool 可查找其对端接口编号。
  • ethtool -S vethfaa2a17 NIC statistics:
    peer_ifindex: 36
主机网络

以 Docker 为例,目前 Docker 容器主机网络(Host Network)主要分为以下 4 种模式。

  1. None 网络模式
    None 网络模式下,容器拥有自己的网络命名空间,但是并不为容器进行任何的网络配置。创建的容器只有 loopback 接口,需要用户为容器添加网卡、配置 IP 等。
    rkt 同样支持 None 网络模式。该网络模式的用途主要是测试容器、稍后为容器分配网络、以及一些对安全 性要求高且不需要联网的场景。
  2. Bridge 网络模式
    Bridge(网桥)网络模式主要是利用 Iptables 进行 NAT和端口映射,从而提供单主机网络。与虚拟机下的 NAT网络类似,这种网络模式下同一主机上的容器之间是可以互相通信的,但是分配给每个容器的 IP 地址从主 机外部不能访问。

Bridge 网络是 Docker 默认的网络类型,在安装完 Docker 后会默认创建 docker0 网桥,并通过虚拟网络接口 对连接容器和 docker0 网桥,这样主机上的所有容器就处在了一个二层网络中。

Container Container Container
eth0 eth0 eth0 veth veth veth
docker0
Host
eth0

  1. Host 网络模式
    Host(主机)网络模式下,Docker 服务启动容器时并不会为容器创建一个隔离的网络环境,容器将会被加 入主机所在网络,共享主机的网络命名空间(/var/run/docker/netns/default)。其网络配置(网络地址、路由表 和 Iptables 等)和主机保持一致,容器通过主机的网卡和 IP,实现与外部的通信。
    由于容器并没有独立的网络命名空间,容器服务的端口没有经过端口映射就直接暴露在主机上,因此容器中 服务的端口号不能与主机上已经使用的端口号冲突。
    以这种网络模式创建的容器虽然可以访问主机的所有网络接口,但除非在特权模式下部署,否则容器可能不 会重新配置主机的网络堆栈。Host 网络模式是 Apache Mesos 中默认使用的网络模式,如果没有指定网络类型, 新的网络命名空间将不会与容器相关联,而是与主机网络相关联。

    Container
    docker0
    Host
    eth0

  2. Container 网络模式
    Container(容器)网络模式比较特殊,新创建的容器和已经存在的某个容器共享同一个命名空间。该新容器 不会创建自己的网卡或配置自己的 IP,而是和一个指定容器共享 IP、端口范围等。
    这两个容器只有网络方面共享数据,文件系统、进程列表等其它方面还是隔离的。两个容器的进程可以通过 loopback 网卡通信。

    Container Container
    eth0
    veth
    docker0
    Host
    eth0

参考资料

绿盟 容器安全技术报告

友情链接

CSA 软件定义边界和零信任

m0_73803866
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
15.Docker(六)-----当前最安全容器技术(理解Docker安全容器资源控制、Docker安全加固)
qq_44060147的博客
07-25 402
这里写目录标题一、 一、
容器安全技术Grafeas
m0_73803866的博客
10-12 290
由于软件开发中多种语言的数据规范存在较大差异,例如 Go 语言使用 URL定义自己的组 件地址、Java 有自己的相应规范、Docker 使用 Sha256 表示每一层,这些规范的差异性,导致容器镜像在交付 生产环境前,很难判断容器镜像内包含的多种语言的二进制包的质量信息以及漏洞信息。Istio 的定义可以简述为提供一种简单的方式来建立已部署服务的网络,具备负载均衡、服务到服务认证、监 控等功能,而不需要改动任何服务代码。工具 Clairctl[73]执行简单的命令行,实现镜像的上传、扫描、输出报告等。
容器技术容器安全
weixin_44720441的博客
08-23 138
更轻便与高效的虚拟化技术,在操作系统层面实现了对计算机系统资源的虚拟化,在操作系统中通过对CPU、内存和文件系统等资源进行隔离、划分和控制,实现进程间透明的资源使用。在容器中,代码、运行时和各种依赖与配置被打包在一起,多个容器可以在同一台机器上运行,并与其他容器共享操作系统内核。虚拟化技术是一种将计算机物理资源(CPU提供的运算控制资源、硬盘提供的数据存储资源、网卡提供的网络传输资源等硬件资源)进行抽象、转换为虚拟的计算机资源从而提供给程序使用的技术。总体而言,容器层面的安全可以分为以下几部分。
课时 29:安全容器技术(王旭)
阿里巴巴云原生的博客
10-28 913
本文将主要分享以下五方面的内容: 缘起:安全容器的命名 间接层:安全容器的精髓 Kata Containers:云原生化的虚拟化 gVisor:进程级虚拟化 安全容器:不止于安全 缘起:安全容器的命名 Phil Karlton 有一句名言:“计算机科学界只有两个真正的难题——缓存失效和命名。” 对我们容器圈而言,我相信“命名”绝对配得上这句话。这毫无疑问是一件让老开发者沉默、让新人落泪的事情。...
金融行业容器技术架构.pdf
09-27
容器网络方案多样,从Underlay(如MacVLAN、IPVLAN)到Overlay/Tunnel(如Flannel-VxLAN、Calico-IPIP),再到L3 Routing(如Flannel-HostGW、Calico-BGP),这些技术在解决跨VLAN、传输性能、内外部通信、跨集群...
企业容器平台架构及容器技术实践.docx
10-14
容器技术的实践中,美团遇到了很多问题,如容器的隔离、稳定性、性能和安全性等。为了解决这些问题,美团采取了一些措施,如隔离容器网络和资源,使用Kubernetes来管理容器的生命周期,实现容器的自动扩展和缩放...
云计算数据隐私保护关键技术研究.pdf
08-14
因此,容器安全技术,如容器镜像扫描、运行时安全监控和容器网络隔离,是保护数据隐私的重要工具。此外,容器编排系统(如Kubernetes)的安全配置和管理也至关重要。 此外,加密技术是数据隐私保护的核心。对存储...
网易蜂巢公有容器云架构之路.pptx
最新发布
12-16
- **基础设施**:基于KVM、OpenvSwitch和Ceph等技术,提供了容器运行所需的计算、存储和网络资源。 - **虚拟化技术**:OpenStack被用作底层的虚拟化平台,提供资源管理和调度。 ### 4. 面临挑战与解决方案 网易...
基于AI的容器服务架构设计.pptx
10-24
- 网络管理与隔离:Kubernetes网络策略确保了容器间的通信安全和性能。 - 任务调度:Volcano作为Kubernetes的扩展,提供了针对AI工作负载的拓扑感知和高级调度策略,如队列管理、批量调度等。 - 资源分配与成本...
容器安全技术容器发展历程
m0_73803866的博客
10-13 453
容器技术通过共享主机操作系统内核,实现轻量的资源虚拟化和隔离,近年 来在DevOps、微服务等领域有着广泛的应用。然而在容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成 为了亟待研究和解决的问题。为了进一步了解容器以及容器环境的安全威胁,为 使用容器的用户提供安全防护建议。北京神州绿盟信息安全科技股份有限公司(以 下简称“绿盟科技”)携手硅谷知名容器安全公司 NeuVector,联合发布《2018 绿盟科技容器安全技术报告》。本报告主要包括五个章节。
安全容器的发展与思考
阿里巴巴云原生的博客
09-29 1300
作者:王旭 蚂蚁金服资深技术专家,kata containers 架构委员会成员刘奖 阿里云操作系统资深技术专家 本文根据云栖大会容器专场演讲内容整理,关注阿里巴巴公众号,回复“安全”获得本文 PPT 大家中午好,感谢大家在饥肠辘辘的中午不离不弃地来到我们的会场,我们带给大家的这段相声是关于安全容器技术的。我是王旭,半年前刚刚结束一段创业,和团队一起加入了蚂蚁金服,创业期间,2017 年,我们在...
基于容器网络安全容器方案Bastion
Ray的博客
09-04 1019
论文:BASTION: A Security Enforcement Network Stack for Container Networks 文章目录背景知识容器网络论文内容摘要引言背景和动机容器网络容器网络挑战假设和威胁模型容器网络接口插件的限制BASTION设计BASTION MANAGER容器信息收集BASTION网络栈管理Network Visibility ServiceDirect ARP HandlerInter-container Communication HandlerGatewa.
容器安全技术容器网络安全防护
m0_73803866的博客
10-12 796
以 node1 为例,由于 Web5 连接了 Ingress 网络(10.255.0.0/24)和容器内部网络(172.17.0.0/24),所以 如果要防护服务 Web5 在主机 node1 上的容器副本(本例中为容器 Web5.1),则可在网桥 docker_gwbridge 和 命名空间 ingress 中的网桥 br0 旁分别部署一个虚拟 WAF,如以旁路模式镜像流量可实现恶意请求的检测,如以 串接模式过滤流量可实现相应的防护。外的其它功能,如对主机和容器安全审计、安全测试以及资源 监。
Docker容器(八)网络安全临时
wzj_110的博客
04-02 641
docker 网络模式 (1)基本网络配置 (2)高级网络配置 (3)网络解决方案进阶 二 原生网络 docker安装后会自动创建3种网络:bridge、host、none # yum whatprovides */brctl-->brctl的工具! # bridge-utils-1.5-9.el7.x86_64 docker network ls 5...
Docker容器技术安全技术【限额】【隔离】
dddxxy的博客
08-15 774
Docker:住在青年旅店的旅行团,青旅是宿主机,为docker旅行观光团提供住宿,即提供基础内核。因为docker旅行团是否安全,很大程度上依赖于Linux系统自身。 评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 。 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端...
容器技术及其应用白皮书(上)-- 容器技术
热门推荐
静静是我女朋友
12-09 1万+
内容摘要 近年来,容器技术及相关应用得到了国内外越来越多的关注度,研发和应用推广发展势头迅猛。在国外,容器技术已经形成了较成熟的生态圈;在国内,金融企业、互联网企业、IT企业积极投入容器技术研发和应用推广,发展势头迅猛。为了积极引导我国容器技术和应用发展,我们编写本白皮书。其主要内容包括: 一、针对容器技术现状进行研究和分析。一是梳理了容器技术从开始到现在的发展历程,对现有容器发展的生态结构进行
【华为云技术分享】容器与虚拟化的结合:浅谈“安全容器技术发展趋势
华为云官方博客
06-08 2653
摘要:无论公有云还是私有云厂商,都认识到了将虚拟化的隔离性和容器的高效运维特性相结合,是云原生平台发展的必然趋势。 容器是如何解决隔离问题的 众所周知,容器技术的出现有两个关键原因: 1.软件运行过程中的资源和环境的隔离。 2.软件因为运行环境多样带来的打包和配置的复杂性。 而对于软件运行环境的隔离需求,从计算机出现之初就已经开始了,多任务分时操作系统和虚拟地址的引入,都是为了解决多个任务在同一主机上运行,并且让任务本身认为自己独占机器。当然这样的隔离是远远不够的,当今软件,根据不同的层级...
4个让Docker和Kubernetes更安全容器安全工具
CSDN研发技术
11-01 2767
原文:4 extra-strength container security tools for Docker and Kubernetes 作者:Serdar Yegulalp 译者:roy 译者注:本文介绍一些第三方产品,为基于容器的应用提供了企业级监控、基于策略的控制、容器内的审核, 以及强化的Linux内核。以下为译文:Docker容器不仅仅是一种更快且更灵活地软件部署方
云计算技术拓展学习-Linux简介.pptx
12-03
云计算技术及应用实践

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值