技术控

    今日:51| 主题:49312
收藏本版 (1)
最新软件应用技术尽在掌握

[其他] 让容器更安全、更有用

[复制链接]
林深处 发表于 2016-10-14 13:50:17
230 4

立即注册CoLaBug.com会员,免费获得投稿人的专业资料,享用更多功能,玩转个人品牌!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
让容器更安全、更有用

  【编者的话】本文介绍了如何利用Docker镜像的分层文件系统来增强Docker容器的安全性。Docker镜像的分层文件系统可以使大部分的应用运行在只读状态,状态的改变会被限制在特定的读写层次,因此更容易被检测和跟踪。
  原文链接:    Make Containers Contain and Work for You  
  译者介绍

  李光成,IBM中国研究院资深研究员,研究方向是云计算基础设施及技术。目前在做的是容器云方面的研究项目。
  正文

  让容器更安全和有用

  Docker容器已经成为开发者工具箱中非常重要的工具,这项技术的被接受程度也已经非常高了。到今天为止,Docker已经有超过了20亿次的下载,这对于2015年4月的3亿次的下载来讲是一次飞速的发展。有些组织刚刚开始使用这项技术,而有的公司则已经深入研究了一段时间,他们都成为这迅速增长的部署的来源。
  容器使得你可以从更小的结构单元开始构建复杂的应用, 每个结构单元执行一个单独的功能。这种架构也被称之为微服务,非常适合持续部署系统,当某个微服务的组件被在线升级时不会影响到其它服务的运行。
  但是这种迅速成长的浪潮让很多企业安全专家担忧,来自Red Hat的Dan Walsh曾经写过一些非常好的文章来解释为什么容器无法包容。虽然容器提供了系统资源的隔离例如内存和CPU,但是运行在同一个主机上的所有容器共享一个操作系统,某个容器的安全问题很有可能被通过共享的内核而影响其它的容器。
  虽然这些担忧是合理的,但是还是可控的。让我们来看一下如何利用Docker容器的内在结构来防护容器化的应用。
  Docker – 隔离状态的能力

  Docker容器是从静态的镜像构建的,镜像由不同的层次构成。这些层次可以被不同的镜像复用。例如,Ubuntu的基础层可以出现NGNIX容器中,也会出现在Mongo DB的容器中。
  当一个容器镜像被实例化之后,就成为了一个容器。在一个Docker容器中,这些层次组成了一个统一的容器文件系统。每一层被实例化为只读,在其上会有一个可读写的层次来记录容器运行过程中对文件系统进行的修改。
  当一个容器退出时,如果用户没有执行“docker commit”,则读写层将会消失,没有任何的状态变化被记录,镜像将保持不变。如果用户执行了“docker commit”,这个读写层将会被加到原有的镜像上并生成一个新的镜像(译者注:原有镜像保持不变)。利用这种方法,每个 “docker –commit” 以一种可控的增量方式记录了连续的变化和容器状态的变化。你不但可以容易的回退到一个先前的状态,这对可追溯性、可管理性和鉴证也是非常有用的。
  这种显式的将状态变化限制在读写层是对安全性非常有用的功能。首先,这保证了大部分代码在只读模式下运行,这意味着运行过程中的任何不良情况都无法持久,除非你显式的commit这些变化。其次,这给了你一个机会去专注对读写层的监控。
  但是,无状态容器的一个最重要的作用是用户可以更容易的获得容器的基线行为模型,如果观测到的运行时行为跟基线不同,你就知道这里面存有潜在的问题。
  这解决了风险和异常检测中最大的问题,就是开发一个有用的基线来标识“正常”。你一旦有了这样一个基线并可以正确检测异常时,你就可以使你的容器能够控制和抵御潜在的攻击。
  在生产中使用容器

  Docker容器提供的能力可以以只读方式运行大部分应用,并可以将状态变化隔离到某个可管理的模块中。这带来了在安全方面进行创新的机会,但这要求你深入的研究和利用容器架构的内在特性。
  一个数字媒体公司这样做了,这个公司在云中运行了大量的服务提供给消费者和商业用户。开发团队一年前开始使用Docker,现在这个公司已经在Docker里运行了大部分的服务。
  安全团队对所有的容器镜像进行了安全检查,成功的去掉了构建不佳和违法公司政策的镜像。接下来,他们制定了一个规则,容器需要以只读方式运行。只有个别特例的应用可以commit运行时变化,而这些应用会被认真的记录和追溯。
  这个公司正处在将其应用改造成微服务和容器的征途上,他们的目前经验,除了这是一个更加有效的应用架构外,安全团队也说服了他们,这种新的架构使他们为未来更多的变化做好准备,问题能够更容易的被检测和处理。
  
       
  •               让容器更安全、更有用.docx  
友荐云推荐




上一篇:Keras.js可以让你使用浏览器在GPU上运行Keras模型
下一篇:iOS邮箱模糊匹配功能集成
酷辣虫提示酷辣虫禁止发表任何与中华人民共和国法律有抵触的内容!所有内容由用户发布,并不代表酷辣虫的观点,酷辣虫无法对用户发布内容真实性提供任何的保证,请自行验证并承担风险与后果。如您有版权、违规等问题,请通过"联系我们"或"违规举报"告知我们处理。

语梦 发表于 2016-10-14 17:12:12
上火,就容易缺经验,过去,我一直缺, 自从学会复制粘贴以后,我的经验小康了 ,一口气拿五点,不费劲儿,复制一次粘 贴无数次,真实惠
回复 支持 反对

使用道具 举报

平绿 发表于 2016-10-14 19:58:10
酱油党莅临的地方,不仅仅是挽尊,不仅仅是消灭零回复,酱油所过暖意无边
回复 支持 反对

使用道具 举报

微笑啊哦 发表于 2016-10-25 08:28:58
楼主开恩,沙发是我滴。。。。。
回复 支持 反对

使用道具 举报

可惜我都看 发表于 2016-11-13 09:17:55
楼主你想太多了!
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

我要投稿

推荐阅读

扫码访问 @iTTTTT瑞翔 的微博
回页顶回复上一篇下一篇回列表手机版
手机版/CoLaBug.com ( 粤ICP备05003221号 | 文网文[2010]257号 )|网站地图 酷辣虫

© 2001-2016 Comsenz Inc. Design: Dean. DiscuzFans.

返回顶部 返回列表