视频网站开发研究背景,江西赣州市,wordpress 所有漏洞汇总,建设网站合同来源 | K8sMeetup社区作者 | Catherine Paganini#xff0c;Jason Morgan头图 | 下载于视觉中国在都在说云原生#xff0c;它的技术图谱你真的了解吗#xff1f;中#xff0c;我们对 CNCF 的云原生技术生态做了整体的介绍。从本篇开始#xff0c;将详细介绍云原生全景图的… 来源 | K8sMeetup社区作者 | Catherine PaganiniJason Morgan头图 | 下载于视觉中国在都在说云原生它的技术图谱你真的了解吗中我们对 CNCF 的云原生技术生态做了整体的介绍。从本篇开始将详细介绍云原生全景图的每一层。云原生全景图的最底层是供应层provisioning。这一层包含构建云原生基础设施的工具如基础设施的创建、管理、配置流程的自动化以及容器镜像的扫描、签名和存储等。供应层也跟安全相关该层中的一些工具可用于设置和实施策略将身份验证和授权内置到应用程序和平台中以及处理 secret 分发等。接下来让我们看一下供应层的每个类别它所扮演的角色以及这些技术如何帮助应用程序适应新的云原生环境。自动化和配置是什么自动化和配置工具可加快计算资源虚拟机、网络、防火墙规则、负载均衡器等的创建和配置过程。这些工具可以处理基础设施构建过程中不同部分的内容大多数工具都可与该空间中其他项目和产品集成。解决的问题传统上IT 流程依赖高强度的手动发布过程周期冗长通常可达 3-6 个月。这些周期伴随着许多人工流程和管控让生产环境的变更非常缓慢。这种缓慢的发布周期和静态的环境与云原生开发不匹配。为了缩短开发周期必须动态配置基础设施且无需人工干预。如何解决问题供应层的这些工具使工程师无需人工干预即可构建计算环境。通过代码化环境设置只需点击按钮即可实现环境配置。手动设置容易出错但是一旦进行了编码环境创建就会与所需的确切状态相匹配这是一个巨大的优势。尽管不同工具实现的方法不同但它们都是通过自动化来简化配置资源过程中的人工操作。对应工具当我们从老式的人工驱动构建方式过渡到云环境所需的按需扩展模式时会发现以前的模式和工具已经无法满足需求组织也无法维持一个需要创建、配置和管理服务器的 7×24 员工队伍。Terraform 之类的自动化工具减少了扩展数服务器和相关网络以及防火墙规则所需的工作量。PuppetChef 和 Ansible 之类的工具可以在服务器和应用程序启动时以编程方式配置它们并允许开发人员使用它们。一些工具直接与 AWS 或 vSphere 等平台提供的基础设施 API 进行交互还有一些工具则侧重于配置单个计算机以使其成为 Kubernetes 集群的一部分。Chef 和 Terraform 这类的工具可以进行互操作以配置环境。OpenStack 这类工具可提供 IaaS 环境让其他工具使用。从根本上讲在这一层你需要一个或多个工具来为 Kubernetes 集群搭建计算环境、CPU、内存、存储和网络。此外你还需要其中的一些工具来创建和管理 Kubernetes 集群本身。在撰写本文时该领域中有三个 CNCF 项目KubeEdge一个沙盒项目以及 Kubespray 和 Kops后两个是 Kubernetes 子项目虽然未在全景图中列出但它们也属于 CNCF。此类别中的大多数工具都提供开源和付费版本。Container Registry是什么在定义 Container Registry 之前我们首先讨论三个紧密相关的概念容器是执行流程的一组技术约束。容器内启动的进程会相信它们正在自己的专用计算机上运行而不是在与其他进程类似于虚拟机共享的计算机上运行。简而言之容器可以使你在任何环境中都能控制自己的代码运行。镜像是运行容器及其过程所需的一组存档文件。你可以将其视为模板的一种形式可以在其上创建无限数量的容器。仓库是存储镜像的空间。回到 Container Registry这是分类和存储仓库的专用 Web 应用程序。镜像包含执行程序在容器内所需的信息并存储在仓库中仓库被分类和分组。构建、运行和管理容器的工具需要访问通过引用仓库这些镜像。解决的问题云原生应用程序被打包后以容器的方式运行。Container Registry 负责存储和提供这些容器镜像。如何解决通过在一个地方集中存储所有容器镜像这些容器镜像可以很容易地被应用程序的开发者访问。对应工具Container Registry 要么存储和分发镜像要么以某种方式增强现有仓库。本质上它是一种 Web API允许容器引擎存储和检索镜像。许多 Container Registry 提供接口使容器扫描/签名工具来增强所存储镜像的安全性。有些 Container Registry 能以特别有效的方式分发或复制图像。任何使用容器的环境都需要使用一个或多个仓库。该空间中的工具可以提供集成功能以扫描签名和检查它们存储的镜像。在撰写本文时Dragonfly 和 Harbor 是该领域中的 CNCF 项目而 Harbor 最近成为了第一个遵循 OCI 的仓库。主要的云提供商都提供自己的托管仓库其他仓库可以独立部署也可以通过 Helm 之类的工具直接部署到 Kubernetes 集群中。安全和合规是什么云原生应用程序的目标是快速迭代。为了定期发布代码必须确保代码和操作环境是安全的并且只能由获得授权的工程师访问。这一部分的工具和项目可以用安全的方式创建和运行现代应用程序。解决什么问题这些工具和项目可为平台和应用程序加强、监控和实施安全性。它们使你能在容器和 Kubernetes 环境中设置策略用于合规性深入了解存在的漏洞捕获错误配置并加固容器和集群。如何解决为了安全地运行容器必须对其进行扫描以查找已知漏洞并对其进行签名以确保它们未被篡改。Kubernetes 默认的访问控制比较宽松对于想攻击系统的人来说 Kubernetes 集群很容易成为目标。该空间中的工具和项目有助于增强群集并在系统运行异常时提供工具来检测。对应工具为了在动态、快速发展的环境中安全运行我们必须将安全性视为平台和应用程序开发生命周期的一部分。这部分的工具种类繁多可解决安全领域不同方面的问题。大多数工具属于以下类别审计和合规生产环境强化工具的路径代码扫描漏洞扫描镜像签名策略制定和执行网络层安全其中的一些工具和项目很少会被直接使用。例如 Trivy、Claire 和 Notary它们会被 Registry 或其他扫描工具所利用。还有一些工具是现代应用程序平台的关键强化组件例如 Falco 或 Open Policy AgentOPA。该领域有许多成熟的供应商提供解决方案也有很多创业公司的业务是把 Kubernetes 原生框架推向市场。在撰写本文时Falco、Notary/TUF 和 OPA 是该领域中仅有的 CNCF 项目。密钥和身份管理是什么在进入到密钥管理之前我们首先定义一下密钥。密钥是用于加密或签名数据的字符串。和现实中的钥匙一样密钥锁定加密数据只有拥有正确密钥的人才能解锁解密数据。随着应用程序和操作开始适应新的云原生环境安全工具也在不断发展以满足新的需求。此类别中的工具和项目可用于安全地存储密码和其他 secrets例如 API 密钥加密密钥等敏感数据、从微服务环境中安全删除密码和 secret 等。解决的问题云原生环境是高度动态的需要完全编程无人参与和自动化的按需 secret 分发。应用程序还必须知道给定的请求是否来自有效来源身份验证以及该请求是否有权执行操作授权。通常将其称为 AuthN 和 AuthZ。如何解决每个工具或项目实施的方法不同但他们都提供安全分发 secret 或密钥的方法。身份认证或和授权的服务或规范。对应的工具此类别中的工具可以分为两组一些工具专注于密钥生成、存储、管理和轮转。另一些专注于单点登录和身份管理。拿 Vault 来说它是一个通用的密钥管理工具可管理不同类型的密钥。而 Keycloak 则是一个身份代理工具可用于管理不同服务的访问密钥。在撰写本文时SPIFFE/SPIRE 是该领域中唯一的 CNCF 项目。供应层专注于构建云原生平台和应用程序的基础其中的工具涉及基础设施供应、容器注册表以及安全性。本文是详细介绍了云原生全景图的最底层。在下一篇文章中我们将重点介绍运行时层探索云原生存储、容器运行时和网络的相关内容。原文链接https://thenewstack.io/the-cloud-native-landscape-the-provisioning-layer-explained/更多阅读推荐都在说云原生它的技术图谱你真的了解吗SRE 是如何保障稳定性的如何写出让 CPU 跑得更快的代码Serverless 在 SaaS 领域的最佳实践云原生人物志|Pulsar翟佳社区的信任最重要一目了然的 Docker 环境配置指南
