网站建站制作,world做网站,建设门户网站的意见和建议,邯郸自媒体有哪些【编者按】对比虚拟机#xff0c;Docker 在体量等方面拥有显著的优势。然而#xff0c;当 DevOps 享受 Docker 带来扩展性、资源利用率和弹性提升的同时#xff0c;其所面临的安全隐患同样值得重视#xff0c;近日 Chris Taschner 在 SEI 上撰文进行了总结。本文系 OneAPM … 【编者按】对比虚拟机Docker 在体量等方面拥有显著的优势。然而当 DevOps 享受 Docker 带来扩展性、资源利用率和弹性提升的同时其所面临的安全隐患同样值得重视近日 Chris Taschner 在 SEI 上撰文进行了总结。本文系 OneAPM 工程师编译整理。 基于容器的虚拟化平台提供了一种方式在隔离的实例中运行多个应用程序。容器技术可以为 DevOps 提供显著的优势包括提高系统的扩展性、资源利用率和弹性。然而除下容器与主系统完全解耦这种使用就会存在潜在的安全隐患。因此这篇博文主要描述了为什么系统管理员应该密切关在容器中运行应用所采纳的权限等级以及用户访问主机系统的权限。 容器已经成为 DevOps 中的新热点技术。特别是 Docker 公司已经成为了提供容器技术服务的领头公司。使用 Docker 平台应用程序极其依赖可以被打包进一个单元也就是所谓的镜像。随后Docker 就可以运行这个镜像的实例每个镜像的实例都是在驻留在容器中。 Docker 正成为 DevOps 的代名词。如果你还不熟悉容器的优势的话概括地说它们包括了可使用的镜像和易于使用的公共库、镜像版本以及 Docker 的思想。欲了解更多信息请参见 devops.com 上的 Three Reasons We Use Docker。 在谈到大小时容器具有很多优势。不像虚拟机一个容器不需要运行整个操作系统或者对系统的硬件进行拷贝。容器仅仅只需要足够的操作系统和硬件信息资源来运行它负责托管的应用。所以容器所消耗的资源比虚拟机小很多因此同一主机上可以跑的容器肯定比虚拟机多。 而在最小化需要运行的容器上开发者需要做好足够的权衡。其中一个就是减少容器与系统之间的分离度。与此相反虚拟机与主机的分离性比容器的更高。Docker 用户需要 root 用户权限去运行容器如果 Docker 用户不知道容器中运行的是什么这可能会引发问题。通常那些 repository 都是未经过审核的这意味着任何人都可以创建和上传镜像。显然对从互联网上下载下来的容器给以太多的信任会引发安全问题。 共享命名空间的问题通常是 Docker 的最大问题。命名空间是系统内核所创建的组它通常会为不同源和区域指定不同的访问级别。而究于扩展性在 Docker 中并没有为容器提供不同的命名空间——倘若有数百个容器在运行那么每个容器都需要有独立的命名空间。而且如果一个容器想要共享存储那么所有共享这个存储的命名空间必须使用显式访问。 在回应有关 Docker 的安全问题时这里详细讨论了如何缓解 Docker 的安全问题。缓解方法的建议包括了限制直接访问主机和在容器中运行应用的权限。 除了 Doker 容器的安全指导还有其它在确保容器安全方面的建议。共享命名空间的一个潜在解决方案是使用 Seccomp它是一个进程处理工具。Daniel Walsh 在 opensource.com 上详细地介绍了这项工作。 管理员必须清楚容器中运行的究竟是什么。从互联网上下载来的镜像应该仔细审核然后才在敏感的环境中运行。一般规则不像字面意义容器不应是包含在容器内运行的应用程序。 本文系 OneAPM 工程师编译整理。想技术文章请访问 OneAPM 官方博客。 转载于:https://www.cnblogs.com/oneapm/p/4755705.html
