今天小编就为大家带来一篇有关容器的注意事项、错误避免、重点管理的文章。小编觉得挺实用的,为此分享给大家做个参考。一起跟随小编过来看看吧。
容器技术让应用封装变得非常简单,容器将会成为未来最主流的部署方式。据权威咨询机构
Gartner预测,到2022年全球超过75%的企业组织将在容器中运行应用程序,这与目前不到30%的比例相比有了显著的增长。
单从数据来看,近年来容器和K8S在传统数据中心和云原生应用中得到很好运用,但是当前容器的生态系统并不完善,缺乏足够成熟的操作实践案例。容器集成、网络以及自动化部署仍然是非常棘手的问题。此外,由于云原生应用需要一个高度自动化基础设施环境以及专业的运维技能,导致容器在企业中应用仍然受到一定限制。
因此,在具体生产环境中运行容器仍然需要一个长期的学习过程。企业在生产环境中部署容器之前,一定要认真思考以下六个问题:
(1):是否拥有DevOps团队来做开发运维,能够启用敏捷开发和部署模型?
(2):是否确定了专人来负责容器化的工作负载?
(3):是否了解如何集成IT基础架构,以及拥有跨平台的集成能力?
(4):是否了解使用哪种运行和编排引擎,以及他们的付费模式?
(5):是否了解应学习哪种新技能以及采用哪种规则能确保容器部署成功?
(6):投资回报率如何?
但是,很多企业组织经常会低估在生产环境中运行容器所需的工作量,想要让容器在企业中正常运作,要尽量避免下述六个错误的行为。
(1) 在没有成熟DevOps实践经验的情况下就开始部署容器。
(2) 选择了那些带有专有组件的容器导致被锁定。
(3) 没有在企业组织中实施通用的工具和合规要求。
(4) 没有为开发和运维人员提供前沿的技术培训服务。
(5) 在选择工具的时候没有考虑开发者和运维者的需求。
(6) 选择了依赖性、相关性非常大的复杂工作负载。
企业在生产环境部署容器后,就应该格外重视容器本身的安全。例如Docker宿主机安全、Docker镜像安全、运行环境安全、编排安全等问题,这都意味着保护容器安全将是一项持续的挑战。在生产环境中部署容器,需要重点考虑安全合规、持续监控、数据持久性、网络安全问题、全生命周期管理、容器编排等问题。
安全不能总是事后诸葛亮。它需要嵌入到DevOps过程中。企业组织需要考虑跨容器全生命周期安全问题,包括应用程序的构建、开发、部署和运行等不同阶段。
(1) 将镜像扫描集成到企业的 CI/CD中,及时发现漏洞。在软件开发生命周期的构建和运行阶段对应用程序进行扫描。重点是扫描和验证开源组件、库和框架。
(2) 根据CIS基线检查安全配置。
(3) 建立强制性访问控制,针对SSL密钥或数据库凭据等敏感信息进行加密管理,只在运行时提供。
(4) 通过策略管理避免特权容器,以减少潜在***的影响。
(5) 部署提供白名单、行为监控和异常检测的安全产品,以防止恶意活动。
开发人员主要关注容器在功能方面的应用,而不会去监控它们的运行情况。传统监控工具主要关注主机级指标,如CPU利用率、内存利用率、I/O、延迟和网络带宽。但这远远不够,还缺少容器或工作负载级别指标数据。
(1) 安全人员要将监控重点放在容器和服务级别上,实现细粒度监控“应用程序”,而不仅仅是物理主机。
(2) 优先考虑提供与容器编排(尤其是Kubernetes)深度集成的工具和供应商。
(3) 使用那些能够提供细粒度日志记录、提供自动服务发现、实时操作建议的工具。
随着对有状态工作负载容器使用的增加,客户需要考虑物理主机之外数据的持久性,保护这些数据安全。即便容器不在了,数据必须还在。如果企业对容器的主要使用场景,是转移老旧应用程序或无状态用例,对存储的安全需求不会发生大变化。但是,如果要对应用程序进行重构,或提供一个新的、面向微服务的有状态应用程序,那么安全人员就需要一个存储平台,能够最大限度地提高工作负载的可用性、灵活性和性能。例如,为了更好的支持容器迁移和数据共享,Docker推出了Volume plugin接口机制,让第三方的存储厂商来支持Docker Volume并且在此基础上进行功能拓展。
