Docker EE 2.0 助力 Kubernetes,打造安全的供应链体系
本文首发自“Docker公司”公众号(ID:docker-cn)
编译丨小东
每周一、三、五 与您不见不散!
上周,KubeCon 欧洲大会在哥本哈根的成功举办,让我们来回顾那些在 Docker 和 Kubernetes 读者中最受欢迎的帖子吧。对于那些还没有尝试过 Docker EE 2.0 版本的用户来说,这篇文章将重点介绍 Docker EE 2.0 版本如何为 Kubernetes 提供安全的供应链。
上个月,Docker 揭晓了 Docker 企业版(EE)2.0 版本 —— 唯一的企业级容器平台(更多有关 Docker EE 2.0 版本的信息请参考下列文章),它集成了 Kubernetes 编排,可以让其与 Swarm 并行运行,并为运行在本地或云端的遗留和新的应用程序提供统一的容器平台支持。对于正在探索 Kubernetes 或正在将其部署到生产环境的组织来说,Docker EE 为容器化应用程序的整个生命周期提供了完整的安全保障,在Kubernetes部署工作负载之前提供额外的安全层,并在应用程序运行过程中提供持续的保护。
什么是软件供应链?
当您从零售商店购买产品时,其实是由一条完整的供应链支撑,即从原材料到制造商,再由制造商加工成产品后到零售商店,最后再到您的手中。同样的,软件也有一条完整的供应链,它将应用程序的代码从开发者笔记本上面迁移到生产环境中。
每家公司的软件供应链可能都略有不同:一些选择外包软件开发、一些采用持续集成和持续交付流程、一些采用跨多个云端部署生产应用程序,还有一些在本地部署。无论软件供应链包含了什么内容,Docker EE 都提供了一整套解决方案,确保应用程序在使用 Kubernetes 和 Swarm 的所有步骤时仍然可信和安全。
在本文中,我们将更深入地了解这个解决方案中的一个重要部分 —— 即镜像扫描和基于策略的镜像提升。
安全、自动化的Kubernetes 工作流程
在应用程序部署到生产环境之前,组织通常希望知道这个应用程序已经没有任何已知的漏洞,这些漏洞通常来自于该软件之前的版本或未打补丁的版本。就算对于大型组织来说,为他们运行中的每个应用程序(并且可能受到新漏洞的影响)保留一份完整的漏洞记录也是一件很困难的事。
而 Docker EE 提供了镜像安全扫描功能,该功能可以帮助组织在应用程序部署到生产环境之前识别已知漏洞,并在新漏洞影响到现有应用程序时向您提示。该功能是针对 NIST 发布的已知漏洞列表来为您的镜像执行一个二进制级别的镜像扫描。如下图所示,该功能可以彻底扫描镜像的每个层,并提供工作负载的详细信息。
Docker EE 还可以定义策略来实现镜像在镜像仓库之间的自动化迁移。这些镜像提升策略还可以与镜像扫描的结果结合在一起,从而创建一个安全的、自动化的工作流程来保障镜像迁移到生产环境中。
举个例子,开发人员正在开发一个新的 Kubernetes 项目,该项目可以访问“dev”镜像仓库,并且可以在该镜像仓库上传和下载镜像。“dev”镜像仓库设置了镜像扫描功能,以便自动扫描所有上传到该镜像仓库的镜像。当开发人员准备将新项目的镜像投入到生产环境时,他们就会在镜像中添加如“最新”之类的特定标签。同时他们会为镜像仓库设置镜像提升策略,该策略是如果镜像具有“最新”标签且没有严重漏洞时,该镜像就可以自动复制或提升到“QA”镜像仓库中。
在此示例中,只有QA团队才能访问QA文件夹,从而限制了访问,确保只对那些有需求的人开放权限。该策略还可确保开发人员在将漏洞传递给QA团队之前修复漏洞。
结合这些 Docker EE 的功能,组织可以:
- 在镜像仓库之间实现镜像大规模的自动化迁移;
- 在开发的特定阶段进行安全扫描;
- 防止将有已知漏洞的应用程序部署到生产环境中;
限制对敏感镜像仓库(如“生产”镜像仓库)的访问,只对有需要人开放权限,同时通过定义适当的策略来消除流程中的瓶颈问题;
这些都是把应用程序部署到 Kubernetes 生产环境之前所产生的关键工作流程。现在通过Docker EE,您就可以得到一条完整、安全的软件供应链。更多 Kubernetes 安全供应链的相关信息,请从下列渠道观看完整视频:
Docker 官方入口:http://t.cn/R3b8vy5
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
OpenStack推出最新版本Newton,显著提升单一云平台 对虚拟化、裸机和容器的管理
2016年10月10日-北京-OpenStack社区日前发布其命名为“Newton”的第14个版本。OpenStack是用于构建云的部署最广泛的开源软件。此次推出的新功能包括:Ironic裸机开通服务,Magnum容器编排集群管理器,此外,Kuryr容器组网项目可将容器、虚拟和物理基础设施无缝集成于统一控制面板。这些新功能,为异构环境下的组织机构提供了更多用例,助其利用最新容器技术获得更快更好开发体验,满足负载对虚机及更高可用性架构的需要。 除了能够提高在容器集群管理和组网方面的用户体验之外,Newton还可解决扩展性和弹性问题,其全新功能将于10月25-28日在西班牙巴塞罗那OpenStack Summit大会上进行展示。 提升可扩展性 Newton可大大降低实现架构性和功能性扩展的难度,可实现跨平台和跨地域的向上扩展和向下扩展,从而提升OpenStack在搭建各类规模云解决方案中的主导作用。这些改进包括:Nova、Horizon以及Swift组件的向上和向下扩展能力; Cells V2实现 了Nova计算环境的横向扩展;实现与Heat中默认项的融合;以及Ironic中的多租户能力。...
- 下一篇
5月11日云栖精选夜读丨清华大学成功卫冕ASC18世界超算总决赛冠军,黑马上海科大斩获AI大奖
5月9日,2018 ASC世界大学生超级计算机竞赛(ASC18)总决赛在南昌大学落下帷幕,清华大学成功卫冕总冠军,首次入围总决赛的“黑马”上海科技大学一鸣惊人,揽获亚军和e Prize计算挑战奖两项大奖,台湾清华大学获得最高计算性能奖。 热点热议 清华大学成功卫冕ASC18世界超算总决赛冠军,黑马上海科大斩获AI大奖 5月9日,2018 ASC世界大学生超级计算机竞赛(ASC18)总决赛在南昌大学落下帷幕,清华大学成功卫冕总冠军,首次入围总决赛的“黑马”上海科技大学一鸣惊人,揽获亚军和e Prize计算挑战奖两项大奖,台湾清华大学获得最高计算性能奖。 波士顿动力机器人会跑了!机器狗学会上下楼!(视频) 今天,波士顿动力接连公开两个新视频,分别展示了SpotMini在布满障碍物的办公室中自由穿行、爬楼梯,Atlas机器人在田野间自由慢跑的身姿,其反应之迅速、敏捷令人惊叹! 浙江移动首个基于阿里云技术的生产应用上线成功 为落实公司“十三五”战略,建立“架构先进、运营高效、内外兼顾”的IT体系, 浙江移动近日受总部信息技术中心委托和指导,探索传统企业与互联网公司新型合作模式,跟踪行业发展态势...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS8安装Docker,最新的服务器搭配容器使用
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS关闭SELinux安全模块
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19