请专家给出Docker系统的部署,从网络和安全角度如何进行设计和评估。
网络方案:
1.Nat 原生就支持了,需要做端口转发,规模大的话需要做优化,并且需要做端口管理,大规模上的话网络性能是瓶颈。
2.Overlay 性能损耗太大据测算有75%的损耗,底层环境已经是IaaS如果再用overlay的话,就是没事给自己找事做。
3.Calico 性能有一点损耗,需要有对网络比较懂的同学,不出问题还好,如果出问题要排查iptalbe规则的时候,你肯定回去奔溃。
4.自主研发 自己研发可以和现有公司的网络环境进行对接,不仅可以保证网络的性能,还方便管理和维护。在网络方案上优先选择稳定、简单易维护、高性能的方案。
安全方案:
希云cSphere是做容器私有云的厂商,一般情况都是在企业内网,所以安全相对要好很多,但安全也很重要。常见的场景是不同应用部署到同一台服务器中,如果实现隔离,因为容器就是进程,在进程中实现隔离从技术角度考虑就不好实现,我推荐客户使用虚拟机来实现多租户以及底层资源的隔离。网络的隔离,使用vlan或者vpc网络。用户的安全隔离,粒度放到主机层面。安全也需要讲究简单有效,不能一味最求技术,完全靠技术来保证安全也不靠谱,还是要用最直接有效的方法才踏实。
希望能帮助到您。