容器云的安全发展总体上是比较滞后的。比如说docker在cgroup和namespace上做了很多工作,一定层面上完成了隔离,但是还有部分资源是容器共享的,比如proc下面的数据等等。容器编排层面也有类似的问题,针对关键的信息通信很多都没有加密。传统意义上的安全软件,比如防篡改软件等等目前看还没有跟上容器云发展的脚步,出现了一定的滞后。
在编排系统中可以使用limit来限定自身应用的资源需求,尽可能避免同一节点上的资源争抢,另外对于特定的一些模块,可以使用一些节点的Taint和亲和性设定(k8s)等来让workload做到节点一级的隔离。对于安全,在微服务化的时代要求每个微服务都实现安全是非常重的一种方式。如果能通过边车的方式如Istio来前置一个反向代理做鉴权和加密是更合适的方案。
关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们 © 2024talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30