2021 容器云职业技能大赛运维技术岗优秀作品——Kubernetes容器安全运维技术

作者：

陈俞锦 兴业数金 

作品背景：

容器具有广泛的吸引力，因为用户可以使用容器轻松地将应用及其所有依赖项封装到单个镜像中，而且这类镜像无需更改即可用于开发、测试和生产。容器能让用户轻松地在多个环境和部署目标（如物理服务机、虚拟机和私有云或公有云）间保持一致性。得益于此，团队可以更加轻松地开发和管理应用，进而创造业务价值。

作为当前事实上的容器编排标准——Kubernetes 一经推出就受到了开发者的喜爱。在 Kubernetes 里，用户可以轻松地在虚拟机及硬件上运行程序，让开发者彻底摆脱过去以主机为中心的环境。Kubernetes 在市场中并不是唯一的容器管理平台，但它支持用户只需要编写一次就能在所有类型的云供应商及私有云上运行，开发人员可以快速部署、随时拓展应用程序，同时降低了硬件的使用量。当前 Kubernetes 成为继 Linux、Docker 后最受欢迎的第三大平台的同时，显然也已经成为云计算领域的主流应用。

但是，企业环境对安全性的要求很高，尤其是在金融行业。而 kubernetes容器环境是很开放的，表现为只要获取了 kubernetes 的 config 文件几乎就可以在 kubernetes 内畅通无阻了，那么我们该如何保障容器环境中的安全性呢？本文将从容器镜像的安全性、账号安全与租户隔离、多租户环境下的容器安全等三个维度对容器环境的安全性展开探讨，从运维角度提出相应的安全加固建议。