IT分销/经销容器云

容器云中使用mysql镜像安全吗?

参与5

2同行回答

GaryyGaryy  系统工程师 , 某保险
Harbor是由VMware中国研发团队负责开发的开源企业级Registry,可帮助用户迅速搭建企业级的Registry服务。该项目发布5多个月以来,深受用户喜爱。容器应用的使用越来越普遍,容器最大优点就是开发运维一体化,通过容器镜像打包应用,使得开发、测试和发布都具有相同的运行环境,带来...显示全部

Harbor是由VMware中国研发团队负责开发的开源企业级Registry,可帮助用户迅速搭建企业级的Registry服务。该项目发布5多个月以来,深受用户喜爱。
容器应用的使用越来越普遍,容器最大优点就是开发运维一体化,通过容器镜像打包应用,使得开发、测试和发布都具有相同的运行环境,带来极大的便利。
在企业中,通常有不同的开发团队来负责不同的应用项目,和源代码分项目管理一样,镜像也需要按照项目来存放和管理。由于团队中有不同的成员,如项目经理、产品经理、开发、测试和运维等人员,每人使用镜像的需求不同,因此可以根据角色分配相应的权限。

例如,测试人员通常只需要镜像的读权限(pull),开发人员需要读写权限(push/pull),项目经理除了拥有开发人员的权限之外,还可以增加和删除项目成员,设定他们的角色。

在Harbor Registry中,每个项目可有三种角色:项目管理员(project admin)、开发者(developer)和客人(guest)。某些项目,如放在Library中的公共镜像,可以允许匿名访问,即用户不同Docker Login也可以访问,这样可以方便使用。在整个系统中,还设有系统管理员,具有维护镜像同步策略、用户增删等权限。

需要指出的是,在不同的环境中,某个成员的角色可以不同。例如,在开发环境的Registry中,运维人员一般不需要权限(或需要只读权限);而在生产环境中的Registry,运维人员就需要有读写权限。
大规模应用镜像发布方式

在实际生产运维的中,往往需要把镜像发布到几十或上百台集群节点上。这时,单个Registry已经无法满足大量节点的下载需求,因此要配置多个Registry实例做负载均衡。手工维护多个Registry实例上的镜像,将是十分繁琐的事情。Harbor可以支持一主多从的镜像发布模式,可以解决大规模镜像发布的难题。

收起
保险 · 2020-06-23
浏览1049
晓风晓风  其它 , 用友网络
如果在使用mysql镜像起容器后,未挂载数据卷做数据持久化,存在数据丢失风险。使用的mysql镜像有可能存在安全问题。针对基于Linux的一些基础镜像,容器镜像服务已经提供了镜像安全扫描的功能。镜像安全方面我们一般建议在镜像仓库的客户端开启认证机制,并且对下载的每一个容器...显示全部

如果在使用mysql镜像起容器后,未挂载数据卷做数据持久化,存在数据丢失风险。

使用的mysql镜像有可能存在安全问题。
针对基于Linux的一些基础镜像,容器镜像服务已经提供了镜像安全扫描的功能。

镜像安全方面我们一般建议在镜像仓库的客户端开启认证机制,并且对下载的每一个容器镜像都要进行安全检查,比如通过CVE 数据库同步扫描镜像,一旦发现镜像存在漏洞,建议及时通知用户,或者直接中断当前问题镜像的构建,等待用户处理漏洞。

收起
互联网服务 · 2020-06-19
浏览1100

提问者

北京捡破烂
系统工程师北京
擅长领域: 云计算私有云主机

问题来自

相关问题

相关资料

相关文章

问题状态

  • 发布时间:2020-06-19
  • 关注会员:3 人
  • 问题浏览:2340
  • 最近回答:2020-06-23
  • X社区推广