选型的前提,目前理解应包括安全合规。面临强监管,如何选型容器云管理平台进行各层级的安全隔离?
1.各环境集群之间是如何隔离?
2.面对上级监管机构如何应对,解释。主机层、网络层等
提问者已获得满意解答
查看其它 1 个回答liuxiangwin的回答
确保容器的安全与确保所有运行中进程的安全很类似。在部署和运行容器之前,您要全面考虑解决方
案堆栈的各个层级的安全性。您还需要全面考虑应用和容器整个生命周期的安全性。容器安全防护的
10 大关键要素分别为:
- 容器主机多租户
- 容器内容
- 容器注册表
- 构建容器
- 部署容器
- 容器编排
- 网络隔离
- 存储
- 应用编程接口 (API) 管理
- 联合集群
举例说明其中1到2点:
一、宿主机配置
1.为容器创建单独的分区,即为docker创建单独的逻辑卷。在Openshift中,可以设置独立的磁盘做docker-vg
- 宿主机使用最新的Linux内核Openshift宿主机使用RHEL7,其内核不低于3.10。
3.为宿主机做安全加固Openshift要求宿主机RHEL启用SELinux。
4.尽量保持Docker新版本,OpenShift包含红帽企业Linux,其中包含一个稳定且完全技术支持的Docker引擎。 Red Hat为OpenShift和RHEL用户维护Docker运行时,这包括相关的错误修正和安全更新。目前红帽的Openshift最新版本中的Docker和K8S是社区最新版本的次新版本。
5.仅允许受信的用户访问docker进程。
二 容器运行时
1.不要使用特权容器
Openshift中,特权容器只能在Master或Infra节点上运行。Node节点上不需要特权容器。
2.不要在容器上mount很重要的的宿主机系统目录
3.容器之间不要开放ssh
4.不要映射容器内的特权端口,在容器上只打开需要的端口
5.不要共享宿主机的network namespace。
6.限制容器的内存使用量OpenShift通过配置limits可以实现。
7.容器在mount宿主机根文件系统时,权限设置为只读。