如何保障容器云平台业务数据的安全性？

pv/pvc并非落地数据的存储设备，而是对存储设备的关联和引用，需要备份存储设备上数据。而pv/pvc本身直接备份yaml文件即可，建议将应用的yaml文件直接以源代码方式管理，随时可用。对于数据库，本身与容器云平台无直接关系，仍采用传统的数据库灾备方案。对于ETCD，里面存储了集群信息，包括了已发布的应用信息，非常重要，需要重点备份。

一般容器云数据分为管理平台数据和业务数据(ETCD、PV/PVC等)：
1、管理平台数据：有些容器云产品是自研的，有平台数据，有平台相关的DB数据等，一般是按传统方式备份和容灾；也有部分容器云平台采用CRD方式，没有专门的数据库，管理数据也放ETCD上，直接备份整个k8s集群就可以；
2、业务数据：一般是k8s的数据，建议直接备份整个k8s集群，包括etcd、PV/PVC等；

博云容器产品支持安全机制由Kube-apiServer提供三道安全关卡：认证---授权---准入控制，apiServer作为所有功能模块信息与交互的枢纽中心，是整个集群的总线和数据中心。
1、为租户分配角色权限，开放API访问权限。
2、支持基于角色的访问方式，租户用户部署服务时可以通过调用API创建。
3、自定义准入控制机制，加强安全管控。
容器存储类型分类三大类：临时存储、半持久化存储、持久化存储。
1、 容器 临时存储，当pod设定为emptydir时，需要为pod所在node开辟一个空的存储卷，临时存储作为预设检查点、临时存储使用。
2、 容器 半持久化存储，避免pod漂移到其他node节点时，pod不能够跨node读取存储资源，需要hostpath来映射。
3、 容器 持久化存储，满足不同业务场景，采用PV(PersistentVolume)、PVC(PersistentVolumeClaim)、NFS三大类定义持久化存储方案，对于PV又分为静态和动态两种方式。
PVC/PV持久化：
1、支持数据卷的动态和静态挂载能力
2、支持安装任意storage class
3、支持数据卷随pod漂移，保证业务系统的正常使用
4、支持快照、回滚和克隆
NFS持久化：
1、支持各种类型NFS持久化存储方式
2、支持NFS存储类型包括：Ceph、Sheepdog、GlusterFS、CephFS、Lustre、MooseFS
3、支持分布式存储适合容器场景，选择适合的存储方式