请问银行的容器安全是如何做的？

1. 无状态和有状态应用都有

2. 一般会开启网络策略，针对集群外的应用，需要对源地址做小范围开通。具体要看集群选用的容器网络模型。社区的网络方案大多是以节点划分IPblock，需要限制业务pod的漂移范围，另外要看是否启用了SNAT，来确定源地址是申请POD IP还是节点IP。

根据我的了解，无状态应用和有状态应用在银行内都有运行。相比而言，无状态应用会更多一些。有状态应用，特别是中间件容器化需求很多，但是能做到的厂商或团队确比较少。在银行里，考虑到数据的安全和稳定，一般都是部署在容器集群外面，由DBA单独管理。

关于集群内外访问的安全管控。
可以通过Pod固定IP/MAC、 Ingress 端口等方式进行控制。

容器安全的范围很大，包括运行时、镜像、集群等多方面安全问题。
一方面，容器平台需要完善其相关安全能力；另外一方面，通过使用专业的容器安全产品，解决容器上生产的安全问题。