请问银行的容器集群是否无状态应用还是跑的有状态应用?如果是无状态应用的话,那么集群内应用和集群外的应用(比如redis,DB,对象存储等)访问是如何进行安全控制的?
1. 无状态和有状态应用都有
2. 一般会开启网络策略,针对集群外的应用,需要对源地址做小范围开通。具体要看集群选用的容器网络模型。社区的网络方案大多是以节点划分IPblock,需要限制业务pod的漂移范围,另外要看是否启用了SNAT,来确定源地址是申请POD IP还是节点IP。
根据我的了解,无状态应用和有状态应用在银行内都有运行。相比而言,无状态应用会更多一些。有状态应用,特别是中间件容器化需求很多,但是能做到的厂商或团队确比较少。在银行里,考虑到数据的安全和稳定,一般都是部署在容器集群外面,由DBA单独管理。
关于集群内外访问的安全管控。可以通过Pod固定IP/MAC、 Ingress 端口等方式进行控制。
容器安全的范围很大,包括运行时、镜像、集群等多方面安全问题。一方面,容器平台需要完善其相关安全能力;另外一方面,通过使用专业的容器安全产品,解决容器上生产的安全问题。
关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们 © 2024talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30