容器安全与虚拟化安全的本质区别有哪些?在前期设计以及后期运维时的侧重点是什么?
收起除了各位专家已经提到的容器安全要点以外,还有必要强调注意容器/K8S环境下的东西向流量模式与虚拟机环境的不同。
虚拟机环境下的应用服务架构仍然比较传统,大部分是典型的Client-Web-App-DB模型,东西向流量虽然增长,但还属于在传统经验下可预测、可管理的范围。
而容器/K8S环境下的东西向通信就从量变到质变了:一方面是NodePort、ClusterIP增加了对IP地址和端口号的动态使用,而KubeProxy作为原生负载均衡机制将大量南-北向流量转变为东-西向流量;另一方面,微服务架构被采用得越来越多,导致Pod间通信需求的激增,ServiceMesh普遍将Sideca模式用于代理容器间的通信。这种从形式到数量的变化就需要容器网络提升对于东西向流量的安全管理能力、可视化能力和基于预测分析的主动安全防御能力。