溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

基于Docker私有云安全管控的方法是什么

發(fā)布時(shí)間:2021-12-13 17:34:49 來源:億速云 閱讀:136 作者:iii 欄目:云計(jì)算

本篇內(nèi)容主要講解“基于Docker私有云安全管控的方法是什么”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“基于Docker私有云安全管控的方法是什么”吧!

(一) IDC機(jī)房安全防護(hù)

       IDC機(jī)房防火墻可預(yù)防所有常見的攻擊。我們在給客戶部署我們?nèi)萜髟飘a(chǎn)品時(shí),會(huì)遞交一份產(chǎn)品網(wǎng)絡(luò)規(guī)劃說明。說明書上詳細(xì)說明的產(chǎn)品的網(wǎng)絡(luò)拓?fù)鋱D、使用的端口號等等。我們建議客戶只開啟說明書中提到的端口號。在我們的實(shí)踐中,對于需要外網(wǎng)訪問的用戶。我們只需要開啟80端口。

       部署容器云產(chǎn)品的每臺(tái)物理機(jī)器會(huì)開啟防火墻。

              1. 控制授信機(jī)器之間可以互相訪問。

              2. 禁用icmp協(xié)議。

      使用vpn遠(yuǎn)程訪問容器服務(wù)平臺(tái)跳板機(jī)器。由跳板機(jī)器登錄容器服務(wù)平臺(tái)所在機(jī)器進(jìn)行日常運(yùn)維。

(二) Docker daemon 安全

基于Docker私有云安全管控的方法是什么

       Docker daemon的安全更多是出現(xiàn)在docker engine API的防護(hù)上。我們在docker daemon做如下配置

       1. 配置tls方式訪問docker daemon

       2. http remote api 綁定IP地址(只用戶內(nèi)網(wǎng)調(diào)度系統(tǒng)訪問)

       3. 使用非root用戶運(yùn)行docker daemon。例如:創(chuàng)建docker:docker 用戶與用戶組。

(三) 鏡像安全

        我們的私有容器云服務(wù)鏡像來源于兩個(gè)地方:客戶自行構(gòu)建的鏡像與我們的公有云鏡像中心。

       1. 客戶自行構(gòu)建的鏡像

           客戶自行構(gòu)建的鏡像有兩種方式,一種是通過我們?nèi)萜髟破脚_(tái)定制的模板來構(gòu)建。這種方式下,基礎(chǔ)鏡像由平臺(tái)提供,安全最有保證。另外一種由用戶編寫Dockerfile自行構(gòu)建的鏡像。此類鏡像我們通過兩種手段來保障容器的安全:人工審核與在線安全掃描。我們會(huì)不定期通知用戶更新我們的鏡像安全掃描特征庫來保證鏡像的安全。

       2. 我們的共有云鏡像中心

            目前,公有云鏡像中心中的鏡像全部由我們研發(fā)團(tuán)隊(duì)與安全管控團(tuán)隊(duì)制作,幾乎不會(huì)存在安全問題的。公有云鏡像中心,主要是提供工具類相關(guān)的鏡像,譬如:緩存、redis、mongodb、微服務(wù)架構(gòu)等等。

(四) 容器安全

        我們主要從以下幾個(gè)部分管控容器安全。

        1. 網(wǎng)絡(luò)安全

            不同用戶之間容器網(wǎng)絡(luò)隔離。默認(rèn),不同用戶的容器與容器之間不能互相訪問;同一用戶的所有容器可以互相訪問。

            容器與宿主機(jī)網(wǎng)絡(luò)隔離。默認(rèn),容器是不能網(wǎng)絡(luò)內(nèi)網(wǎng)環(huán)境下任何一臺(tái)宿主機(jī)。

       2. 數(shù)據(jù)安全

            宿主機(jī)掛在目錄。用戶通過統(tǒng)一運(yùn)維管理平臺(tái),只能將固定目錄掛在到容器中。

            不同容器之間文件共享。用戶通過統(tǒng)一運(yùn)維管理平臺(tái),可以將自己的數(shù)據(jù)分享給指定的容器(或者其他用戶)。

             分布式文件系統(tǒng)。用戶通過統(tǒng)一運(yùn)維管理平臺(tái)申請數(shù)據(jù)文件。通過apikey/secrekey訪問平臺(tái)提供的分布式文件存儲(chǔ)。

        3. 進(jìn)程安全

              采用docker 默認(rèn)隔離策略。

到此,相信大家對“基于Docker私有云安全管控的方法是什么”有了更深的了解,不妨來實(shí)際操作一番吧!這里是億速云網(wǎng)站,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢,關(guān)注我們,繼續(xù)學(xué)習(xí)!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI