共计 1330 个字符,预计需要花费 4 分钟才能阅读完成。
本篇内容主要讲解“基于 Docker 私有云安全管控的方法是什么”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让丸趣 TV 小编来带大家学习“基于 Docker 私有云安全管控的方法是什么”吧!
(一)IDC 机房安全防护
IDC 机房防火墙可预防所有常见的攻击。我们在给客户部署我们容器云产品时,会递交一份产品网络规划说明。说明书上详细说明的产品的网络拓扑图、使用的端口号等等。我们建议客户只开启说明书中提到的端口号。在我们的实践中,对于需要外网访问的用户。我们只需要开启 80 端口。
部署容器云产品的每台物理机器会开启防火墙。
1. 控制授信机器之间可以互相访问。
2. 禁用 icmp 协议。
使用 vpn 远程访问容器服务平台跳板机器。由跳板机器登录容器服务平台所在机器进行日常运维。
(二)Docker daemon 安全
Docker daemon 的安全更多是出现在 docker engine API 的防护上。我们在 docker daemon 做如下配置
1. 配置 tls 方式访问 docker daemon
2. http remote api 绑定 IP 地址(只用户内网调度系统访问)
3. 使用非 root 用户运行 docker daemon。例如:创建 docker:docker 用户与用户组。
(三)镜像安全
我们的私有容器云服务镜像来源于两个地方:客户自行构建的镜像与我们的公有云镜像中心。
1. 客户自行构建的镜像
客户自行构建的镜像有两种方式,一种是通过我们容器云平台定制的模板来构建。这种方式下,基础镜像由平台提供,安全最有保证。另外一种由用户编写 Dockerfile 自行构建的镜像。此类镜像我们通过两种手段来保障容器的安全:人工审核与在线安全扫描。我们会不定期通知用户更新我们的镜像安全扫描特征库来保证镜像的安全。
2. 我们的共有云镜像中心
目前,公有云镜像中心中的镜像全部由我们研发团队与安全管控团队制作,几乎不会存在安全问题的。公有云镜像中心,主要是提供工具类相关的镜像,譬如:缓存、redis、mongodb、微服务架构等等。
(四)容器安全
我们主要从以下几个部分管控容器安全。
1. 网络安全
不同用户之间容器网络隔离。默认,不同用户的容器与容器之间不能互相访问;同一用户的所有容器可以互相访问。
容器与宿主机网络隔离。默认,容器是不能网络内网环境下任何一台宿主机。
2. 数据安全
宿主机挂在目录。用户通过统一运维管理平台,只能将固定目录挂在到容器中。
不同容器之间文件共享。用户通过统一运维管理平台,可以将自己的数据分享给指定的容器(或者其他用户)。
分布式文件系统。用户通过统一运维管理平台申请数据文件。通过 apikey/secrekey 访问平台提供的分布式文件存储。
3. 进程安全
采用 docker 默认隔离策略。
到此,相信大家对“基于 Docker 私有云安全管控的方法是什么”有了更深的了解,不妨来实际操作一番吧!这里是丸趣 TV 网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!
![Frank#smith[Kfyzeiuqujbpygze,2,5]](https://cravatar.cn/avatar/ebd2642d86a4b40100d29dc76ec89b0d?s=96&d=monsterid&r=r)