云安全攻防(四)之 云原生技术

这篇具有很好参考价值的文章主要介绍了云安全攻防(四)之 云原生技术。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

云原生技术

容器技术

容器与虚拟化

虚拟化(Virtualization)和容器(Container)都是系统虚拟化的实现技术,可实现系统资源的”一虚多“共享。容器技术可以理解成一种”轻量的虚拟化“方式,此处的”轻量“主要是相比于虚拟化技术而言的。列如:虚拟化通常在Hypervisor 层实现对硬件资源的虚拟化,Hypervisor为虚拟机提供了虚拟的运行平台,管理虚拟机的操作系统的运行,每个虚拟机都有自己的操作系统、系统库以及应用。而容器并没有Hypervisor 层,每个容器是与主机共享硬件资源和操作系统的。

容器技术在操作系统层面实现了对计算机系统资源的虚拟化,在操作系统中,通过对CPU、内存和文件系统等资源的隔离、划分和控制,实现进程之间的透明的资源使用。

云安全攻防(四)之 云原生技术,云安全攻防,云原生,安全,网络安全

容器镜像

镜像是容器运行的基础,容器引擎服务可使用不同的镜像启动相应的容器。在容器出错后,它能通过迅速删除容器、启动新的容器来恢复服务,这都需要以容器镜像作为支撑技术的。与虚拟机所用的系统镜像不同,容器镜像不仅没有Linux 系统内核,同时在格式也有很大的区别。虚拟机镜像是将一个完整的系统封装成一个镜像文件,而容器镜像不是一个镜像文件,容器镜像是分层存储的文件系统。需要注意的是,当需要修改镜像内的某个文件时,只会对最上方的读写层进行改动,不会覆盖下层已有文件系统的内容。

容器存储

镜像元数据

在Liunx 系统中Docker的数据默认存放在 /var/lib/docker 中 ,基于不同的系统又有不同的存储驱动和不同的目录结构。我们以OCI标准格式来了解镜像存储的内容,如图所示:

云安全攻防(四)之 云原生技术,云安全攻防,云原生,安全,网络安全

镜像每一层的 ID是该文件内容的散列校验值,作为该层的唯一标识。获取镜像后,会使用以下方式索引镜像: 首先读取镜像的 manifests 文件,根据 manifests 文件中 config 的 sha256 码,得到镜像 config 文件,遍历 manifests 文件里面的所有层(layer),根据其 sha256 码在本地查找,拼出完整的镜像。

存储驱动

在理想情况下,我们使用挂载卷来存储高读写的目录,很少将数据直接写入容器的可写层。但是,总有一些需要直接写入容器可写层的特殊需求,这时候就需要存储驱动来作为容器和宿主机之间的媒介。Docker 依靠驱动技术来管理镜像与运行它们的容器间的存储和交互。

目前, Docker 支持 overaly2、aufs、fuse-overlayfs、devicemapper、btrfs、zfs、vfs等存储驱动。没有单一的存储驱动可适用所用的应用场景,要根据不同的场景选择合适的存储驱动,这样才能有效提高 Docker 性能

数据卷

通常,有状态的容器都有数据持久化存储的需求。前一节提到过,文件系统的改动都是发生在最上面的可读 写层。在容器的生命周期内,它是持续的,包括容器被停止后。但是,当容器被删除后,该数据层也随之被删除了。因此,Docker 采用数据卷(Volume)的形式向容器提供持久化存储。数据卷是 Docker 容器数据持久化存储 的首选机制。绑定挂载(Bind Mounts)依赖于主机的目录结构,但数据卷是由 Docker 管理。

与绑定挂载相比, 数据卷有以下几个优点:

  • 与绑定挂载相比,数据卷更容易备份或迁移
  • 可以使用 Docker CLI命令或 Docker API 管理数据卷
  • 数据卷在 Linux和 Windows 上均可使用
  • 数据卷可以在多个容器之间更安全地共享
  • 数据卷驱动程序允许在远程主机或云上存储数据卷、加密卷的内容或添加其它功能
  • 新数据卷的内容可以由容器预填充
  • 另外,与使用容器的读写层保存数据相比,数据卷通常是更好的选择。因为使用数据卷存储不会增加容器的大小,并且数据卷是持久化的,不会依赖于容器的生命周期。

容器网络

单从云计算的发展来看,业界普遍的共识是计算虚拟化和存储虚拟化已经不断突破和成熟,但网络虚拟化的发展仍相对滞后,成为制约云计算发展的一大瓶颈。网络虚拟化、多租户、混合云等特性均不同程度地给云网络地安全建设提出全新的挑战。

容器技术提供了轻量级虚拟化的能力,使实列资源占有大幅降低,提升了分布式计算系统的性能,但分布式容器系统的网络仍是较为复杂的部分。目前容器网络可以简单分为主机网络和集群网络,其中主机网络以 Docker 为列主要分为 None 网络模式、Bridge 网络模式、Host 网络模式和 Container 网络模式。集群网络以 Kubernetes 为列,由于Pod 作为 Kubernetes 应用运行的基本单元,每个Pod 中包含一个或多个相关的容器,这些容器都会运行在同一个主机中,并且共享相同的网络命名空间和相同的Linux 协议栈。因而集群网络基于Pod 主要涉及以下三个通信:同一个Pod内,容器和容器之间的通信;同一个主机内不同Pod之间的通信;跨主机Pod之间的通信。

容器运行时

容器运行时负责管理容器运行的整个生命周期,包括但不限于指定容器镜像格式、构建镜像、上传和拉取镜像、管理镜像、管理容器实例、运行容器等。在容器技术发展早期,Docker 作为容器运行时的标准被广为使用,而后Google、CoreOS、Docker等公司在2015年联合创建了开放容器标准(Open Container Inititiative,OCI),用于推进容器标准化,其主要包含两个标准,分别为容器运行时的标准和容器镜像标准,OCI的容器运行时主要包括runC、Rocket、Kata Containers、gVisor等。再后来随着容器编排技术的不断发展,处于行业翘楚的Kubernetes推出了容器运行时接口(Container Runtime Interface,CRI),用于与容器运行时进行通信,进而操作容器化的应用程序,当前支持的CRI运行时包括Docker、Contained、CRI-O。

容器编排

集群化、弹性和敏捷是容器应用的显著特点,如何有效地对容器集群进行管理,是容器技术落地应用地一个重要方面。集群管理工具(编排工具)能够帮助用户以集群的方式在主机上启动容器,并能够实现相应的网络互联,同时提供负载均衡、可扩展、容错和高可用等保障。目前来看,使用率和关注度比较高的几种容器编排平台主要包括Kubernetes、Apache Mesos、Docker Swarm、OpenShift、Rancher等、目前来看,Kubernetes在容器编排领域占据较大优势。许多公有云厂商也推出了各自的Kubernetes托管云平台,国外公有云厂商主要以Google、Amazon、Microsoft Azure 为主,国内则以阿里、腾讯、华为为主。

微服务

2014年,Matrin Fowler 撰写的 Microservices 使得许多国内的先行者接触到微服务这个概念并将其引入国内,Matrin Fowler对微服务的概念的定义如下:微服务就是将一个完整应用中所有的模块拆分为多个不同的服务,其中每个服务都可以部署、维护和发展,服务之间通常通过RESTful API 通信,这些服务围绕业务能力构建,且每个服务均可使用不同的编程语言和不同的数据存储技术。

2015年,越来越多的人通过各种渠道了解到微服务的概念并有人开始在生产环境中落地,2016年—2017年,微服务被越来越多的人所认可,一大批公司以微服务和容器为核心开始了技术架构的全面革新,于是微服务架构应运而生。

至今为止,微服务发展已经经历了两代,第一代是Dubbo、Spring Cloud 为代表的微服务治理框架,该类框架在微服务发展的前几年一度独领风骚、甚至在部分人群中成为微服务的代名词,但事实上该类框架并不能友好地解决微服务自身带来地一些问题,如微服务地调用依赖、版本迭代、安全性、可观测性等;第二代微服务治理框架为服务网格,他的出现解决了大部分开发人员在使用Spring Cloud 时遇到地不足和痛点。

服务网格

2017年年底,服务网格(Service Mesh)依托其非侵入式特性在微服务技术中崭新头角,作为微服务间通信地基础设施层。服务网格通常通过一些轻量级网络代理实现,这些代理与应用程序一起部署,而无需感知应用程序本身。

云安全攻防(四)之 云原生技术,云安全攻防,云原生,安全,网络安全

可以看到 Sidecar 运行在服务旁,对服务透明。由于所有通过服务地流量均会经过 Sidecar ,因此 Sidecar 可实现流量控制功能,如服务发现、负载均衡、智能路由、故障注入、熔断器、TLS终止等。服务网格的出现将微服务治理从自身中抽离出来,这种方式极大降低了代码的耦合度,使得微服务治理不在复杂。

Serverless

随着云原生技术的不断发展,应用的部署模式逐渐趋向于“业务逻辑实现与基础设施分离”的设计原则,Serverless(无服务器架构)指的是由开发者实现的服务端逻辑运行在无状态的计算容器中,它由事件触发, 完全被第三方管理,其业务层面的状态则被开发者使用的数据库和存储资源所记录。Serverless使得开发者无需直接处理服务器(无论是物理机,虚拟机,容器等)。无主机的优势会让使用者在服务器维护方面的操作开销大大减少,无需为升级服务器而忧心,无主机还意味着在应用程序中需要监控的度量指标也会不同。这是因为使用的大多数底层服务不会再发布 CPU、内存、磁盘大小等传统度量指标了。这让不再需要再特别关心架构的底层操作细节。Serverless使开发者避免了基础设施管理,如集群配置、漏洞修补、系统维护等。

Serverless通常可分为两种实现方式,即BaaS(Backend as a Service,后端即服务)和FaaS(Functions as a Service,函数即服务),其中 FaaS是Serverless的主要实现方式。简而言之FaaS即开发者编写的一段代码并定义何时以及如何调用该函数,随后该函数在云厂商提供的服务端运行,在此过程中开发者只需要编写并维护一段功能代码。

此外,FaaS本质上是一种事件驱动并由消息触发的服务,事件类型可能是一个HTTP请求,也可能是一次上传或保存操作,事件源与函数的关系如图所示:

云安全攻防(四)之 云原生技术,云安全攻防,云原生,安全,网络安全

FaaS的典型代表为AWS Lambda,为便于理解,下述为一个简单的Lambda Python处理函数:

import json

def lambda_handler(event, context):
return {
	'statusCode': 200,
	'body': json.dumps('Hello from Lambda!')
}

可以看出,以上代码导入了JSON Python库并定义了一个lambda_handler函数,该函数需接收两个参数,分别为event和context,其中event参数包含此函数收到的事件源信息,参数类型通常是Python的dict类型,也可以是list、str、int、float等类型,而context参数包含此函数相关的运行时上下文信息。

云安全攻防(四)之 云原生技术,云安全攻防,云原生,安全,网络安全

上图大致展示了传统的服务端应用部署和FaaS应用部署,当应用程序部署在物理机、虚拟机、容器中时,它实际上是一个应用进程,并且由许多不同的函数构成,这些函数之间有着相互关联的操作,一般需要长时间在操作系统中运行;而FaaS通过抽离虚拟机实例、操作系统和应用程序进程改变了传统的部署模式,使开发者只需关注单个函数操作,剩余基础设施管理均由第三方托管平台提供,当有事件触发时函数被执行,开发者为使用的资源付费。

DevOps

开发运营一体化(DevOps)全称为 Development&Operations ,其代表的并非一种具体的实现技术,而是一种方法论,在2009年被提出。DevOps的出现主要是为了打破开发人员与运维人员之间的壁垒和鸿沟,高效地组织团队通过自动化工具相互协作已完成软件生命周期管理,从而更快且频繁地交付高质量、稳定的软件。

云原生倡导敏捷、容错、自动化的特点,使得DevOps 成为云原生基础不可或缺地一环,究其根本原因,我们可以将其分为以下几点:

云原生提供DevOps基础设施

容器与编排技术提供了云原生的标准运行环境及基础架构。DevOps的和核心点在于软件的持续集成、持续交付,而容器作为云原生应用的标准发布,促进了DevOps在云原生环境下的流行,与此同时,基于容器的PaaS平台,如 Kubernetes ,可进一步为DevOps 的落地提供土壤。

微服务架构加速DevOps的应用

微服务架构实现了云原生应用固有的特点,即无状态性、弹性扩展、高内聚、低耦合。在此此架构下,试想在生产环境中,由于一个庞大的应用被拆分为几十个上百个服务,每个服务的开发、构建、部署过程必然遵循快速发布的原则,因而在敏捷性、自动化工具链上对流程提出了较高的要求。在此基础上,DevOps 的自动化、协作、敏捷的文化将会在很大程度上加速微服务的开发效率、降低沟通成本、提升部署效率。

DevOps 赋能服务网格

服务网格是一套微服务治理框架,主要实现各个微服务间的网络通信,虽然服务网格技术本身与DevOps关系不大,但由于其建立在微服务架构下,因而也须与 DevOps 相融合,这样才能实现微服务的持续集成和交付。

DevOps 加速 Serverless 应用迁移

Serverless 为云原生应用的最终形态,即服务端托管云厂商,开发者只需要维护好一段函数代码即可,这一新型云计算模式背后秉承的理念实际与DevOps是相互契合的。DevOps 遵循消除 开发者与运维人员之间的壁垒,而Serverless 架构的责任划分原则使得开发者人员和运维人员不在有界限。文章来源地址https://www.toymoban.com/news/detail-623395.html

到了这里,关于云安全攻防(四)之 云原生技术的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全入门 5 天速成教程_ WEB 安全渗透攻防技术

    前言 随着 Web 技术发展越来越成熟,而非 Web 服务越来越少的暴露在互联网上,现在互联网安全主要指的是 Web 安全。 为了自身不“裸奔”在大数据里,渐渐开始学习 Web 安全,在学习 Web 安全的过程中,发现很大一部分知识点都相对零散,如果没有相对清晰 的脉络作为参考,

    2024年04月23日
    浏览(49)
  • 跟Bilibili UP主们学网络安全:轻松掌握攻防技术

    Bilibili上有一群安全UP主,他们不仅分享着有趣的视频内容,还致力于传授网络安全知识和技巧。 crowsechttps://space.bilibili.com/29903122/video 次元壁の茶 https://space.bilibili.com/13290988/video 刺掌信息 https://space.bilibili.com/25399338/video 成为黑客吧丶 https://space.bilibili.com/481643789/video 红蓝安全

    2024年03月09日
    浏览(118)
  • 有哪些信息安全/网络安全/渗透测试/众测/CTF/红蓝攻防/漏洞测试等前沿技术/研究/技巧获取渠道?

    护网的定义是以国家组织组织事业单位、国企单位、名企单位等开展攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻,不管任何手段只要攻破防守方的网络并且留下标记即成功,直接冲到防守方的办公大楼,然后物理攻破也算成功。护网是国家应对

    2024年02月06日
    浏览(57)
  • 网络安全与攻防-常见网络安全攻防

    目录 攻击手段防御策略 阻断服务攻击(DoS) 地址解析欺骗(ARP攻击)(Address Resolution Protocol spoofing) 跨站脚本攻击(XSS) SQL注入 跨站请求伪造(csrf)  HTTPS中间人攻击 小结 阻断服务攻击(DoS) 阻断服务攻击(Denial-of service attack),想办法将目标网络资源用尽(自己的服

    2023年04月25日
    浏览(68)
  • 云安全攻防(一)之 云原生

    随着公有云和私有云的广泛部署,云计算基础设施成为企业部署新业务的首选。可以说,云计算已进入下半场,各大云计算服务商的厮杀日益激烈,新的概念也不断的层出不穷。近年来,云原生安全(Cloud Native Computing)越来越多地出现在人们的视野中,可以说,云原生安全是

    2024年02月15日
    浏览(40)
  • 中科驭数DPU技术开放日秀“肌肉”:云原生网络、RDMA、安全加速、低延时网络等方案组团亮相

    2024年3月29日,中科驭数以“DPU构建高性能云算力底座”为主题的线上技术开放日活动成功举办。在开放日上,中科驭数集中展现了其在低时延网络、云原生网络及智算中心网络三大关键场景下的技术成果与五大核心DPU解决方案,凸显了中科驭数在高性能数据中心建设与云算力

    2024年04月14日
    浏览(43)
  • <网络安全>《35 网络攻防专业课<第一课 - 网络攻防准备>》

    认识黑客 认识端口 常见术语与命令 网络攻击流程 VMWare虚拟环境靶机搭建 白帽黑客 是指有能力破坏电脑安全但不具恶意目的黑客。 灰帽黑客 是指对于伦理和法律态度不明的黑客。 黑帽黑客 经常用于区别于一般(正面的)理性黑客,一个犯罪和黑客的合成词。 黑客:Hack

    2024年02月19日
    浏览(61)
  • 网络安全攻防:ZigBee安全

    1. ZigBee简介 ZigBee(又称紫蜂协议)是基于IEEE802.15.4标准的低功耗局域网协议。根据国际标准规定,ZigBee技术是一种短距离、低功耗的无线通信技术。ZigBee来源于蜜蜂的八字舞,由于蜜蜂(Bee)是靠飞翔和“嗡嗡”(Zig)地抖动翅膀的“舞蹈”来与同伴传递花粉所在方位信息

    2024年02月05日
    浏览(65)
  • 网络攻防演练.网络安全.学习

    网络安全攻防演练是指通过模拟各种网络攻击手段,来测试自身安全防御能力和应对能力的一种演练活动。本文总结了网络安全攻防演练的重要性、准备工作以及演练过程中需要注意的事项。 一、网络安全攻防演练的重要性 网络安全攻防演练是对自身网络安全现状的一种全面

    2024年02月13日
    浏览(44)
  • 网络安全攻防演练项目介绍

    有很多朋友问我写的攻防演练是什么? 本文给予回答 网络安全攻防演练是公安部组织的面向税务、电力、电信、银行、铁路、财政、广电、水利、教育、互联网、检察院、法院、石油、交通等行业的政府单位/公司,开展的实战攻防演练,也简称为护网。 攻防演练主要目标是

    2024年02月09日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包