Kazalo:
Video: Enostavni pirin kruh iz posode (November 2024)
Številni skrbniki IT gledajo na vsebnike kot nabor orodij za razvoj aplikacij (app-dev), vključno z dvema najbolj priljubljenima primeroma: Docker, sredstvom za nadzor nad zabojniki in Kubernetes, odprtokodnim sistemom, ki ga je razvil Google za avtomatizacijo nameščanja vsebnikov, skaliranje, in upravljanje. To so odlična orodja, toda ugotoviti, kako jih uporabljati zunaj konteksta aplikacij, je lahko težko vprašanje za skrbnike, ki so vpeti v vsakodnevne IT-operacije.
Razlog, da kontejnerji vse to naredijo, je posledica njihove arhitekture. Medtem ko so zabojniki razvrščeni kot virtualizacija, to niso enake stvari kot virtualni stroji (VM), ki jih večina ljudi IT-ja navadi upravljati. Običajni VM virtualizira celoten računalnik in vse aplikacije, ki delujejo na njem ali celo komunicirajo z njim kot pravi stroj. Nasprotno, posoda na splošno virtualizira samo operacijski sistem (OS).
Ko uporabljate zabojnik, aplikacija, ki se izvaja znotraj njega, ne vidi ničesar drugega, kar deluje na istem stroju, zato ga nekateri začnejo zamenjevati s sistemom VM. V vsebniku je na voljo vse, kar mora aplikacija zagnati, vključno z jedrom gostiteljske OS, gonilniki naprav, omrežnimi sredstvi in datotečnim sistemom.
Ko sistem za upravljanje vsebnika, na primer Docker, zažene vsebnik, ga naloži iz shrambe slik OS, ki jih mora skrbnik vsebnika namestiti, preveriti in celo prilagoditi. Lahko je veliko specializiranih slik za različne namene in lahko določite, katera slika naj bo uporabljena za obremenitev. Konfiguracijo standardnih slik lahko še dodatno prilagodite, kar je lahko zelo priročno, kadar vas skrbi upravljanje identitete, uporabniška dovoljenja ali druge varnostne nastavitve.
Ne pozabite na varnost
Imel sem priložnost razpravljati o vplivu zabojnikov na IT-operacije z Mattom Hollcraft-om, glavnim direktorjem kibernetskega tveganja za Maxim Integrated, proizvajalcem visokozmogljivih rešitev analognih in mešanih signalov (IC) s sedežem v San Joseju v Kaliforniji.
"Pojav kontejnerjev lahko omogoča, da organizacija IT servisira njihovo organizacijo in se izogne preobremenitvi oblakov in druge infrastrukture, " je pojasnil Hollcraft. "Omogočajo vam, da storitve dostavite na bolj tekoč način, " je dejal in dodal, da omogočajo, da se organizacija hitreje spreminja navzgor in navzdol, ker se za razliko od VM-jev s polnim pogonom kontejnerji lahko vrtijo nazaj in nazaj v zadevah sekund.
To pomeni, da lahko zaženete ali zaustavite celoten primerek obremenitve v poslovni vrstici, kot je na primer razširitev baze podatkov, v delčku časa, ki bi ga potrebovali za aktiviranje celotnega virtualnega strežnika. To pomeni, da se bo odzivni čas IT na spreminjajoče se poslovne potrebe vidno izboljšal, še posebej, ker boste lahko te vsebnike zagotovili s standardnimi slikami OS, ki so že bile predhodno konfigurirane in prilagojene.
Kljub temu je Hollcraft opozoril, da je ključnega pomena vključiti varnost kot standardni del postopka konfiguriranja vsebnika. Če želite delovati, mora biti varnostna kot gibljiva. "Glavni atribut mora biti okretnost, " je dejal Hollcraft, ker "je treba zaščititi zabojnik."
Pomoč tretjih oseb pri zaščiti vsebnika
Hollcraft je dejal, da obstaja nekaj zagonov kibernetske varnosti, ki začenjajo ponujati agilne varnostne platforme, potrebne za uspešno uporabo vsebnikov kot orodje IT. Prednost zaščite za vsebnike je, da IT-skrbnikom omogoča, da vključijo varnost kot del začetnega postopka arhitekture vsebnika.
Eden od zagonov, ki na ta način deluje zaščito vsebnikov, se imenuje Aqua Security Software in ponuja nov izdelek, imenovan MicroEnforcer, namenjen posebej primeru uporabe vsebnikov. MicroEnforcer vstavimo v posodo zgodaj v procesu razvoja ali konfiguracije. Nato se ob zagonu vsebnika zaščita zažene z njim. Ker posode ni mogoče spremeniti, ko je naložena, je varnost tam ostala.
"Varnostnikom omogoča, da vstopijo in postavijo varnost na začetku postopka, " je dejal Amir Jerbi, ustanovitelj in CTO Aqua Security Software. Dejal je, da ustvarja varnost kot storitev v zabojniku. Tako lahko MicroEnforcer vidi tudi v drugih posodah.
"Lahko si ogledate posodo in natančno vidite, kaj posoda počne, kakšni procesi tečejo in kaj bere in piše, " je dejal Jerbi. Dodal je, da lahko MicroEnforcer pošlje opozorilo, ko zazna aktivnost v posodi, ki je ne bi smel biti, in lahko ustavi delovanje vsebnika, ko se to zgodi.
Dober primer vrste dejavnosti, za katero lahko išče MicroEnforcer, je zlonamerna programska oprema, ki je bila vbrizgana v zabojnik. Odličen primer tega je lahko eden izmed novejših napadov, ki temeljijo na zabojnikih, pri katerih se v sistem vbrizga vsebnik, v katerem je nameščena programska oprema za rudarjenje kripto valute, kjer črpa sredstva in hkrati zasluži denar za nekoga drugega. MicroEnforcer lahko tudi zazna to vrsto dejavnosti in jo takoj konča.
Boj proti zlonamerni programski opremi je ena od velikih prednosti vsebnikov zaradi enostavne vidnosti, ki jo zagotavljajo v njihovi notranjosti. To pomeni, da je razmeroma enostavno spremljati njihovo delovanje in razmeroma enostavno preprečiti, da bi se zgodilo kaj slabega.
Omeniti velja, da so zabojniki na voljo kot arhitekturni element za Linux že nekaj časa, vendar so na voljo tudi v operacijskem sistemu Microsoft Windows. Pravzaprav Microsoft ponuja različico Dockerja za Windows in ponuja navodila, kako ustvariti vsebnike v sistemih Windows Server in Windows 10.
