【导读】云原生技术在创造效益的同时,也面临着切实存在日益严峻的安全风险。基于防火墙进行域间控制已显得与云原生环境格格不入,无法真正满足容器平台的隔离需求。本文对现有容器云平台隔离方案:基于 Network Policy 的容器隔离、主机代理形态的工作负载微隔离进行了分析,并提出理想的容器云平台安全隔离解决方案应满足的几个条件。希望能为准备和正在进行容器云平台安全设计的同行提供参考。
一、云原生的技术背景
当前,数字化变革已逐渐渗透到每一个具体产业,弹性算力已成为各行各业的“水电煤”,云计算则成为数字化世界的基石,从底层驱动产业变革。随着云计算发展进入成熟阶段,以“生在云上、长在云上”为核心理念的云原生技术被视为云计算未来十年的重要发展方向。在数字化大潮中,上云并非是一种时尚,而是一种刚需,从“上云”到“全面上云”,从“云化”到“云原生化”,是企业数字化转型的必由之路。
相较传统 IT 架构,云原生具有无法比拟的优势,将为企业带来降低成本、提升效率、快速试错、促进创新等业务增益价值。
云原生的技术理念始于 Netflix 等厂商从 2009 年起在公有云上的开发和部署实践。2015年云原生计算基金会(CNCF)成立,标志着云原生从技术理念转化为开源实现。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式 API。这些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段,云原生技术使工程师能够轻松地对系统作出频繁和可预测的重大变更。
云原生的运用使本身复杂多变的