云原生基础知识
云原生基础知识
正式开始云原生安全的学习,首先了解一下相关的基础知识
常见名词
记录一些常见的专业术语的意思
容器
这玩意打CTF的应该都比较熟悉
Docker 是一个开放源代码软件,是一个开放平台,用于开发应用、交付(shipping)应用、运行应用。Docker允许用户将基础设施(Infrastructure)中的应用单独分割出来,形成更小的颗粒(容器),从而提高交付软件的速度
Docker 容器与虚拟机类似,但二者在原理上不同:
- 容器是将操作系统层虚拟化
- 虚拟机是虚拟化硬件
按照上面的比较,可以知道容器能更便携高效地利用服务器
接下来一下Docker官方给出的架构图:
可以看见里面包括了Docker客户端、Docker容器所在宿主机、Docker镜像仓库三部分
而宿主机包括了Docker守护进程、本地容器、本地镜像,Docker守护进程Dockerd的作用是侦听Docker API请求和管理Docker对象
容器编排
容器编排(Container Orchestration)是指自动化容器的部署、管理、扩展和联网,容器编排可以为需要部署和管理成百上千个 Linux 容器和主机的企业提供便利
常见的容器编排工具方案有 Kubernetes、Docker Swarm 和 Apache Mesos 等
无服务
无服务(serverless)是一种云原生开发模型,可使开发人员专注构建和运行应用,简单来说,就是开发者不用去管服务器只负责开发就行
无服务计算产品通常被分为两类,分别是后端即服务(BaaS)和函数即服务(FaaS),其中 FaaS 是 Serverless 的主要实现方式,FaaS 的相关产品主要有 AWS 的 Lambda、Azure 的 Functions Serverless Compute、GCP 的 Firebase Cloud Functions、阿里云的 Function Compute 等
微服务
微服务(Microservices)是一种软件架构风格,它是以专注于单一责任与功能的小型功能区块为基础,利用模块化的方式组合出复杂的大型应用程序,各功能区块使用与语言无关的API集相互通信
服务网格
服务网格(Service Mesh)用于控制应用的不同部分之间如何共享数据,服务网格内置于应用程序中的专用基础架构层,这个可见的基础架构层可以记录应用的不同部分是否能正常交互
云原生安全
云原生
- 云 :运行在云服务器上
- 原生 :将应用运行到云上,充分的利用云自身的特点,比如弹性和分布式优势(且业务按照云来设计,而不是简单迁移)
云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式 API
云原生安全
云原生安全至少包含了微服务安全、无服务安全、编排平台安全、服务网格安全、容器安全、宿主机安全等等。
根据云原生环境的构成,面向云原生环境的安全体系可以概括为以下三个层面:
- 容器安全
- 编排系统安全
- 云原生应用安全:包括了微服务、无服务、服务网格、零信任体系、API 安全等等
另外除了这些和云原生环境相关的技术之外,云原生安全还包含了一些传统安全的内容,比如宿主机的安全等等。