Obsah:
Video: OLO dáva príspevok na polopodzemné kontajnery (November 2024)
Mnoho správcov IT vníma kontajnery ako sadu nástrojov na vývoj aplikácií (app-dev), vrátane jej dvoch najpopulárnejších príkladov: Docker, prostriedok na riadenie kontajnerov a Kubernetes, systém s otvoreným zdrojovým kódom vyvinutý spoločnosťou Google na automatizáciu nasadenia kontajnerov, škálovanie a správa. Sú to skvelé nástroje, ale zistiť, ako ich používať mimo kontextu aplikácie, môže byť pre správcov zložitých v každodenných IT operáciách zložitou otázkou.
Dôvody, prečo to všetko dokáže, je kvôli ich architektúre. Kým sú kontajnery klasifikované ako virtualizácia, nejde o to isté ako o virtuálnych strojoch (VM), ktoré sú väčšinou IT manažéri zvyknutí spravovať. Typický virtualizátor virtualizuje kompletný počítač a všetky aplikácie, ktoré na ňom bežia, alebo dokonca s ním komunikuje ako skutočný počítač. Na druhej strane kontajner všeobecne virtualizuje iba operačný systém (OS).
Ak používate kontajner, v aplikácii, ktorá je v ňom spustená, sa na tom istom počítači nezobrazí nič iné, čo je miesto, kde ho niektorí ľudia zamieňajú s plnohodnotným virtuálnym počítačom. Kontajner poskytuje všetko, čo aplikácia potrebuje na spustenie, vrátane jadra hostiteľského OS, ako aj ovládačov zariadení, sieťových prostriedkov a systému súborov.
Keď napríklad systém správy kontajnerov, napríklad Docker, odštartuje kontajner, načíta ho z úložiska obrazov OS, z ktorých každý musí byť nainštalovaný, skontrolovaný a dokonca prispôsobený správcom kontajnera. Môže existovať veľa špecializovaných obrázkov na rôzne účely a môžete určiť, ktorý obrázok sa má použiť na aké pracovné zaťaženie. Konfiguráciu týchto štandardných obrázkov môžete tiež prispôsobiť ešte viac, čo môže byť veľmi užitočné, keď sa obávate správy identity, oprávnení používateľov alebo iných nastavení zabezpečenia.
Nezabudnite na bezpečnosť
Mal som príležitosť diskutovať o vplyve kontajnerov na prevádzku IT s Mattom Hollcraftom, hlavným riaditeľom pre riziko Cyber Risk pre Maxim Integrated, výrobcom vysokovýkonných riešení pre integrované obvody integrovaného obvodu (IC) so sídlom v San Jose v Kalifornii.
„Vznik kontajnerov má potenciál umožniť organizácii IT spravovať svoju organizáciu a vyhnúť sa preťaženiu cloudu a inej infraštruktúry, “ vysvetlil Hollcraft. „Umožňujú vám poskytovať služby plynulejšie, “ uviedol a dodal, že umožňujú organizácii rýchlejšie zväčšovať a zmenšovať objem, pretože na rozdiel od plne virtuálnych virtuálnych strojov sa kontajnery môžu otáčať nahor a dozadu v rámci sekúnd.
To znamená, že môžete spustiť alebo zastaviť úplnú inštanciu pracovnej záťaže na obchodnej linke, napríklad rozšírenie databázy, za zlomok času potrebného na aktiváciu úplného virtuálneho servera. To znamená, že čas odozvy IT na meniace sa obchodné potreby sa výrazne zlepší, najmä preto, že budete môcť poskytnúť tieto kontajnery pomocou štandardných obrazov OS, ktoré už boli vopred nakonfigurované a prispôsobené.
Spoločnosť Hollcraft napriek tomu varovala, že je nevyhnutné zahrnúť bezpečnosť ako štandardnú súčasť procesu konfigurácie vášho kontajnera. Bezpečnosť musí byť taká pohyblivá ako kontajner. „Hlavným atribútom musí byť obratnosť, “ povedal Hollcraft, pretože „na ochranu kontajnera sa musí rozbehnúť.“
Pomoc tretích strán pri zabezpečení kontajnerov
Hollcraft uviedol, že existuje niekoľko startupov v oblasti kybernetickej bezpečnosti, ktoré začínajú ponúkať agilné bezpečnostné platformy potrebné na úspešné použitie kontajnerov ako nástroja IT. Výhodou zabezpečenia špecifického pre kontajner je to, že umožňuje správcom IT začleniť zabezpečenie ako súčasť počiatočného procesu architektúry kontajnerov.
Jeden zo spúšťacích zariadení, ktoré zabezpečujú bezpečnosť kontajnerov týmto spôsobom, sa nazýva Aqua Security Software a dodáva nový produkt s názvom MicroEnforcer, ktorý je špecificky zameraný na prípady použitia kontajnerov. MicroEnforcer sa vkladá do kontajnera na začiatku procesu vývoja alebo konfigurácie. Po spustení kontajnera sa potom spustí zabezpečenie. Pretože kontajner nie je možné po naložení zmeniť, je tu bezpečnosť.
„Umožní ľuďom bezpečnosti prísť a nastaviť bezpečnosť na začiatku procesu, “ uviedol Amir Jerbi, zakladateľ a technický riaditeľ spoločnosti Aqua Security Software. Povedal, že vytvára bezpečnosť ako služba v kontajneri. Týmto spôsobom môže byť MicroEnforcer viditeľný aj do iných nádob.
„Môžete sa pozrieť na kontajner a presne vidieť, čo kontajner robí, aké procesy bežia a čo číta a zapisuje, “ povedal Jerbi. Dodal, že MicroEnforcer môže potom poslať upozornenie, keď zistí aktivitu v kontajneri, ktorý tam nemá byť, a môže zastaviť činnosť kontajnera, keď sa tak stane.
Dobrým príkladom druhu činnosti, ktorú môže MicroEnforcer hľadať, môže byť malware, ktorý bol vstreknutý do kontajnera. Dobrým príkladom by mohol byť jeden z novších útokov založených na kontajneroch, pri ktorých je kontajner so softvérom na ťažbu kryptomeny injektovaný do systému, kde nasáva zdroje a zároveň zarába peniaze pre niekoho iného. MicroEnforcer môže tiež detekovať tento typ aktivity a okamžite ju ukončiť.
Boj proti malvéru je jednou z veľkých výhod kontajnerov z dôvodu ľahkej viditeľnosti, ktorú poskytujú do svojich vnútorných častí. To znamená, že je pomerne ľahké monitorovať ich činnosť a relatívne ľahko zabrániť tomu, aby sa stalo niečo zlé.
Je potrebné poznamenať, že hoci kontajnery boli už nejaký čas k dispozícii ako architektonický prvok pre Linux, sú k dispozícii aj v systéme Microsoft Windows. Spoločnosť Microsoft v skutočnosti poskytuje verziu Docker pre Windows a poskytuje pokyny, ako vytvoriť kontajnery v systéme Windows Server a Windows 10.