容器测评十个热门小知识
Q1
容器只有docker一种?
容器不仅仅只有docker一种,还包括Podman、rkt等。
Q2
容器技术和虚拟化有什么区别?
虚拟化可以通俗理解是把整个房子包括家具全部打包,因此特别“重”。
容器可以通俗理解是仅仅打包家具,所以显得更“轻”。两个区别如下:
| 特性 | 虚拟化 | 容器 |
| 隔离级别 | 操作系统级 | 进程级 |
| 系统资源占用 | 多 | 少 |
| 启动时间 | 分钟级 | 秒级 |
| 镜像大小 | GB以上 | KB以上 |
| 集群规模 | 上百 | 上万 |
| 高可用策略 | 备份、容灾、迁移 | 弹性、负载、动态 |
Q3
只要用了容器技术就需要使用容器扩展?
不是,从联盟的培训和测评的实践来看,若仅仅使用了docker等容器技术,但未使用容器集群平台进行统一管理,完全没有必要使用容器扩展,因为其跟传统系统并无实质区别。
Q4
漏洞扫描无法扫描到IP?
容器的网络其实也分几种,比如kubeoperator就包括flannel、calico和cilium三种,每种又分为不同的网络模式,比如flannel有vxlan、host-gw两种,calico有bgp和ipip两种,cilium有overlay和nativerouting两种。而docke默认就是nat,容器和宿主机默认通过NAT技术将容器的端口映射到宿主机上,所以,从容器外部扫描容器IP一般是仅能扫描容器映射出来的端口,其它端口均无法扫描。
所以,必须通过API或直接登录容器实例里才能进行漏洞扫描或渗透测试,类似vmware虚拟化的桥接、NAT等网络连接方式,或者直接通过trivy扫描镜像仓库的镜像。
Q5
什么是docker-compose
compose是通过一个配置文件定义一组docker实例,包括启动顺序、依赖关系、网络端口等配置,以往启动某个应用可能需要单独启动若干容器实例,但是通过compose就只需要启动一次,容器实例根据composer配置信息自动启动所有的容器实例,从而简化运维。通常为docker-compose.yaml文件。
Q6
docker和k8s是什么关系
docker只是常见容器技术之一,k8s是常见容器编排平台,k8s支持的的容器不仅仅只是docker,还包括 RunC、Containerted。同理,docker也有自己官方容器编排平台Docker Swarm。未来k8s已经逐渐成为容器集群的主流标准。
Q7
容器镜像是否需要使用扩展要求测评?
容器镜像一般仅使用安全通用要求即可,无需使用扩展要求进行测评,扩展要求几乎针对的是容器集群管理平台、仓库。
Q8
如果无法直接测评容器实例,能否测评容器镜像?
可以,因为容器实例均通过容器镜像创建的,容器镜像是模板,容器实例通过模板启动,所以配置默认两者是一致,除非启动后修改了容器实例配置。
Q9
容器实例可以远程登录吗?
可以,因为容器实例本质就是迷你版的操作系统, 可以直接通过ssh登录(部分镜像可能需要单独安装ssh),也可以先登录宿主机再登录容器实例,不过目前容器几乎只有Linux类操作系统镜像。
Q10
容器实例能否支持在云平台上自动部署?
支持,目前容器集群管理平台基本都支持在vsphere、aws、hyper-V等云平台上自动化部署,只要配置好部署计划就可以自动化部署。