云安全攻防(四)之 云原生技术

云原生技术

容器技术

容器与虚拟化

虚拟化(Virtualization)和容器(Container)都是系统虚拟化的实现技术,可实现系统资源的”一虚多“共享。容器技术可以理解成一种”轻量的虚拟化“方式,此处的”轻量“主要是相比于虚拟化技术而言的。列如:虚拟化通常在Hypervisor 层实现对硬件资源的虚拟化,Hypervisor为虚拟机提供了虚拟的运行平台,管理虚拟机的操作系统的运行,每个虚拟机都有自己的操作系统、系统库以及应用。而容器并没有Hypervisor 层,每个容器是与主机共享硬件资源和操作系统的。

容器技术在操作系统层面实现了对计算机系统资源的虚拟化,在操作系统中,通过对CPU、内存和文件系统等资源的隔离、划分和控制,实现进程之间的透明的资源使用。

在这里插入图片描述

容器镜像

镜像是容器运行的基础,容器引擎服务可使用不同的镜像启动相应的容器。在容器出错后,它能通过迅速删除容器、启动新的容器来恢复服务,这都需要以容器镜像作为支撑技术的。与虚拟机所用的系统镜像不同,容器镜像不仅没有Linux 系统内核,同时在格式也有很大的区别。虚拟机镜像是将一个完整的系统封装成一个镜像文件,而容器镜像不是一个镜像文件,容器镜像是分层存储的文件系统。需要注意的是,当需要修改镜像内的某个文件时,只会对最上方的读写层进行改动,不会覆盖下层已有文件系统的内容。

容器存储

镜像元数据

在Liunx 系统中Docker的数据默认存放在 /var/lib/docker 中 ,基于不同的系统又有不同的存储驱动和不同的目录结构。我们以OCI标准格式来了解镜像存储的内容,如图所示:

在这里插入图片描述

镜像每一层的 ID是该文件内容的散列校验值,作为该层的唯一标识。获取镜像后,会使用以下方式索引镜像: 首先读取镜像的 manifests 文件,根据 manifests 文件中 config 的 sha256 码,得到镜像 config 文件,遍历 manifests 文件里面的所有层(layer),根据其 sha256 码在本地查找,拼出完整的镜像。

存储驱动

在理想情况下,我们使用挂载卷来存储高读写的目录,很少将数据直接写入容器的可写层。但是,总有一些需要直接写入容器可写层的特殊需求,这时候就需要存储驱动来作为容器和宿主机之间的媒介。Docker 依靠驱动技术来管理镜像与运行它们的容器间的存储和交互。

目前, Docker 支持 overaly2、aufs、fuse-overlayfs、devicemapper、btrfs、zfs、vfs等存储驱动。没有单一的存储驱动可适用所用的应用场景,要根据不同的场景选择合适的存储驱动,这样才能有效提高 Docker 性能

数据卷

通常,有状态的容器都有数据持久化存储的需求。前一节提到过,文件系统的改动都是发生在最上面的可读 写层。在容器的生命周期内,它是持续的,包括容器被停止后。但是,当容器被删除后,该数据层也随之被删除了。因此,Docker 采用数据卷(Volume)的形式向容器提供持久化存储。数据卷是 Docker 容器数据持久化存储 的首选机制。绑定挂载(Bind Mounts)依赖于主机的目录结构,但数据卷是由 Docker 管理。

与绑定挂载相比, 数据卷有以下几个优点:

  • 与绑定挂载相比,数据卷更容易备份或迁移
  • 可以使用 Docker CLI命令或 Docker API 管理数据卷
  • 数据卷在 Linux和 Windows 上均可使用
  • 数据卷可以在多个容器之间更安全地共享
  • 数据卷驱动程序允许在远程主机或云上存储数据卷、加密卷的内容或添加其它功能
  • 新数据卷的内容可以由容器预填充
  • 另外,与使用容器的读写层保存数据相比,数据卷通常是更好的选择。因为使用数据卷存储不会增加容器的大小,并且数据卷是持久化的,不会依赖于容器的生命周期。

容器网络

单从云计算的发展来看,业界普遍的共识是计算虚拟化和存储虚拟化已经不断突破和成熟,但网络虚拟化的发展仍相对滞后,成为制约云计算发展的一大瓶颈。网络虚拟化、多租户、混合云等特性均不同程度地给云网络地安全建设提出全新的挑战。

容器技术提供了轻量级虚拟化的能力,使实列资源占有大幅降低,提升了分布式计算系统的性能,但分布式容器系统的网络仍是较为复杂的部分。目前容器网络可以简单分为主机网络和集群网络,其中主机网络以 Docker 为列主要分为 None 网络模式、Bridge 网络模式、Host 网络模式和 Container 网络模式。集群网络以 Kubernetes 为列,由于Pod 作为 Kubernetes 应用运行的基本单元,每个Pod 中包含一个或多个相关的容器,这些容器都会运行在同一个主机中,并且共享相同的网络命名空间和相同的Linux 协议栈。因而集群网络基于Pod 主要涉及以下三个通信:同一个Pod内,容器和容器之间的通信;同一个主机内不同Pod之间的通信;跨主机Pod之间的通信。

容器运行时

容器运行时负责管理容器运行的整个生命周期,包括但不限于指定容器镜像格式、构建镜像、上传和拉取镜像、管理镜像、管理容器实例、运行容器等。在容器技术发展早期,Docker 作为容器运行时的标准被广为使用,而后Google、CoreOS、Docker等公司在2015年联合创建了开放容器标准(Open Container Inititiative,OCI),用于推进容器标准化,其主要包含两个标准,分别为容器运行时的标准和容器镜像标准,OCI的容器运行时主要包括runC、Rocket、Kata Containers、gVisor等。再后来随着容器编排技术的不断发展,处于行业翘楚的Kubernetes推出了容器运行时接口(Container Runtime Interface,CRI),用于与容器运行时进行通信,进而操作容器化的应用程序,当前支持的CRI运行时包括Docker、Contained、CRI-O。

容器编排

集群化、弹性和敏捷是容器应用的显著特点,如何有效地对容器集群进行管理,是容器技术落地应用地一个重要方面。集群管理工具(编排工具)能够帮助用户以集群的方式在主机上启动容器,并能够实现相应的网络互联,同时提供负载均衡、可扩展、容错和高可用等保障。目前来看,使用率和关注度比较高的几种容器编排平台主要包括Kubernetes、Apache Mesos、Docker Swarm、OpenShift、Rancher等、目前来看,Kubernetes在容器编排领域占据较大优势。许多公有云厂商也推出了各自的Kubernetes托管云平台,国外公有云厂商主要以Google、Amazon、Microsoft Azure 为主,国内则以阿里、腾讯、华为为主。

微服务

2014年,Matrin Fowler 撰写的 Microservices 使得许多国内的先行者接触到微服务这个概念并将其引入国内,Matrin Fowler对微服务的概念的定义如下:微服务就是将一个完整应用中所有的模块拆分为多个不同的服务,其中每个服务都可以部署、维护和发展,服务之间通常通过RESTful API 通信,这些服务围绕业务能力构建,且每个服务均可使用不同的编程语言和不同的数据存储技术。

2015年,越来越多的人通过各种渠道了解到微服务的概念并有人开始在生产环境中落地,2016年—2017年,微服务被越来越多的人所认可,一大批公司以微服务和容器为核心开始了技术架构的全面革新,于是微服务架构应运而生。

至今为止,微服务发展已经经历了两代,第一代是Dubbo、Spring Cloud 为代表的微服务治理框架,该类框架在微服务发展的前几年一度独领风骚、甚至在部分人群中成为微服务的代名词,但事实上该类框架并不能友好地解决微服务自身带来地一些问题,如微服务地调用依赖、版本迭代、安全性、可观测性等;第二代微服务治理框架为服务网格,他的出现解决了大部分开发人员在使用Spring Cloud 时遇到地不足和痛点。

服务网格

2017年年底,服务网格(Service Mesh)依托其非侵入式特性在微服务技术中崭新头角,作为微服务间通信地基础设施层。服务网格通常通过一些轻量级网络代理实现,这些代理与应用程序一起部署,而无需感知应用程序本身。

在这里插入图片描述

可以看到 Sidecar 运行在服务旁,对服务透明。由于所有通过服务地流量均会经过 Sidecar ,因此 Sidecar 可实现流量控制功能,如服务发现、负载均衡、智能路由、故障注入、熔断器、TLS终止等。服务网格的出现将微服务治理从自身中抽离出来,这种方式极大降低了代码的耦合度,使得微服务治理不在复杂。

Serverless

随着云原生技术的不断发展,应用的部署模式逐渐趋向于“业务逻辑实现与基础设施分离”的设计原则,Serverless(无服务器架构)指的是由开发者实现的服务端逻辑运行在无状态的计算容器中,它由事件触发, 完全被第三方管理,其业务层面的状态则被开发者使用的数据库和存储资源所记录。Serverless使得开发者无需直接处理服务器(无论是物理机,虚拟机,容器等)。无主机的优势会让使用者在服务器维护方面的操作开销大大减少,无需为升级服务器而忧心,无主机还意味着在应用程序中需要监控的度量指标也会不同。这是因为使用的大多数底层服务不会再发布 CPU、内存、磁盘大小等传统度量指标了。这让不再需要再特别关心架构的底层操作细节。Serverless使开发者避免了基础设施管理,如集群配置、漏洞修补、系统维护等。

Serverless通常可分为两种实现方式,即BaaS(Backend as a Service,后端即服务)和FaaS(Functions as a Service,函数即服务),其中 FaaS是Serverless的主要实现方式。简而言之FaaS即开发者编写的一段代码并定义何时以及如何调用该函数,随后该函数在云厂商提供的服务端运行,在此过程中开发者只需要编写并维护一段功能代码。

此外,FaaS本质上是一种事件驱动并由消息触发的服务,事件类型可能是一个HTTP请求,也可能是一次上传或保存操作,事件源与函数的关系如图所示:

在这里插入图片描述

FaaS的典型代表为AWS Lambda,为便于理解,下述为一个简单的Lambda Python处理函数:

import jsondef lambda_handler(event, context):
return {'statusCode': 200,'body': json.dumps('Hello from Lambda!')
}

可以看出,以上代码导入了JSON Python库并定义了一个lambda_handler函数,该函数需接收两个参数,分别为event和context,其中event参数包含此函数收到的事件源信息,参数类型通常是Python的dict类型,也可以是list、str、int、float等类型,而context参数包含此函数相关的运行时上下文信息。

在这里插入图片描述

上图大致展示了传统的服务端应用部署和FaaS应用部署,当应用程序部署在物理机、虚拟机、容器中时,它实际上是一个应用进程,并且由许多不同的函数构成,这些函数之间有着相互关联的操作,一般需要长时间在操作系统中运行;而FaaS通过抽离虚拟机实例、操作系统和应用程序进程改变了传统的部署模式,使开发者只需关注单个函数操作,剩余基础设施管理均由第三方托管平台提供,当有事件触发时函数被执行,开发者为使用的资源付费。

DevOps

开发运营一体化(DevOps)全称为 Development&Operations ,其代表的并非一种具体的实现技术,而是一种方法论,在2009年被提出。DevOps的出现主要是为了打破开发人员与运维人员之间的壁垒和鸿沟,高效地组织团队通过自动化工具相互协作已完成软件生命周期管理,从而更快且频繁地交付高质量、稳定的软件。

云原生倡导敏捷、容错、自动化的特点,使得DevOps 成为云原生基础不可或缺地一环,究其根本原因,我们可以将其分为以下几点:

云原生提供DevOps基础设施

容器与编排技术提供了云原生的标准运行环境及基础架构。DevOps的和核心点在于软件的持续集成、持续交付,而容器作为云原生应用的标准发布,促进了DevOps在云原生环境下的流行,与此同时,基于容器的PaaS平台,如 Kubernetes ,可进一步为DevOps 的落地提供土壤。

微服务架构加速DevOps的应用

微服务架构实现了云原生应用固有的特点,即无状态性、弹性扩展、高内聚、低耦合。在此此架构下,试想在生产环境中,由于一个庞大的应用被拆分为几十个上百个服务,每个服务的开发、构建、部署过程必然遵循快速发布的原则,因而在敏捷性、自动化工具链上对流程提出了较高的要求。在此基础上,DevOps 的自动化、协作、敏捷的文化将会在很大程度上加速微服务的开发效率、降低沟通成本、提升部署效率。

DevOps 赋能服务网格

服务网格是一套微服务治理框架,主要实现各个微服务间的网络通信,虽然服务网格技术本身与DevOps关系不大,但由于其建立在微服务架构下,因而也须与 DevOps 相融合,这样才能实现微服务的持续集成和交付。

DevOps 加速 Serverless 应用迁移

Serverless 为云原生应用的最终形态,即服务端托管云厂商,开发者只需要维护好一段函数代码即可,这一新型云计算模式背后秉承的理念实际与DevOps是相互契合的。DevOps 遵循消除 开发者与运维人员之间的壁垒,而Serverless 架构的责任划分原则使得开发者人员和运维人员不在有界限。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/19869.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

安全加固服务器

根据以下的内容来加固一台Linux服务器的安全。 首先是限制连续密码错误的登录次数,由于RHEL8之后都不再使用pam_tally.so和pam_tally2.so,而是pam_faillock.so 首先进入/usr/lib64/security/中查看有什么模块,确认有pam_faillock.so 因为只…

UG\NX 二次开发 相切面、相邻面的选择控件

文章作者:里海 来源网站:https://blog.csdn.net/WangPaiFeiXingYuan 简介: 有群友问“UFUN多选功能过滤面不能选择相切面或相邻面之类的吗?” 这个用Block UI的"面收集器"就可以,ufun函数是不行的。 效果&am…

Debeizum 增量快照

在Debeizum1.6版本发布之后,成功推出了Incremental Snapshot(增量快照)的功能,同时取代了原有的实验性的Parallel Snapshot(并行快照)。在本篇博客中,我将介绍全新快照方式的原理,以…

HTML+CSS+JavaScript:实现B站评论发布效果

一、需求 1、用户输入内容,输入框左下角实时显示输入字数 2、为避免用户输入时在内容左右两端误按多余的空格,在发送评论时,检测用户输入的内容左右两端是否带有空格,若有空格,发布时自动取消左右两端的空格 3、若用…

浏览器的同源策略 - 跨域问题

1.什么是跨域 跨域问题的实质是浏览器的同源策略造成的。浏览器同源策略是浏览器为 JavaScript 施加的限制。简单点说就是非同源会出现如下等限制: 无法访问其他源下的网页的 Cookies,Storage等;无法访问其他源下的DOM对象和 JS 对象;无法使…

java环境搭建 Ubuntu Linux

jdk的安装和配置环境变量 使用apt sudo apt install default-jdk若是安装成功了在终端输入java -version来查看是否安装成功 使用官网下载的jdk包 直接在百度上搜索jdk,选择图片这个 网址:jdk下载网址 若是arm就选择带有arm的,反之选择x64的&#…

vscode 通过mongoose 连接mongodb atlas

了解mongodb 的项目结构 1.代表集群名称 > 2.代表数据库名称>3.代表每个 collection名称 三者范围为从大到小的关系 (一对多)。每个集群有不同的连接地址、用户信息(Database Access)、ip配置信息(Network Acce…

51单片机(普中HC6800-EM3 V3.0)实验例程软件分析 实验一 点亮第一个LED

目录 前言 一、原理图及知识点介绍 1.1、LED原理图 1.2、MCU51原理图 二、代码分析 知识点一:#include "reg52.h" //此文件中定义了单片机的一些特殊功能寄存器 知识点二:你知道sfr P0 0x80;是怎么来的呢为什么要赋值0x80&#xff…

vxworks文件系统分析

参考https://www.freebuf.com/articles/endpoint/335030.html 测试固件 https://service.tp-link.com.cn/detail_download_7989.html 固件提取 binwalk解压固件,在第一部分即为要分析的二进制文件,可以拖进ida分析 设置为arm小端字节序,点…

数组中出现次数超过一半的数字——剑指 Offer 39

文章目录 题目描述法一 哈希表法二 摩尔投票 题目描述 法一 哈希表 使用哈希映射(HashMap)来存储每个元素以及出现的次数。对于哈希映射中的每个键值对,键表示一个元素,值表示该元素出现的次数。 class Solution { public:int maj…

程序的编译和调试

gcc编译器 gcc(GNU Compiler Collection)是GNU推出的多平台编译器,可将C、C源程序编译连接成可执行文件,支持以下后缀: .c c语言源代码 .h 程序所包含的头文件 .i 已经预处理过的C源代码文件 .s 汇编语言源代码文件 .o 编译后的目标文件…

解决SVN或GIT忽略提交文件的问题

背景 使用IDEA 的SVN插件提交文件是总是会提交一些不需要提交的文件; 我们可以通过一些简单设置忽略这些文件。 git 在项目根目录新建文本文件,修改后缀为.gitignore 文件中添加内容 *.iml .project .gradle/ .idea/ target/ build/ .vscode/ .settings/ .facto…

Elasticsearch:语义搜索 - Semantic Search in python

当 OpenAI 于 2022 年 11 月发布 ChatGPT 时,引发了人们对人工智能和机器学习的新一波兴趣。 尽管必要的技术创新已经出现了近十年,而且基本原理的历史甚至更早,但这种巨大的转变引发了各种发展的“寒武纪大爆炸”,特别是在大型语…

SAP数据库表维护视图生成器的使用

在SAP中,经常需要自定义数据库表。而且可能需要人工维护数据库表中的数据,可以通过SM30进行维护数据;但是SM30事务的权限太大,不适宜将SM30直接分配;因此,可以通过给维护表分配事务代码,来达到控…

无涯教程-Perl - 环境配置

在开始编写Perl程序之前,让我们了解如何设置我们的Perl环境。 您的系统更有可能安装了perl。只需尝试在$提示符下给出以下命令- $perl -v 如果您的计算机上安装了perl,那么您将收到以下消息: This is perl 5, version 16, subversion 2 (v5.16.2) b…

MySQL数据库——DQL操作——基本查询

文章目录 前言事前准备——测试数据整表查询指定列查找别名查询MySQL运算符条件查询模糊查询排序查询聚合查询分组查询分组之后的条件筛选 分页查询将整张表的数据插入到另一张表中 前言 MySQL数据库常见的操作是增删查改,而其中数据的查询是使用最多,也…

Modbus TCP转Profinet网关modbus tcp转以太网

大家好,今天我们来聊一聊如何使用捷米特的Profinet转modbusTCP协议转换网关在博图上进行非透传型配置。 1, 首先,我们需要安装捷米特JM-TCP-PN的GSD文件,并根据现场设备情况配置modbusTCP地址。然后,在博图中添加该GSD文件&#x…

了解垃圾回收算法

点击下方关注我,然后右上角点击...“设为星标”,就能第一时间收到更新推送啦~~~ 垃圾回收(Garbage Collect)是Java语言中的一种自动内存管理机制,用于自动回收不再使用的对象所占用的内存空间。Java虚拟机会自动追踪和…

算法39:Excel 表列序号

一、需求 给你一个字符串 columnTitle ,表示 Excel 表格中的列名称。返回 该列名称对应的列序号 。 例如: A -> 1 B -> 2 C -> 3 … Z -> 26 AA -> 27 AB -> 28 … 示例 1: 输入: columnTitle “A” 输出: 1 示例 2&…

uC-OS2 V2.93 STM32L476 移植:系统启动篇

前言 前两篇已经 通过 STM32CubeMX 搭建了 NUCLEO-L476RG 的 STM32L476RG 的 裸机工程,下载了 uC-OS2 V2.93 的源码,并把 uC-OS2 的源文件加入 Keil MDK5 工程 本篇适配 uC-OS2 的 系统定时器(Systick)与 PendSV_Handler&#xf…