1、目录简介 .2全面容器和 Kubernetes 安全防护：层级和生命周期 .2确保应用安全无虞 . 4部署：管理部署的配置、安全和合规性 . 8保护正在运行的应用 .11借助强大的生态系统扩展安全性 .15结论 .15确保容器从构建、部署到运行的安全容器和 Kubernetes 安全防护分层方法 详情 容器和 Kubernetes 安全防护分层方法简介容器具有广泛的吸引力，因为容器能够将应用及其依赖项封装到单个镜像中，而且这类镜像可用于开发、测试和生产。容器能让您轻松地在多个环境和部署目标（如物理服务器、虚拟机（VM）和私有云或公共云）间保持一致性。借助容器，团队可以更加轻松地开发和管理应用，

2、进而创造业务敏捷性。 应用：借助容器，开发人员可将应用及其依赖项作为一个单元来处理，以简化相关的构建和应用工作。只需几分秒即可部署容器。在容器化环境中，软件构建流程是指生命周期中将应用代码与所需的运行时库进行整合的阶段。 基础架构：容器代表共享 Linux 操作系统内核上的沙盒化应用进程。和虚拟机相比，它们更紧凑、更轻、更简单，并且可以从本地到公共云平台跨不同环境移植。Kubernetes 是企业首选的容器编排平台。现在许多企业都在容器上运行重要服务，确保容器安全从未如此重要。本文将介绍容器化应用安全防护的关键要素。 全面容器和 Kubernetes 安全防护：层级和生命周期确保容器的安全与确

3、保所有运行中的 Linux 进程的安全很类似。在部署和运行容器之前，您要全面考虑解决方案堆栈的各个层级的安全性。您还需要全面考虑应用和容器整个生命周期的安全性。重要的是，必须确保整个 IT 生命周期的持续安全防护，来应对新出现的威胁和解决方案。图 1 阐述了全面的容器安全防护方法。容器镜像私有注册库构建管理CI/CD 管道Kubernetes 平台生命周期身份和访问权限管理平台数据部署策略容器隔离网络隔离应用访问权限和数据可观测性构建部署运行开发生产图 1. 全面的容器安全防护包括确保构建、部署和运行时的安全，并在适当的时候用专业工具扩展安全。 详情 容器和 Kubernetes 安全防护分层

4、方法借助容器，开发人员可将应用及其依赖项作为一个单元来进行处理，以简化相关的构建和应用工作。容器还可在共享主机上实现多租户应用部署，从而轻松地实现对服务器的充分利用。您可以轻松地在单个主机上部署多个应用，并根据需要启用和关闭单个容器。您也不需要在各个 VM 上分别安装虚拟机监控程序以管理虚拟客户机操作系统，这一点有别于传统虚拟化。容器能让应用进程（而非硬件）实现虚拟化。当然，应用很少会以单个容器的形式来交付。即使是非常简单的应用，通常也会由前端、后端和数据库构成。在容器中部署基于微服务的现代化应用意味着部署多个容器有时在同一个主机上，有时分布在多个主机或节点上 （如图 2 所示）。始发银行联邦

5、储备ACH 操作员收款银行商家支付处理商对象存储桶存储桶通知存储桶通知存储桶通知OpenShiftCeph StorageAMQ StreamsOpenShiftServerless图 2. 容器环境可能很复杂，且分布在多个节点上。在管理大规模的容器部署时，您需要考虑： 应将哪个容器部署到哪个主机？ 要为哪个主机分配更多容量？ 哪些容器需要相互访问，以及它们要如何发现彼此？ 如何控制对共享资源（如网络和存储）的访问和管理？ 如何监控容器的健康状况？ 如何自动扩展应用容量以满足需求？ 如何在满足安全要求的情况下启用开发人员自助服务？ 详情 容器和 Kubernetes 安全防护分层方法您可以构建

6、自己的容器管理环境，这需要花费时间去集成和管理各个组件。或者您可以使用内置管理和安全功能来部署容器平台。这种方法可以让您的团队将精力集中于构建能够创造业务价值的应用上，而非重复发明基础架构。红帽 OpenShift 容器平台提供一致的混合云企业 Kubernetes 平台，用于构建和扩展容器化应用。在整个企业内使用 Kubernetes 需要帮助您确保应用安全无虞的额外安全功能、让您管理容器部署安全的自动化策略，以及保护容器运行时的功能。确保应用安全无虞确保应用安全无虞对于云原生部署至关重要。确保容器化应用安全需要：1. 使用可信的容器内容。2. 使用企业容器镜像仓库。3. 控制和自动化容器构