linux 容器

Linux容器正在帮助改变IT的运营方式。 组织正在代替大型的单块虚拟机,寻找在Linux容器内部署其应用程序的有效方法,以提供更快的速度,更高的密度和更高的操作敏捷性。

从安全性的角度来看,虽然容器可以带来许多优势,但它们也面临着一系列自身的安全挑战。 与传统基础结构一样,确保定期更新容器中运行的系统库和组件以避免漏洞是至关重要的。 但是,您如何知道容器内部正在运行什么? 为了帮助应对容器技术面临的所有安全挑战,一家名为Anchore的初创公司正在开发一个同名的开源 项目 ,以使Linux容器内部具有可见性。

要了解有关Anchore的更多信息,我采访了Anchore产品和市场营销副总裁Andrew Cathrow,以了解有关开源项目及其背后公司的更多信息。




linux进入容器乱码 linux 容器教程_编程语言


简而言之,Anchore是什么? 工具集如何工作?

Anchore的目标是提供一个工具集,当容器在开发生命周期中移动时,开发人员,运营和安全团队可以保持“监管链”的完全可见性,同时提供生产部署所需的可见性,可预测性和控制性。 Anchore引擎由可插拔模块组成,该模块可以执行分析(从映像中提取数据和元数据),查询(允许针对容器进行报告)和策略评估(可以在其中指定用于管理映像部署的策略)。

尽管市场上有许多扫描工具,但大多数不是开源的。 我们认为安全性和合规性产品应该是开源的,否则,您如何信任它们?

除了开源之外,Anchore还具有其他两个主要优势,使其与市场上的商业产品区分开来。

首先,我们超越了操作系统映像。 如今,扫描工具专注于操作系统软件包,例如“您的RPM或DEB软件包中是否有CVE(安全漏洞)?” 尽管这当然很重要,但是您不希望映像中包含易受攻击的程序包,但是操作系统程序包只是构建映像其余部分的基础。 所有层都需要进行验证,包括配置文件,语言模块,中间件等。您可以拥有所有最新的软件包,但是即使其中一个配置文件错误,也不安全。这其中的第二个区别是可以通过添加以下内容来扩展引擎用户自己的数据,查询或政策。

是什么推动了对集装箱检验和分析工具的需求? 运营商面临哪些问题可以帮助解决?

今天采用Docker的企业最关心的是安全性,尤其是他们正在部署的容器的治理和合规性。 从公共注册表中提取应用程序映像,运行它,然后在几秒钟内将应用程序部署到生产环境中,甚至都不知道幕后内容几乎是太容易了。 最终用户必须确信,当他们部署应用程序时,它们将是安全,高效且易于维护的。

容器是不透明的,因为它们是包含应用程序的可部署“黑匣子”。 虽然将这些映像视为“仅打包的应用程序”很容易,但它们包括具有多达数百个软件包和数千个文件的操作系统映像。 与物理服务器,虚拟机或云中的所有操作系统一样,需要维护映像。 这些映像可能包含未修补的安全漏洞,包含错误的过时软件,或者可能配置错误。

为了对您的容器部署有信心,您需要了解幕后的内容,以便根据容器映像的内容进行分析和制定决策。

如今,围绕容器的创新几乎完全在开源中发生。 你为什么这么认为呢? 是什么推动了对开放的渴望?

在过去的20年中,组织已经体会到开放源代码可以节省成本,减少锁定,提高安全性和加快创新的优势。 容器(尤其是Docker)就是很好的例子。 Docker Inc.的团队无法在专有系统之上创建这种创新的新软件部署范例。 他们将无法在专有系统中对代码进行必要的修改,也无法与Google,IBM,Intel和Red Hat等行业领导者合作,以实现共同的目标。 开源和Linux始终能够实现创新和积极的行业破坏。 过去,实现一个伟大的想法需要庞大的团队和大量资源。 在开源世界中,一个有大创意的小公司可以在更广泛的社区中工作,并受益于共享的知识力量,以协作方式进行真正的企业IT创新。

为了说明开源技术的广泛采用,Anchore团队最近从多伦多的LinuxCon回来了,在微软那里,钻石级赞助商展示了越来越多的可在Linux上使用或在Linux上使用的产品组合,真是令人难以置信! 莱纳斯·托瓦尔兹(Linus Torvalds)曾经说过:“如果微软曾经为Linux提供应用程序,那就意味着我赢了。 我会将该声明修改为“ Open has won”。

集装箱领域通用标准的日子还很年轻,几乎对堆栈的每个部分都有很多竞争的愿景。 这给这个领域的初创企业带来了哪些挑战?

重要的是要记住,没有开放标准和开放源代码,我们就不会看到推动容器快速采用和改变行业格局的创新。 由Linux和Container行业的行业领导者组成的开放容器计划(OCI)正在为运行时和图像格式设定出色的标准,这将使我们看到更多的创新。 Anchore荣幸地成为OCI的新成员,我们期待帮助制定标准。

您如何围绕Anchore项目建立一个开源社区?

Anchore团队在开放源代码社区中进行构建和工作的历史悠久,由Ansible,Eucalyptus Systems和Red Hat领导。 从一开始,Anchore就开始建立一个强大的开源社区,我们将借鉴在开源世界中汲取的经验教训。 当然,第一个教训是提早并经常发布。 我们早在6月份就将我们的检查和分析引擎开源,这比我们的商业产品要早得多,以确保该开源项目可以独立存在,其功能使其对许多最终用户有用,而不必购买Anchore的商业产品。 。 总是有机会通过商业产品通过支持,服务和增强的数据馈送来增加更多价值,但是如果开源引擎本身没有用,那么我们将看不到活跃的社区。

我们将Anchore构建为模块化的,从而允许在不更改核心引擎的情况下添加分析,报告和策略插件。 我们希望确保任何人都可以创建插件,因此我们选择Python作为该项目的基本语言,因为它已被开发人员和系统管理员广泛使用。 但是,即使您不熟悉Python,您仍然可以使用喜欢的任何语言或脚本环境来创建插件。 如果可以创建bash脚本,则可以创建Anchore插件。 我们的目标是使尽可能广泛的社区吸引人们的参与。 在我们鼓励用户将这些贡献回馈给社区的同时,我们设计并授权了该项目,以确保可以独立创建和维护私有插件/模块。

容器的承诺不仅是提高服务器上的应用程序密度,还是提高技术方面的速度,而是各种不同工具的组合,这些工具共同为开发人员和操作员的协作方式提供了不同的方式。 作为一家在这个领域工作的公司,您如何提供与开发人员和运营商共鸣的信息?

随着越来越多的运行时,编排,监视和集成产品,容器生态系统正在Swift发展。 因此,我们必须考虑到架构的首要考虑是不要对Anchore的部署和使用有规定性,我们需要确保我们可以适合任何CI / CD管道(无论是本地部署还是在云中部署)。 我们被问到一个常见的问题是Anchore是否将提供一个包含图像扫描和分析的容器注册表。 虽然这将大大简化我们的工作,但将迫使客户采用特定的部署架构,并限制客户部署自己同类最佳的堆栈的能力。 我们已经确保Anchore与所有领先的注册表,运行时平台,CI / CD平台和编排工具一起使用。


一些开发人员正在增加操作技能并转而担任DevOps角色,我们看到sysadmin / operations团队在担任DevOps角色时正在学习有关开发的更多信息。 我们还看到了混合技能的团队。 我们将Anchore设计为供开发运营和安全团队使用,以便他们可以共同定义可在开发周期中任何时刻进行评估的规则和策略。 另一个例子是插件/模块接口的体系结构,它使任何人都可以在自己喜欢的环境中轻松创建模块-无论是Python,Go,Perl,C还是bash脚本。


翻译自: https://opensource.com/business/16/10/interview-andy-cathrow-anchore

linux 容器