背景 随着容器、微服务、持续交付等云原生技术普及,大量应用基于K8s容器编排构建。相比传统网络模式,在云原生场景下,存在大量微服务模块间网络调用,集群内东西向通信流量激增,网络边界变得更加模糊。 容器环境中,容器IP和端口变换频繁,应用混合部署带来的通信关系复杂,传统基于静态IP和端口的边界安全规则已无法适用容器环境下细粒度的访问控制要求。默认情况下,K8s集群中不对Pod进行任何请求限制,任意Pod之间可以自由通信。正因此,在面对网络攻击时,没有安全规则的容器网络将给攻击者更多的自由和渗透空间。 如何实施
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。本文对Docker容器在应用中可能面临的安全问题和风险进行了研究,并将Docker容器应用环境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进行分析。
docker 的网络驱动有很多种方式,docker 官网给出的网络解决方案有 6 种,分别是:bridge、host、overlay、macvlan、none、Network plugins。每个网络都有自己的特点,应用场景各不相同,例如当有多台主机上的 docker 容器需要容器间进行跨宿主机通讯时,overlay 和 macvlan 可提供解决方案,而默认 docker 采用的是 bridge 模式,此模式下不能与其他主机上的 docker 容器通讯。本篇主要关注 docker 单机通讯方式的几种通讯模式:bridge、host、none 和 container。
在日常使用 Linux 或者 macOS 时,我们并没有运行多个完全分离的服务器的需要,但是如果我们在服务器上启动了多个服务,这些服务其实会相互影响的,每一个服务都能看到其他服务的进程,也可以访问宿主机器上的任意文件,这是很多时候我们都不愿意看到的,我们更希望运行在同一台机器上的不同服务能做到完全隔离,就像运行在多台不同的机器上一样。
使用 Docker 部署的微服务在 Nacos 里注册成内网地址 导致无法微服务间互相调用的解决方案
1、网络的命名空间:Linux 在网络栈中引入网络命名空间,将独立的网络协议栈隔离到不同的命名空间中,彼此间无法通信;Docker 利用这一特性,实现不容器间的网络隔离。
我们一定听过容器的基础原理,namespace做隔离,Cgroups做限制,rootfs做文件系统,容器本质上是linux的一个进程,那么为什么大多数场景下,容器不直接使用宿主机上的网络,而要是通过network namespace隔离出一组专属的网络空间呢?(容器的基础原理,可参考:https://coolshell.cn/articles/17010.html)
一个项目随着业务增长,模块的增多,模块间的相互依赖,相互引用,使得项目结构越来越复杂,目前我们使用webx时候虽然分为了一个个模块,但是模块间的bo还是可以随意调用,比如模块A可以调用模块B的bo,那么模块间的耦合度就大大的增加了。好的设计应该是模块之间只通过模块提供的服务接口来访问,而不是随便调用其他模块的bo。其实webx本身就可以做这个事情,稍加改造及科研实现模块间真正隔离,让一个模块调用不到其他模块bo。
上一篇《07.Docker网络通信模式》我们初步认识了Docker中的几种网络通信模式,分别有bridge,host,container,none。通过这些不同的网络通信模式,运行在宿主机上的容器就可以相互通信。
特点与对比 Calico是一个基于BGP协议的虚拟网络工具,在数据中心中的虚拟机、容器或者裸金属机器(在这里都称为workloads)只需要一个IP地址就可以使用Calico实现互连。 项目主页:ht
在互联网时代,网络已经成为绝大多数应用进行数据交换的主要通道,Docker 作为集群部署的利器,在网络支持上也下了许多功夫。功能丰富和强大,并不代表使用复杂,在 Docker 的封装下,我们依然可以通过命令和参数轻松的为容器制定不同的网络方案。在这一节中,我们就来了解 Docker 的网络部分。
【引子】近来,老码农又一次有机会实施IaC 了, 但是环境有了新的变化,涵盖了云环境、虚拟机、K8S 以及Docker,而网络自动化则是IaC中的重要组成,温故知新,面向Docker 的网络是怎样的呢?
在使用Docker容器时,我们需要访问容器的内部网络,或需要在容器间相互访问。Docker 容器默认不会开放任何端口,因此需要将容器与宿主机进行端口映射,使容器可外部访问。而容器间互相访问,除了可以基于端口映射进行访问外,还可以通过容器链接(Link)的方式,也可以通过Docker 网络(Networking)实现。
第1章 你好,Istio 前言 服务网格是服务(包括微服务)之间通信的控制器。随着越来越多的容器应用的开发和部署,一个企业可能会有成百上千或数万计的容器在运行,怎样管理这些容器或服务之间的通信,包括服务间的负载均衡、流量管理、路由、运行状况监视、安全策略及服务间身份验证,就成为云原生技术的巨大挑战 依据CNCF基金会(Cloud-Native Computing Foundation)的定义,云原生是对在现代的动态环境下(比如云计算的三大场景:公有云、私有云及混合云)可用来构建并运行可扩展应用的技术的总称;
云原生(Cloud Native)可以认为是一套技术体系或生态,它包含2大部分:云(Cloud)和原生(Native)。云(Cloud)表示应用程序位于云中,而不是传统的数据中心;原生(Native)表示应用程序从设计之初即考虑到云的环境,原生为云而设计,在云上以最佳状态运行,充分利用和发挥云平台的弹性和分布式优势。
1. 每台机器上都有一个网卡,有的甚至有两个网卡 , ETHD 10.1.1.10/8就表示一个网卡
上篇文章我们进行了Docker的快速入门,基本命令的讲解,以及简单的实战,那么本篇我们就来实战一个真实的项目,看看怎么在产线上来通过容器技术来运行我们的项目,来达到学会容器间通信以及docker-compose学习以及docker网络模型学习的目的。
容器(Container)常被用来解决比如微服务的单个问题,但在实际场景中,问题的解决往往需要多容器方案。本文会讨论将多个容器整合进单个Kubernetes Pod 中,以及Pod中的容器之间是如何通信的。
随着虚拟化技术的不断发展,以容器为核心的微服务概念被越来越多人认可,Istio因其轻量级、服务网格管理理念、兼容各大容器编排平台等优势在近两年脱颖而出,许多公司以Istio的架构设计理念作为模板来管理自己的微服务系统,但在其势头发展猛劲之时,也有许多专家针对Istio的安全机制提出了疑问,比如在Istio管理下,服务间的通信数据是否会泄露及被第三方劫持的风险;服务的访问控制是否做到相对安全;Istio如何做安全数据的管理等等,这些都是Istio目前面临的安全问题,而我们只有深入分析其机制才能明白Istio是如何做安全的。
k8s开源社区的插件太多了,支持插件的的,很早以前docker是不支持网络插件的,k8s的网络插件可以更方便的打通容器和节点。
本节我们来详细探讨Compose的网络设置。本节介绍的网络特性仅适用于Version 2 file format,Version 1 file format不支持该特性。 基本概念 默认情况下,Compose会为我们的应用创建一个网络,服务的每个容器都会加入该网络中。这样,容器就可被该网络中的其他容器访问,不仅如此,该容器还能以服务名称作为hostname被其他容器访问。 默认情况下,应用程序的网络名称基于Compose的工程名称,而项目名称基于docker-compose.yml所在目录的名称。如需修改工
在docker容器中可以运行一些网络应用,外部想要访问docker容器内的应用,可以通过-p或-P选项来指定端口映射,两个选项的区别如下所示:
概述 通过Docker部署了,mysql还有mongodb。 发布服务端后发现不知道如何内网访问数据库,研究一下开搞。 为什么要打通容器目录 对于复杂的应用,不可避免需要多个服务部署在多个容器中,并且服务间存在相互间通信的情况。我不想在外网访问mysql,只在内网负责调用。 一、docker brctl 在安装好docker后,docker将创建一个linux网桥docker0,它在内核层连通了其他的物理或虚拟网卡,也就是所有容器和本地主机都放到同一个物理网络。我们可以通过 brctl 命令查看网桥的信息
物理机时代,当我们的程序开发完成后,需要部署到服务器上,如果项目体量不大,部署在单台机器上也还可以,但是如果部署集群架构的项目,就很难了。
Docker容器产生的数据,如果不通过docker commit生成新的镜像,使得数据做为镜像的一部分保存下来, 那么当容器删除后,数据自然也就没有了。
Kubernetes 已经成为容器编排领域的王者,它是基于容器的集群编排引擎,具备扩展集群、滚动升级回滚、弹性伸缩、自动治愈、服务发现等多种特性能力。
计算、存储和网络是云时代的三大基础服务,作为新一代基础架构的 Kubernetes 也不例外。而这三者之中,网络又是一个最难掌握和最容易出问题的服务;本文通过对Kubernetes网络流量模型进行简单梳理,希望对初学者能够提供一定思路。先看一下kubernetes 总体模型:
现在,因为种种因素,你必须对一个请求或者方法进行频率上的访问限制。 比如, 你对外提供了一个API接口,注册用户每秒钟最多可以调用100次,非注册用户每秒钟最多可以调用10次。 比如, 有一个非常吃服务器资源的方法,在同一时刻不能超过10个人调用这个方法,否则服务器满载。 比如, 有一些特殊的页面,访客并不能频繁的访问或发言。 比如, 秒杀活动等进行。 比如 ,防范DDOS,当达到一定频率后调用脚本iis服务器ip黑名单,防火墙黑名单。 如上种种的举例,也就是说,如何从一个切面的角度对调用的方法进行频率上的限制。而对频率限制,服务器层面都有最直接的解决方法,现在我说的则是代码层面上的频率管控。
在云原生的世界中,安全不是一个待选项,而是必需品。随着越来越多敏感应用的转移到云端,确保这些应用的安全变得至关重要。如何构建起一道坚不可摧的安全防线,保护你的应用不受攻击?我们一起一探究竟。
编者按:网络一直是Docker集群中的最令人头疼的问题,目前Docker已经收购了SocketPlane团队来解决相关问题,也发布了 libnetwork项目。本文介绍了Docker生态中的网络解决方案,包括Docker原生网络功能,以及其它辅助项目。 简介 当使用Docker容器构建分布式服务时,通信和网络变得非常重要。面向服务的架构严重依赖节点之间的通信。 在这篇文章中,我们将讨论多种网络策略和工具用于容器所处的网络,并打造成他们所期待的状态。一些情况下可以采用Docker原生解决方案,其他情况就需要些
Docker 能做什么,与虚拟机区别: 与虚拟机区别, 每个虚拟机是一个操作系统。docker 是操作系统上的应用。 环境打包成镜像,自动化运行容器,打包部署自动化。 创建轻量,私密的PAAS环境。 实现自动化测试和持续的集成/部署。 部署与扩展webapp,数据库和后台服务。 完全沙箱机制。 项目 传统虚拟机 Docker虚拟机 占用空间 大 小 启动速度 慢 快 资源利用率 低 高 运行基础 Hypervisor CPU虚拟化技术 Linux内核虚拟化 部署 复杂 方便 隔离 操作系统级别 容器级别 基
“零信任”这个术语的正式出现,公认是在2010年由Forrester分析师John Kindervag最早提出。时至今日,“零信任”俨然已成安全领域最热门的词汇,做安全的不提自己是基于零信任原则,就跟2012年做网络的人说自己不基于SDN一样落伍。零信任是不是一个被过度营销的术语?零信任架构、零信任原则,零信任与微隔离的关系等又该如何解读?
一个目标:容器操作;两地三中心;四层服务发现;五种Pod共享资源;六个CNI常用插件;七层负载均衡;八种隔离维度;九个网络模型原则;十类IP地址;百级产品线;千级物理机;万级容器;相如无亿,K8s有亿:亿级日服务人次。
自2014年由Google开源以来,Kubernetes迅速崛起,凭借着其强大的容器编排能力、灵活的扩展性以及丰富的生态系统,稳坐云原生技术栈的头把交椅。它不仅仅是一个容器管理平台,更是云原生架构的引擎,驱动着应用程序的部署、管理和自动化的持续进化,为开发者提供了前所未有的敏捷性和可移植性。
容器的跨主机通信主要有两种方式:封包模式和路由模式。上一篇文章演示了使用VXLAN协议的封包模式,这篇将介绍另一种方式,利用三层网络的路由转发实现容器的跨主机通信。
学安全的人想必都知道openvas,他是一个开源的离线漏洞评估系统,有非常丰富的漏洞库。不过这也是让人烦恼的一个地方,有丰富的漏洞库然后又是离线的就代表安装的时候要下载很多很多数据包。光openvas本身就要下载1G的安装包,更新漏洞库的时候还有下载1G的包 重点是openvas的下载服务器在国外,对我们这种有长城保护的良民来说就是10几K的下载速度 最近无意间看到github上面有个openvas的开源项目,把openvas打包成一个docker容器,部署只需要启动一个容器,快速,方便还不占空间。github项目地址:https://github.com/mikesplain/openvas-docker
TKEStack是腾讯开源的一款集强壮性和易用性于一身的企业级容器编排引擎,以极简的向导式界面提供了容器应用的全生命周期管理能力,帮助用户在私有云环境中敏捷、高效地构建和发布应用程序。腾讯从2009年开发容器编排平台,到目前为止已经支撑了公司内外部海量容器业务的平稳运行。 此次TKEStack开源,会将腾讯内部各BG在容器领域的使用经验和技术大量融入。同时TKEStack将通过技术开源和发展生态协同,不断拓展技术领域边界,构建健康良好向上的生态协同环境,为AI 、Big Data、边缘计算、IoT等技术
Spring是一个开源的轻量级Java SE(Java 标准版本)/Java EE(Java 企业版本)开发应用框架,其目的是用于简化企业级应用程序开发。应用程序是由一组相互协作的对象组成。而在传统应用程序开发中,一个完整的应用是由一组相互协作的对象组成。所以开发一个应用除了要开发业务逻辑之外,最多的是关注如何使这些对象协作来完成所需功能,而且要低耦合、高内聚。
1. docker 是什么2. docker 解决什么问题1. 解决虚拟机资源消耗问题。2. 快速部署。3. 提供一次性的环境。4. 提供弹性的云服务。5. 组建微服务架构。3. docker 安装部署与使用1. 安装 docker 引擎2. 使用 docker1. 理解 docker 的架构2. docker 命令3. 卷的概念4. 自制镜像并发布4. docker 网络6. docker pipework7. docker 网络端口映射4. 总结
点击上方“芋道源码”,选择“设为星标” 管她前浪,还是后浪? 能浪的浪,才是好浪! 每天 10:33 更新文章,每天掉亿点点头发... 源码精品专栏 原创 | Java 2021 超神之路,很肝~ 中文详细注释的开源项目 RPC 框架 Dubbo 源码解析 网络应用框架 Netty 源码解析 消息中间件 RocketMQ 源码解析 数据库中间件 Sharding-JDBC 和 MyCAT 源码解析 作业调度中间件 Elastic-Job 源码解析 分布式事务中间件 TCC-Transaction
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
一篇文章围绕一张图,讲述一个主题。不过这个主题偏大,我估计需要好几篇文章才能说得清楚。
如之前的文章安装 CoreDNS、GitLab、Jenkins 容器 所述熟悉了基本的容器安装之后就可以配置 Jenkins pipeline 构建基于 maven 的 Java 项目了。
Kubernetes是一个全新的基于容器技术的分布式架构领先方案, 它是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,Kubernetes也叫K8S。K8S是Google内部一个叫Borg的容器集群管理系统衍生出来的,Borg已经在Google大规模生产运行十年之久。K8S主要用于自动化部署、扩展和管理容器应用,提供了资源调度、部署管理、服务发现、扩容缩容、监控等一整套功能。2015年7月,Kubernetes v1.0正式发布,截止到2020年5月27日最新稳定版本是v1.18。Kubernetes目标是让部署容器化应用简单高效。
这样就可输出 nginx服务8080端口所绑定的公共端口。 6. ps 列出所有容器。示例
笔者最近在研究容器安全时读到一本关于讲述Kubernetes安全的书籍,作者为LizRice和Michael Hausenbla,两位分别来自美国容器安全厂商Aqua和云服务厂商AWS,并在容器安全研究领域上拥有丰富的软件开发,团队和产品管理经验。
随着微服务的设计模式得到越来越多开发者的实践,容器和微服务已经在生产环境中开始了规模化的部署。在这一过程中,也面临着越来越多的挑战。比如说,很多的微服务之间是相互依赖的,我们需要有更多的手段和方式来进行微服务的计划,扩展和资源管理,另外微服务之间的隔离更少,它们通常会共享内核或者网络,也对安全性提出了更高的要求。
git clone https://github.com/jpetazzo/pipework cp ./pipework/pipework /usr/local/bin/
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
