安全 Docker 容器云建設的關鍵點有哪些

安全Docker容器云建設的關鍵點有以下這些：

• 網絡設計：隨著容器技術在企業生產系統的逐步落地，用戶對于容器云的網絡特性要求也越來越高，跨主機容器間的網絡互通已經成為最基本的要求。例如Docker，Docker一開始并沒有考慮到多主機互聯的網絡解決方案。之后Docker收購了一家網絡解決方案公司Socketplane，將原有的網絡部分抽離，獨立成Docker的網絡庫，即libnetwork。

• 持久化存儲：首先聲明，運行容器并不意味著完全摒棄數據持久化。對于在容器中運行的應用，其需要保存的數據也可以寫入持久化的Volume數據卷。目前，主要支持Docker或Kubernetes的Volume。Docker發布了容器卷插件規范，允許第三方廠商的數據卷在Docker引擎中提供數據服務。

• 日志集中管理：容器常被用來運行需要快速故障遷移、彈性伸縮的應用或微服務，因此隨著容器中運行的應用發生遷移、彈性伸縮，應用日志很可能會在不同的運行節點中產生，這給容器應用的日志監控和問題排查帶來很大的麻煩。相對來說，與大多數傳統應用把日志寫在本地文件系統不同，容器應用需要考慮把日志進行集中收集，然后寫入外部的集中日志管理系統中。

• 監控設計：在虛擬機運維時代，Nagios和Zabbix等都是十分經典的性能監控軟件。但在容器時代，這些曾經耳熟能詳的軟件大多不能提供方便的容器化服務的監控體驗，社區對開發這類插件和數據收集客戶端也并不積極。相反的是許多新生的開源監控項目將對容器的支持放到了關鍵特性的位置，可以說容器的應用界定了一個全新的監控軟件時代。說到容器應用的監控設計，在這里要注意監控是分層的，具體可以分為系統層面、應用層面和服務層面，每個層面都有自己的監控重點。

• 多租戶和權限：顧名思義，多租戶就是很多人來租用容器云平臺的資源以實現自己的應用托管運維需求。這里面主要涉及多租戶、資源管理與分配、安全權限管理這三個問題。從多租戶的角度考慮，租戶租用容器云平臺的資源來托管、開發、部署和運維自己的應用、服務。這部分功能建議統一由運維團隊或者系統團隊負責，應用系統上云前一般會進行壓力測試，有一個容量估算的過程。多租戶的安全權限設計涉及容器云平臺整體的權限控制架構，最好是實現一個權限中心，由權限中心來實現對容器云各組件及各功能的動態控制，以適應靈活的不同的場景需求。

回答所涉及的環境：聯想天逸510S、Windows 10。