Bootstrap

容器测评十个热门小知识

Q1

容器只有docker一种?

容器不仅仅只有docker一种,还包括Podman、rkt等。

Q2

容器技术和虚拟化有什么区别?

虚拟化可以通俗理解是把整个房子包括家具全部打包,因此特别“重”。

容器可以通俗理解是仅仅打包家具,所以显得更“轻”。两个区别如下:

特性

虚拟化

容器

隔离级别

操作系统级

进程级

系统资源占用

启动时间

分钟级

秒级

镜像大小

GB以上

KB以上

集群规模

上百

上万

高可用策略

备份、容灾、迁移

弹性、负载、动态

Q3

只要用了容器技术就需要使用容器扩展?

不是,从联盟的培训和测评的实践来看,若仅仅使用了docker等容器技术,但未使用容器集群平台进行统一管理,完全没有必要使用容器扩展,因为其跟传统系统并无实质区别。

Q4

漏洞扫描无法扫描到IP?

容器的网络其实也分几种,比如kubeoperator就包括flannel、calico和cilium三种,每种又分为不同的网络模式,比如flannel有vxlan、host-gw两种,calico有bgp和ipip两种,cilium有overlay和nativerouting两种。而docke默认就是nat,容器和宿主机默认通过NAT技术将容器的端口映射到宿主机上,所以,从容器外部扫描容器IP一般是仅能扫描容器映射出来的端口,其它端口均无法扫描。

所以,必须通过API或直接登录容器实例里才能进行漏洞扫描或渗透测试,类似vmware虚拟化的桥接、NAT等网络连接方式,或者直接通过trivy扫描镜像仓库的镜像。

Q5

什么是docker-compose

compose是通过一个配置文件定义一组docker实例,包括启动顺序、依赖关系、网络端口等配置,以往启动某个应用可能需要单独启动若干容器实例,但是通过compose就只需要启动一次,容器实例根据composer配置信息自动启动所有的容器实例,从而简化运维。通常为docker-compose.yaml文件。

Q6

docker和k8s是什么关系

docker只是常见容器技术之一,k8s是常见容器编排平台,k8s支持的的容器不仅仅只是docker,还包括 RunC、Containerted。同理,docker也有自己官方容器编排平台Docker Swarm。未来k8s已经逐渐成为容器集群的主流标准。

Q7

容器镜像是否需要使用扩展要求测评?

容器镜像一般仅使用安全通用要求即可,无需使用扩展要求进行测评,扩展要求几乎针对的是容器集群管理平台、仓库。

Q8

如果无法直接测评容器实例,能否测评容器镜像?

可以,因为容器实例均通过容器镜像创建的,容器镜像是模板,容器实例通过模板启动,所以配置默认两者是一致,除非启动后修改了容器实例配置。

Q9

容器实例可以远程登录吗?

可以,因为容器实例本质就是迷你版的操作系统, 可以直接通过ssh登录(部分镜像可能需要单独安装ssh),也可以先登录宿主机再登录容器实例,不过目前容器几乎只有Linux类操作系统镜像。

Q10

容器实例能否支持在云平台上自动部署?

支持,目前容器集群管理平台基本都支持在vsphere、aws、hyper-V等云平台上自动化部署,只要配置好部署计划就可以自动化部署。

;