镜像启动即为容器
容器编排:集群管理工具
比较有名的容器编排工具:Kubernetes、Apache Mesos、Docker Swarm、Openshift、Rancher等
微服务的概念:微服务就是将一个完整应用中所有的模块拆分成多个不同的服务,其中每个服务都可以独立部署、维护和扩展,服务之间通常通过RESTful API通信,这些服务围绕业务能力构建,且每个服务均可使用不同的编程语言和不同的数据存储技术。
微服务治理框架:Dubbo、Spring Cloud、服务网格(轻代理)
Serverless:不考虑服务器的情况下构建并运行应用程序和服务。实现业务逻辑实现与基础设施分离的设计原则。实现方式:BaaS(Backend as a Service后端即服务)和FaaS(Functions as a Service函数即服务)
容器镜像存在的风险:不安全的第三方组件(存在漏洞的镜像)、大肆传播的恶意镜像、极易泄漏的敏感信息(数据库密码、证书、私钥等被打包成镜像上传到网上)
活动容器存在的风险:
1、不安全的容器应用(存在漏洞的容器,被映射的端口)
2、不受限制的资源共享(默认可以无限使用宿主机的资源,导致资源耗尽)
3、不安全的配置和挂载
--privileged:容器将不受Seccomp等安全机制的限制,容器内root权限将变得与宿主机上的root权限无异
--net=host:容器将与宿主机处于同一网络命名空间(网络隔离被打破)
--pid=host:容器将与宿主机处于同一进程命名空间(进程隔离被打破)
--volume /:/host:宿主机根目录将被挂载到容器的内部(文件系统隔离被打破)
容器网络存在的风险:
CAP_NET_RAW权限具备构造并发送ICMP、ARP等报文的能力,容易发生ARP欺骗、DNS劫持等中间人攻击