谷歌云发布容器基础镜像托管服务,运维更简单,支持多种操作系统
容器应用逐渐普及,已经从开发者喜欢的工具,进入企业内部基础架构。不过镜像更新工作,对于运维人员依旧是不简单的工作。
近日,谷歌公有云平台GCP,发布了基础镜像更新托管服务(managed base images),从最初构建应用程序开始就可以使用。目前此服务所支持的Linux发行版,分别有CentOS 7、Debian 9,以及Ubuntu 16.04,使用者可以直接从GCP市场下载。
这一次推出的新服务,Google会提供用户多种操作系统基础镜像文件,后续更新工作也由谷歌进行。开发者除了能时时保持镜像在最新版本,由谷歌负责镜像审核,运维人员也不须从未知来源下载镜像,能提升容器基础架构的安全。
谷歌表示,即便导入基础镜像更新托管服务,容器镜像文件经过扫描后,仍可能发现镜像存在的漏洞。出现这种状况主要有三大原因。第一,扫描出的漏洞可能被归类为低风险漏洞,而项目维护人多半优先处理高风险漏洞,导致当前版本未有可用更新。第二,则可能是项目刚爆出漏洞事件,还未进行可用镜像更新。第三,则可能为开源项目新推出的功能,可能对系统安全带来风险,但项目维护人并不视其为漏洞。
由于容器的生命周期极短,不停进行重新构建、部署,为了确保使用者容器镜像安全,谷歌建议企业用户建立高度一致的CI/CD流程,确保基础架构环境内的容器镜像,有经过审核、认证程序。谷歌表示,实施方法总共有四大方向。第一,导入集中化管理的CI/CD,除了减少使用容器存储库数量,而正式环境的软件上线工作,必须通过中央发送管道进行。第二,则是选用安全存储库作为镜像来源,从开发源头就做好安全工作。
第三,建立镜像文件扫描、分析的使用习惯,可使用第三方或公有云厂商原生服务执行。第四,当镜像要进入正式环境前,运维人员得确保只有经认证的镜像,才能部署至正式环境。
谷歌表示,未考虑使用此托管服务的开发者,也可尝试其他开源方案,如谷歌的开源容器工具Distroless images。此镜像内仅打包用户的应用程序、Runtime相关性,删除标准Linux发行版内的套件管理工具、Shells,缩小镜像的攻击范围。