银行生产容器云平台安全防护建设可能遇到的一些问题

1、目前监管对容器云这块的安全有制定相关要求吗？要求定期补丁更新？版本升级？

@rechen 某银行 云计算架构师

1. 监管是以业务连续性保障为抓手，没有细到容器云的安全要求。容器云的安全建设可以参考等保2.0的要求，评估容器云的安全要求进行实施和加固。

2. 补丁更新、版本升级 这和银行对容器云的产品需求、安全CVE漏洞等别、运维管理办法和厂商产品的版本发布相关，需要综合评估。

2、K8S集群部署是否建议跨网络区域进行管理？

【问题描述】是否建议一套集群的MASTER管理整个机房的所有不同网段的区域的NODE节点？如果是这样部署的话会出现怎样的问题呢？

@rechen 某银行 云计算架构师

不建议。

1. 银行生产环境根据网络分区进行规划，网络分区之间使用防火墙进行隔离，是安全防护的需要，也是等保的要求。此部署架构设计破坏的规划，且增加了故障半径、攻击范围和运维复杂度。

2. k8s的master节点和work node节点的报文通讯是很频繁，此部署架构穿透防火墙，也增加了故障点和风险隐患。

@sf7071 某大型银行 云计算研发工程师

首先，不建议这么做。如果这样部署，可能会有以下几方面问题

1. 实际上只有一个1集群，虽然可以节约一些管理节点资源，但可能会出现集群规模过大的问题，当K8S集群的Master全部故障后，将造成所有网络区域失去动态调度能力和自愈能力；

2. 不同网段的区域之间一般会有物理隔离，影响管理节点与计算节点之间交互效率；

3. 应用部署时需要通过标签机制调度到对应网络区域的node上，如果确保应用能够正确发布到对应的网络区域，需要建立保障和检查机制，增加管理成本。

3、微服务治理下的网络策略如何做？

@rechen 某银行 云计算架构师

1. 基于微服务架构的业务应用系统，在系统内，各个微服务之间调用的流量，属于东西流量，通常是不做网络隔离策略。

2. 在系统外，是属于南北流量，可以在流量入口的负载均衡，防火墙，K8S集群的Ingress上评估做网络策略。

4、容器集群如何做流量检测？

【问题描述】流量检测作为常用的安全监测手段，被广泛的应用在各种安全场景中。但是目前对容器云的流量检测该如何做？包括南北向和东西向的流量。

@rechen 某银行 云计算架构师

1. 南北流量 以传统安全的边界防护边界上，譬如互联网接入区、外联区，进行TAP流量检测是

2. 东西流量 视银行的规划和基础设施情况而定，譬如容器集群部署在IAAS的VPC中，集群为多集群部署模式进行隔离，则东西流量检测可依赖容器集群的宿主机东西流量检测，不单独做容器间的东西流量检测。

如果是大规模的容器集群部署模式，且提供多租户、多业务，则可评估使用在容器网络层级的网络微隔离产品，进行东西流量的检测和安全防护。

5、容器平台版本更新问题？

【问题描述】K8S和Docker的版本一直在更新，在银行对于容器云平台的版本管理是如何开展的？比如1 容器云平台版本更新会存在哪些问题需要关注？2 容器云平台的版本如何选择？3 更新的频率怎么管控？3 更新后的应用系统适配如何开展等？

@rechen 某银行 云计算架构师

1. 综合评估K8S和Docker版本的兼容度、对操作系统版本的依赖度，以确定容器云平台的版本管理策略。

2. 银行通常采用商用版本的容器云平台产品，版本选择上，一方面和厂商产品版本相关，另一方面和银行的需求、运维体系和厂商的技术支持策略相关。通常是一至三年的周期升级一个大版本。日常的补丁版本，根据银行安全要求进行选择。

3. 版本升级，需要在测试环境进行充分测试，包括应用适配等测试验证工作完成后，才能到生产环境进行灰度升级。

@北京不眠夜 产品经理

1. 更新可能会存在的问题

应用做多集群多活，防止当某个集群升级异常引起业务不可用。

1 将需要升级的节点上应用Pod进行驱逐，避免因升级异常影响业务可用性。

2 明确业务是否可以中断，防止集群升级时因网络重启短时影响业务访问。

3 做好相关数据备份。如yaml

2、版本选择

一般建议比社区晚1 2个版本，版本尽量选择成熟和稳定的版本，多看看社区中对版本反馈。

3. 更新频率

K8s每年一般会有三个版本更新，参照上面建议一年升级一次一般就够了。

当然，个别版本的特性是急需的能力，临时升级也可能存在。

还有就是自研的部分，在升级后需要调整的工作量有多大？这个在升级前也要做好评估。

4. 更新后应用适配

如果只是升级集群本身，一般不会改动。当然由于升级异常后，造成服务不正常 不启动，建议用备份的ETCD中的信息进行重新发布。建议升级前应用Pod驱逐到其他节点上，然后逐个节点进行升级。

点击 ，到社区浏览更多

觉得本文有用，请转发、点赞 点击在看，让更多同行看到