文章来源|字节跳动安全与风控终端安全团队GitHub Repo|https://github.com/bytedance/vArmor **开源背景**随着云原生技术的发展,已经有越来越多的组织开始使用云原生技术来构建自己的基础设施,或者使用它们来进行应用发布与管理。众所周知,容器技术是云原生领域的核心与基础,Linux 容器、容器镜像,容器编排等技术的出现,带来了更高的资...
## 引言**云原生容器技术是指利用云计算的特性,构建和运行基于容器的应用程序的一种技术。容器是一种将应用程序和其依赖的环境打包成一个轻量级、可移植、可隔离的单元,可以在任何支持容器的平台上运行的技术。云原生容器技术可以提高应用程序的可移植性、可扩展性、可观察性、可靠性和安全性,实现快速交付和持续创新。**## 学习总结### 容器的创建容器的创建是指将应用程序和其依赖的环境打包成一个容器镜像的过程,容器...
云原生中的最核心的组件之一其实就是容器化服务,那么对于容器化服务的总体方向,主要由以下这四个方面。![picture.image](https://p6-volc-community-sign.byteimg.com/tos-cn-i-tlddhu82om/062d28df7fcf4b788dab81fde33184e9~tplv-tlddhu82om-image.image?=&rk3s=8031ce6d&x-expires=1716654052&x-signature=ZZXhxXW3%2FWf45FYDtnfWKqMNYfk%3D)## 无处不在的计算催生新一代容器实现针对计算场景优化、安全、轻量化和高效性...
Argo Workflows 通常对底层容器环境的**资源弹性需求很高**。弹性容器 VCI 具备秒级启动、高并发创建、沙箱容器安全隔离的优势,允许用户只为所用计算资源的“业务实际运行时间”付费([装箱率高](https://mp.weixin... 因为国内访问海外资源的不稳定性,可以通过修改 Argo Workflows 的 workflow-controller-configmap 配置项,设置 sidecar 容器从火山引擎的镜像仓库拉取镜像,减少镜像拉取时间,提高 Pod 的运行效率。可以参考的 wo...
本文主要描述通过控制台、Kubectl 等方式安全下线容器集群中节点的操作。 背景信息在容器服务业务的日常维护中,有时需要对集群中的某一个节点进行下线操作,比如:版本升级、扩容、变更操作、停机运维、节点回收等。 容器服务支持下线集群中指定的节点。进行下线节点操作后,将把该节点内的所有 Pod(不包含 DaemonSet 管理的 Pod)驱逐到集群内其他节点上。新产生的 Pod 无法被调度到该节点上。 注意事项移除节点会造成 Pod 迁移,可能...
本文主要介绍在容器服务(VKE)集群中进行安全组管理的一系列最佳实践。通过设置安全组,可以为 VKE 集群中的节点或 Pod 提供流量入口处的安全保障,杜绝实例受到非法访问乃至攻击。 每一个 VKE 集群在创建时,都会根据其网络模型生成默认安全组。在 Flannel 网络模型中,仅会生成节点默认安全组,而在 VPC-CNI 网络模型中,则会额外生成 Pod 默认安全组。安全组以白名单的形式工作,即只有符合安全组规则的流量可以被放行。默认安全组相关...
云原生中的最核心的组件之一其实就是容器化服务,那么对于容器化服务的总体方向,主要由以下这四个方面。![picture.image](https://p6-volc-community-sign.byteimg.com/tos-cn-i-tlddhu82om/062d28df7fcf4b788dab81fde33184e9~tplv-tlddhu82om-image.image?=&rk3s=8031ce6d&x-expires=1716654052&x-signature=ZZXhxXW3%2FWf45FYDtnfWKqMNYfk%3D)## 无处不在的计算催生新一代容器实现针对计算场景优化、安全、轻量化和高效性...
根据 Forrester 预测,2023年全球超过40%的企业将会采用云原生优先战略。然而,云原生在改变了企业上云及构建新一代基础设施的同时,也带来了一系列的新问题,针对涵盖云原生应用、容器、镜像、编排系统平台以及基础设施的云原生系统的攻击层出不穷,对企业原有的信息安全防护模式提出了新的挑战。8月10日,火山引擎携手Forrester发布了**《中国云原生安全市场现状及趋势白皮书》(以下简称:白皮书)。白皮书以云原生安全管理的变革为主线...
Argo Workflows 通常对底层容器环境的**资源弹性需求很高**。弹性容器 VCI 具备秒级启动、高并发创建、沙箱容器安全隔离的优势,允许用户只为所用计算资源的“业务实际运行时间”付费([装箱率高](https://mp.weixin... 因为国内访问海外资源的不稳定性,可以通过修改 Argo Workflows 的 workflow-controller-configmap 配置项,设置 sidecar 容器从火山引擎的镜像仓库拉取镜像,减少镜像拉取时间,提高 Pod 的运行效率。可以参考的 wo...
弹性容器实例是火山引擎提供的一种 Serverless 和容器化计算服务,支持秒级启动、高并发创建和沙箱容器安全隔离等能力。弹性容器实例与容器服务无缝集成,共同提供 Kubernetes 编排能力。开通弹性容器实例后,您可以专注于应用构建,无需购买和管理底层云服务器等基础设施,并且仅需为容器实际消耗的资源付费,降低您的人力和资金成本。 背景信息弹性容器仅支持容器网络模型为 VPC-CNI 的集群。 本文以部署 Nginx 为例,为您介绍通过 ku...
全方位集群安全风险检测和控制,高效管理集群安全态势。支持清点集群中的用户、服务账号、角色等资源及绑定关系,及时发现权限滥用、废弃账号等权限风险。 支持检测Kubernetes核心组件、容器引擎、镜像仓库的漏洞风险。 支持接收Kubernetes集群审计日志,检测凭据滥用、外部代码执行、威胁资源创建、漏洞利用等异常行为。 支持根据CIS Benchmark自动对Kubernetes环境的编排系统、容器引擎进行合规性检查。 实时采集集群操作日志...
近日,由中国信息通信研究院(以下简称“信通院”)主办的 2021 云原生产业大会在北京召开,大会公布了 2021 年云原生领域最新评估结果——火山引擎顺利通过开发测试场景、CI/CD、运维自动化、微服务四大应用场景 42 个子项的测试,获得最新版本的 可信云容器解决方案认证 。 此次通过认证的产品是火山引擎 智能容器云 veCompas s 。它融合了字节跳动内部云原生实践,可以为用户提供以多集群、多租户为核心的资源管理能力,和以应用商...
弹性容器实例是火山引擎提供的一种 Serverless 和容器化计算服务,支持秒级启动、高并发创建和沙箱容器安全隔离等能力。弹性容器实例与容器服务无缝集成,共同提供 Kubernetes 编排能力。开通弹性容器实例后,您可以专注于应用构建,无需购买和管理底层云服务器等基础设施,并且仅需为容器实际消耗的资源付费,降低您的人力和资金成本。 背景信息弹性容器仅支持容器网络模型为 VPC-CNI 的集群。 本文以部署 Nginx 应用为例,为你介绍弹性...