蔷薇灵动：云原生环境微隔离解决方案白皮书（21页）.pdf

《蔷薇灵动：云原生环境微隔离解决方案白皮书（21页）.pdf》由会员分享，可在线阅读，更多相关《蔷薇灵动：云原生环境微隔离解决方案白皮书（21页）.pdf（21页珍藏版）》请在三个皮匠报告上搜索。

1、零信任技术领域长期主义者版权声明本文档版权归北京蔷薇灵动科技有限公司所有，未经允许不得擅自摘录、拷贝、转载等。版权声明I1.云原生的技术背景12.云原生环境的网络隔离需求43.现有云平台微隔离方案分析73.1 基于防火墙的安全域间访问控制 73.2 基于 NETWORK POLICY 的容器隔离83.3 主机代理形态的工作负载微隔离94.蜂巢自适应微隔离解决方案114.1 部署架构114.2 核心能力124.2.1 定义阶段：以 DaemonSet 形式部署 BDC134.2.2 分析阶段：对业务容器自动化分组并标定角色144.2.3 设计阶段：基于可视化分析工具辅助策略设计144.2.4 防

2、护阶段：制定下发精细化安全策略154.2.5 运维阶段：监测异常并持续优化策略154.3优势与价值16目录11.云原生的技术背景当前，数字化变革已逐渐渗透到每一个具体产业，弹性算力已成为各行各业的“水电煤”，云计算则成为数字化世界的基石，从底层驱动产业变革。随着云计算发展进入成熟阶段，以“生在云上、长在云上”为核心理念的云原生技术被视为云计算未来十年的重要发展方向。在数字化大潮中，上云并非是一种时尚，而是一种刚需，从“上云”到“全面上云”，从“云化”到“云原生化”，是企业数字化转型的必由之路。云原生是一个组合词，即由 Cloud 和 Native 组成，Cloud 表示应用程序位于云中，而非传

3、统的数据中心，Native 则表示应用程序从开始规划便是为了以最佳姿态运行于云环境中而设计的。相较传统 IT 架构，云原生具有无法比拟的优势，将为企业带来降低成本、提升效率、快速试错、促进创新等业务增益价值。云原生的技术理念始于 Netflix 等厂商从 2009 年起在公有云上的开发和部署实践。2015年云原生计算基金会（CNCF）成立，标志着云原生从技术理念转化为开源实现。CNCF 在随后给出了目前被广泛接受的云原生定义：云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式 API。这

4、些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段，云原生技术使工程师能够轻松地对系统作出频繁和可预测的重大变更。云原生的运用使本身复杂多变的企业业务可敏捷灵活、及时响应、快速迭代，从而让数字化转型和运营过程中的持续创新成为可能。业界公认，构成云原生的四大核心技术要素是微服务、DevOps、持续交付和容器化。微服务所谓“微服务”是相对于将应用程序全部功能打包成一个独立单元的“单体架构”而提出的，其将一个单体应用分割为一组小型服务，每个服务运行于独立的进程中，服务间采用轻量级2的 API 进行通信和调用。与通常面向非云环境的单体架构相比，微服务架构将应用“原子化”，各个

5、服务可独立开发、部署、更新、扩展，从而有效解决单体应用系统复杂性高、不利于并行开发、难于灵活部署、扩展能力受限等突出问题，使得应用能够更好的利用云计算弹性扩展、按需伸缩的特性。当然，微服务架构也带来了分布式固有的复杂性，对运维管理和安全管控提出了更高要求。DevOpsDevOps 是 Development（开发）和 Operations（运维）的组合词，其是一组过程、方法与系统的统称，用于促进开发、技术运营和质量保障（QA）部门之间的沟通、协作与整合。概括而言，DevOps 让开发人员、测试人员和运维人员更好地沟通合作，通过自动化流程来使得软件构建、测试、发布能够更加地快捷、频繁和可靠。相对

6、于面向单体架构的“瀑布模式”和面向分布式应用的“敏捷开发模式”，DevOps是软件开发管理领域的又一次升级，其使得应用可以快速编译、自动化测试、部署、发布、回滚，从而更加适应云原生环境下的微服务架构。持续交付持续交付是一种软件工程手法，让软件产品的产出过程在一个短周期内完成，以保证软件可以稳定、持续的保持在随时可以发布的状况。它的目标在于让软件的构建、测试与发布变得更快以及更频繁。这种方式可以减少软件开发的成本与时间并降低风险。在云原生环境中，持续交付意味着不误时开发、不停机更新，面向独立的微服务，在DevOps 的加持下实现开发、测试、交付同步一体的“小步快跑”，从而使得应用可以频繁发布、快