【本文来自NeuVector公司的投稿】
通过阿里云市场购买和部署NeuVector容器安全解决方案是非常方便快捷的。阿里云提供强大灵活的容器部署服务,可以根据编排模板自动伸缩服务容器的部署,可以在编排模板中调节各种部署条件,提供DNS服务,让用户可以通过容器名字来访问容器,并且允许服务商使用自带的许可证控制。这些优点使NeuVector产品在阿里云平台上轻松的实现了一键部署,无需任何用户设置。下面我们就详细介绍一下NeuVector容器安全解决方案的购买和部署流程。
在云市场搜索NeuVector,根据搜索结果找到NeuVector容器安全解决方案的产品购买界面,点击购买。购买完成后,在已购买的服务里,就可以看到我们的产品了。
点击 “NeuVector容器安全解决方案” 右侧的创建应用,输入应用名称,选择部署的集群
点击使用编排模板创建, 进入编排模板页面。无需对编排模板进行任何修改,点击创建并部署,阿里云后台就会自动把NeuVector 产品部署到容器服务的指定集群上去。在服务页面上可以看到NeuVector 产品的两个服务模块allinone 和enforcer。
点击页面上的allinone,我们可以看到如下关于allinone的具体信息
信息显示安装allinone服务的节点ip是115.28.24.42。 这是集群的第一个节点, 也是缺省安装neuvector产品控制容器的服务器 (如果用户需要,可以改变编排模板,指定别的节点来装控制容器)。现在用户就可以通过https://115.28.24.42:8443 来访问neuvector的图形界面了。初始的用户名和密码是admin/admin。
缺省的用户协议和界面语言是英文。用户登录后可以在设置(settings) 页面更改语言和密码。
更改完语言和密码,重新登陆后,界面就变成中文的了。
控制面板显示只有一台主机。这是因为使用NeuVector的产品需要许可证,右上角的红色警告显示现在的许可证是无效的。点击设置-〉许可证,进入许可证申请页面。
点击申请授权码,弹出信息框
用户用电子邮件发送系统ID到[email protected]。我们审核后会发给用户授权码。用户拿到授权码后,在设置-〉许可证页面激活授权码后,就可以正常使用NeuVector产品了。
如果用户需要对集群扩容,阿里云会自动把neuvector的enforcer容器部署在新加的节点上。这样我们的服务可以自动伸缩,覆盖整个集群(在许可证允许的节点数范围内)。
关于NeuVector的产品功能和使用,下面是一个客户的示例:
《一个数据中心系统管理员的日志》
过去几个月我的工作更多的专注在Docker容器,共享的dockerfiles等等方面,我们创建的容器以前总是碰到各种各样的问题,不过这一次我建立使用的容器都能够顺利的使用。共享社区里的技术人员花了很多时间和精力并且共享了他们的dockerfiles,这改变了我对与Docker的看法,主要是开放平台和共享的方式达到了我原来对于容器使用的期望,这个更接近并且方便了我使用的实际状况。
一点题外话,记得很多年来发生在安卓系统上面的一个问题是,跟苹果iOS比,安卓很酷,上面有非常多的应用程序。但是存在一个问题,开放平台意味着上面会有很多无用的东西甚至恶意的程序存在。
在我测试使用开放平台的容器的时候,我开始有些担心容器里面会有恶意软件存在,这对于我们客户使用的数据中心会是一个很大的威胁。即使是完全内部自己编译的容器也有可以带入外面开源软件的库以及底层容器。
容器本身的隔离特性和设计是可以带来一定安全方面的好处,运行一个完全隔离的应用可以帮助减少可能的被攻击面积。但是如果我们在容器中使用或者重用大量其他陌生的代码,不幸的是我的容器会变得更容易被攻击而不是更安全,它会存在潜在的风险比如隐藏的木马,DoS漏洞等等。随着Docker的用户快速增长,越来愈多的应用商甚至开始用容器来交付他们的程序,那么我们能有多相信第三方的容器提供者?我们可以怎样保护自己的环境以及应用?
所以NeuVector的产品可以帮到我们!
NeuVector安全软件本身也是容器,一个叫做enforcer的容器运行在每一个客户端或者服务器上面,这个安全容器可以做实时的容器内容扫描,找到并且报告已知的安全漏洞,执行容器的网络安全策略以及实时保护针对容器的网络攻击。另外一个叫controller的容器用来管理这些enforcer容器的集群。还有一个独立的管理容器提供了管理界面,安全日志,配置界面,安全策略定义等等。
NeuVector的主界面提供了系统的安全状态信息,当前运行的容器环境,已经定位和发现的网络攻击等等。配合第三方或者已有的管理平台,也可以实现对发现的安全问题及时用手机短信,Slack等等方式报警和通知管理员。
如果系统检测到了一个攻击,可以通过网络拓扑图看到这个事件,可以点击找到详细的攻击源头,目的地以及端口,这对外面进来的攻击和内部攻击甚至伪装的外部链接都可以很好的防范。这不仅仅是一个好看的图示,它提供了容器在我们真实环境下的实时运行状态和变化,使我们专注于应用容器的工作状态,这是我最喜欢的产品功能之一。
当然如果产品只是提供容器环境可视化是不够的,我们可以针对可视化的容器网络实现更多更深入的功能,设置成监视模式可以让我们验证系统自动学习出来的安全策略或者我们手动制定的安全策略,设置成保护模式可以立刻开始检测异常并且保护我们的应用。
上图所示我们可以很容易的修改制定容器的安全策略,例如:如果我们看到某个容器被监测到它试图连去接外部网路,系统可以自动的禁止这个行为。这是很棒的设计,因为我不需要修改容器镜像,不需要改动任何脚本,不需要重启容器,甚至不需要任何手动改动,NeuVector可以在第一时间自动完成保护动作!
当然我也可以用策略给所有容器配置白名单和黑名单,比如对于某一种连接总是阻挡,再比如从容器X到容器Y仅允许也只允许某种特定的网络连接。
NeuVector产品本身非常的稳定可靠,如果容器网络出了问题或者一台容器主机下线而不能继续和其他容器联系的时候,管理员不需要做任何动作,在断网,恢复,重新连接上来的时候NeuVector会自动报告,扫描并且继续保护这些容器。
可以从阿里云云市场购买并且部署测试使用NeuVector的产品,如果有任何问题欢迎联系NeuVector公司。