19、容器存储与安全最佳实践全解析

容器存储与安全最佳实践全解析

容器原生存储概述

容器原生存储直接与容器一起部署，在集群目录中可立即使用，管理员看到的呈现方式与设备中的存储非常相似。以 Red Hat OpenShift Data Foundation (ODF) 为例，它能够提供块存储、文件存储和对象存储，以满足各种应用程序的需求。ODF 使用与运行它的 Red Hat OpenShift 平台相同的管理控制平面，可配置内部和外部驱动器。数据持久性直接存在于容器环境的核心，满足应用程序的需求。同时，计算和存储解决方案可以独立扩展，以适应不断变化的需求或工作负载要求。容器原生存储在数据保护和弹性方面表现出色，通常采用镜像或复制架构部署，并支持与容器就绪存储相同的快照功能。

为容器添加存储的正确方法

OpenShift 有许多预构建的容器可用于组装应用程序，但需要充分理解临时存储和持久存储之间的差异。若从命令行操作，需使用 Podman 命令。Red Hat 最初使用 Docker 基础设施，但由于 Docker 存在一些设计限制，如单进程后台守护程序成为瓶颈等问题，Red Hat 设计了新的无守护程序容器引擎 Podman 来处理容器的启动和管理。Podman 是 Red Hat OpenShift 的容器引擎，也是与容器通信的命令行工具。如果熟悉 Docker 语法，Podman 与之基本相同，它可在 Linux 系统上处理所有符合开放容器倡议 (OCI) 标准的容器。

Podman 可在 root 或无 root 模式下运行容器，与其他常见容器引擎创建的容器使用体验无明显区别。使用 Podman 可启动、停止和管理容器，它包含创建和管理容器所需的所有子命令。不同的命令与不同类型的对象或