33、Docker平台选择与安全控制全解析

Docker平台选择与安全控制全解析

1. 平台交付与多平台选择

在大型组织中，若将操作的不同部分责任分散到不同小组，可能会采用零敲碎打的方式交付平台。以 Docker 注册表管理为例，如果已有集中管理的工件存储库，可将其升级为 Docker 注册表（前提是支持该用例），这样管理和运营成本低于构建单独的解决方案。

对于需求多样的大型组织，可提供不同类型的平台。部分用户偏好托管平台，而另一部分用户可能需要定制化解决方案。比如有自管理的 Nomad 集群、AWS 托管解决方案和 OpenShift 选项。不过，运行多种平台会增加管理成本，且在组织内有效传达这些选项也存在挑战。

2. 采用 Docker 需考虑的方面

实施 Docker 平台时，需考虑以下三个主要方面：
- 安全与控制 ：取决于组织的安全和控制立场。
- 镜像构建与分发 ：涉及镜像和工作负载的开发与交付。
- 容器运行 ：关注平台运营时的相关问题。

2.1 安全与控制

安全与控制在很大程度上影响着其他方面的处理方式。组织对安全的关注度不同，解决相关问题的积极性也会有所差异。这里的“控制”指覆盖在开发团队和运维团队操作之上的治理系统，包括集中管理的软件开发生命周期、许可证管理、安全审计等。

2.1.1 镜像扫描

无论镜像存储在哪里，存储时都可检查其是否符合要求。可能需要实时回答的问题包括：
- 哪些镜像包含易受 Shellshock 攻击的 bash 版本？