预装且完全维护的数据应用程序
by Canonical on 13 March 2025
引入可信开源数据库容器
不要再说 “云原生还很遥远” 了。Kubernetes 刚刚庆祝了其 10 周年纪念,在最新的 CNCF 年度调查中,76% 的受访者表示他们已经在大部分或全部产品开发和部署中采用了云原生技术,例如容器。云原生并不遥远 —— 它已经到来。
数据密集型工作负载也不例外。恰恰相反,Kubernetes 专家之声 2024 年报告发现,97% 的组织在云原生平台上运行数据工作负载,72% 的数据库和 67% 的分析服务在 Kubernetes 上运行。
数据库容器正在推动可扩展性、灵活性、操作简单性和成本方面的重大改进。但是,在容器上管理这样的状态管理解决方案(通常使用多个开源组件构建)也给站点可靠性工程师、平台工程师和首席信息安全官等带来了不小的难题。除了庞大的复杂性之外,由于不确定的映像来源、较大的攻击面和缺乏及时的 CVE 修复,容器还可能带来安全和合规风险,特别是当开发人员使用最新版本的开源组件自行构建它们时。
在这篇博客中,我们将解释 Canonical 如何解决数据容器困境。简而言之,我们创建了一个经过安全设计、数量最少且完全维护的数据应用程序容器映像产品组合,使组织能够享受云原生架构的全部优势,而不会影响安全性或增加运营复杂性。
Canonical 的数据库容器
在 Canonical,我们对维护开源软件略知一二,这是我们 20 多年来一直在做的事情。不仅仅是 Ubuntu,我们还维护着 36000 多个额外的软件包,它们来自更广泛的开源生态系统。现在,我们正在将同样的行业领先的专业知识扩展到数据应用程序容器。
这在实际操作中意味着什么呢?这意味着我们已经构建了企业级容器映像,按照行业最佳实践,以安全性为出发点进行设计;这意味着我们持续监控并快速解决影响容器的 CVE,平均在 24 小时内修复关键漏洞;这意味着我们用 Ubuntu Pro 维护和支持每个容器映像长达 12 年。
我们的数据库容器完全符合 OCI 标准,可以在任何符合 OCI 标准的平台上运行,包括 Azure Kubernetes Service(AKS)、Amazon Elastic Kubernetes Service (EKS)和 Red Hat OpenShift。更重要的是,它们可以在任何操作系统上运行。
我们的目标是为组织提供可信、安全设计和维护的开源容器的单一来源,他们可以放心地在生产中部署这些容器。您知道自己的映像来自哪里,也知道它们经过优化和一致的打包,更知道它们会定期收到更新和 CVE 补丁。
供应链安全从未如此重要,它是欧洲新的《网络弹性法案》(CRA)的核心,其他类似的法规很可能会随之出台。我们的容器在设计之初便将安全放在首位,使您能够正面满足这些标准的要求。
我们提供两种容器来满足不同用户的需求。一方面,我们拥有标准的 OCI 容器,其中包含了开发、调试和运行带有首选数据库的应用程序所需的一切。另一方面,我们提供受攻击面最小的超小型容器,我们称之为“chiseled”容器。
最小的容器,最小的攻击面
在容器的世界里,尺寸至关重要。容器映像越大,其攻击面就越大,越容易受到漏洞的攻击。考虑到这一点,我们已经创建了真正最小的数据库容器映像,称为 chiseled 容器。
基于 distroless 容器的概念,chiseled 容器只提供应用程序及其运行时的依赖项,没有其他操作系统级的软件包、实用程序或库。它们是无根容器,不包含软件包管理器或 shell。这使其占用面积最小,最多可减少传统容器攻击面的 80%。它们不同于通常的 distroless 容器,因为它们提供了更大的操作灵活性和与 Ubuntu 生态系统的兼容性。由于它们与基于 Ubuntu 的工作流和工具保持了很强的兼容性,它们非常适合已经在使用 Ubuntu 的企业,同时仍然能够在任何操作系统上运行。
我们以 Valkey 为例。一个完整的 Valkey 容器大约有 320MB,而剥离的 Valkey 只有 26.7MB。
chiselled 容器尺寸大幅减小,这从本质上减少了潜在漏洞和攻击媒介的数量,使其成为生产的理想选择。同时,映像的精简特性使得它们在 CI 管道中构建起来更轻、更快,并且在许多情况下性能更好。
您需要的一切都集于一个容器中
一个完全剥离的容器固然很好,但是对于大多数可扩展的用例而言,仅仅这样可能还不够。一些组织需要更全面的解决方案,包括工具、库、配置选项、生命周期管理和插件。对于这些场景,我们将 charms 与我们的容器集成在一起,利用软件操作者的优势来增强映像。
Charms 是与容器集成的完整解决方案,提供配置管理、监控、备份、高可用性和自动化工具,以及许多最流行的插件(如适用)。换句话说,您得到了一个完整的解决方案,它包括一组强大的容器以及运行和操作数据库所需的一切。
为您的用例自定义数据库容器
在云原生时代,企业通常需要自由构建自己的容器,以满足其独特的需求。一刀切的数据库容器配置无法满足每个组织的不同需求。通用容器映像的设计具有广泛的适用性,但它们可能缺少对您的工作负载至关重要的特定库或组件。通过组合自定义容器,企业可以确保他们的解决方案针对自己的用例进行了优化,并且符合他们的内部策略。
然而,维护自定义映像的安全性、一致性和稳定性是一项极具挑战且耗时的任务。这就是我们的容器构建服务的用武之地。
通过容器构建服务,我们的团队将为您需要的任何数据解决方案自定义最小化和优化的容器。我们将为您维护这些容器长达 12 年,其严格程度与我们保护 Ubuntu 和上述其他数据应用程序容器的严格程度相同。无论您的具体要求或用例如何,容器构建服务都能确保您从专业构建和安全维护的容器中受益。
订阅博客文章
查看更多内容
Canonical 参加 2025 RISC-V 中国峰会
年度盛会 RISC-V 中国峰会汇聚全球 RISC-V 社区,包括制定该架构规范的技术、行业、领域和生态系统团体。所有专家将于7月16日至18日齐聚在上海张江科学会堂,分享技术突破、行业里程碑和案例研究。Canonical 很荣幸再次赞助 RISC-V 峰会,欢迎于展期间莅临 1层 D26 展位与我们洽谈! Canonical 在 RISC-V 生态系统中的合作 Canonical 持续积极参与 RISC-V 生态系的发展,与本地与国际合作伙伴深度协作,推动开源操作系统的广泛部署与商用。通过与领先的 RISC-V 硬件合作伙伴合作,Canonical 确保开发人员能够访问安全设计、可扩展且可靠的操作系统,从而加速创新并简化开发流程。Canonical 拥有深厚的 x86 […]
NIS2 合规指南:第 3 部 — 展示对 NIS2 的合规能力
在本系列的第三部分也是最后一部分中,笔者将针对如何制定路线图以及在不加重团队负担的前提下有效证明合规性提供一些实用性建议。 对首次阅读本系列的读者在此说明一下,我们在前两期内容中探讨了 NIS2 的适用对象及其规定的各项要求。如需了解更多背景信息,请务必阅读这两期内容。 如何制定 NIS2 合规路线图? 了解 NIS2 的适用范围及其规定的各项要求之后,接下来就该制定合规路线图了。 以下是我们针对制定路线图提供的一些建议: 完成路线图制定之后,即可开始证明自身的合规性,并向外界和利益攸关方展示。下面我们介绍如何进行证明。 如何有效证明 NIS2 网络安全合规要求? 如果 EU NIS2 适用于您,那么想必您已经在整个企业内构建了众多控制框架来确保所有业务领域都达到合规要求 […]
工业网络安全:迈向 IEC 62443 合规之路
随着制造商们努力进行 IT 与 OT 融合以提升自身效率和生产力,工业网络安全已成为每一位首席信息安全官(CISO)的关注焦点。然而,随着连接性的增强,风险也随之增加。保障设备、网络及系统的安全便成为了一项关键的挑战。作为 Ubuntu 发行商的 Canonical 深知这一需求,并致力于依照工业自动化与控制系统网络安全综合框架 IEC 62443 标准提升自身的能力。 本篇文章中将简要概述 IEC 62443 标准的适用范围,并阐述它与 Canonical 同样积极响应的其他标准之间的联系。文中将重点介绍,Canonical 在汽车标准方面投入的大量工作以及其对行业倡议所做出的贡献,由于在功能安全、设备稳固和安全生命周期管理等方面遵循相同的原则,如何与 IEC 6244 […]