预装且完全维护的数据应用程序
by Canonical on 13 March 2025
引入可信开源数据库容器
不要再说 “云原生还很遥远” 了。Kubernetes 刚刚庆祝了其 10 周年纪念,在最新的 CNCF 年度调查中,76% 的受访者表示他们已经在大部分或全部产品开发和部署中采用了云原生技术,例如容器。云原生并不遥远 —— 它已经到来。
数据密集型工作负载也不例外。恰恰相反,Kubernetes 专家之声 2024 年报告发现,97% 的组织在云原生平台上运行数据工作负载,72% 的数据库和 67% 的分析服务在 Kubernetes 上运行。
数据库容器正在推动可扩展性、灵活性、操作简单性和成本方面的重大改进。但是,在容器上管理这样的状态管理解决方案(通常使用多个开源组件构建)也给站点可靠性工程师、平台工程师和首席信息安全官等带来了不小的难题。除了庞大的复杂性之外,由于不确定的映像来源、较大的攻击面和缺乏及时的 CVE 修复,容器还可能带来安全和合规风险,特别是当开发人员使用最新版本的开源组件自行构建它们时。
在这篇博客中,我们将解释 Canonical 如何解决数据容器困境。简而言之,我们创建了一个经过安全设计、数量最少且完全维护的数据应用程序容器映像产品组合,使组织能够享受云原生架构的全部优势,而不会影响安全性或增加运营复杂性。
Canonical 的数据库容器
在 Canonical,我们对维护开源软件略知一二,这是我们 20 多年来一直在做的事情。不仅仅是 Ubuntu,我们还维护着 36000 多个额外的软件包,它们来自更广泛的开源生态系统。现在,我们正在将同样的行业领先的专业知识扩展到数据应用程序容器。
这在实际操作中意味着什么呢?这意味着我们已经构建了企业级容器映像,按照行业最佳实践,以安全性为出发点进行设计;这意味着我们持续监控并快速解决影响容器的 CVE,平均在 24 小时内修复关键漏洞;这意味着我们用 Ubuntu Pro 维护和支持每个容器映像长达 12 年。
我们的数据库容器完全符合 OCI 标准,可以在任何符合 OCI 标准的平台上运行,包括 Azure Kubernetes Service(AKS)、Amazon Elastic Kubernetes Service (EKS)和 Red Hat OpenShift。更重要的是,它们可以在任何操作系统上运行。
我们的目标是为组织提供可信、安全设计和维护的开源容器的单一来源,他们可以放心地在生产中部署这些容器。您知道自己的映像来自哪里,也知道它们经过优化和一致的打包,更知道它们会定期收到更新和 CVE 补丁。
供应链安全从未如此重要,它是欧洲新的《网络弹性法案》(CRA)的核心,其他类似的法规很可能会随之出台。我们的容器在设计之初便将安全放在首位,使您能够正面满足这些标准的要求。
我们提供两种容器来满足不同用户的需求。一方面,我们拥有标准的 OCI 容器,其中包含了开发、调试和运行带有首选数据库的应用程序所需的一切。另一方面,我们提供受攻击面最小的超小型容器,我们称之为“chiseled”容器。
最小的容器,最小的攻击面
在容器的世界里,尺寸至关重要。容器映像越大,其攻击面就越大,越容易受到漏洞的攻击。考虑到这一点,我们已经创建了真正最小的数据库容器映像,称为 chiseled 容器。
基于 distroless 容器的概念,chiseled 容器只提供应用程序及其运行时的依赖项,没有其他操作系统级的软件包、实用程序或库。它们是无根容器,不包含软件包管理器或 shell。这使其占用面积最小,最多可减少传统容器攻击面的 80%。它们不同于通常的 distroless 容器,因为它们提供了更大的操作灵活性和与 Ubuntu 生态系统的兼容性。由于它们与基于 Ubuntu 的工作流和工具保持了很强的兼容性,它们非常适合已经在使用 Ubuntu 的企业,同时仍然能够在任何操作系统上运行。
我们以 Valkey 为例。一个完整的 Valkey 容器大约有 320MB,而剥离的 Valkey 只有 26.7MB。
chiselled 容器尺寸大幅减小,这从本质上减少了潜在漏洞和攻击媒介的数量,使其成为生产的理想选择。同时,映像的精简特性使得它们在 CI 管道中构建起来更轻、更快,并且在许多情况下性能更好。
您需要的一切都集于一个容器中
一个完全剥离的容器固然很好,但是对于大多数可扩展的用例而言,仅仅这样可能还不够。一些组织需要更全面的解决方案,包括工具、库、配置选项、生命周期管理和插件。对于这些场景,我们将 charms 与我们的容器集成在一起,利用软件操作者的优势来增强映像。
Charms 是与容器集成的完整解决方案,提供配置管理、监控、备份、高可用性和自动化工具,以及许多最流行的插件(如适用)。换句话说,您得到了一个完整的解决方案,它包括一组强大的容器以及运行和操作数据库所需的一切。
为您的用例自定义数据库容器
在云原生时代,企业通常需要自由构建自己的容器,以满足其独特的需求。一刀切的数据库容器配置无法满足每个组织的不同需求。通用容器映像的设计具有广泛的适用性,但它们可能缺少对您的工作负载至关重要的特定库或组件。通过组合自定义容器,企业可以确保他们的解决方案针对自己的用例进行了优化,并且符合他们的内部策略。
然而,维护自定义映像的安全性、一致性和稳定性是一项极具挑战且耗时的任务。这就是我们的容器构建服务的用武之地。
通过容器构建服务,我们的团队将为您需要的任何数据解决方案自定义最小化和优化的容器。我们将为您维护这些容器长达 12 年,其严格程度与我们保护 Ubuntu 和上述其他数据应用程序容器的严格程度相同。无论您的具体要求或用例如何,容器构建服务都能确保您从专业构建和安全维护的容器中受益。
订阅博客文章
查看更多内容
誏容器镜像在 “源头” 就得到安全维护
软件供应链安全已成为开发者、DevOps 工程师与 IT 领导者的首要痛点。高曝光数据泄露与依赖链渗透已证实,开源组件若未经严格审计与持续维护,可能构成安全威胁。尽管容器化技术已在现代开发部署体系中普及,但其在可复现性与安全防护方面仍存在固有缺陷。 容器构建方案亟需满足以下核心要求:部署简易性、运行安全性、构建可复现性,并能长期维护以应对新型威胁——这正是 Canonical 推出容器构建服务的根本动因。 开源安全挑战 开源软件(OSS)在企业环境中的应用正变得愈发普及。分析表明,开源软件约占所有在用软件的 70%,它已然不再是一种补充性组件,而实为现代应用程序的基石。更值得关注的是,据报告显示,97% 的商业代码库已集成某些开源软件组件,这足以彰显其实际地位之关键,已 […]
Canonical 官方构建版 OpenJDK – 正式发布
长久以来,Java 在大型企业级软件开发领域占据领军地位,90% 的《财富》500 强企业将其用于后端开发,尤其在金融、医疗及政府等关键行业。 相较于大多数开发者,Java 开发者更需要承担这样的任务:在实现新功能与满足遗留应用的安全性、稳定性和性能等关键要求之间取得平衡。管理不同的 Java 版本、安全更新及部署构件,面临极大的复杂度。 基于上述原因,我们决定加强对工具链的投入,提供一套更全面的解决方案,让企业用户和社区成员都能从中受益。Canonical 的 OpenJDK 支持方案围绕以下核心原则构建: 下面我们将针对上述各要素逐步展开深入探讨。 安全增强保障:提供长效安全保障与稳定运行支持 Ubuntu Pro 订阅服务为所有 OpenJDK LTS 构建版提供 […]
Livepatch 如何防范恶意行为者?
Canonical Livepatch 是一款专为平衡安全与运维便利而架构的安全补丁自动化工具,可为 Linux 内核提供免重启式安全更新。Livepatch 通过内核热补丁即时修复高危及严重安全漏洞(CVE),该修复效果可持续至下次软件包升级与系统重启生效前。系统管理员依托 Livepatch 为 Ubuntu 关键业务服务器提供安全加固,此类场景中安全防护具有至高优先级。 由于 Linux 内核是运行中系统的核心组件,一旦发生故障将导致整机停机。Canonical 通过双重安全架构严密封堵恶意代码注入风险,为内核热修补功能提供协同防护: 安全启动机制通过验证签名确保二进制文件的可信性,其必须由授信源签署。它通过阻止用户空间程序安装不受信的引导程序与二进制文件,实现对 […]