简介

企业在上云过程，面临将全部或一部分私有基础设施替换成公有基础设施的转变，毫无疑问应用容器化可以解决平滑迁移的问题，用户的疑虑主要在安全运行方面，即如何保证上云的容器实例，其安全性不低于甚至还要高于私有环境，不同的公有云容器服务是否存在安全上的差异，如何评估计算、网络、存储等安全机制。结合我们将淘系的各种内部服务搬上阿里云的实践，比如Flink等产品，它们颇具典型性，既是云基础设施的用户又是高阶云服务，充分利用了公共云安全加固措施，本文主要介绍了如何将内部服务搬上公有云，打造足够安全的多租企业集群的一些实践，对业界相信有极大的借鉴意义。

课程收益

1. 目标

通过本次分享，了解更多容器领域的安全实践，为企业用户转型上云提供一些经验和指导

2. 成功（或教训）要点：

从视图到运行机制的多层次安全加固，形成防御纵深；

创造性的扩展K8s核心组件，保持网络隔离的前提下，仍然支持Service原生语义；

3.启示

了解K8s 集群视图隔离机制，如Visual Cluster，View 与 Resource分离的理念

了解普通runC容器如何进行安全增强，基于标准容器及Pod配置，无需定制开发

了解kata及gVisor两类安全容器的安全设计及特点

了解网络及存储隔离带来的挑战及应对措施

受众人群

容器架构师、架构师、安全工程师

课程时长

1天（6H）

分享提纲