预装且完全维护的数据应用程序
by Canonical on 13 March 2025
引入可信开源数据库容器
不要再说 “云原生还很遥远” 了。Kubernetes 刚刚庆祝了其 10 周年纪念,在最新的 CNCF 年度调查中,76% 的受访者表示他们已经在大部分或全部产品开发和部署中采用了云原生技术,例如容器。云原生并不遥远 —— 它已经到来。
数据密集型工作负载也不例外。恰恰相反,Kubernetes 专家之声 2024 年报告发现,97% 的组织在云原生平台上运行数据工作负载,72% 的数据库和 67% 的分析服务在 Kubernetes 上运行。
数据库容器正在推动可扩展性、灵活性、操作简单性和成本方面的重大改进。但是,在容器上管理这样的状态管理解决方案(通常使用多个开源组件构建)也给站点可靠性工程师、平台工程师和首席信息安全官等带来了不小的难题。除了庞大的复杂性之外,由于不确定的映像来源、较大的攻击面和缺乏及时的 CVE 修复,容器还可能带来安全和合规风险,特别是当开发人员使用最新版本的开源组件自行构建它们时。
在这篇博客中,我们将解释 Canonical 如何解决数据容器困境。简而言之,我们创建了一个经过安全设计、数量最少且完全维护的数据应用程序容器映像产品组合,使组织能够享受云原生架构的全部优势,而不会影响安全性或增加运营复杂性。
Canonical 的数据库容器
在 Canonical,我们对维护开源软件略知一二,这是我们 20 多年来一直在做的事情。不仅仅是 Ubuntu,我们还维护着 36000 多个额外的软件包,它们来自更广泛的开源生态系统。现在,我们正在将同样的行业领先的专业知识扩展到数据应用程序容器。
这在实际操作中意味着什么呢?这意味着我们已经构建了企业级容器映像,按照行业最佳实践,以安全性为出发点进行设计;这意味着我们持续监控并快速解决影响容器的 CVE,平均在 24 小时内修复关键漏洞;这意味着我们用 Ubuntu Pro 维护和支持每个容器映像长达 12 年。
我们的数据库容器完全符合 OCI 标准,可以在任何符合 OCI 标准的平台上运行,包括 Azure Kubernetes Service(AKS)、Amazon Elastic Kubernetes Service (EKS)和 Red Hat OpenShift。更重要的是,它们可以在任何操作系统上运行。
我们的目标是为组织提供可信、安全设计和维护的开源容器的单一来源,他们可以放心地在生产中部署这些容器。您知道自己的映像来自哪里,也知道它们经过优化和一致的打包,更知道它们会定期收到更新和 CVE 补丁。
供应链安全从未如此重要,它是欧洲新的《网络弹性法案》(CRA)的核心,其他类似的法规很可能会随之出台。我们的容器在设计之初便将安全放在首位,使您能够正面满足这些标准的要求。
我们提供两种容器来满足不同用户的需求。一方面,我们拥有标准的 OCI 容器,其中包含了开发、调试和运行带有首选数据库的应用程序所需的一切。另一方面,我们提供受攻击面最小的超小型容器,我们称之为“chiseled”容器。
最小的容器,最小的攻击面
在容器的世界里,尺寸至关重要。容器映像越大,其攻击面就越大,越容易受到漏洞的攻击。考虑到这一点,我们已经创建了真正最小的数据库容器映像,称为 chiseled 容器。
基于 distroless 容器的概念,chiseled 容器只提供应用程序及其运行时的依赖项,没有其他操作系统级的软件包、实用程序或库。它们是无根容器,不包含软件包管理器或 shell。这使其占用面积最小,最多可减少传统容器攻击面的 80%。它们不同于通常的 distroless 容器,因为它们提供了更大的操作灵活性和与 Ubuntu 生态系统的兼容性。由于它们与基于 Ubuntu 的工作流和工具保持了很强的兼容性,它们非常适合已经在使用 Ubuntu 的企业,同时仍然能够在任何操作系统上运行。
我们以 Valkey 为例。一个完整的 Valkey 容器大约有 320MB,而剥离的 Valkey 只有 26.7MB。
chiselled 容器尺寸大幅减小,这从本质上减少了潜在漏洞和攻击媒介的数量,使其成为生产的理想选择。同时,映像的精简特性使得它们在 CI 管道中构建起来更轻、更快,并且在许多情况下性能更好。
您需要的一切都集于一个容器中
一个完全剥离的容器固然很好,但是对于大多数可扩展的用例而言,仅仅这样可能还不够。一些组织需要更全面的解决方案,包括工具、库、配置选项、生命周期管理和插件。对于这些场景,我们将 charms 与我们的容器集成在一起,利用软件操作者的优势来增强映像。
Charms 是与容器集成的完整解决方案,提供配置管理、监控、备份、高可用性和自动化工具,以及许多最流行的插件(如适用)。换句话说,您得到了一个完整的解决方案,它包括一组强大的容器以及运行和操作数据库所需的一切。
为您的用例自定义数据库容器
在云原生时代,企业通常需要自由构建自己的容器,以满足其独特的需求。一刀切的数据库容器配置无法满足每个组织的不同需求。通用容器映像的设计具有广泛的适用性,但它们可能缺少对您的工作负载至关重要的特定库或组件。通过组合自定义容器,企业可以确保他们的解决方案针对自己的用例进行了优化,并且符合他们的内部策略。
然而,维护自定义映像的安全性、一致性和稳定性是一项极具挑战且耗时的任务。这就是我们的容器构建服务的用武之地。
通过容器构建服务,我们的团队将为您需要的任何数据解决方案自定义最小化和优化的容器。我们将为您维护这些容器长达 12 年,其严格程度与我们保护 Ubuntu 和上述其他数据应用程序容器的严格程度相同。无论您的具体要求或用例如何,容器构建服务都能确保您从专业构建和安全维护的容器中受益。
订阅博客文章
查看更多内容
Ubuntu 20.04 LTS 标准支持周期终止 — 激活 ESM
ESM 确保设备集群的安全与运行性能 Focal Fossa 的标准支持周期将于 2025 年 5 月终止,也称生命周期终止(EOL)。Ubuntu 20.04 LTS 已然成为全球数百万物联网和嵌入式设备的关键组件,广泛应用于自助服务终端、数字引导牌、工业设备以及机器人系统等设备。该版本是医疗保健到制造业等各行业的企业进行创新的基础。与其他所有迎来标准支持周期终止的 Ubuntu LTS 版本一样,Focal Fossa 将转为扩展安全维护(EOL)模式。本文将为开发者和企业介绍相关选择,并说明如何启用 ESM 以持续获得支持。 在深入探讨之前,我们先来回顾一下 Ubuntu 版本为何存在生命周期终止(EOL)。 Ubuntu 版本为何存在 EOL? 每个 Ubuntu […]
2025 年第一季度芯片技术及设备发展概览
欢迎阅读由 Canonical 首次发布的芯片技术与设备季度发展概览。 在第一季度,边缘人工智能和网络安全领域频频传出重大消息。半导体和软件生态系统领域的各大公司都在着力于在边缘实现更强大、更高能效的人工智能模型,同时增强其安全性,以满足诸如欧洲《网络弹性法案》(CRA)等合规要求。许多政府和行业组织现在也要求汽车系统中必须采取网络安全措施。Canonical 于近期宣布获得 ISO 21434 认证。 在 Canonical,我们亲眼目睹到安全可靠的嵌入式人工智能驱动系统是如何给我们的客户带来显著影响。如今,创新速度加快,为了帮助您及时了解最新的行业趋势,我们精心整理了一份关于芯片技术与设备的最新发展概览。 Arm 发布首款 Armv9 边缘 AI 平台 首先让我们聚 […]
Canonical 发布 Ubuntu 25.04 Plucky Puffin
Ubuntu 的最新临时版本,引入了适用于如 Spring 等热门框架的“开发软件包”,同时在各种硬件设备上增强了性能。 发布日期:2025 年 4 月 17 日 Canonical 宣布发布 Ubuntu 25.04,代号“Plucky Puffin”,用户可前往 ubuntu.com/download 进行下载并安装。 Ubuntu 25.04 搭载最新的 GNOME 48 桌面环境,支持三重缓冲技术,提供更好的安装和启动体验。引入适用于 Spring 框架的“开发软件包”,进一步扩大了 Ubuntu 中的工具链可用性。Canonical 携手合作伙伴在芯片技术上取得的进步,不仅为 Intel GPU 上人工智能工作负载提升了性能,同时还支持 AMD SEV-SN […]