预装且完全维护的数据应用程序
by Canonical on 13 March 2025
引入可信开源数据库容器
不要再说 “云原生还很遥远” 了。Kubernetes 刚刚庆祝了其 10 周年纪念,在最新的 CNCF 年度调查中,76% 的受访者表示他们已经在大部分或全部产品开发和部署中采用了云原生技术,例如容器。云原生并不遥远 —— 它已经到来。
数据密集型工作负载也不例外。恰恰相反,Kubernetes 专家之声 2024 年报告发现,97% 的组织在云原生平台上运行数据工作负载,72% 的数据库和 67% 的分析服务在 Kubernetes 上运行。
数据库容器正在推动可扩展性、灵活性、操作简单性和成本方面的重大改进。但是,在容器上管理这样的状态管理解决方案(通常使用多个开源组件构建)也给站点可靠性工程师、平台工程师和首席信息安全官等带来了不小的难题。除了庞大的复杂性之外,由于不确定的映像来源、较大的攻击面和缺乏及时的 CVE 修复,容器还可能带来安全和合规风险,特别是当开发人员使用最新版本的开源组件自行构建它们时。
在这篇博客中,我们将解释 Canonical 如何解决数据容器困境。简而言之,我们创建了一个经过安全设计、数量最少且完全维护的数据应用程序容器映像产品组合,使组织能够享受云原生架构的全部优势,而不会影响安全性或增加运营复杂性。
Canonical 的数据库容器
在 Canonical,我们对维护开源软件略知一二,这是我们 20 多年来一直在做的事情。不仅仅是 Ubuntu,我们还维护着 36000 多个额外的软件包,它们来自更广泛的开源生态系统。现在,我们正在将同样的行业领先的专业知识扩展到数据应用程序容器。
这在实际操作中意味着什么呢?这意味着我们已经构建了企业级容器映像,按照行业最佳实践,以安全性为出发点进行设计;这意味着我们持续监控并快速解决影响容器的 CVE,平均在 24 小时内修复关键漏洞;这意味着我们用 Ubuntu Pro 维护和支持每个容器映像长达 12 年。
我们的数据库容器完全符合 OCI 标准,可以在任何符合 OCI 标准的平台上运行,包括 Azure Kubernetes Service(AKS)、Amazon Elastic Kubernetes Service (EKS)和 Red Hat OpenShift。更重要的是,它们可以在任何操作系统上运行。
我们的目标是为组织提供可信、安全设计和维护的开源容器的单一来源,他们可以放心地在生产中部署这些容器。您知道自己的映像来自哪里,也知道它们经过优化和一致的打包,更知道它们会定期收到更新和 CVE 补丁。
供应链安全从未如此重要,它是欧洲新的《网络弹性法案》(CRA)的核心,其他类似的法规很可能会随之出台。我们的容器在设计之初便将安全放在首位,使您能够正面满足这些标准的要求。
我们提供两种容器来满足不同用户的需求。一方面,我们拥有标准的 OCI 容器,其中包含了开发、调试和运行带有首选数据库的应用程序所需的一切。另一方面,我们提供受攻击面最小的超小型容器,我们称之为“chiseled”容器。
最小的容器,最小的攻击面
在容器的世界里,尺寸至关重要。容器映像越大,其攻击面就越大,越容易受到漏洞的攻击。考虑到这一点,我们已经创建了真正最小的数据库容器映像,称为 chiseled 容器。
基于 distroless 容器的概念,chiseled 容器只提供应用程序及其运行时的依赖项,没有其他操作系统级的软件包、实用程序或库。它们是无根容器,不包含软件包管理器或 shell。这使其占用面积最小,最多可减少传统容器攻击面的 80%。它们不同于通常的 distroless 容器,因为它们提供了更大的操作灵活性和与 Ubuntu 生态系统的兼容性。由于它们与基于 Ubuntu 的工作流和工具保持了很强的兼容性,它们非常适合已经在使用 Ubuntu 的企业,同时仍然能够在任何操作系统上运行。
我们以 Valkey 为例。一个完整的 Valkey 容器大约有 320MB,而剥离的 Valkey 只有 26.7MB。
chiselled 容器尺寸大幅减小,这从本质上减少了潜在漏洞和攻击媒介的数量,使其成为生产的理想选择。同时,映像的精简特性使得它们在 CI 管道中构建起来更轻、更快,并且在许多情况下性能更好。
您需要的一切都集于一个容器中
一个完全剥离的容器固然很好,但是对于大多数可扩展的用例而言,仅仅这样可能还不够。一些组织需要更全面的解决方案,包括工具、库、配置选项、生命周期管理和插件。对于这些场景,我们将 charms 与我们的容器集成在一起,利用软件操作者的优势来增强映像。
Charms 是与容器集成的完整解决方案,提供配置管理、监控、备份、高可用性和自动化工具,以及许多最流行的插件(如适用)。换句话说,您得到了一个完整的解决方案,它包括一组强大的容器以及运行和操作数据库所需的一切。
为您的用例自定义数据库容器
在云原生时代,企业通常需要自由构建自己的容器,以满足其独特的需求。一刀切的数据库容器配置无法满足每个组织的不同需求。通用容器映像的设计具有广泛的适用性,但它们可能缺少对您的工作负载至关重要的特定库或组件。通过组合自定义容器,企业可以确保他们的解决方案针对自己的用例进行了优化,并且符合他们的内部策略。
然而,维护自定义映像的安全性、一致性和稳定性是一项极具挑战且耗时的任务。这就是我们的容器构建服务的用武之地。
通过容器构建服务,我们的团队将为您需要的任何数据解决方案自定义最小化和优化的容器。我们将为您维护这些容器长达 12 年,其严格程度与我们保护 Ubuntu 和上述其他数据应用程序容器的严格程度相同。无论您的具体要求或用例如何,容器构建服务都能确保您从专业构建和安全维护的容器中受益。
订阅博客文章
查看更多内容
NIS2 合规综合指南:第 1 部 — 了解 NIS2 及其范围
欧盟 NIS2 指令呼吁加强整个欧盟的网络安全,目前已在所有成员国生效。在这个由三部分组成的博客系列中,我将解释 NIS2 是什么,并帮助您了解它是否适用于贵公司,以及如何才能符合 NIS2。 在第一部分中,我将介绍 NIS2 是什么以及其与其前身 NIS 的区别和适用性,帮助您理解并判断它是否与您的公司相关。 NIS2简介 欧盟指令 2022/2555 或《网络和信息系统指令》(以下通常称为 NIS2 或欧盟 NIS2)是一项新的欧盟法规,适用于所有欧盟成员国,其目标是实现高水平的网络安全。该法规更新了 2016 年颁布的《网络和信息系统指令》(NIS 或 NIS1),并授权成员国对在欧盟地区提供关键服务的实体采用并严格执行更严格的网络安全要求。除非您的公司被视为小型/ […]
Ubuntu 全面支持 Azure Cobalt 100 虚拟机
Ubuntu 和 Ubuntu Pro 支持 Microsoft 的 Azure Cobalt 100 虚拟机(VM),由其首个内部设计的 64 位 Arm 处理器提供支持。凭借 Ubuntu 广泛的 Arm 兼容性,用户可以放心地使用这些虚拟机部署他们的工作负载。 全面的 Arm 软件包支持 Ubuntu 通过编译和测试该架构 Ubuntu 存档中超过 95% 的软件包,确保采用这些新虚拟机的用户获得无缝体验。这种广泛的兼容性使开发人员和企业能够运行他们喜欢的工具和应用程序,而无需进行任何妥协。 为多样化的工作负载做好准备 Azure Cobalt 100 虚拟机非常适合各种要求苛刻的工作负载,包括: 此外,这些虚拟机在支持 Anbox Cloud 部署方面表现出色,为 […]
什么是 5G Edge 和多接入边缘计算?
简介 5G 边缘通过显著增强网络性能、让计算能力更贴近用户、大幅减少延迟、实现更快更高效的服务,正在彻底改变电信行业。这一进步对于不同领域的各种应用至关重要,包括智能城市、自动驾驶汽车、医疗保健和工业自动化。 在实践中,5G 边缘指的是在网络边缘部署小型分布式数据中心和处理单元,更接近最终用户和生成数据的设备。这些边缘数据中心不仅承载一些关键的 5G 网络功能,还充当通往包括互联网在内的其他网络的网关。通过在本地处理数据处理和路由,它们能够为在地域上彼此接近的用户和设备提供响应更快、效率更高的网络服务。 另一方面,多接入边缘计算(MEC)是一种补充技术,将云计算能力引入网络边缘。MEC 允许在这些边缘位置直接部署应用和服务,从而在生成数据时快速处理数据。这减少了数据返回中 […]