让业务容器化更安全便捷,阿里云容器镜像服务 ACR 推出免费制品中心

本文涉及的产品
应用实时监控服务-用户体验监控,每月100OCU免费额度
性能测试 PTS,5000VUM额度
注册配置 MSE Nacos/ZooKeeper,118元/月
简介: 让业务容器化更安全便捷,阿里云容器镜像服务 ACR 推出免费制品中心

作者:容器镜像服务团队


伴随着企业 IT 数字化转型演变的进程,越来越多的企业采用云原生化架构升级的方式,改善应用开发运维迭代的效率,加速企业业务创新;改进资源弹性管理和迁移的效率,帮助企业降本增效。


将业务进行容器化改造并打包成容器镜像是云原生化实践的第一步,为了使企业开发者更简便地打造云原生应用交付流程,2023 年 1 月,阿里云容器镜像服务 ACR 正式推出“云原生制品中心”, 为容器开发者免费提供了来源于阿里云官方、龙蜥社区的安全可信容器基础镜像。


企业容器镜像常见风险


很多企业会依靠来自公开平台的容器基础镜像来打包,这存在以下的问题:


安全风险肆意:以全球最大规模的公共容器镜像平台 Docker Hub 为例,据文献[1]分析其中 2500 个镜像后发现,高达 82% 被认证的容器镜像至少包含 1 个高危漏洞,不含漏洞的容器镜像仅占比 17.8%。攻击者可能利用组件中存在的漏洞,注入恶意代码或控制第三方机器环境,执行从加密货币挖矿、发送垃圾邮件、到通过大型僵尸网络发起 DDoS 攻击。


无法便捷获取:以 Docker 公司的政策约束[2],2020 年 11 月 01 日起将逐步向 Docker Hub 匿名和免费用户实施速率和拉取请求次数限制。国内的客户由于网络和性能限制,无法便捷高效、大规模拉取对应的容器基础镜像,甚至导致 K8s 上节点卡住其他业务镜像运行。


缺少维护及优化:大多公共容器镜像平台都缺少对镜像上软件包的持续维护更新、问题修复、新功能支持等。并且容器镜像都是面向通用的应用环境,缺少对各类业务场景的性能优化,无法让客户更高效利用底层基础设施的能力。


阿里云 ACR 云原生制品中心


为了解决以上的问题,阿里云容器镜像服务(ACR)推出了云原生制品中心,为容器开发者免费提供了来源于阿里云官方、龙蜥社区的安全可信容器基础镜像。包含应用容器化基础 OS 镜像、基础语言镜像、AI/大数据相关镜像类别,覆盖 ARM、ARM 64、x64、x86-64 多种系统架构,让您业务容器化过程更加便捷高效、更加安全可信。

image.png

内容安全可信

容器镜像均以 Anolis OS(Anolis OS由龙蜥开源社区发布的龙蜥操作系统,兼容 RHEL/CentOS  Linux的社区发行版)、Alibaba Cloud Linux(Alibaba Cloud Linux 简称 Alinux,是由阿里云操作系统团队以 Anolis OS 为基础构建的阿里云操作系统发行版)为基础镜像。在上层软件包来源上,阿里云操作系统团队及龙蜥社区会定期对镜像中软件包进行定期 CVE 修复,从软件供应链的源头保障容器业务的安全。


便捷使用支持

  • 大规模分发:阿里云云原生制品中心本身基于 ACR 企业版实例搭建,支持容器镜像、Helm Chart 等符合 OCI 标准的云原生制品安全托管及高效分发,支持千节点的分发,确保您大规模拉取及使用体验。
  • 镜像订阅:如果同时您的业务镜像也放在 ACR 企业版实例上,您可以使用制品订阅功能,订阅制品中心的镜像,满足订阅规则的容器镜像版本将会被自动同步到企业版实例的目标仓库中。


长期维护支持

  • 阿里云官方:来源于阿里云官方的容器镜像,将由阿里云确保对应的镜像版本更新及镜像安全修复。您可以通过加入钉钉群,享受由阿里云提供的技术支持服务。(钉钉群号:33605007047)
  • 龙蜥社区:来源于龙蜥社区的容器镜像,将由龙蜥社区确保对应的镜像版本更新及镜像安全修复。有相关问题咨询,您可以直接通过龙蜥社区渠道反馈,阿里云将会协助您与龙蜥社区间的咨询。(钉钉群号:44701621)


优质容器镜像推荐


  • Alibaba Cloud Linux 2/3

image.png

Alibaba Cloud Linux 是阿里云基于龙蜥社区(OpenAnolis)的龙蜥操作系统(Anolis OS)打造的操作系统发行版,在兼容 RHEL/CentOS 生态的同时,为云上应用程序提供安全、稳定、高性能的定制化运行环境。Alinux2/Alinux3 容器镜像中用户态软件包保持与新版 CentOS 兼容,为保障系统的安全性,会紧密跟进业界与社区发现的软件包问题及安全漏洞(CVE),及时更新修复软件缺陷和修补安全漏洞,确保容器镜像的内容完整安全。

  • Dragonwell

image.png

Alibaba Dragonwell 是阿里巴巴开源的 JDK,它是 OpenJDK 的下游,提供了 OpenJDK 的所有能力,并且通过 AdopeOpenJDK 社区进行构建发布,提供高质量的经过测试验证的 JDK 发行版。除了 OpenJDK 已有功能外,Alibaba Dragonwell 还增加了以下独有特性:


  • JWarmup:根据前一次程序运行的情况,记录下热点方法、类编译顺序等信息,在应用下一次启动的时候积极加载相关的类,并积极编译相关的方法,进而应用启动后可以直接运行编译好的 Java 代码。
  • JFR:Java Flight Recorder (JFR) 是一款用于收集 Java 应用运行过程中的诊断及性能数据的工具,目前已经被集成进 Alibaba Dragonwell 中。在使用默认配置的情况下,JFR 带来的额外开销将小于 2%,因此可以用在生产环境。
  • Wisp 协程:Wisp 在 JVM 上提供了一种用户态的线程实现。开启 Wisp2 后,Java 线程不再简单地映射到内核级线程,而是对应到一个协程,JVM 在少量内核线上调度大量协程执行,以减少内核的调度开销,提升 web 服务器的性能。

  • Golang/Nginx

image.png

基于 Anolis OS 构建的 golang 语言镜像、nginx 应用镜像,可以让用户开箱即用的搭建业务容器镜像。龙蜥社区上基础应用软件包,如 nginx,也是会紧密跟进业界与社区发现的软件包问题及安全漏洞,及时更新修复软件缺陷和修补安全漏洞,确保容器镜像的内容完整安全。

  • 倚天优化镜像 mysql/redis

image.png

基于 Alinux3 的倚天优化镜像,主要是在镜像中集成了智能优化调优软件 KeenTune,KeenTune(轻豚)是一款 AI 算法与专家知识库双轮驱动的操作系统全栈式智能优化产品,提供 CPU、内存、IO、网络等领域的调优解决方案。在典型业务场景,倚天优化镜像在 g8y.2xlarge 规格上验证,大部分场景可以带来20% 以上的性能提升。其中 mysql 在 write only 场景有30%左右提升,redis 在 set/get 等场景都有 30% 左右的性能提升。


让云原生化转型进程更安全、更便捷、更高效

阿里云容器镜像服务将持续与龙蜥社区合作,在近期将陆续提供高频使用的容器基础镜像 50 个,包含应用容器镜像 influxdb、tomcat、consul 等,其中部分应用镜像将集成 Keentune 智能调度优化能力。同时我们也期待更多 ISV 或者开源软件愿意加入我们的合作伙伴计划,您可以通过留言与我们联系。希望我们能打造内容丰富、安全可信的云原生制品生态,让众多容器开发者更放心、更便捷、更高效的实现云原生化转型。


参考文献

[1] WIST K, HELSEM M, GLIGOROSKI D. Vulnerability analysis of 2500 docker hub images[M]//DAIMI K, ARABNIAHR, DELIGIANNIDISL, et al. Advances in security, networks, and Internet of things. Cham:Springer,2021:307-327.

[2] https://docs.docker.com/docker-hub/download-rate-limit/


点击此处,直达阿里云 ACR 云原生制品中心

相关实践学习
通过容器镜像仓库与容器服务快速部署spring-hello应用
本教程主要讲述如何将本地Java代码程序上传并在云端以容器化的构建、传输和运行。
Kubernetes极速入门
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 本课程从Kubernetes的简介、功能、架构,集群的概念、工具及部署等各个方面进行了详细的讲解及展示,通过对本课程的学习,可以对Kubernetes有一个较为全面的认识,并初步掌握Kubernetes相关的安装部署及使用技巧。本课程由黑马程序员提供。   相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
相关文章
|
5月前
|
敏捷开发 Kubernetes 测试技术
阿里云云效产品使用问题之 拉取阿里云acr仓库的镜像时,配置内网地址还是公网地址
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
|
2月前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
针对软件供应链的攻击事件在以每年三位数的速度激增,其中三方或开源软件已经成为攻击者关注的重要目标,其攻击方式和技术也在不断演进。通过供应链的传播,一个底层软件包的漏洞的影响范围可以波及世界。企业亟需更加标准和完善的供应链风险洞察和防护机制。本文将结合最佳实践的形式,面向容器应用完整的生命周期展示如何基于容器服务ACK/ACR/ASM助力企业构建云原生软件供应链安全。
|
3月前
|
运维 Devops
阿里云云效操作报错合集之创建镜像仓库时遇到报错,是什么导致的
本合集将整理呈现用户在使用过程中遇到的报错及其对应的解决办法,包括但不限于账户权限设置错误、项目配置不正确、代码提交冲突、构建任务执行失败、测试环境异常、需求流转阻塞等问题。阿里云云效是一站式企业级研发协同和DevOps平台,为企业提供从需求规划、开发、测试、发布到运维、运营的全流程端到端服务和工具支撑,致力于提升企业的研发效能和创新能力。
阿里云云效操作报错合集之创建镜像仓库时遇到报错,是什么导致的
|
2月前
|
云安全 安全 Serverless
Serverless 安全新杀器:云安全中心护航容器安全
Serverless 安全防护能力除了支持目前既定的等保合规(漏洞扫描、入侵检测、基线检测等)、安全隔离的能力外还支持 WAF 防火墙、支持通信加密、操作审计、权限管控等能力,也正是有了这些能力的加持,SAE 才能很好的服务了金融、政企、医疗等行业的客户;Serverless(SAE)未来还计划规划更多安全能力为企业保驾护航,包括:代码安全扫描、加密、堡垒机、最小权限、身份与访问管理、以及更多的攻击防护等能力的建设。
|
3月前
|
存储 运维 数据安全/隐私保护
如何高效利用阿里云Docker镜像仓库管理您的容器镜像
如何高效利用阿里云Docker镜像仓库管理您的容器镜像
|
3月前
|
安全 算法 Java
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
这篇文章讨论了Java集合类的线程安全性,列举了线程不安全的集合类(如HashSet、ArrayList、HashMap)和线程安全的集合类(如Vector、Hashtable),同时介绍了Java 5之后提供的java.util.concurrent包中的高效并发集合类,如ConcurrentHashMap和CopyOnWriteArrayList。
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
|
3月前
|
弹性计算 Docker 容器
创建阿里云镜像仓库imagePullSecrets
创建阿里云镜像仓库imagePullSecrets
|
4月前
|
Kubernetes 持续交付 Python
Kubernetes(通常简称为K8s)是一个开源的容器编排系统,用于自动化部署、扩展和管理容器化应用程序。
Kubernetes(通常简称为K8s)是一个开源的容器编排系统,用于自动化部署、扩展和管理容器化应用程序。
|
4月前
|
Kubernetes Cloud Native 持续交付
云原生架构的核心组成部分通常包括容器化(如Docker)、容器编排(如Kubernetes)、微服务架构、服务网格、持续集成/持续部署(CI/CD)、自动化运维(如Prometheus监控和Grafana可视化)等。
云原生架构的核心组成部分通常包括容器化(如Docker)、容器编排(如Kubernetes)、微服务架构、服务网格、持续集成/持续部署(CI/CD)、自动化运维(如Prometheus监控和Grafana可视化)等。
|
5月前
|
Cloud Native 安全 Docker
云上攻防-云原生篇&Docker安全&系统内核&版本&CDK自动利用&容器逃逸
云上攻防-云原生篇&Docker安全&系统内核&版本&CDK自动利用&容器逃逸
121 5

相关产品

  • 容器镜像服务
  • 下一篇
    无影云桌面