[10.14 Workshop] 容器 DevSecOps 全链路体验

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: DevOps的价值已经在软件开发企业间形成了共识,尤其在云原生时代,容器化架构与 DevOps 结合在一起,极大提升了企业研发效率。然而在快速迭代的背后,如果没有一个可信的软件供应链,很可能将安全风险引入生产环境,造成巨大的损失。本文将基于 ACR EE 的云原生应用交付链实践,介绍如何将安全内置在 DevOps 的流程,将流水线升级为 DevSecOps ,保障端到端的容器业务安全。

场景介绍

image.png

【漏洞风险识别,自动阻断】研发同学在代码迭代过程中,由于依赖错误的 Base Image,导致容器镜像存在高危风险。基于云原生应用交付链支持镜像的自动安全扫描及策略阻断。当安全策略没有通过后,研发同学应用的上线被中断,并收到一条通知信息。

【漏洞一键修复,自动交付】研发同学通过控制台一键修复漏洞,自动触发安全扫描。当安全策略验证通过后,会自动触发镜像的签名并交付至 ACK 部署。



前提条件

  • 创建一个 ACR EE 实例-高级版,相关操作,请参考创建企业版实例
  • 完成企业版实例的初始化操作,添加一个 VPC 作为云安全中心访问企业版实例的通道。相关操作,请参考配置 VPC 访问控制
  • 开通 Codeup 代码源,点击右侧添加库,选择导入代码库。在导入代码库的弹框中,选择 URL 导入。源代码库地址中填写:https://github.com/susanna8930/workshop 完成导入。



操作步骤

步骤一:绑定代码源

登录 Codeup 创建,点击个人设置,点击个人访问令牌。

  1. 个人访问令牌中,选择设置当前实验所需的最小权限。
  • 用户相关信息的只读权限:read:user
  • 代码库的只读权限:read:repo
  • 代码库分支的只读权限:read:repo:branch
  • 代码库标签的只读权限:read:repo:tag
  • 代码库Webhook的全部读写权限:read:repo:webhook、write:repo:webhook
  • 代码组的全部读权限:read:group
  • 企业相关信息的只读权限:read:org
  1. 个人信息中,对话框左侧导航栏单击 HTTPS 密码,查看克隆账号。获取对应的账号名。

登录 ACR 控制台,在代码源部分配置前面获取到的账号名个人访问令牌。

image.png


在代码源页面显示 Codeup 已绑定,则说明绑定成功。参考关于源代码绑定的帮助文档


步骤二:创建源代码仓库

  1. 在企业版实例管理页面左侧导航栏,选择仓库管理 > 镜像仓库,点击创建镜像仓库。
  2. 创建命名空间 demo,仓库名称 workshop,设置仓库类型为公开。(仅 Workshop 示意,不建议生产环境开启)。
  3. 选择预先导入的 Codeup 代码仓库默认开启代码变更自动构建镜像,点击创建镜像仓库
  4. 在镜像仓库页面,单击目标仓库右侧操作列中的管理。单击左侧导航栏中的构建,在构建规则设置区域单击添加规则,配置构建规则,然后单击确定
  1. 构建信息页面:选择 Branch 类型,从下拉框中选择 master 分支。
  2. 镜像版本页面:填写镜像版本 v1.0,点击保存。

image.png

创建完成后,可在源代码仓库查看对应的构建规则,点击立即构建,可从 Codeup 上拉取容器镜像进行构建。


步骤三:创建云原生应用交付链

  1. 在企业版实例管理页面左侧导航栏中选择云原生交付链 > 交付链
  2. 创建交付链页面基本信息区域,输入以下信息。
  • 交付链名称:设置交付链的名称。
  • (可选)交付链描述:设置交付链的基本描述。
  • 交付链作用范围:选择前面创建的源代码仓库。
  1. 在交付链的安全扫描节点,配置一下信息。
  1. 安全引擎:选择云安全中心安全引擎
  2. 是否阻断:选择阻断。
  3. 是否删除:选择不删除
  4. 漏洞等级:选择高危,漏洞个数:1个

image.png


步骤四:修改 Codeup 源代码,触发交付链自动构建及安全扫描

  1. Codeup,任意修改 hello-world.go 的文件内容。
  2. 在交付链的执行记录页面,查看当前交付链的执行情况。稍等片刻,发现交付链已被阻断,执行状态为取消

3. 点击操作详情,查看容器镜像的漏洞情况。


image.png


步骤五:一键修复容器镜像,再次触发交付链流程

  1. 点击一键修复,选择不覆盖,将以 _fixed 为后缀形成新的容器镜像版本。点击立即修复

image.png

2. 在交付链的执行记录页面,查看当前交付链的执行情况。稍等片刻,发现容器镜像已修复完成,顺着交付链完成了后续流程。

image.png

3. 点击安全扫描节点,发现镜像漏洞已经全部修复完成了。

image.png


总结

  • 【安全策略】容器安全防护需要“左移”,从容器供应链源头的构建阶段就保障镜像的内容安全可信。
  • 【DevSecOps】基于 ACR 云原生应用交付链,可将 DevOps 全面升级 DevSecOps。全链路可观测、可追踪、可自定义安全策略,保障端到端的容器业务安全。


附录

  • 完整 Demo 视频
  • 示意源代码仓库地址
相关实践学习
通过容器镜像仓库与容器服务快速部署spring-hello应用
本教程主要讲述如何将本地Java代码程序上传并在云端以容器化的构建、传输和运行。
Kubernetes极速入门
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 本课程从Kubernetes的简介、功能、架构,集群的概念、工具及部署等各个方面进行了详细的讲解及展示,通过对本课程的学习,可以对Kubernetes有一个较为全面的认识,并初步掌握Kubernetes相关的安装部署及使用技巧。本课程由黑马程序员提供。   相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
目录
相关文章
|
4月前
|
域名解析 Kubernetes 负载均衡
在K8S中,外部访问容器服务,比如说提供了一个域名,链路怎么走?数据经过哪些组件?
在K8S中,外部访问容器服务,比如说提供了一个域名,链路怎么走?数据经过哪些组件?
|
安全 Cloud Native 网络安全
容器DevSecOps全链路体验
本场景带您体验基于ACR EE的云原生应用交付链实践,如何将安全内置在DevOps的流程,将流水线升级为DevSecOps,保障端到端的容器业务安全。
|
域名解析 弹性计算 运维
带你读《企业级云原生白皮书项目实战》——3.3.1 入方向
带你读《企业级云原生白皮书项目实战》——3.3.1 入方向
137 0
带你读《企业级云原生白皮书项目实战》——3.3.1 入方向
|
安全 Cloud Native 算法
《云原生架构容器&微服务优秀案例集》——01 互联网——唱鸭 轻松玩转 DevSecOps,用 ACR EE 构建安全高效交付流程
《云原生架构容器&微服务优秀案例集》——01 互联网——唱鸭 轻松玩转 DevSecOps,用 ACR EE 构建安全高效交付流程
517 0
|
弹性计算 监控 Cloud Native
带你读《企业级云原生白皮书项目实战》——3.3.2 出方向(上)
带你读《企业级云原生白皮书项目实战》——3.3.2 出方向(上)
|
弹性计算 Cloud Native Perl
带你读《企业级云原生白皮书项目实战》——3.3.2 出方向(下)
带你读《企业级云原生白皮书项目实战》——3.3.2 出方向(下)
107 0
|
物联网 开发者 容器
《workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT--物联网端到端全链路开发》电子版地址
workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT--物联网端到端全链路开发
131 0
《workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT--物联网端到端全链路开发》电子版地址
|
物联网 开发者 容器
《workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT--RocketMQ》电子版地址
workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT--RocketMQ
67 0
《workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT--RocketMQ》电子版地址
|
Arthas 物联网 测试技术
《workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT-Java诊断利器Arthas排查问题实践》电子版地址
workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT-Java诊断利器Arthas排查问题实践
108 0
《workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT-Java诊断利器Arthas排查问题实践》电子版地址
|
Kubernetes Cloud Native 物联网
《workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT-PouchContainer + Kubernetes 云原生业务支持实践》电子版地址
workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT-PouchContainer + Kubernetes 云原生业务支持实践
172 0
《workshop专场--容器、消息&IoT专场-开发者动手实践营-容器、消息和IoT-PouchContainer + Kubernetes 云原生业务支持实践》电子版地址