Docker EE 2.0 助力 Kubernetes，打造安全的供應鏈體系

本文首發自「Docker公司」公衆號（ID：docker-cn）
編譯丨小東
每週1、3、五 與您不見不散！

上週，KubeCon 歐洲大會在哥本哈根的成功舉辦，讓咱們來回顧那些在 Docker 和 Kubernetes 讀者中最受歡迎的帖子吧。對於那些尚未嘗試過 Docker EE 2.0 版本的用戶來講，這篇文章將重點介紹 Docker EE 2.0 版本如何爲 Kubernetes 提供安全的供應鏈。

上個月，Docker 揭曉了 Docker 企業版（EE）2.0 版本 —— 惟一的企業級容器平臺（更多有關 Docker EE 2.0 版本的信息請參考下列文章），它集成了 Kubernetes 編排，可讓其與 Swarm 並行運行，併爲運行在本地或雲端的遺留和新的應用程序提供統一的容器平臺支持。對於正在探索 Kubernetes 或正在將其部署到生產環境的組織來講，Docker EE 爲容器化應用程序的整個生命週期提供了完整的安全保障，在Kubernetes部署工做負載以前提供額外的安全層，並在應用程序運行過程當中提供持續的保護。

什麼是軟件供應鏈？

當您從零售商店購買產品時，實際上是由一條完整的供應鏈支撐，即從原材料到製造商，再由製造商加工成產品後到零售商店，最後再到您的手中。一樣的，軟件也有一條完整的供應鏈，它將應用程序的代碼從開發者筆記本上面遷移到生產環境中。

 

每家公司的軟件供應鏈可能都略有不一樣：一些選擇外包軟件開發、一些採用持續集成和持續交付流程、一些採用跨多個雲端部署生產應用程序，還有一些在本地部署。不管軟件供應鏈包含了什麼內容，Docker EE 都提供了一整套解決方案，確保應用程序在使用 Kubernetes 和 Swarm 的全部步驟時仍然可信和安全。

在本文中，咱們將更深刻地瞭解這個解決方案中的一個重要部分 —— 即鏡像掃描和基於策略的鏡像提高。

安全、自動化的Kubernetes 工做流程

在應用程序部署到生產環境以前，組織一般但願知道這個應用程序已經沒有任何已知的漏洞，這些漏洞一般來自於該軟件以前的版本或未打補丁的版本。就算對於大型組織來講，爲他們運行中的每一個應用程序（而且可能受到新漏洞的影響）保留一份完整的漏洞記錄也是一件很困難的事。

而 Docker EE 提供了鏡像安全掃描功能，該功能能夠幫助組織在應用程序部署到生產環境以前識別已知漏洞，並在新漏洞影響到現有應用程序時向您提示。該功能是針對 NIST 發佈的已知漏洞列表來爲您的鏡像執行一個二進制級別的鏡像掃描。以下圖所示，該功能能夠完全掃描鏡像的每一個層，並提供工做負載的詳細信息。