Pivotal Cloud Foundry安全原理解析
云计算相关的技术差点儿都对传统网络架构和安全规则产生一定的冲击。Pivotal Cloud Foundry(PCF)也不例外,去年8月为了说服专业安全组织允许PaaS部署方案,特意为他们深入讲了下PCF的安全机制,尽管这种原理性的东西不符合开博的宗旨,可是为了防止大家也要说服这种组织,分享出来也算是云计算实务的一部分。只是说实话,个人以为既然我们開始拥抱云计算和大数据,那在安全上就应该有新的认识和实践。
本文是基于PCF1.2进行的说明,如今的版本号里Availability Zone和App Security Group都已经是存在的功能了。首先给出PCF的系统结构图,用于在下文进行说明时进行对比。然后将以条目的格式列举PCF安全原理的所有要点。
- 外部应用訪问PCF应用仅通过HAProxy的IP,PCF应用訪问外部应用通过DEA的IP或者DEA被SNAT之后的IP。要说明的是。PCF自带的负载均衡器为开源软件HAProxy,可是支持使用不论什么自由的负载均衡器,即下图中的Load Balancer的位置。
- warden与不论什么其它部分(同一host上的其它warden、不同host上的warden、PCF组件、service instance、PCF外部应用)均需先NAT成所在host的IP。
- warden们互相是不知道对方的存在,每一个warden都用255.255.255.252为掩码的网络与主机联系。主机们的iptables保证不会将一个warden连到还有一个warden。
- warden所在主机的iptables保证它仅仅能訪问特定的PCF组件。而不能訪问其它的组件。
- PCF的服务绑定机制通过主机iptables保证仅仅有合法应用才干訪问服务。
- Host的iptables保证了除了router谁也没法訪问warden。
- PCF通过ORG上的角色Manager/Auditor、SPACE上的角色Manager/Developer/Auditor保证了授权用户才干管理应用。
- HAProxy的作用是SSL和负载均衡http请求到router上,所有相应用訪问造成的数据通讯都须要通过router,在CC的帮助下,router将请求放到正确的应用实例上。假设应用指定了jseesionid,则router会尽量保证请求被路由到同一个应用实例上。
- PCF内部组件通讯均通过订阅公布式消息队列,互相之间不做网络通讯,其訪问控制均通过iptables实现。即使没有app security group功能,仍然能够通过登录到OS中。改动iptables来改变安全策略(默认的安全策略是all deny,东西向全不通)。Security group给了一个用户接口去改动这些策略。
- Availability Zone从资源池层面攻克了网络隔离,应用实例,各个服务实例均可依照原有的网络规划放置。可是弹性执行环境还是仅仅能在一个zone里。
- PCF可通过syslog的方式将组件日志和应用日志均公布出来。用于安全审计。
转载于:https://www.cnblogs.com/yfceshi/p/7141118.html
Pivotal Cloud Foundry安全原理解析相关推荐
- 开发者的福利:Cloud Foundry
Cloud Foundry是一个流行的开源平台即服务(PaaS).Cloud Foundry可以在您自己的部署基础架构上使用,也可以在腾讯云 Web服务,VMware或vSphere等任何IaaS(I ...
- 从开发者的角度比较Kubernetes和Cloud Foundry
[编者的话]本文从一个开发者的角度,对Kubernetes和Cloud Foundry进行了多维度的比较,包括:平台是否类PaaS,支持的容器,管理控制台,命令行接口,零宕机部署,外部负载均衡,内部负 ...
- [PaaS] 深入 Cloud Foundry(一)构架 (转载)
转载地址:http://qing.weibo.com/2294942122/88ca09aa330004r8.html 深入 Cloud Foundry(一)构架 EMC中国研究院高级研究员 彭麟 ...
- Cloud foundry基础
VMware突然发布了业内第一个开源的PaaS--CloudFoundry. 第一部份主要介绍CloudFoundry的架构设计,从它所包含的模块介绍起,到各部份的消息流向,各模块如何协调合作; 第二 ...
- travis-ci自动部署_如何使用Travis CI部署(几乎)零恐惧的Cloud Foundry应用
travis-ci自动部署 by Robin Bobbitt 罗宾·波比(Robin Bobbitt) 如何使用Travis CI部署(几乎)零恐惧的Cloud Foundry应用 (How to d ...
- Cloud Foundry中warden的网络设计实现——iptable规则配置
在Cloud Foundry v2版本号中,该平台使用warden技术来实现用户应用实例执行的资源控制与隔离. 简要的介绍下warden,就是dea_ng假设须要执行用户应用实例(本文暂不考虑ward ...
- 如何在腾讯云上安装Cloud Foundry
Cloud Foundry是VMware推出的业界第一个开源PaaS云平台,它支持多种框架.语言.运行时环境.云平台及应用服务,使开发人员能够在几秒钟内进行应用程序的部署和扩展,无需担心任何基础架构的 ...
- cloud foundry_实际的Reactor操作–检索Cloud Foundry应用程序的详细信息
cloud foundry CF-Java-Client是一个库,可通过程序访问Cloud Foundry Cloud Controller API . 它建立在Project Reactor之上,它 ...
- cloud foundry_将Spring Boot应用程序绑定到Cloud Foundry中的服务的方法
cloud foundry 如果要试用Cloud Foundry ,最简单的方法是下载出色的PCF开发人员或在Pivotal Web Services站点上创建试用帐户. 其余文章假定您已经安装了Cl ...
- 实际的Reactor操作–检索Cloud Foundry应用程序的详细信息
CF-Java-Client是一个库,可通过程序访问Cloud Foundry Cloud Controller API . 它建立在Project Reactor之上,它是Reactive Stre ...
最新文章
- 超强图文|并发编程【等待/通知机制】就是这个feel~
- 2021年就业力排名TOP10的英国大学
- 转载:介绍几本专业的书籍,一起学习
- GDB Watchpoints
- 找不到元数据文件“ .dll”
- deque python_python3 deque(双向队列)的详细介绍
- php局部缓存,Smarty局部缓存的几种方法简介_php实例
- xp系统打印服务器自动关闭,WinXP系统Print spooler自动关闭如何解决?
- 图论及其应用:第二次作业
- 电机控制基础之坐标变换(Clark变换及反变换 + Park变换及反变换 + 推导 + 仿真)
- 将计算机与局域网互连 需要_,计算机与局域网连接需要的硬件是什么
- 使用关键字搜索公众号文章,
- 【极客时间】左耳听风
- LaTeX论文图片排版
- m基于PSO粒子群优化的柔性制造系统AGV调度模型matlab仿真
- 毕业论文格式要求 题注修改
- “微信”带来的新启示
- 带通滤波器中心频率计算公式中R是哪个值_【火腿专题】三个零件组成矿石收音机的惊喜,LC电路谐振频率换算及零件选购是关键...
- 激活 ActiveX 控件
- python计算相似矩阵