云原生 | T Wiki
以下大部分內容參考了這篇文章
什么是云原生
云原生(Cloud Native)
“云原生”可以從字面上拆解為“云”和“原生”兩個部分來理解:
- “云”,是相對于“本地”而言的。傳統應用部署在本地數據中心或物理服務器上,而“云”指的是基于云計算平臺(如公有云、私有云或混合云)運行的環境;
- “原生”,意味著“出生于…的環境”,在這里則表示這些應用從設計之初就為云環境而生,能充分利用云平臺的彈性、分布式、自動化等特性。
如果只是把傳統應用從本地“搬遷”到云端運行,雖然名義上實現了“上云”,但它們的架構和運維方式依然保留著本地部署的思維,這類系統常被戲稱為“上云的拆遷戶”;而真正的“云原生”系統,是指那些從一開始就為了云環境設計、構建和優化的應用系統,它們才是“云的原住民”。
CNCF(云原生計算基金會)對云原生的定義:
云原生技術有助于組織在公有云、私有云和混合云等新型動態環境中構建和運行可彈性擴展的應用程序。
代表性技術包括:容器、服務網格、微服務架構、不可變基礎設施和聲明式 API。
這些技術能夠構建容錯性強、易于管理、可觀測性好的松耦合系統,并借助可靠的自動化能力,支持高頻率、可預測的系統變更。
云原生系統的典型特征:
| 特征 | 簡要說明 |
| 輕量化基礎設施 | 以容器為核心,基礎設施不可變、便于交付和回滾。 |
| 彈性編排能力 | 使用如 Kubernetes 等平臺進行自動部署、擴縮容與自愈。 |
| 開發運維一體化(DevOps) | 快速迭代、持續交付,實現開發、測試、運維協同。 |
| 可觀測性強 | 支持日志、指標、追蹤等多維度觀測與監控能力。 |
| 微服務架構 | 解耦業務模塊,提升系統擴展性與可維護性。 |
| 無服務器架構(Serverless) | 按需運行函數邏輯,不需關心底層服務器。 |
云原生安全(Cloud Native Security)
在理解了云原生架構的基本理念后,我們就能更容易理解云原生安全的內涵了。
云原生安全是指在云原生環境中,圍繞容器、微服務、服務網格、Serverless 以及編排系統等新型技術組件,構建的一套全生命周期、自動化、動態感知的安全防護體系。它既要覆蓋傳統安全要素(如宿主機安全、網絡隔離),又需適配云原生架構的新型攻擊面和動態變化的環境。
云原生安全的三大核心層面:
容器安全
-
- 包括鏡像安全掃描、運行時行為檢測、防止容器逃逸、容器間通信隔離等;
- 關注從構建到運行全流程的威脅防護。
編排系統安全
-
- 對 Kubernetes 等平臺的 API 訪問、權限控制、配置安全、組件漏洞等進行防護;
- 防止因集群配置錯誤或權限濫用而帶來的安全事件。
云原生應用安全
-
- 包括微服務間通信的認證與加密、服務網格的訪問策略控制;
- Serverless 函數的權限最小化、事件源驗證;
- API 安全治理、零信任架構、調用鏈審計等。
另外除了這些和云原生環境相關的技術之外,云原生安全還包含了一些傳統安全的內容,比如宿主機的安全等等。
的圖像旋轉匹配)
