Docker EE 2.0 助力 Kubernetes，打造安全的供应链体系

本文首发自“Docker公司”公众号（ID：docker-cn）
编译丨小东
每周1、3、五 与您不见不散！

上周，KubeCon 欧洲大会在哥本哈根的成功举办，让咱们来回顾那些在 Docker 和 Kubernetes 读者中最受欢迎的帖子吧。对于那些尚未尝试过 Docker EE 2.0 版本的用户来讲，这篇文章将重点介绍 Docker EE 2.0 版本如何为 Kubernetes 提供安全的供应链。

上个月，Docker 揭晓了 Docker 企业版（EE）2.0 版本 —— 惟一的企业级容器平台（更多有关 Docker EE 2.0 版本的信息请参考下列文章），它集成了 Kubernetes 编排，可让其与 Swarm 并行运行，并为运行在本地或云端的遗留和新的应用程序提供统一的容器平台支持。对于正在探索 Kubernetes 或正在将其部署到生产环境的组织来讲，Docker EE 为容器化应用程序的整个生命周期提供了完整的安全保障，在Kubernetes部署工做负载以前提供额外的安全层，并在应用程序运行过程当中提供持续的保护。

什么是软件供应链？

当您从零售商店购买产品时，实际上是由一条完整的供应链支撑，即从原材料到制造商，再由制造商加工成产品后到零售商店，最后再到您的手中。一样的，软件也有一条完整的供应链，它将应用程序的代码从开发者笔记本上面迁移到生产环境中。

 

每家公司的软件供应链可能都略有不一样：一些选择外包软件开发、一些采用持续集成和持续交付流程、一些采用跨多个云端部署生产应用程序，还有一些在本地部署。不管软件供应链包含了什么内容，Docker EE 都提供了一整套解决方案，确保应用程序在使用 Kubernetes 和 Swarm 的全部步骤时仍然可信和安全。

在本文中，咱们将更深刻地了解这个解决方案中的一个重要部分 —— 即镜像扫描和基于策略的镜像提高。

安全、自动化的Kubernetes 工做流程

在应用程序部署到生产环境以前，组织一般但愿知道这个应用程序已经没有任何已知的漏洞，这些漏洞一般来自于该软件以前的版本或未打补丁的版本。就算对于大型组织来讲，为他们运行中的每一个应用程序（而且可能受到新漏洞的影响）保留一份完整的漏洞记录也是一件很困难的事。

而 Docker EE 提供了镜像安全扫描功能，该功能能够帮助组织在应用程序部署到生产环境以前识别已知漏洞，并在新漏洞影响到现有应用程序时向您提示。该功能是针对 NIST 发布的已知漏洞列表来为您的镜像执行一个二进制级别的镜像扫描。以下图所示，该功能能够完全扫描镜像的每一个层，并提供工做负载的详细信息。