震惊!八岁儿子竟知道容器测评十个小知识?老爸，他开天眼了?

Q1

容器只有docker一种？

容器不仅仅只有docker一种，还包括Podman、rkt等。

Q2

容器技术和虚拟化有什么区别？

虚拟化可以通俗理解是把整个房子包括家具全部打包，因此特别“重”。

容器可以通俗理解是仅仅打包家具，所以显得更“轻”。两个区别如下：

Q3

只要用了容器技术就需要使用容器扩展？

不是，从联盟的培训和测评的实践来看，若仅仅使用了docker等容器技术，但未使用容器集群平台进行统一管理，完全没有必要使用容器扩展，因为其跟传统系统并无实质区别。

Q4

漏洞扫描无法扫描到IP？

容器的网络其实也分几种，比如kubeoperator就包括flannel、calico和cilium三种，每种又分为不同的网络模式，比如flannel有vxlan、host-gw两种，calico有bgp和ipip两种，cilium有overlay和nativerouting两种。而docke默认就是nat，容器和宿主机默认通过NAT技术将容器的端口映射到宿主机上，所以，从容器外部扫描容器IP一般是仅能扫描容器映射出来的端口，其它端口均无法扫描。

所以，必须通过API或直接登录容器实例里才能进行漏洞扫描或渗透测试，类似vmware虚拟化的桥接、NAT等网络连接方式，或者直接通过trivy扫描镜像仓库的镜像。

Q5

什么是docker-compose

compose是通过一个配置文件定义一组docker实例，包括启动顺序、依赖关系、网络端口等配置，以往启动某个应用可能需要单独启动若干容器实例，但是通过compose就只需要启动一次，容器实例根据composer配置信息自动启动所有的容器实例，从而简化运维。通常为docker-compose.yaml文件。

Q6

docker和k8s是什么关系

docker只是常见容器技术之一，k8s是常见容器编排平台，k8s支持的的容器不仅仅只是docker，还包括 RunC、Containerted。同理，docker也有自己官方容器编排平台Docker Swarm。未来k8s已经逐渐成为容器集群的主流标准。

Q7

容器镜像是否需要使用扩展要求测评？

容器镜像一般仅使用安全通用要求即可，无需使用扩展要求进行测评，扩展要求几乎针对的是容器集群管理平台、仓库。

Q8

如果无法直接测评容器实例，能否测评容器镜像？

可以，因为容器实例均通过容器镜像创建的，容器镜像是模板，容器实例通过模板启动，所以配置默认两者是一致，除非启动后修改了容器实例配置。

Q9

容器实例可以远程登录吗？

可以，因为容器实例本质就是迷你版的操作系统， 可以直接通过ssh登录（部分镜像可能需要单独安装ssh），也可以先登录宿主机再登录容器实例，不过目前容器几乎只有Linux类操作系统镜像。

Q10

容器实例能否支持在云平台上自动部署？

支持，目前容器集群管理平台基本都支持在vsphere、aws、hyper-V等云平台上自动化部署，只要配置好部署计划就可以自动化部署。