2.2. 了解主机和虚拟机安全性

容器简化了将许多应用程序部署在同一主机上运行的操作，每个容器启动都使用相同的内核和容器运行时。应用程序可以归很多用户所有，并且由于是保持独立的，他们可以毫无问题地同时运行这些应用程序的不同版本甚至不兼容的版本。

在 Linux 中，容器只是一种特殊的进程，因此在很多方面，保护容器与保护任何其他运行的进程类似。运行容器的环境始于操作系统，它可以保护主机内核不受容器和主机上运行的其他进程的影响，同时还可以保护容器不受彼此的影响。

由于 OpenShift Container Platform 4.16 在 RHCOS 主机上运行，并可以选择使用 Red Hat Enterprise Linux (RHEL) 作为 worker 节点，因此以下概念将默认应用于任何已部署的 OpenShift Container Platform 集群。这些 RHEL 安全功能是确保在 OpenShift Container Platform 中运行容器的核心所在：

RHCOS 是 Red Hat Enterprise Linux (RHEL) 的一个版本，它经过特别配置，可用作 OpenShift Container Platform 集群上的 control plane (master) 和 worker 节点。因此，RHCOS 被调优为高效地运行容器工作负载，以及 Kubernetes 和 OpenShift Container Platform 服务。

为了进一步保护 OpenShift Container Platform 集群中的 RHCOS 系统，大多数容器（除了管理或监控主机系统本身的容器外）都应以非 root 用户身份运行。要保护您自己的 OpenShift Container Platform 集群，推荐的最佳实践是降低权限级别或创建包含最少权限的容器。

传统虚拟化提供了另一种在相同物理主机上将应用程序环境保持独立的方法。但是，虚拟机的工作方式与容器不同。虚拟化依赖于虚拟机监控程序启动虚拟客户机 (VM)，每个虚拟机都有自己的操作系统 (OS)，具体表现为运行的内核、正在运行的应用程序及其依赖项。

使用 VM，虚拟机监控程序会将虚拟客户机相互隔离并与主机内核隔离。这样可减少可访问虚拟机监控程序的个人和进程，进而缩小物理服务器上的攻击面。尽管如此，仍然必须对安全性进行监控：一个虚拟客户机可能利用虚拟机监控程序的错误来获取对另一个虚拟机或主机内核的访问权限。当需要修补操作系统时，必须对所有使用该操作系统的虚拟客户机进行修补。

容器可在虚拟客户机中运行，这种方式在有些用例中可能是可取的。例如，您可能在容器中部署传统应用程序，以便将某个应用程序转移到云端。

但是，在单一主机上进行容器分离提供了一种更加轻便、灵活且易于部署的解决方案。这种部署模型特别适合云原生应用程序。容器通常比 VM 小得多，消耗的内存和 CPU 也更少。

请参阅 RHEL 7 容器文档中的 Linux 容器与 KVM 虚拟化的比较，以了解容器和虚拟机之间的差别。

在部署 OpenShift Container Platform 时，您可以选择安装程序置备的基础架构（有多个可用的平台）或您自己的用户置备的基础架构。用户置备的基础架构可能有益于一些低级别的与安全相关的配置，如启用 FIPS 合规性或在第一次引导时添加内核模块。同样，用户置备的基础架构适合用于断开连接的 OpenShift Container Platform 部署。

请记住，在为 OpenShift Container Platform 进行安全增强和其他配置更改方面，应包括以下目标：

为实现这些目标，应该在安装过程中使用 Machine Config Operator 应用到各组节点的 MachineConfig，通过 Ignition 或更高版本进行大多数节点更改。您可以通过这种方式进行的与安全性相关的配置更改示例包括：

除了 Machine Config Operator 外，还有一些其他的 Operator 可用来配置由 Cluster Version Operator (CVO) 管理的 OpenShift Container Platform 基础架构。CVO 可以为 OpenShift Container Platform 集群更新的很多方面实现自动化。