Docker и Kubernetes в требовательных к безопасности окружениях

[VolCh]

Интересно, имеет ли смысл делать кластер из виртуалок, на каждой ноде которого можно запустить только один под/контейнер. Чтобы использовать инфраструктуру k8s/docker, но иметь изоляцию уровня виртуалки даже между инстансами одного сервиса.

[CrzyDocTI]

так работает Swarm

[VolCh]

Swarm в этом плане работает так же как k8s.

[n1nj4p0w3r]

имеет смысл запускать контейнеры как легковесные виртуалки: kata containers, firecracker, VMware vic

[gecube]

Я думаю, что нам не хватает "контроллера"-прослойки, который позволит заменить docker в виде движка контейнеров на "легковесные", но полноценные ВМ. Т.е. использовать базу кубернетеса,, но шедюлить ВМки. Насколько я помню, определенные наработки в эту сторону идут

[n1nj4p0w3r]

Ну так kata containers это и есть замена движка докера на kvm используя crio

[wtfman]

Спасибо за статью! Возник вопрос про использованию контейнеров в информационных системах, которые должны быть аттестованы для обработки информации, которая относится к классу информации ограниченного доступа. Есть ли у вас такой опыт? какие средства защиты вы рекомендуете к использованию?

[gecube]

Вы хотите за техническую часть поговорить или за документальную (сертификаты, справки, ФСБ и ФСТЭК)?

[wtfman]

Хотел бы обсудить техническую часть, которая может лечь в основу защищенной системы. При аттестации которой не возникнет проблем :)