當今，Kubernetes已經成為全球大部分企業(yè)云戰(zhàn)略的核心部分。根據(jù)Veritas的調研顯示,超過四分之一的中國企業(yè)已經投入使用該技術,90%的中國企業(yè)預計將在未來兩到三年內部署該技術。然而,到目前為止,在已經部署Kubernetes的中國企業(yè)中,只有35%的企業(yè)具備防范勒索軟件攻擊等數(shù)據(jù)丟失事件的保護措施。在部署了Kubernetes的中國企業(yè)中,有35%經歷過對其容器化環(huán)境的勒索軟件攻擊。

防勒索是安全環(huán)境中最熱的話題。在過去的一年中，勒索攻擊頻率急劇上升,對經濟、社會信任和信息管理造成了嚴重影響。有高達73%的中國受訪者認為勒索軟件對Kubernetes環(huán)境的攻擊是其企業(yè)目前面臨的一個嚴峻問題。由此可見，保護Kubernetes環(huán)境以及其中的應用程序和數(shù)據(jù)，是企業(yè)的當務之急。

當然，任何一種環(huán)境中的數(shù)據(jù)安全，包括容器環(huán)境、Kubernetes環(huán)境等，都是由來已久，且將不斷持續(xù)下去的話題。安全運維本身是一個動態(tài)話題，不是實現(xiàn)了某一個安全運維標準、部署了某些安全運維的解決方案，部署了Kubernetes或者其他的安全工具，就可以一勞永逸。

在數(shù)字化轉型、混合云多云環(huán)境下，企業(yè)無法回避 “4C”難題挑戰(zhàn)，即成本(Cost)、網絡威脅(Cyberthreats)、云的使用(Cloud)、合規(guī)(Compliance)。一旦企業(yè)數(shù)據(jù)管理能力跟不上轉型的需求，就會面臨成本失控，容易受到勒索攻擊、業(yè)務中斷、管控不足的風險。

在Kubernetes方面，Veritas提出，要在六個方面幫助企業(yè)應對惡意攻擊、惡意軟件和人為失誤,使其在Kubernetes環(huán)境中的數(shù)據(jù)更具韌性：遵循基本的安全原則；妥善保護Kubernetes環(huán)境下的數(shù)據(jù)；完整地保證Kubernetes環(huán)境下所有命令空間的安全，缺一不可；要明確Kubernetes環(huán)境的各種運維人員和使用用戶的訪問權限；要簡化運維，通過自動化的方式解放DevOPs團隊和備份團隊的工作量；基于現(xiàn)有的企業(yè)整體環(huán)境，不僅是Kubernetes環(huán)境，包括其他所有的環(huán)境，整體環(huán)境下的統(tǒng)一、一致性的備份平臺。

在具體的運維產品選擇上，企業(yè)應該仔細考慮產品的選型，選擇一個能夠與企業(yè)共同成長的合作伙伴，一個被市場長期驗證的、可靠的、有效的、平臺性的解決方案。超過八萬家企業(yè)級客戶, 包括 87％的全球財富 500強企業(yè)，均依靠Veritas確保其數(shù)據(jù)的保護、可恢復性和合規(guī)性。

Kubernetes環(huán)境下，企業(yè)面臨的三大挑戰(zhàn)

Veritas公司大中華區(qū)技術銷售與服務總監(jiān)顧海巍將Kubernetes環(huán)境下，企業(yè)面臨的挑戰(zhàn)總結為三點：“效率、應用復雜性、可移植性”。

Veritas公司大中華區(qū)技術銷售與服務總監(jiān)顧海巍

首先是保證容器環(huán)境的備份效率。備份的是否有效、是否及時，關鍵在于Kubernetes環(huán)境保護是否能夠提供原生支持，是否符合客戶的運維標準，包括集成Kubernetes環(huán)境本身的CI/CD（持續(xù)性集成、持續(xù)性部署、持續(xù)性交付）。

在進行Kubernetes環(huán)境保護的時候，不能降低Kubernetes本身的運維水準，所以必須在數(shù)據(jù)保護平臺的架構層面就能實現(xiàn)和Kubernetes環(huán)境的契合、架構的契合，包括大規(guī)模Kubernetes環(huán)境的保護、恢復，總體擁有成本是否合理、以及擴展性如何，是否會被限制在某一個煙囪里等。

第二是保證Kubernetes的容器應用復雜性，進行一致性保護。傳統(tǒng)數(shù)據(jù)中心的架構遷移上云，本意是希望由云來屏蔽原先傳統(tǒng)數(shù)據(jù)中心的復雜性。但隨著多云的快速增長，出現(xiàn)了更多的復雜性，Kubernetes也需要進行運維標準的統(tǒng)一，來消除多云環(huán)境下的運維復雜性。

保護Kubernetes的環(huán)境不像保護一個虛機、一個客戶端或者一個存儲那樣簡單，一個Kubernetes環(huán)境下的業(yè)務涉及幾十、上百、上千甚至上萬個微服務容器環(huán)境，需要進行復雜的編排。想要保證Kubernetes環(huán)境下的業(yè)務安全，必須要把一個業(yè)務涉及到的所有資源看作一個整體，并且能夠處理好不同Kubernetes微服務之間的編排關系，只有這樣才能夠真正保護好業(yè)務。

第三是保護好Kubernetes環(huán)境的可移植遵從性。企業(yè)之所以選擇Kubernetes，一個很重要的原因是Kubernetes的環(huán)境有很大的可移植性，可以從物理的數(shù)據(jù)中心移植到不同的云上、不同的虛擬化環(huán)境中。對Kubernetes環(huán)境的保護就要在數(shù)據(jù)恢復、業(yè)務恢復、容災恢復的時候保護好可移植性。也就是說數(shù)據(jù)備份后，一旦需要容災回復，數(shù)據(jù)需要能夠在不同的物理數(shù)據(jù)中心和云之間、不同的云之間、不同的商業(yè)版本之間，保證代碼的可移植性。  

Veritas的NetBackup?10由云級技術提供支撐,是業(yè)界首個云優(yōu)化、規(guī)模化的數(shù)據(jù)管理解決方案。在保證容器環(huán)境的備份效率方面，NetBackup 10的設計遵從Kubernetes的原生架構，力爭實現(xiàn)Kubernetes的原生工具。其部件本身是容器化的，而不是笨重的客戶端，如容器化的Operator、基于容器helm chart的代碼分發(fā)等。基于RBAC用戶角色權限分配的API，允許Kubernetes的管理員基于自己的CI/CD運維標準進行自服務設計。針對普通的備份管理員，可以通過簡單地敲擊鼠標，像平時備份其他工作負載一樣進行NetBackup的備份和恢復。

四招解決應用復雜性難題

針對應用復雜性的挑戰(zhàn)。Veritas提供了Kubernetes環(huán)境下的企業(yè)級業(yè)務韌性的做法。

首先，與傳統(tǒng)的以具體的工作負載為標準的備份不同，Kubernetes環(huán)境下，一個業(yè)務會涉及到大量的容器資源，比如各種微服務部件、容器部件、持續(xù)數(shù)據(jù)卷、配置文件或者其他各種各樣的資源，當某一個業(yè)務上線或者擴展變更的時候，需要知道這些資源屬于哪個業(yè)務，一起保護起來。

第二，基于Kubernetes的CSI標準，CSI是Kubernetes存儲資源的接口標準。Kubernetes環(huán)境下，作為平臺級的資源是非常靈活的，客戶會使用不同的標準，備份保護也要跟得上。此外還要基于CSI的標準進行快照級的開發(fā)。  

第三，基于應用復雜性能夠實現(xiàn)大規(guī)模的恢復。Kubernetes是基于命名空間來組織業(yè)務資源的。一個大型的、復雜的業(yè)務可能涉及到幾千個命名空間，要適應大規(guī)模的保護和大規(guī)模的恢復。

第四，能夠靈活恢復，能夠支持各種資源級別的恢復。比如恢復一個持續(xù)數(shù)據(jù)卷或者單個配置文件，或者某個業(yè)務中幾十個Namespace（命名空間）中的一個命名空間，不同級別的資源力度恢復都要能夠支持。

“如果想實現(xiàn)消除應用復雜性，實現(xiàn)以應用為中心的數(shù)據(jù)保護目標，以上四點都需要做到。” 顧海巍表示。

Veritas從NetBackup 8.3版本開始支持基本的Kubernetes容器環(huán)境的備份保護。9.0版本能夠實現(xiàn)各種高級備份、高級恢復，甚至能夠實現(xiàn)Agent和AWS之間多云的容災編排。

NetBackup 10在效率挑戰(zhàn)、以應用為中心的備份、增加可移植性等方面，有了進一步的提高。

在中國，NetBackup在運營商、金融、制造行業(yè)已經積累了大量客戶。在歐洲，一些大型的金融連鎖機構、物流機構正在部署NetBackup 10，來保護多云環(huán)境下的Kubernetes環(huán)境。

以云服務和數(shù)據(jù)為目標的黑客攻擊只增不減，勒索攻擊等威脅成為每一個企業(yè)需要正視的問題。Veritas正在幫助企業(yè)應對這一挑戰(zhàn)，Veritas的產品、技術致力于幫助企業(yè)減少云資源消耗和成本，保護數(shù)據(jù)免受勒索軟件的侵害，為數(shù)據(jù)自治打造堅實基礎。