1、Docker安全主要体现在如下方面

  a)Docker容器的安全性

  b)镜像安全性

  c)Docker daemon安全性

2、安装策略

  2.1 Cgroup

    Cgroup用于限制容器对CPU、内存的使用。

    设置容器CPU权重为100,默认为1024

      docker run --rm -ti -c 100 ubuntu bash

    限制容器对CPU资源的使用上限

      docker run --rm -ti --cpu-period=500000 --cpu-quota=250000 ubuntu /bin/bash

      表示这个容器每0.5秒最多运行0.25秒

    绑定CPU运行

      docker run --rm -ti --cpuset-cpus=0,1 ubuntu bash

  2.2 限制内存

    docker run --rm -ti -m 200M ubuntu bash

    限制容器内存为200M

    注意:当内存达到峰值时会使用swap分区,可通过--memory-swap限制swap分区的使用量

  2.3 限制块设备I/O

    测试当前写入速率

      root@e977b6cb88d7:/# dd if=/dev/zero of=testfile0 bs=8k count=5000 oflag=direct
      5000+0 records in
      5000+0 records out
      40960000 bytes (41 MB, 39 MiB) copied, 0.313395 s, 131 MB/s

    在容器上查看挂载详情

      root@e977b6cb88d7:/# mount | grep e977b6cb88d7
      /dev/mapper/docker-253:0-2394716-e977b6cb88d7ea106beb80851728a05e26b3458cb2b05514f20d870892989171 on / type ext4       (rw,relatime,barrier=1,stripe=16,data=ordered)

    在宿主机查看设备号

      [root@MediaServer ~]# mount | grep e977b6cb88d7
      [root@MediaServer ~]# ll /dev/mapper/docker-253\:0-2394716-e977b6cb88d7ea106beb80851728a05e26b3458cb2b05514f20d870892989171
      lrwxrwxrwx 1 root root 7 10月 12 21:07 /dev/mapper/docker-253:0-2394716-e977b6cb88d7ea106beb80851728a05e26b3458cb2b05514f20d870892989171 -> ../dm-4
      [root@MediaServer ~]# ll /dev/dm-4
      brw-rw---- 1 root disk 253, 4 10月 12 21:07 /dev/dm-4    #253,4为设备号

    限制写入速度为每秒5120000字节

      echo "253:4 5120000" > /cgroup/blkio/docker/e977b6cb88d7ea106beb80851728a05e26b3458cb2b05514f20d870892989171/blkio.throttle.write_bps_device

    再次测试容器写入速率

      root@e977b6cb88d7:/# dd if=/dev/zero of=testfile0 bs=8k count=5000 oflag=direct
      5000+0 records in
      5000+0 records out
      40960000 bytes (41 MB, 39 MiB) copied, 9.37702 s, 4.4 MB/s

  2.4 ulimit限制

    全局默认设置:

      docker daemon --default-ulimit cpu=1200

    单独设置:

      docker run --rm -ti --ulimit cpu=1200 ubuntu bash

      root@6667c7f607f8:/# ulimit -t
      1200

  2.6 容器+虚拟化

    将容器部署在虚拟机中

  2.7 日志审计

    Docker daemon支持log-driver参数,目前支持的类型有:none、json-file、syslog、gelf、fluentd,默认的驱动是json-file。

    除了Docker daemon指定日志驱动外,还可以对单个容器指定驱动,

    #docker run --rm -ti --log-driver="syslog" ubuntu bash

    然后通过docker inspect可以查看容器使用的日志驱动

    #docker inspect 容器ID | grep Type

      "Type": "syslog",

    注意:只有json-file日志驱动才支持docker logs

  2.8 监控  

    root@HX-StrMedia:~# docker stats container1

    CONTAINER CPU % MEM USAGE / LIMIT MEM % NET I/O BLOCK I/O
    container1 0.00% 5.005 MB / 33.73 GB 0.01% 1.296 kB / 648 B 7.766 MB / 0 B

    CONTAINER CPU % MEM USAGE / LIMIT MEM % NET I/O BLOCK I/O
    container1 0.00% 5.005 MB / 33.73 GB 0.01% 1.296 kB / 648 B 7.766 MB / 0 B

    CONTAINER CPU % MEM USAGE / LIMIT MEM % NET I/O BLOCK I/O
    container1 0.00% 5.005 MB / 33.73 GB 0.01% 1.296 kB / 648 B 7.766 MB / 0 B

  2.9 文件系统级别防护

    docker run --rm -ti --read-only --name=container1 centos bash

    [root@fd582b88f6fb /]# echo "Test" > Test
    bash: Test: Read-only file system

  2.10 Capability

    root@HX-StrMedia:~# docker run --rm -ti --cap-drop=chown centos bash
    [root@6a6dc05cbced /]# chmod 777 /etc/hosts
    [root@6a6dc05cbced /]# chown 2:2 /etc/hosts
    chown: changing ownership of '/etc/hosts': Operation not permitted

    root@HX-StrMedia:~# docker run --rm -ti --cap-drop=all centos bash

Docker(十):Docker安全的更多相关文章

  1. Docker(十)-Docker创建DockerFile文件

    制作Docker image 有两种方式: 使用 Docker container,直接构建容器,再导出成 image 使用. 是使用 Dockerfile,将所有动作写在文件中,再 build 成 ...

  2. SpringCloud(十) - Docker

    1.Docker安装 1.1 卸载旧版本(否者会安装出错) sudo yum remove docker \ docker-client \ docker-client-latest \ docker ...

  3. Docker(十六)-Docker的daemon.json的作用

    docker安装后默认没有daemon.json这个配置文件,需要进行手动创建.配置文件的默认路径:/etc/docker/daemon.json 一般情况,配置文件 daemon.json中配置的项 ...

  4. docker 系列 - Docker 安装和Hub Mirror地址设置

    ======================为什么要使用Docker?======================= 容器真是个好东西, (1)容器能提供隔离性; (2)容器能打包环境, 简化部署难度 ...

  5. 【Docker】Docker概述、理解docker的集装箱、标准化、隔离的思想、 docker出现解决了什么问题

    整理一下 慕课网 第一个docker化的java应用 Docker环境下的前后端分离项目部署与运维 课程时所做的笔记 Docker概述 docker - https://www.docker.com/ ...

  6. [经验交流] docker in docker 的变通实现方法

    最近在做CI持续集成环境的容器化,其中一个工作是:在容器中构建容器镜像. 对于这个需求,网上有一些 Docker in Docker 的方法,具体需要修改宿主机的配置.这种方式在单机环境下.对安全要求 ...

  7. 【Docker】docker /var/lib/docker/aufs/mnt 目录满了,全是垃圾数据,咋搞?

    命令: #!/bin/bash # 推荐方式 docker volume ls -f dangling=true | awk '{ print $2 }' | xargs docker volume ...

  8. jenkins和docker 使用docker作为slave

    使用docker作为jenkins slave. 文章来自:http://www.ciandcd.com文中的代码来自可以从github下载: https://github.com/ciandcd 参 ...

  9. .NET遇上Docker - 使用Docker Compose组织Ngnix和.NETCore运行

    本文工具准备: Docker for Windows Visual Studio 2015 与 Visual Studio Tools for Docker 或 Visual Studio 2017 ...

  10. jenkins+docker 持续构建非docker in docker jenkins docker svn maven

    工欲善其事必先利其器,为了解脱程序员的,我们程序员本身发明了很多好用的工具,通过各种工具的组合来达到我们想要的结果 本文采用jenkins docker svn maven作为相关工具,项目sprin ...

随机推荐

  1. scala时间处理

    1.获取当前时间的年份.月份.天.小时等等 val nowDay=LocalDate.now().getDayOfMonth val nowDay=LocalTime.now().getHour 2. ...

  2. CM5(5.11.0)和CDH5(5.11.0)离线安装

    概述 文件下载 系统环境搭建 日志查看 Q&A 参考 概述 CDH (Cloudera's Distribution, including Apache Hadoop),是Hadoop众多分支 ...

  3. 基于Flink秒级计算时CPU监控图表数据中断问题

     基于Flink进行秒级计算时,发现监控图表中CPU有数据中断现象,通过一段时间的跟踪定位,该问题目前已得到有效解决,以下是解决思路:   一.问题现象       以SQL02为例,发现本来10秒一 ...

  4. layer,Jquery,validate实现表单验证,刷新页面,关闭子页面

    1.表单验证 //获取父层 var index = parent.layer.getFrameIndex(window.name); //刷新父层 parent.location.reload(); ...

  5. 50个PHP程序性能优化的方法

    1. 用单引号代替双引号来包含字符串,这样做会更快一些.因为 PHP 会在双引号包围的 字符串中搜寻变量,单引号则不会,注意:只有 echo 能这么做,它是一种可以把多个字符 串当作参数的" ...

  6. spring 4 升级踩雷指南

    spring 4 升级踩雷指南 前言 最近,一直在为公司老项目做核心库升级工作.本来只是想升级一下 JDK8 ,却因为兼容性问题而不得不升级一些其他的库,而其他库本身依赖的一些库可能也要同步升级.这是 ...

  7. ssm整合(基于xml配置方式)

    本文是基于xml配置的方式来整合SpringMVC.Spring和Mybatis(基于注解的方式会再写一篇文章),步骤如下: (1)首先自然是依赖包的配置文件 pom.xml <project ...

  8. linux mysql定时备份

    项目需要定时备份数据库,以下是自己的操作笔记 1.检查磁盘空间 # df -h Filesystem Size Used Avail Use% Mounted on /dev/vda1 40G 3.6 ...

  9. 使用AOP实现缓存注解

    为何重造轮子 半年前写了一个注解驱动的缓存,最近提交到了github.缓存大量的被使用在应用中的多个地方,简单的使用方式就是代码先查询缓存中是否存在数据,如果不存在或者缓存过期再查询数据库,并将查询的 ...

  10. 【并查集】HDU 1325 Is It A Tree?

    推断是否为树 森林不是树 空树也是树 成环不是树 数据: 1 2 2 3 3 4 4 5 5 6 6 7 7 8 8 9 9 1 0 0 1 2 2 3 4 5 0 0 2 5 0 0 ans: no ...