Docker 安全

 

今天楼主的女朋友成了前女友,不知道对我来说应该把分手这件事当成一件什么事,楼主相信,这都是人生中应该经历的事情,不必过分的强求.也不必过分的追忆.

 

前面咱们说过了docker run命令可以运行一个容器,那么运行这个命令之后,docker具体做了哪些工作?实际上做了三个:

1.docker run命令初始化

2.Docker 运行lxc-start来执行run命令

3.lxc-start在容器中创建了一组namespzce和Control Groups

 

解释:namespace是隔离的第一级,容器是相互隔离的,一个容器是看不到其他容器内部的进程情况.每个容器都分配了单独的网络栈,因此一个容器不能访问另一个容器的sockets.为了支持容器间的IP通信,必须制定容器的公网IP端口.

 

Control Groups是非常重要的组件,功能如下:

1.负责资源核算和限制

2.提供CPU,内存,I/O和网络相关的指标

3.避免某种DoS攻击

4.支持多租户平台.

Docker Daemon以root权限运行,这意味着一些问题需要格外小心.

 

下面是一些需要注意的地方:

1.当docker允许与访客容器目录共享而不限制时,Docker Daemon的控制权应该只给授权用户.

2.在服务器上单独运行Docker时,需要与其他服务隔离.

 

 

一些关键的Docker安全特性包括:

1.容器以非特权用户运行.

2.可以使用其他容器系统的安全功能.

 

安全性问题是大问题,楼主三言两句搞不定,楼主自己都搞不明白,只能简单的提一下.