在Docker容器中实现安全与隔离

最新推荐文章于 2023-08-19 22:23:17 发布
最新推荐文章于 2023-08-19 22:23:17 发布
阅读量644 收藏
点赞数
分类专栏: docker

随着容器技术的发展,它的安全、隔离和资源控制的功能也在不断进步。本文中,我们将回顾Docker容器如何仅仅使用linux的原始功能来实现安全与隔离,比如namespaces, cgroups, capabilities等。


虚拟化和隔离

操作系统级的虚拟化、容器、空间以及“chroot with steroids”,其实都定义了同一个概念:用户空间隔离。类似Docker的产品都使用了操作系统级的虚拟化,通过用户空间隔离可以提供额外的安全性。

0.9版本起,Docker包含了libcontainer库作为它直接虚拟化的方法,这个功能由Linux内核提供。 此外,它还通过 LXC[1],systemd-nspawn[2],和libvert[3]使用了抽象虚拟接口。 这些虚拟化库全部利用了Linux的原始容器(参见上图)

  • namespaces
  • cgroups
  • capabilities等等。

Docker在一个包装中联合了以上功能,并称之为容器格式。

libcontainer

默认的容器格式被称为libcontainer。

Docker也支持使用LXC的传统Linux容器。在将来,Docker可能会支持其他的容器格式,比如结合BSD jails或者Solaris Zones。

执行驱动程序是一种特殊容器格式的实现,用来运行docker容器。在最新的版本中,libcontainer有以下特性:

  • 是运行docker容器的默认执行驱动程序。
  • 和LXC同时装载。
  • 使用没有任何其他依赖关系的Go语言设计的库,来直接访问内核容器的API。

  • 目前的Docker涵盖的功能有:命名空间使用,cgroups管理,capabilities权限集,进程运行的环境变量配置以及网络接口防火墙设置——所有功能是固定可预测的,不依赖LXC或者其它任何用户区软件包。
  • 只需提供一个根文件系统,和libcontainer对容器的操作配置,它会帮你完成剩下的事情。
  • 支持新建容器或者添加到现有的容器。
  • 事实上,对libcontainer最迫切的需求是稳定,开发团队也将其设为了默认。
  • 在Docker 0.9中,LXC现在可以选择关闭。
  • 注意:LXC在将来会继续被支持。
  • 如果想要重新使用LXC驱动,只需输入指令docker -d –e lxc,然后重启Docker。

用户命名空间

Docker不是虚拟化,相反的,它是一个支持命名空间抽象的内核,提供了独立工作空间(或容器)。当你运行一个容器的时候,Docker为容器新建了一系列的namespace。

一些Docker使用的linux命名空间:

  • pid namespace
    • 用作区分进程(PID: Process ID)。
    • 容器中运行的进程就如同在普通的Linux系统运行一样,尽管它们和其他进程共享一个底层内核。
  • net namespace
    • 用作管理网络接口。
    • DNAT允许你单独配置主机中每个用户的的网络,并且有一个方便的接口传输它们之间的数据。
    • 当然,你也可以通过使用网桥用物理接口替换它。
  • ipc namespace
    • 用作管理对IPC (IPC: InterProcess Communication)资源的访问。
  • mnt namespace
    • 用作管理mount-points (MNT: Mount)。
  • uts namespace
    • 用作区分内核和版本标识符(UTS: Unix Timesharing System)。

 Linux上的Docker使用了被称为cgroups的技术。因为每个虚拟机都是一个进程,所有普通Linux的资源管理应用可以被应用到虚拟机。此外,资源分配和调度只有一个等级,因为一个容器化的Linux系统只有一个内核并且这个内核对容器完全可见。

总之,cgroups可以让Docker:

  • 实现组进程并且管理它们的资源总消耗。
  • 分享可用的硬件资源到容器。
  • 限制容器的内存和CPU使用。
    • 可以通过更改相应的cgroup来调整容器的大小。
    • 通过检查Linux中的/sys/fs/cgroup对照组来获取容器中的资源使用信息。
  • 提供了一种可靠的结束容器内所有进程的方法。

Capabilities

Linux使用的是“POSIX capabilities”。这些权限是所有强大的root权限分割而成的一系列权限。在Linux manpages上可以找到所有可用权限的清单。Docker丢弃了除了所需权限外的所有权限,使用了白名单而不是黑名单。

一般服务器(裸机或者虚拟机)需要以root权限运行一系列进程。包括:

  • SSH
  • cron
  • syslogd
  • 硬件管理工具 (比如负载模块)
  • 网络配置工具 (比如处理DHCP, WPA, or VPNs)等。

每个容器都是不同的,因为几乎所有这些任务都由围绕容器的基础设施进行处理。默认的,Docker启用一个严格限制权限的容器。大多数案例中,容器不需要真正的root权限。举个例子,进程(比如说网络服务)只需要绑定一个小于1024的端口而不需要root权限:他们可以被授予CAPNETBIND_SERVICE来代替。因此,容器可以被降权运行:意味着容器中的root权限比真正的root权限拥有更少的特权。 Capabilities只是现代Linux内核提供的众多安全功能中的一个。为了加固一个Docker主机,你可以使用现有知名的系统:

转载:http://www.csdn.net/article/2015-11-19/2826266?ref=myread

youbo_sun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何隔离docker容器的用户的方法
09-30
主要介绍了如何隔离docker容器的用户的方法,小编觉得挺不错的,现在分享给大家,也给大家个参考。一起跟随小编过来看看吧
容器隔离和限制
weixin_42494845的博客
07-23 1187
容器是怎么隔离的? 随着云计算的火爆,近几年说得最多的是什么?无疑是容器容器编排技术。近几年火热的一些词,比如PasS , SaaS ,Serviceless ,Service Mesh 等等,无一不是和容器有关。 下面咱们就来说一说容器到底是怎么隔离的? 我们知道程序其实是数据加上代码本身的二进制文件放在磁盘上的,当我们运行一个程序时,它就从磁盘上的二进制文件变成了计算机内存的数据,寄存器的值,堆栈信息,被打开的文件以及各种设备状态信息的集合,也就是我们常说的进程。 而容器隔离技术,其实就是通过约束
docker是怎么实现隔离
荒-于嬉的博客
06-10 523
docker如何实现的进程隔离
【云安全系列】云原生场景下的容器网络隔离技术
Rethinking the Kernel
10-24 4838
随着云计算时代的到来,尤其是容器化技术的飞速发展,云原生作为云计算的未来阶段,其安全势必成为云安全的主要战场。从目前的云原生环境来看,云原生网络安全问题层出不穷,威胁程度逐渐上升,从业人员面临着严峻的挑战
容器云平台安全隔离方案详解
qq_61890005的博客
05-11 175
【导读】云原生技术在创造效益的同时,也面临着切实存在日益严峻的安全风险。基于防火墙进行域间控制已显得与云原生环境格格不入,无法真正满足容器平台的隔离需求。本文对现有容器云平台隔离方案:基于 Network Policy 的容器隔离、主机代理形态的工作负载微隔离进行了分析,并提出理想的容器云平台安全隔离解决方案应满足的几个条件。希望能为准备和正在进行容器云平台安全设计的同行提供参考。一、云原生的技术背景当前,数字化变革已逐渐渗透到每一个具体产业,弹性算力已成为各行各业的“水电煤”,云计算则成为数字化世界的基石
详解在Docker容器运行Spring Boot应用
01-20
spring Boot简化了Spring应用的开发...Docker是一种Linux容器实现,Linux容器是基于进程的轻量级资源隔离技术,每一个容器对应操作系统一个进程,但是它又会有自己的网络空间、文件系统、PID等。Docker除了实现L
Docker容器的网络管理和网络隔离实现
09-29
主要介绍了Docker容器的网络管理和网络隔离实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
浅谈Docker安全机制内核安全容器之间的网络安全 原创
01-11
为了使容器处在独立的环境docker使用namespaces技术来隔离容器,使容器容器之间,容器与宿主机之间相互隔离docker目前仅对uts、IPC、pid、network、mount这5种namespace有完整的支持,user namespace尚未全
容器WAF和微隔离相关知识点
SHELLCODE_8BIT的博客
03-13 349
Iptables 下 SNAT、DNAT和MASQUERADE三者之间的区别 (bbsmax.com)从 iptables 谈 ServiceMesh 流量拦截_51CTO博客_iptables 限制流量内核netfilter代码略图以及nfq的流程_内核nfq_n1wer的博客-CSDN博客
Docker(八)---Docker安全相关设定
Gong_yz的博客
03-06 1131
本节总结:理解docker安全;cgroup如何进行容器资源控制设置;通过lxcfs,docker安全加固;以白名单的形式,实现容器相关特权;
云原生网络的微隔离实现技术
securitypaper的博客
10-29 1042
在云原生环境,尤其是云原生网络安全的建设和规划,以零信任的架构和思路,实现云原生网 络的微隔离和访问控制是必要的。微隔离(Micro-Segmentation)最早是 VMware 为应对虚拟化隔离技术出来的。
详解容器云平台安全隔离方案
weixin_70923796的博客
08-19 84
此外,稳定不变的 IP 地址是防火墙访问控制持续生效的“锚点”,而在云原生环境容器 IP 的频繁无规律变化则彻底动摇了传统架构这一确定因素,一旦容器开始新的生命周期,新的 IP 将直接逃逸原有静态策略的有效管控。安全策略的发布应能够被谨慎审查,并提供快速的回滚选项等。换言之,在多数用户的数据心内,物理机实例、虚拟机实例、容器将长期并存,作为承载不同应用的工作负载,它们之间依然会产生密切的横向连接,需被统一纳入微隔离的管控范围,而 Network Policy 显然仅适用于容器平台内部的隔离控制。
云原生网络之微隔离
武天旭的博客
04-10 1005
Cilium是一种开源的云原生网络实现方案,与其他网络方案不同的是,Cilium着重强调了其在网络安全上的优势,可以透明地对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行安全防护。Cilium在设计和实现上基于Linux的一种新的内核技术eBPF,可以在Linux内部动态插入强大的安全和可见的网络控制逻辑,相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新。
Docker系列五——Docker容器隔离原理及网络通信
yx444535180的专栏
05-09 5054
一、隔离原理
CNCF -容器安全隔离技术学习笔记
weixin_40455124的博客
04-03 347
gvisor Sentry 对上(容器应用)提供所有系统操作,但不是透传给底层宿主机 只提供受限的API 通过隔离提供安全性 File system operations 发送给Gofer Sentry process is started in a restricted seccomp container without access to file system res...
多租户容器安全隔离_多租户数据隔离技术方案
weixin_30983563的博客
01-12 998
一、介绍多租户技术或称多重租赁技术,简称SaaS,是一种软件架构技术,是实现如何在多用户环境下(此处的多用户一般是面向企业用户)共用相同的系统或程序组件,并且可确保各用户间数据的隔离性。简单讲:在一台服务器上运行单个应用实例,它为多个租户(客户)提供服务。从定义我们可以理解:多租户是一种架构,目的是为了让多用户环境下使用同一套程序,且保证用户间数据隔离。那么重点就很浅显易懂了,多租户的重点就是同...
Docker是怎么实现资源隔离
zyc12321的博客
07-15 1798
docker资源隔离
docker容器使用openwrt
最新发布
09-11
Docker容器使用OpenWrt可以让你在一个隔离的环境运行OpenWrt路由器系统。以下是一些步骤来实现这个目标: 1. 首先,你需要安装Docker。你可以按照Docker官方文档的指示来完成安装。 2. 接下来,你需要获取OpenWrt的Docker镜像。你可以通过运行以下命令来获取官方的OpenWrt Docker镜像: ``` docker pull openwrtorg/rootfs ``` 3. 获取镜像之后,你可以创建一个容器并运行OpenWrt。运行以下命令: ``` docker run -it openwrtorg/rootfs /bin/ash ``` 这将在一个新的容器启动OpenWrt,并进入ash shell。 4. 现在,你可以在OpenWrt容器进行配置和管理。你可以使用标准的OpenWrt命令和配置文件来设置网络、防火墙等。 请注意,这只是一个简单的示例,以帮助你开始在Docker容器使用OpenWrt。你可能需要进一步定制和配置,以满足你特定的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值