docker安全管理(CPU限制、内存限制、Block IO限制及docker安全加固)

最新推荐文章于 2023-05-30 14:41:55 发布
最新推荐文章于 2023-05-30 14:41:55 发布
阅读量738 收藏 2
点赞数 1
分类专栏: docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IT0225/article/details/113308207
版权

docker容器的安全,很大程度上依赖于linux系统自身,评估docker的安全性时,主要考虑以下几个方面
linux内核的命名空间机制提供的容器隔离安全
linux控制组机制对容器资源的控制能力安全
linux内核的能力机制所带来的操作权限安全
docker程序(特别是服务端)本身的抗攻击性
其他安全增强机制对容器安全性的影响

命名空间隔离的安全
当dockr run启动一个容器时,docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。
与虚拟机方式相比,通过linux namespace来实现的隔离并不是那么彻底
容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的还是同一个宿主机的操作系统内核
在linux内核中,有很多资源和对象是不能被namespace化的,例如:时间

cpu限制

cgroup控制的是资源上限
docker run -it --rm --cpu-quota 20000 busybox
在这里插入图片描述
此时再开启一个窗口,用来监控
在这里插入图片描述
可以看到它只占取了cpu20%的资源,与我们设定的相同
当我们退出时,它会立即释放资源
当我们不加参数时,其默认值为100%
在这里插入图片描述
在这里插入图片描述
当再开启一个,且参数为默认值的一半时优先级
在这里插入图片描述
在这里插入图片描述
可以看到所占cpu的资源也是默认值的一半

内存限制

cd /sys/fs/cgroup/memory/
mkdir x1
cd x1/
echo 209715200 > memory.limit_in_bytes ##设定最大写入内存为200M
echo 209715200 > memory.memsw.limit_in_bytes##设定最大写入内存为200M
cd /dev/shm/
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=200
在这里插入图片描述
当写入200M时,系统会自动杀死进程
可以看到写入内存不能超过200M
在这里插入图片描述
useradd wxh
vim /etc/cgrules.conf
在这里插入图片描述
切换到用户wxh
在这里插入图片描述
可以看到写入内存不能超过200M,否则会被杀死

Block IO限制

在这里插入图片描述
block io 限制只对diect io 有效

docker安全加固

自定义内存大小

yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
lxcfs /var/lib/lxcfs &
docker run -it -m 256m
-v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw
-v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw
-v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw
-v /var/lib/lxcfs/proc/stat:/proc/stat:rw
-v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw
-v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw
ubuntu
在这里插入图片描述
可以看到内存被改为了256M

设置特权级运行的容器

当进行一些操作时,会报错权限不够,这时就需要给容器一些特殊权限
在这里插入图片描述
此时权限不够
给予容器privileged权限
docker run -it --privileged=true busybox
在这里插入图片描述
可以看到,此时操作可以完成

设置容器白名单

docker run -it --rm --cap-add=NET_ADMIN busybox

安全加固的思路

保证镜像的安全
使用安全的基础镜像
删除镜像中的setuid和setgid权限
启用docker的内容信任
最小安装原则
对镜像进行安全漏洞扫描,镜像安全扫描器:clair
容器使用非root用户运行

保证容器的安全
对docker宿主机进行安全加固
限制容器之间的网络流量
配置docker守护程序的TLS身份验证
启用用户命名空间支持(userns-remap)
限制容器的内存使用量
适当设置容器cpu优先级

docker安全的遗留问题

主要的内核子系统都没有命名空间,如:
SElinux
cgroup
在/sys/下的文件系统
设备没有命名空间
/dev/mem
/dev/sd*文件系统设备
内核模块

成果丨
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker限制容器的Block IO
weixin_44713619的博客
04-24 4394
Block IO指的是磁盘的读写,docker可以通过设置权重以及限制bps和iops的方式控制容器读写磁盘的带宽。 通过命令 docker help run | grep -E ‘bps|IO’ 可以查询block IO的选项参数。 主要参数有: –blkio-weight:容器默认磁盘IO的加权值,有效值范围为10-1000。 –blkio-weight-device: 针对特定设备的I...
Docker-安全、资源限制安全加固
m0_55444160的博客
07-29 173
Docker-安全 docker资源限制 内存限制 [root@server1 ~]# cd /sys/fs/cgroup/memory/docker [root@server1 docker]# yum install -y libcgroup-tools.x86_64 [root@server1 docker]# cd .. [root@server1 memory]# mkdir x1 [root@server1 memory]# cd x1/ [root@server1 x1]# cat memor
Docker资源控制的Cgroup参数使用
qq_28361541的博客
04-26 1270
一、Cgroup简介 Cgroup 是Control Groups的缩写,是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如CPU内存、磁盘IO等等)的机制,被LXC、docker等很多项目用于实现进程资源控制。 Cgroups提供了以下功能: 1、限制进程组可以使用的资源数量(Resource limiting )。比如:memory子系统可以为进程...
docker容器Block IO限制 读写磁盘的带宽
ultralinux
03-06 1128
默认情况下,所有容器能平等地读写磁盘,可以通过设置–blkio-weight参数来改变容器block IO的优先级。 –blkio-weight与–cpu-shares类似,设置的是相对权重,默认为500。在下面的例子中,容器A读写磁盘的带宽是容器B的两倍。 [root@10 ~]# docker run -it --name container_A --blkio-weight 600 centos:stress /bin/bash [root@9054631574db /]# cat /sys/fs/c
限制容器的 Block IO - 每天5分钟玩转 Docker 容器技术(29)
weixin_34392906的博客
06-16 137
2019独角兽企业重金招聘Python工程师标准>>> ...
Docker 限制容器的 Block IO使用
01-10
前面学习了如何限制容器对内存CPU的使用,本节我们来看 Block IOBlock IO 是另一种可以限制容器使用的资源。Block IO 指的是磁盘的读写,docker 可通过设置权重、限制 bps 和 iops 的方式控制容器读写磁盘的带宽,下面分别讨论。 注:目前 Block IO 限额只对 direct IO(不使用文件缓存)有效。 block IO 权重 默认情况下,所有容器能平等地读写磁盘,可以通过设置--blkio-weight参数来改变容器 block IO 的优先级。 --blkio-weight与--cpu-shares类似,设置的是相对权重值,默认为 500。在下面
详解Docker cpu限制分析
09-30
本篇文章主要介绍了Docker cpu限制分析,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker 限制容器对CPU的使用
09-30
此外,Docker 还提供了 `-m` 或 `--memory` 选项来限制容器的内存使用,但 CPU 限制内存限制是两种不同的机制。内存限制是设定容器可以使用的最大内存量,而 CPU 限制则涉及到一个相对的份额分配系统。 总结来说...
docker stats show a wrong value of block I/O when using dd if=/dev/zero in a container
卢舍那
08-09 1518
问题: 在做对container监控时,查看磁盘的大小情况,发现docker stats的BLOCK I/O与用dd if=/dev/zero命令测试的结果有出入。 docker stats解析: 一般来说,对于docker的监控,有三种最主要的方式去获取性能指标,分别是:cgroup、docker命令行(docker stats)以及docker的API。 对于cgroup方式,就是通过...
Docker容器——安全评估、资源控制(cpu限额、内存限制block io限制)、安全加固
weixin_45792518的博客
06-06 738
1.Docker安全评估 Docker容器的安全性,很大程度上取决于Linux系统本身,因为它和宿主机共享内核,评估Docker安全性时,主要考虑以下几个方面: 1、Linux内核的命名空间机制提供的容器隔离安全 2、Linux控制组机制对容器资源的控制能力安全 3、Linux内核的能力机制所带来的操作权限安全 4、Docker程序(特别是服务端)本身的抗攻击性 5、其他安全增强机制对容器安全性的影响 (1)命名空间隔离的安全docker run启动一个容器时,Docker将在后台为容器创建一个独立的
docker stats 命令详解
weixin_40293999的博客
04-11 2665
docker stats : 显示容器资源的使用情况,包括:CPU内存、网络 I/O 等。MEM USAGE / LIMIT: 容器正在使用的总内存,以及允许使用的内存总量。CPU % 与 MEM %: 容器使用的 CPU内存的百分比。BLOCK I/O: 容器从主机上的块设备读取和写入的数据量。NET I/O: 容器通过其网络接口发送和接收的数据量。–all , -a :显示所有的容器,包括未运行的。–format :指定返回值的模板文件。–no-trunc :不截断输出。
Linux下解决高并发socket最大连接数所受的各种限制(解除IO限制
CaiXinXing的CSDN博客
10-23 577
Linux下解决高并发socket最大连接数所受的各种限制(解除IO限制)   linux作为服务器系统,当运行高并发TCP程序时,通常会出现连接建立到一定个数后不能再建立连接的情况   本人在工作时,测试高并发tcp程序(GPS服务器端程序),多次测试,发现每次连接建立到3800左右时,再也不能建立tcp连接,最终上网搜索, 参考:http://blog.csdn.net/guowake/article/details/6615728解决了连接限制的问题, 此处记录下来,方便日后工作继续使用,虽然
配置Docker使用BlockBridge存储插件
bobpen的专栏
12-12 628
操作环境 [root@docker-node-1 ~]# cat /etc/redhat-release  CentOS Linux release 7.4.1708 (Core)  [root@docker-node-1 ~]# docker version Client:  Version:      1.13.1  API version:  1.26  Go ve
Docker - (10)docker中的容器资源控制和安全加固
weixin_43215948的博客
09-11 330
一、背景 在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源的限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU内存和磁盘资源。如果不对容器使用的资源进行限制,那么容器之间会互相影响,小的来说会导致容器资源使用不公平;大的来说,可能会导致主机和集群资源耗尽,服务完全不可用。 docker 作为容器的管理者,自然提供了控制容器资源的功能。正如使用内核的 namespace 来做容器之间的隔离,docker 也是通过内核的 cgroups
docker安全:容器资源控制(cpu,内存,Block IO 限制),利用LXCFS增强docker容器隔离性和资源可见性
ninimino的博客
01-29 587
Docker 安全1.Docker 安全1.1命名空间隔离的安全1.2控制组资源控制的安全1.3内核能力机制1.4Docker服务端防护1.5其他安全特性2.容器资源控制2.1CPU限额2.2内存限制限制使用内存用户级限制使用内存2.3Block IO限制3.docker安全加固安全加固的思路保证容器的安全3.1利用LXCFS增强docker容器隔离性和资源可见性3.2设置特权级运行的容器:--privileged=true3.3设置容器白名单:--cap-adddocker安全的遗留问题 1.Docker
Docker设置容器CPU、memory、磁盘IO资源限制
cbmljs的博客
09-28 4324
Docker设置容器CPU、memory、磁盘IO资源限制
docker stats
最新发布
HuChaoQing的博客
05-30 669
4. MEM USAGE / LIMIT(内存使用量 / 限制):显示容器当前使用的内存量和内存限制。1. CONTAINER ID(容器 ID):每个容器都有一个唯一的 ID,用于标识容器。5. MEM %(内存使用率):显示容器当前使用内存量与内存限制之间的百分比。6. NET I/O(网络 I/O):显示容器在网络接口上发送和接收的数据量。7. BLOCK I/O(块 I/O):显示容器在块设备上读取和写入的数据量。3. CPU %(CPU 使用率):显示容器使用的 CPU 资源的百分比。
Docker安全增强:资源限制与访问控制
"Docker安全管理涉及多个方面,包括容器的隔离机制、安全性对比、以及如何通过配置来强化容器的安全。在Docker中,容器利用Linux命名空间、Cgroups等技术实现资源隔离,使得多个容器可以在同一主机上并行运行,但这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值