Docker 容器隔离

最新推荐文章于 2024-04-09 13:30:00 发布
最新推荐文章于 2024-04-09 13:30:00 发布
阅读量196 收藏
点赞数
分类专栏: 容器 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_25485363/article/details/118225275
版权

Docker容器隔离

在容器里执行top指令,会发现,它显示的信息是宿主机的CPU和内存数据,而不是当前容器的数据。造成该问题的原因在于,容器通过Cgroups来为容器进程设置资源限制,但是/proc 文件系统并不知道用户通过Cgroups给这个容器做了什么样的资源限制,/proc 文件系统不了解Cgroups限制的存在。

# 容器
teledb@teledb-XPS-8930:~$ docker run -it -m 256m --memory-swap 256m centos /bin/bash
[root@5dc9ff32e459 /]# top 查看发现并没有获取到正确的资源限制

在这里插入图片描述
宿主机
在这里插入图片描述

解决思路

宿主机上执行top指令,是从/prof/stats 目录下获取数据,所以容器不挂载宿主机的该目录即可。lxcfs可实现该功能,它将宿主机的/var/lib/lxcfs/proc/meminfo文件挂载到Docker容器的/proc/meminfo 位置后,容器中进程读取相应文件内容后,lxcfs的fuse实现会从容器对应的Cgroups中读取正确的内存限制,从而使应用获取正确的资源约束。
https://github.com/lxc/lxcfs

安装

# yum install offline
[ceph@k8s-master lxcfs-4.0.7] sudo yum install -y --downloadonly --downloaddir=/data/tzj/rpm fuse fuse-lib fuse-devel
[ceph@k8s-master lxcfs-4.0.7] sudo yum localinstall /data/tzj/rpm/*.rpm
# make
[ceph@k8s-master lxcfs-4.0.7] cd docker/lxcfs-4.0.7/
[ceph@k8s-master lxcfs-4.0.7] ./configure
[ceph@k8s-master lxcfs-4.0.7] make
[ceph@k8s-master lxcfs-4.0.7] sudo make install
# test
[ceph@k8s-master lxcfs-4.0.7]$ lxcfs -v
4.0.7

隔离测试

[ceph@k8s-master docker] sudo mkdir -p /var/lib/lxcfs
[ceph@k8s-master docker] sudo lxcfs /var/lib/lxcfs
sudo: lxcfs: command not found
# bash -c error too,use root users
[root@k8s-master docker]# lxcfs /var/lib/lxcfs
Running constructor lxcfs_init to reload liblxcfs
mount namespace: 4
hierarchies:
  0: fd:   5: name=systemd
  1: fd:   6: perf_event
  2: fd:   7: memory
  3: fd:   8: cpu,cpuacct
  4: fd:   9: hugetlb
  5: fd:  10: blkio
  6: fd:  11: net_cls,net_prio
  7: fd:  12: cpuset
  8: fd:  13: pids
  9: fd:  14: freezer
 10: fd:  15: devices
Kernel supports swap accounting
api_extensions:
- cgroups
- sys_cpu_online
- proc_cpuinfo
- proc_diskstats
- proc_loadavg
- proc_meminfo
- proc_stat
- proc_swaps
- proc_uptime
- shared_pidns
- cpuview_daemon
- loadavg_daemon
- pidfds

运行一个docker容器

docker run -it centos /bin/bash

在这里插入图片描述
通过lxcfs

docker run -it -m 256m --memory-swap 256m \
      -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
      -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
      -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
      -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
      -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
      -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
      centos /bin/bash

在这里插入图片描述

福尔摩斯.军
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker容器隔离机制
My_wife_QBL的博客
06-25 778
Docker容器技术作为现代化软件开发和部署的基石,其核心优势之一便是能够提供轻量级的隔离环境。这种隔离机制不仅确保了容器互不干扰,也提高了系统的安全性和稳定性。本文将详细阐述Docker容器隔离机制,以便读者更好地理解其工作原理。
Docker容器隔离与限制
summer_fish的专栏
06-19 1148
Linux容器中用来实现“隔离”的技术手段:Namespace。 Namespace实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有区别。Namespace 并不是一个新技术,它是Linux操作系统默认提供的API,包括 PID Namespace、Mount Namespace、IPC Namespace、Network Namespace等等。以 PID Namespace 为例,它的功能是可
5、docker 容器的IP隔离
harder_cn的博客
06-16 292
我们同一模板运行两次,分别是mytomcat、mytomcat2 [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES bfe0ad01bbea tomcat:latest "catalina.sh run" 10 s.
Docker容器技术原理(一)隔离
傅红雪的专栏
04-20 1095
引子 我们之前说过,容器是一种沙盒技术,通俗地说,容器可以像一个集装箱一样把我们的应用装起来。这样,应用与应用之便有了边界,不会互相干扰,被放进集装箱的应用也可以被我们搬来搬去,完美!那么,你可知道这功能是如何实现的呢?今天,我们便来聊聊边界的实现手段。 手段 我们先下结论,容器技术的核心功能,就是通过约束和修改进程的动态表现,从而为其创造出一个边界。 对于一个进程来说,它的静态表现就是程序,平时就呆在磁盘上。当它运行起来了,就变成了计算机里的数据和状态的总和,包括计算机内存中的数据、寄存器里的值
Docker教程(一)- 运行Docker镜像、容器隔离
Mork, Lam的博客
02-22 956
本文章翻译自Docker的官方教程,有兴趣的同学可以上Docker官网进行play-with-docker学习。Docker的安装教程请参考这里(未定义) 本文翻译子Docker官方教程First Alpine Linux Containers,并作出一定的修改及删减以加快上手速度。 Docker教程 - 第一个 Alpine Linux 容器运行你的第一个容器Docker 镜像运行 Do...
Docker如何实现隔离
RenLJ1895的博客
01-12 1813
Docker是如何实现隔离
Docker可以做到的隔离措施:
qq_53381774的博客
07-21 313
你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/Command + B 斜体:Ctrl/Command + I 标题:Ctrl/Command + S
如何设置Docker容器的网络隔离与安全策略?
最新发布
04-09 92
总结来说,要设置Docker容器的网络隔离和安全策略,需要选择合适的网络驱动、使用网络命名空、使用容器编排工具、使用Docker内置的网络安全功能,以及使用第三方网络安全工具。使用第三方网络安全工具:除了Docker自带的网络安全功能外,还可以使用第三方网络安全工具来增强容器的网络隔离和安全策略,如iptables、Calico等。使用Docker网络命名空:每个Docker容器在创建时都会有自己独立的网络命名空,这可以防止容器的网络冲突,并限制容器的访问。
docker实践(4) docker资源限制和lxcfs实现对容器资源视图隔离
黄规速博客:学如逆水行舟,不进则退
09-09 374
docker 是通过 CPU cgroups 来限制容器使用的cpu上限,而和CPU groups有关的三个比较重要的参数是: cpu.cfs_quota_us、cpu.cfs_period_us、cpu.shares.
DockerDocker安全、容器资源控制(CPU、内存、磁盘IO)、安全加固(lxcfs、特权、白名单)
sl963216757的博客
06-29 382
一、理解Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响。   1 命名空隔离的安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空。命名空
Docker容器中实现安全与隔离
sisiy2015的博客
11-20 3534
利用linux现有功能实现docker的安全与隔离,如namespaces, cgroups, capabilities”!
docker容器技术实现网络隔离-Network namespace
rendongxingzhe的博客
06-17 2523
linux的network namespace
Docker实验(十)Docker容器的安全加固(LXCFS,特权级运行容器
qq_39376481的博客
07-10 856
一.安全加固 安全加固的思路 保证镜像的安全 1.使用安全的基础镜像 2.删除镜像中的setuid和setgid权限 3.启用Docker的内容信任 4.最小安装原则 5.对镜像进行安全漏洞扫描,镜像安全扫描器:Clair 6.容器使用非root用户运行 保证容器的安全 1.对docker宿主机进行安全加固 2.限制容器的网络流量 3.配置Docker守护程序的TLS身份验证 4.启用用户命...
Docker系列五——Docker容器隔离原理及网络通信
yx444535180的专栏
05-09 5477
一、隔离原理
Docker容器实现原理及容器隔离性踩坑介绍
小米云技术
08-17 5516
正如Docker官方的口号:“Build once,Run anywhere,Configure once,Run anything”,Docker被贴上了如下标签:轻巧、秒级启动、版本管理、可移植性等等,这些优点让它出现之初就收到极大的关注。现在,Docker已经不仅仅是开发测试阶段使用的工具,大家已经在生产环境中大量使用。今天我们给大家介绍关于容器隔离性的一个“坑”。在此之前,我们先来回顾一下...
Linux查看系统负载常用命令
xule666的专栏
10-30 669
网站服务器经常会遇到linux系统负载的问题,那么linux下查看系统负载的命令有哪些呢? linux下查看负载的主要命令有下面一些: top, uptime,w,vmstat 1、top命令查看linux负载: 第一行解释: top - 01:18:39 up 2 days, 18:54, 1 user, load average: 0.04, 0.03, 0.05 01:18:39:系统当前时 up 2 days, 18:54 :系统开机到现在经过了2天 1 users:当前1用户在线 lo
Docker容器实战(六) - Docker是如何实现隔离的?
JavaEdge全是干货的技术号
10-08 4157
容器只是一种特殊的进程,一个正在运行的Docker容器,就是一个启用了多个Linux Namespace的应用进程,而该进程能够使用的资源量,则受Cgroups限制。即容器是一个“单进程”模型。由于一个容器本质就是一个进程,用户的应用进程实际上就是容器里PID=1的进程,也是其他后续创建的所有进程的父进程。这意味着,在一个容器,无法同时运行两个不同应用,除非你能事先找到一个公共的PID=1的程序充当两个不同应用的父进程,这也解释了为何很多人会用systemd或这样的软件代替应用本身作为容器的启动进程。
Docker 里跑 Java,趟坑总结
chongwan0332的博客
03-31 2242
背景:众所周知,当我们执行没有任何调优参数(如“java-jar mypplication-fat.jar”)的 Java 应用程序时,JVM 会自动调整几个参数,以便在执行环境中具有最佳性能。 但是许多开发者发现,如果让 JVM ergonomics (即JVM人体工程学,用于自动选择和行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值