Docker实验(九)Docker安全讲解(对cpu,内存和交换分区进行资源限制)

最新推荐文章于 2023-04-24 07:26:06 发布
最新推荐文章于 2023-04-24 07:26:06 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: 项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39376481/article/details/95329315
版权

一.Docker安全的相关概念

  • Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面:
    (1)Linux内核的命名空间机制提供的容器隔离安全
    (2)Linux控制组机制对容器资源的控制能力安全。
    (3)Linux内核的能力机制所带来的操作权限安全
    (4)Docker程序(特别是服务端)本身的抗攻击性。
    (5)其他安全增强机制对容器安全性的影响。
  • 命名空间隔离的安全
    (1)当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。
    (2)与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。
    (3)容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。
    (4)在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,比如:时间。
  • 控制组资源控制的安全
    (1)当docker run启动一个容器时,Docker将在后台为容器创建一个独立的控制组策略集合。
    (2)Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
    (3)确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少。
  • 内核能力机制
    (1)能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。
    (2)大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。
    (3)默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。
  • Docker服务端防护
    (1)使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。
    (2)将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。
    (3)允许Docker 服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。
  • 其他安全特性
    (1)在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
    (2)使用一些有增强安全特性的容器模板。
    (3)用户可以自定义更加严格的访问控制机制来定制安全策略。
    (4)在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。
  • 容器资源控制
    (1)Linux Cgroups 的全称是 Linux Control Group。它是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。对进程进行优先级设置、审计,以及将进程挂起和恢复等操作。
    (2)Linux Cgroups 给用户暴露出来的操作接口是文件系统。它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下。执行此命令查看:mount -t cgroup
    (3)在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录,也叫子系统。
    (4)在每个子系统下面,为每个容器创建一个控制组(即创建一
    个新目录)。
    (5)控制组下面的资源文件里填上什么值,就靠用户执行 docker run 时的参数指定。

二.系统基础安全实验

1.首先可以发现容器内的内存和虚拟机中的内存大小是一样的

[root@server1 ~]# docker run -it --name vm1 ubuntu
root@38ead985c8d6:/# ls
#容器内的内存大小
root@38ead985c8d6:/# free -m
root@38ead985c8d6:/# [root@server1 ~]# 
#虚拟机中的内存大小
[root@server1 ~]# free -m

在这里插入图片描述
2.发现容器进程只有6个namespace

[root@server1 ~]# docker inspect vm1 | grep Pid
[root@server1 ~]# cd /proc/
[root@server1 proc]# cd 1576/
[root@server1 1576]# cd ns/
[root@server1 ns]# ll

在这里插入图片描述
3.查看针对整个容器的资源控制的目录(cpu和内存)

#查看其cgroup服务的路径

[root@server1 ns]# mount -t cgroup

在这里插入图片描述
#依次查看cpu,内存和容器的目录下的文件

[root@server1 ns]# cd /sys/fs/cgroup/
[root@server1 cgroup]# ls
[root@server1 cgroup]# cd cpu
[root@server1 cpu]# ls
[root@server1 cpu]# cd ../memory/
[root@server1 memory]# ls
[root@server1 memory]# cd docker/
[root@server1 docker]# ls

在这里插入图片描述
4.当在memory目录下新建目录时直接会从上级目录继承

[root@server1 docker]# cd ..
[root@server1 memory]# ls
[root@server1 memory]# mkdir x1
[root@server1 memory]# ls

最低0.47元/天 解锁文章
束安
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker 容器设置内存限制
wjianwei666的专栏
04-02 96
限制内存 100M,不设置 –memory-swap,容器申请使用 2X90M=180M,程序可以正常运行;限制内存 100M,未设置 –memory-swap(表示可以使用与内存限制一样的swap),容器申请使用 2X51M=102M,由于最大允许使用内存 100M,主机没有 swap 可用,容器启动失败;限制内存 100M,设置 –memory-swap=-1(表示使用主机的所有 swap),容器申请使用 2X51M=102M,由于最大允许使用内存 100M,主机没有 swap 可用,容器启动失败;
Docker 运行时资源限制
热门推荐
勤能补拙
12-18 4万+
Docker 运行时资源限制Docker 基于 Linux 内核提供的 cgroups 功能,可以限制容器在运行时使用到的资源,比如内存CPU、块 I/O、网络等。内存限制概述Docker 提供的内存限制功能有以下几点: 容器能使用的内存交换分区大小。 容器的核心内存大小。 容器虚拟内存交换行为。 容器内存的软性限制。 是否杀死占用过多内存的容器。 容器被杀死的优先级 一般情况下,达到内存限制
linux 限制内存资源,linux – Docker容器中的内存限制CPU限制
weixin_30280267的博客
05-02 132
更新:在stackoverflow上发现了很多关于这个主题的问题和讨论.虽然它们被标记为接受并由数千名用户启动,但它们似乎不是正确的答案.我运行了一个具有资源限制docker(版本1.13.1,build 092cba3)容器,如下所示:docker run --privileged -v /sys/fs/cgroup:/sys/fs/cgroup -m 4096M --cpuset-cpus=...
Docker数据跨分区迁移
etc的博客
10-14 306
问题背景 在一个与L公司合作的项目中,需要在其公网服务器上部署测试环境。在部署环境的时候发现一个有意思的现象: 我使用docker load加载一组之前下载好的镜像,加载结束后使用docker images检查加载结果,镜像列表中少了几个。我尝试若干次以及改变load次序,结果依旧是有几个镜像神秘地“消失”了。于是,我怀疑应该是后台运行了某个monitor进程把我的镜像删除了,比较合理的猜想是当数据分区占用量达到一定阈值的时候就会触发image/container GC。于是,检查一下文件系统中各数据分区
【转】Docker 运行时资源限制-内存memory、交换分区Swap、CPU
涂作权的博客
08-15 2429
https://blog.csdn.net/csdn_duomaomao/article/details/78567859
Docker容器内存占用过高解决方法
jinba225的博客
06-18 7579
Docker容器内存占用过高 #查看占用过高的应用 docker stats --动态实时显示 docker stats --no-stream --静态显示 #使用top命令查询占用过高的应用 top -c -b -o +%MEM | head -n 20 | tail -15 #修改compose file(版本小于v3) mem_limit: 10g #如果compose版本大于v3 deploy: resources: limits: # cpus: '0.5' -
详解Docker cpu限制分析
01-10
本文测试了,Docker容器限制cpu资源使用的几个配置参数。分别使用top和dstat命令分析了资源占有情况。 package main import ( flag runtime fmt ) func main() { cpunum := flag.Int(cpunum, 0, cpunum) flag....
docker 限制容器对CPU的使用
09-30
本篇文章主要介绍了docker 限制容器对CPU的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker 限制容器对内存的使用详解
09-30
主要介绍了Docker 限制容器对内存的使用详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker 修改内存大小
红枫
12-15 2752
docker 修改内存大小
【云原生|Docker】04-docker资源限制
qq_43714097的博客
03-20 1587
用户内存限制就是对容器能使用的内存交换分区的大小作出限制;主机运行若干容器,每个容器都需要cpu内存以及IO资源,为避免因为单个容器占用过多资源而影响到所有其他容器乃至整个宿主机的性能,因此需要对容器资源进行限制
Docker的配置与使用
Chj_aa的博客
02-10 3745
docker搭建及使用
2022-11-19kubernetes集群部署和使用(超详细)
weixin_46074780的博客
11-19 1840
k8s集群搭建,k8s概念
Docker( 八)docker安全以及安全加固
清风
08-09 7653
一.概念解释 二.系统基础安全实验 1.docker与系统共享内核并且会在宿主机上产生相应的进程 [root@server1 ~]# docker run -it --name vm1 ubuntu root@f1c5528bcddb:/# ls bin dev home lib64 mnt proc run srv tmp var boot etc lib medi...
docker容器内存分配
weixin_43991475的博客
04-02 7954
(1)和CPU控制一样,docker也提供了若干参数来控制容器的内存使用配额,可以控制容器的swap大小、可用内存大小等各种内存方面的控制。 主要有以下参数: memory-swappiness: 控制进程将物理内存交换到swap分区的倾向,默认系数为60。系数越小,就越倾向于使用物理内存。值范围为0-100。当值为100时,表示尽量使用swap分区;当值为0时,表示禁用容器 swap 功能(这点不同于宿主机,宿主机 swappiness 设置为 0 也不保证 swap 不会被使用)。 –kernel-m
Docker限制已运行容器的Cpu内存
慕雪华年的博客
04-24 1834
docker限制已运行容器的Cpu内存more本文首发于。
Docker 常见配置相关问题
猫轻王的博客
02-27 879
Docker 的配置文件放在哪里,如何修改配置? 如何更改 Docker 的默认存储位置? 使用内存和 swap 限制启动容器时候报警告:Limitation discarded? 配置镜像加速? 国内加速站点有哪些?
docker内存不够无法启动容器。Exited (1) 14 seconds ago,新增Swap虚拟内存分区
公众号安哥说前端
07-28 2822
docker内存不够无法启动容器,新增Swap虚拟内存分区
docker 内存 limit 与 swap 限制
CV菜鸟的学习之路
08-16 4827
结论 主机层没有开启 swap ,容器运行时无论怎么设置 --memory-swap,都不会使用到 swap,容器最大能使用的内存等于设置的内存限制; 主机层开启了 swap 如下表: memory memory-swap 效果 M 正数 S 容器最大可用内存为S,其中 ram 为 M,swap 为(S-M),若 S=M 则无可用 swap 资源 M 0 相当于未设置 memory-swap M -1 容器最大可用内存为 M+主机可用swap M 未设置 容器最大可用内存为 2M
docker限制cpu内存
最新发布
05-26
要在Docker限制CPU内存,可以使用以下命令: - 限制CPU:`docker run --cpus=<number_of_cpus>` 例如,要将容器限制为使用一半的CPU,可以使用以下命令: ``` docker run --cpus=0.5 ``` - 限制内存:`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值