Docker-----(八)资源控制和安全加固

最新推荐文章于 2022-07-07 07:41:04 发布
最新推荐文章于 2022-07-07 07:41:04 发布
阅读量222 收藏
点赞数
分类专栏: Docker 企业部分
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41582883/article/details/113343397
版权

Docker安全

1 Docker安全

(1) 命名空间隔离的安全

  • 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间,命名空间提供了最基础也最直接的隔离。
  • 与虚拟机方式相比,通过Linux
    namespace来实现的隔离不是那么彻底;容器只是运行在宿主机上的一种特殊的进程,多个容器之间使用的就还是同一个宿主机的操作系统内核;在
    Linux 内核中,有很多资源和对象是不能被 Namespace化的,比如:时间。

(2)控制组资源控制的安全

  • 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的控制组策略集合。
  • Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。

运行容器:docker run -d --name demo nginx

在这里插入图片描述

在这里插入图片描述

  • 显示 Docker 系统信息:docker info

在这里插入图片描述

  • 查询系统中已经mount 的cgroup的文件系统: mount -t cgroup

在这里插入图片描述

  • 运行容器时会在/sys/fs/cgroup/生成限制容器进程组能够使用的资源上限:cd /sys/fs/cgroup/

在这里插入图片描述
在这里插入图片描述

tasks ##容器进程号
cpu.shares:1024
cpu.cfs_period_us:100000
cpu.cfs_quota_us:-1

在这里插入图片描述

2 容器资源控制

Cgroups全称Control Groups,是Linux内核提供的物理资源隔离机制,通过这种机制,可以实现对Linux进程或者进程组的资源限制、隔离和统计功能。实现 cgroups 的主要目的是为不同用户层面的资源管理提供一个统一化的接口。从单个任务的资源控制到操作系统层面的虚拟化,cgroups 提供了四大功能:

  • 资源限制:cgroups 可以对任务是要的资源总额进行限制。比如设定任务运行时使用的内存上限,一旦超出就提示。
  • 优先级分配:通过分配的 CPU 时间片数量和磁盘 IO 带宽,实际上就等同于控制了任务运行的优先级。
  • 资源统计:cgoups 可以统计系统的资源使用量,比如 CPU 使用时长、内存用量等。这个功能非常适合当前云端产品按使用量计费的方式。
  • 任务控制:cgroups 可以对任务执行挂起、恢复等操作。

Linux Cgroups 给用户暴露出来的操作接口是文件系统。它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下,路径下有诸如 cpuset、cpu、 memory 这样的子目录,也叫子系统。在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录)。
控制组下面的资源文件的值,可以在用户执行 docker run 时的参数指定。

2.1 CPU限额

(1) 运行容器:docker run -it --rm busybox

  • 吞吐量测试dd if=/dev/zero of=/dev/null &

  • 此时只有一个容器,独占cpu资源

在这里插入图片描述

(2) 运行容器(cpu限额):docker run -it --rm --cpu-quota 20000 busybox

  • cpu_period 和 cpu_quota 这两个参数需要组合使用,用来限制进程在长度为cpu_period(默认100000)的一段时间内,只能被分配到总量为 cpu_quota 的 CPU 时间为20000
  • 吞吐量测试dd if=/dev/zero of=/dev/null &

在这里插入图片描述

  • 查看容器的进程号:cd /sys/fs/cgroup

在这里插入图片描述

  • 查看此时容器占用cpu的资源大约为总的20%

在这里插入图片描述

(3) 多个进程占用的cpu资源

  • 由于虚拟机是两个cpu,为了实验效果明显,关闭cpu1:cd /sys/devices/system/cpu/cpu1/

在这里插入图片描述

  • 查看cpu的详细信息:lscpu

在这里插入图片描述

  • 运行两个容器
docker run -it --rm busybox
dd if=/dev/zero of=/dev/null &  ##ctrl+p+q退出容器
docker run -it --rm busybox
dd if=/dev/zero of=/dev/null & ##ctrl+p+q退出容器

在这里插入图片描述

  • 由于未设置cpu的优先级,此时两个容器的占用cpu资源的优先级相同

在这里插入图片描述

  • 关闭运行的第二个容器,此时cpu资源由第一个容器占用

在这里插入图片描述

  • 运行容器时划分cpu的比例(默认1024):
docker run -it --rm --cpu-shares 512  busybox
 dd if=/dev/zero of=/dev/null & ##ctrl+p+q退出容器

在这里插入图片描述

在这里插入图片描述

  • 查看容器占用cpu资源的情况,18140进程划分的cpu资源是1024,18595进程划分的cpu资源是512,所有18140进程占用的资源是18595进程占用cpu资源的2倍

在这里插入图片描述

2.2 内存限制

2.2.1 操作系统层面内存的限制

进入cgroup的memory子目录:cd /sys/fs/cgroup/memory

mkdir dir
cd dir/  ##(从父集继承的文件)

在这里插入图片描述

 echo 104857600  > memory.memsw.limit_in_bytes  ##100*1024*1024(100M)
 cat memory.memsw.limit_in_bytes ##内存和swap分区限额为100M

在这里插入图片描述

  • cgexec命令可以直接在命令行控制资源组 :
    必须在/dev/shm内存空间下写入
cgexec -g memory:dir dd if=/dev/zero of=bigfile bs=1M count=200
  • 因为划分的内存和swap限额为100M,现在划分200超过了限额,命名行会输出killed提示,bigfile的文件不会超过100M

在这里插入图片描述

在这里插入图片描述

2.2.2 cgconfig不同用户的限制

(1) 新建用户:useradd user1

(2) 编辑/etc/cgrules.conf规则文件:vim /etc/cgrules.conf

  • cgrules.conf规则文件需要填写用户 限制类型 限制策略

在这里插入图片描述

(3) 重启服务:systemctl start cgred.service (重新读取 /etc/cgrules.conf )

(4) 测试

su - user1 ##切换用户
cd /dev/shm  ##必须在/dev/shm内存空间下写入
dd if=/dev/zero of=bigfile bs=1M count=100 ##写入100M的内存,被限制
du -h bigfile ##最大不会超过100M

在这里插入图片描述

2.2.3 容器中内存的限制

容器可用内存包括两个部分:物理内存和swap交换分区

(1) 运行容器:

docker run -it --rm --memory 100M --memory-swap 100M busybox
## -memory设置内存使用限额
## --memory-swap设置swap交换分区限额

(2) 进入cgroup的memory目录:cd /sys/fs/cgroup/memory/

  • memory.memsw.limit_in_bytes :内存和swap分区限额为100M

在这里插入图片描述

2.3 Block IO限制

(1) 运行容器:docker run -it --device-write-bps /dev/vda:30M ubuntu
限制写设备/dev/vda的bps为30M

dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct
## 目前的block IO限制只对direct IO有效。(不使用文件缓存)

在这里插入图片描述

(2) 进入cgroup的blkio目录:cd /sys/fs/cgroup/blkio

cd docker/
cat blkio.throttle.write_bps_device ##写设备的bps限制31457280/(1024*1024)=30M

在这里插入图片描述

3 docker安全加固

(1) 利用LXCFS增强docker容器隔离性和资源可见性

[root@server2 lxcfs]# docker run  -it -m 100m \
> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
>  ubuntu
root@16ca4a215221:/# free -m
              total        used        free      shared  buff/cache   available
Mem:            100           0          99          31           0          99
Swap:           100           0         100

(2) 设置特权级运行的容器:--privileged=true
有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。

  • 运行容器:docker run -it --rm busybox
  • 禁用eth0:ip link set down dev eth0,在root用户下,也没执行禁用的命令

在这里插入图片描述

  • 查看正在运行的容器:docker ps
  • 查看容器的信息:docker inspect a89a3e58baf2

在这里插入图片描述

在这里插入图片描述

  • 在运行容器的时候设置特权:docker run -it --rm --privileged=true busybox

在这里插入图片描述

  • 查看容器的信息
docker ps
docker inspect c7c7d83b070e

在这里插入图片描述

在这里插入图片描述

(3) 设置容器白名单:–cap-add

privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker 提供了权限白名单的机制,使用–cap-add添加必要的权限。

  • 在运行容器的时候指定修改网络接口数据: --cap-add=NET_ADMIN,可以执行修改网络接口数据的命令
 docker run -it --rm  --cap-add=NET_ADMIN busybox

在这里插入图片描述

  • 查看容器的信息
docker ps 
docker inspect 165eac6741ea

在这里插入图片描述

在这里插入图片描述

KKang@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cgroup使用过程中的注意事项
weixin_34336292的博客
07-16 372
通常大家都应该通过使用libcgroup 这样的高级管理接口去玩转cgroup的。而它提供了cgconfig.conf 和cgrules.conf 两个可供配置的文件。cgconfig.conf:可配置相关的group信息cgrules.conf: 可配置相应的规则,如某些用户下的某些进程可以放到那个group中被限制example,cgconfig.conf 的配置如下:g...
linux上cgconfig服务,Linux的企业-资源配额cgconfig
weixin_33305287的博客
05-05 576
一.简介Cgroups是control groups的缩写,是Linux内核提供的一种可以限制、记录、隔离进程组(process groups)所使用的物理资源(如:cpu,memory,IO等等)的机制。最初由google的工程师提出,后来被整合进Linux内核。Cgroups也是LXC为实现虚拟化所使用的资源管理手段,可以说没有cgroups就没有LXC。Cgroups最初的目标是为资源管理提...
企业运维容器之 docker 安全
weixin_54720351的博客
05-31 464
企业运维容器之 docker 安全 1. Docker 安全2. 容器资源控制 1. Docker 安全 Docker 容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux 内核的命名空间机制提供的容器隔离安全; Linux 控制组机制对容器资源控制能力安全; Linux 内核的能力机制所带来的操作权限安全; Docker程序(特别是服务端)本身的抗攻击性; 其他安全增强机制对容器安全性的影响。 命名空间隔离的安全 当docker run
APP资源文件混淆加固
wei11556的博客
10-23 1526
使用工具AndResGuard,AndResGuard是一个帮助你缩小APK大小的工具,他的原理类似Java Proguard,但是只针对资源。他会将原本冗长的资源路径变短,例如将res/drawable/wechat变为r/d/a。 AndResGuard的配置 项目根目录下build.gradle中,添加插件的依赖: classpath 'com.tencent.mm:AndResGu...
centos7限制cpu使用_如何在CentOS上使用cgroup限制CPU|内存|IO等资源–CentOS 6/7/RHEL适用...
weixin_36162235的博客
01-12 1631
介绍控制组或cgroup是CentOS 6中引入的内核功能,它提供了一种限制进程对系统资源的访问的新方法。您可以创建自己的cgroup,监视您配置的cgroup,拒绝cgroup访问某些资源,甚至可以在正在运行的系统上动态重新配置cgroup。在本教程中,我们将了解如何限制进程的CPU,内存和磁盘i / o。为此,我们将首先创建一些控制组,向它们添加流程,并查看它们的执行方式。先决条件在开始学习本...
docker-compose安装包
最新发布
12-19
Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 Docker-Compose将所管理的容器分为三层,分别是工程(project),服务(service)以及容器(container)。Docker-Compose运行目录...
Ubuntu docker 20.10.12版本和docker-compose离线安装包
06-21
通过一个YAML文件(通常命名为`docker-compose.yml`),你可以定义服务、网络和卷,然后使用`docker-compose up`命令来启动所有配置的服务。在压缩包中: 4. `docker-compose-linux-x86_64`:这是一个可执行文件,...
docker-compose v2.5.0版本安装包
05-06
内含两个文件,一个是二进制程序包,一个是install.sh安装脚本。...(你也可以自行去github上面下载最新的docker-compose的二进制包,但是这将浪费你半个小时的时间,然后还要自己安装。所以1.9元交个朋友)
docker-compose-window-2.14.2.exe
12-27
docker-compose-window-2.14.2.exe免费下载
最新版本docker-compose v2.10.2
08-30
解决不支持docker-compose命令的问题,而从gihub下载缓慢,适用于x87_64的linux系统,
【Android 安全】使用 360 加固宝加固应用 ( 购买高级加固服务 | 设置资源加固 | 设置 SO 文件保护配置 | 设置 SO 防盗用文件配置 | 反编译验证加固效果 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
04-27 2699
一、 购买加固服务、 二、 设置资源加固、 三、 设置 SO 文件保护配置、 四、 设置 SO 防盗用文件配置、 五、 反编译验证加固效果、
android资源加固,Android加固原理研究
weixin_28829173的博客
05-25 209
原标题:Android加固原理研究《【1.13杭州站沙龙】主持小姐姐让我跟大家说她是单身···》点击本日推送第二条 即刻报名!一、DEX文件格式分析1、文件布局文档可以参考官方文档:http://source.android.com/devices/tech/dalvik/dex-format.html dex 文件可以分为3个模块,头文件(header)、索引区(xxxx_ids)、数据区(da...
android资源加固,Android apk加固实现原理
weixin_31939387的博客
05-25 579
apk加固是每一个app发布之前必须要做的事情;如果一个apk没有加固那么别人就很容易被别人反编译,看到这其中的原码,虽然现在有代码混淆、把业务写到native层,但是这都是治标不治本。反编译的技术在更新,那么保护Apk的技术就不能停止,虽然网上有很多加固的第三方框架,但是这加固的原理还是有必要去了解一下的,其实加固有些人认为很高深的技术,其实不然,说的简单点就是对源Apk的dex进行加密,然后在...
centos cgroup配置
weixin_34023863的博客
03-27 740
centOS 6:1. 启用cgroup 查看内核是否支持cgroup功能:cat /boot/config-`uname -r` | grep -i rt_group 查看支持的子系统:lssubsys2. 关闭SELinux。SELinux会阻止cgconfigparser的写操作,所以需要关闭SELinux 修改/etc/selinux/config文件,设置SELINUX...
容器安全加固
悦分享
07-07 429
Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面∶●Linux内核的命名空间机制提供的容器隔离安全●Linux控制组机制对容器资源控制能力安全。●Linux内核的能力机制所带来的操作权限安全●Docker程序(特别是服务端)本身的抗攻击性。●其他安全增强机制对容器安全性的影响。在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源的限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU
centos 6,7 上cgroup资源限制使用举例
翔云
08-04 3719
在Centos6,7使用cgroup做内存限制,使用的配置包是libcgroup,具体方案和操作步骤如下。 步骤1:安装配置管理包 Centos 6: # yum install libcgroup Centos 7: # yum install libcgroup libcgroup-tools 步骤2:添加控制组 创建文件 /etc/cgconfig.d/cgro...
Linux下CGroup进行CPU内存等资源控制
lbyyy的专栏
01-11 7452
留存 from: http://www.cnblogs.com/kevingrace/p/5685433.html  and  http://www.cnblogs.com/wang_yb/p/3942208.html CGroup 介绍 CGroup 是 Control Groups 的缩写,是 Linux 内核提供的一种可以限制、记录、隔离进程组 (process groups)
cgroup的使用
走不动的蜗牛的专栏
07-31 3671
1、cgroup的安装: 在安装系统的时候,默认已经安装了libcgroup软件包,如果没有安装可以使用以下命令进行安装: [root@susir /]# rpm -q libcgroup libcgroup-0.36.1-6.el6.x86_64 如果没有安装请用YUM安装。 2、cgroup服务的控制: 将其更改为伴随系统的启动而启动: [root@susir /]# chkco
Docker-compose 教程全集 PDF 53页
07-07
Docker-compose教程全集是一份深入讲解Docker容器集群编排的详细指南,它是由Docker官方维护的开源工具,旨在简化多容器应用的部署和管理。Docker-compose主要关注三个层次的组织:项目(project)、服务(service)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值