Linux下利用LXCFS增强docker容器隔离性和资源可见性

最新推荐文章于 2022-08-08 16:21:50 发布
最新推荐文章于 2022-08-08 16:21:50 发布
阅读量1.1k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42303254/article/details/88854353
版权

一、前言

 

容器实现的基础是NameSpace和Cgroups。

  • NameSpace实现了对容器(进程)的隔离,NameSpace技术实际上修改了应用进程看待整个计算机“视图”,也就是作用域,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容,实现方式类似于将全局变量修改为了局部变量。
  • Cgroups实现了对容器(进程)资源的限制,但是在容器内部依然缺省挂载了宿主机的procfs的/proc目录,其中包含:meminfo,cpuinfo,stat,uptime等资源信息。一些监控工具如 free/top 会依赖上述文件获取资源配置和使用情况。

示例:为容器配置了200m内存,使用free显示却是1G内存(宿主机的实际内存)

 

二、LXCFS介绍

 

社区中常用的做法是利用lxcfs来提供容器中的资源可见性。lxcfs是一个开源的FUSE(用户态文件系统)实现来支持LXC容器。

LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件:

/proc/cpuinfo
/proc/diskstats
/proc/meminfo
/proc/stat
/proc/swaps
/proc/uptime

比如,把宿主机的 /var/lib/lxcfs/proc/memoinfo 文件挂载到Docker容器的/proc/meminfo位置后。容器中进程读取相应文件内容时,LXCFS的FUSE实现会从容器对应的Cgroup中 读取正确的内存限制。从而使得应用获得正确的资源约束设定。

 

三、实验环境(rhel7.3版本)

1.selinux和firewalld状态为disabled

2.各主机信息如下:

主机ip
server1(安装好docker)172.25.83.1

 

四、Docker环境下LXCFS使用

 

1、下载lxfs的rpm包:lxcfs-2.0.5-3.el7.centos.x86_64.rpm并进行安装

[root@server1 ~]# yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
  • 安装完lxcfs之后,会在/var/lib目录下生成lxcfs目录。只是/var/lib/lxcfs目录中没有内容。

 

2、启动lxcfs

[root@server1 ~]# lxcfs /var/lib/lxcfs/ &   #按回车结束,千万不要用Crtl+c,因为Ctrl+c会将该进程杀死。
[1] 3940
[root@server1 ~]# hierarchies:
  0: fd:   5: freezer
  1: fd:   6: perf_event
  2: fd:   7: pids
  3: fd:   8: blkio
  4: fd:   9: devices
  5: fd:  10: cpuacct,cpu
  6: fd:  11: net_prio,net_cls
  7: fd:  12: cpuset
  8: fd:  13: hugetlb
  9: fd:  14: memory
 10: fd:  15: name=systemd
  • 启动lxcfs之后,会在/var/lib/lxcfs目录下生成cgroup目录和proc目录

  • 使用"ps  ax"命令,查看lxcfs的进程

 

3、在docker中测试

[root@server1 ~]# docker run -it --name vm5 -m 200m \
> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo \
> -v /var/lib/lxcfs/proc/stat:/proc/stat \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime \
> ubuntu
root@8457f7057af0:/# free -m   #我们可以看到总内存为200m,表示配置成功
             total       used       free     shared    buffers     cached
Mem:           200          1        198          6          0          0
-/+ buffers/cache:          0        199
Swap:          200          0        200

 

有人可能会有这样的疑问:为什么不直接把/var/lib/lxcfs/proc目录挂载到容器内的/proc目录下呢?

我进行过尝试,直接把/var/lib/lxcfs/proc目录挂载到容器内的/proc目录下,运行容器会报错,那为什么会报错呢,原因是什么呢?

答:

这是因为容器内的/proc目录下本身是有内容的,是系统的进程信息等等,如果直接把/var/lib/lxcfs/proc目录挂载到容器内的/proc目录下,会覆盖容器内/proc目录下的内容,而/proc目录下记录的是容器的进程信息等等内容,是不能被覆盖的,所以不能直接把/var/lib/lxcfs/proc目录挂载到容器内的/proc目录下。

柒️星
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker安全加固之--LXCFS
weixin_42446031的博客
06-12 5667
我们在上一章讲过了docker容器的安全,那么在这一章我们再来讲一下lxcfs来提供容器中的资源可见lxcfs是一个开源的FUSE(用户态文件系统)实现来支持LXC容器LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件: /proc/cpuinfo /proc/diskstats /proc/meminfo /proc/stat /proc/swaps /proc/u...
Docker安全加固——利用LXCFS增强docker容器隔离资源可见
even160941的博客
08-11 608
文章目录前言利用LXCFS增强docker容器隔离资源可见设置特权级运行的容器:–privileged=true安全加固的思路保证镜像的安全保证容器的安全docker安全的遗留问题总结 前言 lxcfs是一个开源的FUSE(用户态文件系统)实现来支持LXC容器LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件: /proc/cpuinfo /proc/diskstat...
docker desktop ubuntu镜像_基于 Docker 构建 Hadoop 平台
weixin_39774644的博客
11-20 533
基于Docker的Hadoop集群构建0. 绪论使用Docker搭建Hadoop技术平台,包括安装Docker、Java、Scala、Hadoop、 Hbase、Spark。集群共有5台机器,主机名分别为 h01、h02、h03、h04、h05。其中 h01 为 master,其他的为 slave。JDK 1.8Scala 2.11.6Hadoop 3.2.0Hbase 2.1.3Spark 2....
docker安全加固(lxcfs增强docker容器隔离、设置特权级运行的容器、设置容器白名单、安全加固思路 )
Aimee_c的博客
06-05 747
文章目录1.通过lxcfs增强docker容器隔离资源可见2.设置特权级运行的容器3.设置容器白名单:--cap-add4.安全加固思路4.1 保证镜像安全4.2 保证容器安全4.3 docker安全遗留问题 1.通过lxcfs增强docker容器隔离资源可见 docker run -it --name vm1 -m 256M ubuntu 创建一个容器并指定可用内存为256M 发现 看到的并不是256M 因为它的信息都是共享宿主机的 # 安装lxcfs yum install -y lxc
LXCFS简介
WEL测试
08-24 9516
LXCFS简介 社区中常见的做法是利用lxcfs来提供容器中的资源可见lxcfs 是一个开源的FUSE(用户态文件系统)实现来支持LXC容器,它也可以支持Docker容器LXCFS通过用户态文件系统,在容器中提供下列procfs的文件。 /proc/cpuinfo /proc/diskstats /proc/meminfo /proc/stat /proc/swaps /pr...
Docker原生网络和实现原理.pdf
11-25
然而,Docker的原生网络模型在某些复杂场景下可能不足以满足需求,例如在安全隔离或特定网络拓扑方面。为了应对这些挑战,社区发展出了一系列Docker网络优化方案,如Flannel、Weave、Calico等,它们提供更高...
Pouch和阿里容器技术架构.pptx
10-11
Pouch的技术特点体现在其优秀的隔离上,除了namespace和cgroup等基础隔离,还通过内核patch和lcxs实现了更优的容器可见隔离,并提供了基于Hypervisor的强容器隔离方案runV和clear container。此外,Pouch支持P2P...
使用docker网络相关命令.docx
01-02
Docker网络是Docker容器之间通信的关键组成部分,它允许容器在不同的主机上相互通信,同时保持隔离。本文将深入探讨Docker网络相关的命令及其用途。 1. **docker network create**: 这个命令用于创建一个新的...
容器化并行编程范例.pptx
06-03
1. **原子操作:** 提供不可中断的读写操作,确保内存操作的原子和可见。 2. **锁和互斥机制:** 控制对共享资源的访问,防止数据竞争。 3. **事件和信号量:** 用于线程之间或进程之间的通信和同步,例如事件...
k8s是一个开源的容器编排平台.docx
最新发布
07-16
- **服务网格**: 如Istio为服务间通信提供安全和可见。 #### 七、学习和社区支持 Kubernetes拥有一个活跃的开发社区,提供了大量文档、教程和培训资源,帮助开发者快速上手和解决问题。无论是初学者还是经验...
基于容器的DevOps解决方案.pptx
12-24
私有云和容器技术在其中发挥关键作用,确保了开发、测试和生产环境的一致。通过使用Docker,可以构建开发环境、功能测试环境、集成测试环境和生产环境,确保每个阶段的环境一致。 **持续集成/持续部署(CI/CD)...
hyperledger-fabric-linux-amd64-2.0.0.zip
05-14
9. **Docker容器**:Fabric利用Docker容器来运行链码实例,保证了环境的一致隔离。 10. **配置更新**:Fabric允许动态更新网络配置,如加入新节点、修改共识策略等,而无需重新启动网络。 11. **查询与交易*...
hyperledger-fabric-linux-amd64-1.4.7.tar.gz
07-07
这意味着不同通道上的交易对其他通道的成员是不可见的,提供了数据隐私和隔离。 2. **智能合约(Smart Contracts)**:也称为链码(Chaincode),是用特定编程语言(如Go、Node.js或Java)编写的业务逻辑,负责在...
Arhiteture_f_Kubernetes.pdf
03-21
它源于Google超过十年的容器管理经验,并且现在是开源的,允许在多种云环境和裸机环境下运行Docker容器。 **为何选择容器?** Google之所以广泛使用容器,是因为它们提供了诸多优势: 1. **能**:容器轻量级,...
lxcfs容器隔离技术实现原理分析之loadavg、cpuonline
HULK一线技术杂谈
11-21 978
女主宣言我们知道runc没有做到完全隔离/proc、/sys路径下的文件,所以容器内通过top、free等命令看到的数据都是物理机上的。利用lxcfs可以实现容器内/p...
Kubernetes之路 2 - 利用LXCFS提升容器资源可见
weixin_34194087的博客
04-17 375
摘要: 这是本系列的第2篇内容,将介绍在Docker和Kubernetes环境中解决遗留应用无法识别容器资源限制的问题。 本系列文章记录了企业客户在应用Kubernetes时的一些常见问题 第一篇:Java应用资源限制的迷思第二篇:利用LXCFS提升容器资源可见第三篇:解决服务依赖这是本系列的第2篇内容,将介绍在Docker和Kube...
lxcfs容器的内存和CPU资源隔离
weixin_42390300的博客
08-08 345
lxcfs容器的内存和CPU资源隔离
基于LXCFS增强docker容器隔离的分析
zhuangshu_feng'‘每天进步一点点
02-23 5140
1. 背景 容器虚拟化带来轻量高效,快速部署的同时,也因其隔离不够彻底,给用户带来一定程度的使用不便。Docker容器由于Linux内核namespace本身还不够完善的现状(例如,没有cgroup namespace,user namespace也是在kernel高版本才开始支持, /dev设备不隔离等),因此docker容器隔离方面也存在一些缺陷。例如,在容器内部proc文件系统中
Docker技术深度解析:Linux内核的Namespace与CGroup
Docker背后的技术中,Linux内核扮演着至关重要的角色,它提供了两种核心机制来实现容器资源隔离和限制:Namespace和Control Groups(CGroup)。Namespace是Linux内核的一种特,它允许在一个系统中创建多个独立...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值