Docker 安全
今天楼主的女朋友成了前女友,不知道对我来说应该把分手这件事当成一件什么事,楼主相信,这都是人生中应该经历的事情,不必过分的强求.也不必过分的追忆.
前面咱们说过了docker run命令可以运行一个容器,那么运行这个命令之后,docker具体做了哪些工作?实际上做了三个:
1.docker run命令初始化
2.Docker 运行lxc-start来执行run命令
3.lxc-start在容器中创建了一组namespzce和Control Groups
解释:namespace是隔离的第一级,容器是相互隔离的,一个容器是看不到其他容器内部的进程情况.每个容器都分配了单独的网络栈,因此一个容器不能访问另一个容器的sockets.为了支持容器间的IP通信,必须制定容器的公网IP端口.
Control Groups是非常重要的组件,功能如下:
1.负责资源核算和限制
2.提供CPU,内存,I/O和网络相关的指标
3.避免某种DoS攻击
4.支持多租户平台.
Docker Daemon以root权限运行,这意味着一些问题需要格外小心.
下面是一些需要注意的地方:
1.当docker允许与访客容器目录共享而不限制时,Docker Daemon的控制权应该只给授权用户.
2.在服务器上单独运行Docker时,需要与其他服务隔离.
一些关键的Docker安全特性包括:
1.容器以非特权用户运行.
2.可以使用其他容器系统的安全功能.
安全性问题是大问题,楼主三言两句搞不定,楼主自己都搞不明白,只能简单的提一下.