Docker的隔离机制

已于 2022-03-26 17:54:03 修改
阅读量6.4k 收藏 14
点赞数 1
分类专栏: k8s 文章标签: linux
于 2019-08-27 17:49:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sophia__yu/article/details/100104811
版权

Docker的隔离性主要运用Namespace 技术。传统上Linux中的PID是唯一且独立的,在正常情况下,用户不会看见重复的PID。然而在Docker采用了Namespace,从而令相同的PID可于不同的Namespace中独立存在。如,A Container 之中PID=1是A程序,而B Container之中的PID=1同样可以是A程序。虽然Docker可透过Namespace的方式分隔出看似是独立的空间,然而Linux内核(Kernel)却不能Namespace,所以即使有多个Container,所有的system call其实都是通过主机的内核处理,这便为Docker留下了不可否认的安全问题。

隔离机制:

  1. 写时复制:

写入时复制(Copy-On-Write):当docker第一次启动一个容器时,初始的读写层是空的,当文件系统发送变化时,这些变化都会应用到这一层上,比如,如果想修改一个文件,这个文件首先会从该读写层下面的只读层复制到该读写层。该文件的只读版本依然存在,但是已经被读写层中的文件副本所应隐藏。
所有运行的容器可以先共享一个基本文件系统镜像,一旦需要向文件系统写数据,就引导它写到与该容器相关的另一个特定文件系统中。这样的机制避免了一个容器看到另一个容器的数据,而且容器也无法通过修改文件系统的内容来影响其他容器。
2. Capability机制
Linux的Capability机制:即为了进行权限检查,传统的UNIX对进程实现了两种不同的归类,高权限进程(用户ID为0,超级用户或者root),以及低权限进程(UID不为0的)。高权限进程完全避免了各种权限检查,而低权限进程则要接受所有权限检查,会被检查如UID、GID和组清单是否有效。从2.2内核开始,Linux把原来和超级用户相关的高级权限划分成为不同的单元,称为Capability,这样就可以独立对特定的Capability进行使能或禁止。通常来讲,不合理的禁止Capability,会导致应用崩溃。
3. NameSpace机制
可以在各自的namespace下干自己的事情,比如PID命名空间,它会将全部未运行在开发者当前容器里的进程隐藏。如果恶意程序看都看不见这些进程,攻击起来应该也会麻烦一些。

  1. Cgroups机制

主要是针对拒绝服务攻击。恶意进程会通过占有系统全部资源来进行系统攻击。Cgroups机制可以避免这种情况的发生,如CPU的cgroups可以在一个Docker容器试图破坏CPU的时候登录并制止恶意进程。管理员需要设计更多的cgroups,用于控制那些打开过多文件或者过多子进程等资源的进程。

  1. Cgroups机制

主要是针对拒绝服务攻击。恶意进程会通过占有系统全部资源来进行系统攻击。Cgroups机制可以避免这种情况的发生,如CPU的cgroups可以在一个Docker容器试图破坏CPU的时候登录并制止恶意进程。管理员需要设计更多的cgroups,用于控制那些打开过多文件或者过多子进程等资源的进程。

参考:https://www.freebuf.com/articles/system/69809.html

sophia__yu
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker隔离技术
桀骜不逊
02-25 2133
docker底层的 2 个核心技术分别是 Namespaces 和 Control groups namespace:Linux命名空间,实现进程间信息的独立与隔离需要在操作系统内核层面进行实现的 Mount Namespaces:挂载命名空间,用于隔离挂载目录 为什么要通过Mount namespace隔离挂载目录? 如果说隔离在某个namespace中的程序,可所挂载的目录进行修改,那么另一个...
Docker——Docker资源隔离原理
庄小焱
10-15 660
Namespace是Linux内核的一项功能,该功能对内核资源进行分区,以使一组进程看到一组资源,而另一组进程看到另一组资源。 Namespace的工作方式通过为一组资源和进程设置相同的Namespace而起作用,但是这些Namespace引用了不同的资源。 资源可能存在于多个Namespace中。这些资源可以是进程ID、主机名、用户ID、文件名、与网络访问相关的名称和进程间通信。
docker是怎么实现隔离
荒-于嬉的博客
06-10 563
docker如何实现的进程隔离
如何设置Docker容器的网络隔离与安全策略?
最新发布
04-09 70
总结来说,要设置Docker容器的网络隔离和安全策略,需要选择合适的网络驱动、使用网络命名空间、使用容器编排工具、使用Docker内置的网络安全功能,以及使用第三方网络安全工具。使用第三方网络安全工具:除了Docker自带的网络安全功能外,还可以使用第三方网络安全工具来增强容器的网络隔离和安全策略,如iptables、Calico等。使用Docker网络命名空间:每个Docker容器在创建时都会有自己独立的网络命名空间,这可以防止容器之间的网络冲突,并限制容器间的访问。
(一)Docker---容器介绍,Namespace隔离,cgroup资源限制,管理工具,优缺点,核心技术
weixin_45697293的博客
04-26 615
文章目录什么是容器Docker 简介Docker 的组成Docker 对比虚拟机Linux Namespace 技术1. MNT Namespace2. IPC Namespace3. UTS Namespace4. PID Namespace5. Net Namespace:6. User NamespaceLinux control groups容器管理工具1. lxcdocker3. pouch:Docker 的优缺点docker(容器)的核心技术docker(容器)的依赖技术安装Docker 什么是
07 | Docker 安全问题与解决办法
Cirtus的博客
10-09 861
07 | Docker 安全:基于内核的弱隔离系统如何保障安全性? ocker 是基于 Linux 内核的 Namespace 技术实现资源隔离的,所有的容器都共享主机的内核。其实这与以虚拟机为代表的云计算时代还是有很多区别的,比如虚拟机有着更好的隔离性和安全性,而容器的隔离性和安全性则相对较弱。 在讨论容器的安全性之前,我们先了解下容器与虚拟机的区别,这样可以帮助我们更好地了解容器的安全隐患以及如何加固容器安全。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xDdMEhw
Docker原理之隔离篇 --- namespace隔离简介
Jung_zhang的专栏
06-01 1970
Linux内核提供的一种隔离机制Docker就是使用内核namespace的隔离机制来实现对应的资源隔离
如何隔离docker容器中的用户的方法
09-30
Docker 容器环境中,确保用户隔离是至关重要的安全措施,因为这能防止容器内的进程对宿主机系统造成潜在的危害。Docker 默认情况下并不自动启用用户隔离,而是依赖于 Linux 的 User Namespace 技术来实现这种隔离...
docker安装包+依赖包
08-11
容器是完全使用沙箱机制,相互之间不会有任何接口。 在您提供的信息中,“docker20容器rpm离线安装包”指的是 Docker 20.10 版本的 RPM 包,适用于 Red Hat Package Manager (RPM) 系统,如 CentOS、Fedora 或 RHEL...
Docker 常见面试题
12-03
Docker 利用了 Linux 内核中很多安全特性来保证不同容器之间的隔离,并且通过签名机制来对镜像进行验证。 清理后台停止的容器 使用 `sudo docker rm $(sudo docker ps -a -q)` 命令可以清理后台停止的容器。 查看...
docker 源码
09-08
- **微服务架构**:Docker 支持微服务间的隔离,便于构建和扩展微服务架构。 - **开发环境一致性**:开发人员可以在本地使用 Docker 创建与生产环境一致的开发环境,减少环境不匹配的问题。 - **资源利用率提升**:...
docker安装及使用步骤.pdf
02-22
Docker是基于Google公司推出的Golang语言开发而来,并基于Linux内核的Cgroups、NameSpace,以及UnionFS等技术,对进程进行封装隔离,属于操作系统层面的虚拟化技术。它依赖于Linux内核的一些特性如namespace(名字...
浅谈Docker隔离性和安全性
liukuan73的专栏
05-29 4018
https://community.emc.com/docs/DOC-44930 介绍         相信很多开发者都默认Docker这样的容器是一种沙盒(sandbox)应用,也就是说他们可以用root权限在Docker中运行随便什么应用,而Docker有安全机制能保护宿主系统。比如,有些人觉得Docker容器里面的进程跟虚拟机里面的进程一样安全;还有的人随便找个源就下载
浅谈Docker的安全性支持(上篇)
小米云技术
09-06 1874
Docker作为最重视安全的容器技术之一,在很多方面都提供了强安全性的默认配置,其中包括:容器root用户的 Capability 能力限制、Seccomp系统调用过滤、Apparmor的 MAC 访问控制、ulimit限制、pid-limits的支持,镜像签名机制等。这篇文章我们就带大家详细了解一下。 写在前面 Docker利用Namespace实现了6项隔离,看似完整,实际上依旧没有完...
Docker容器中实现安全与隔离
sisiy2015的博客
11-20 3527
利用linux现有功能实现docker的安全与隔离,如namespaces, cgroups, capabilities”!
Docker 的资源隔离与资源限制
AbeyQ_Q的博客
09-06 3974
Docker 的资源隔离与资源限制Docker容器的本质Linux内核的namespace机制linux的namespace机制namespace可以隔离哪些Linux的 cgroups强大内核工具cgroups Docker容器的本质 docker容器的本质是宿主机上的一个进程。 Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过*写时复制机制(copy-o...
docker是如何实现隔离
u011743212的博客
05-22 430
1.容器其实是linux的下一个特殊的进程 2.它是通过namespace来实现进程隔离,通过cgoups实现资源隔离
Docker 架构介绍:docker安全最佳实践
vito
05-08 2837
简介docker 赖以生存的“天生安全的”,docker EE 默认的配置和策略提供基础雄厚的安全环境,因此,他们可以非常容易的修改来适应不同组织的特殊需求。 docker 把重点放到了容器安全的三个关键领域:安全访问、安全内容、安全平台。这导致不仅在Docker EE中内置了隔离和包容功能,而且还启用了开箱即用功能,Linux内核的攻击面积减少。Docker守护进程的控制功能得到了改进,管理员可
Docker安全机制详解(容器资源限制)
ly2020_的博客
08-09 1323
1.Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。 与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。 容器只是...
docker隔离原理
07-27
Docker 是一种容器化技术,它通过使用操作系统级虚拟化来实现应用程序的隔离Docker 隔离原理主要依赖于以下几个关键技术: ...这种隔离机制使得 Docker 在应用部署、开发测试和环境一致性等方面具有很大的优势。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值