Docker安全之cgroups、搭建Docker私有仓库

最新推荐文章于 2020-10-21 22:36:48 发布
最新推荐文章于 2020-10-21 22:36:48 发布
阅读量524 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41927237/article/details/81916657
版权

一、设置特权级运行的容器:–privileged=true

有的时候我们需要容器具备更多的权限,比如操作内核模块,控制 swap 交换分区,挂载
USB 磁盘,修改 MAC 地址等。

[root@foundation10 test]# docker run -it --name vm3 --privileged=true ubuntu
root@233a3ed7c3df:/# ip addr
root@233a3ed7c3df:/# ip link set down eth0
root@233a3ed7c3df:/# ip addr
root@233a3ed7c3df:/# id
uid=0(root) gid=0(root) groups=0(root)
root@233a3ed7c3df:/# exit

这里写图片描述

二、资源配额cgroups

Cgroups是control groups的缩写,是Linux内核提供的一种可以限制、记录、隔离进程组(process groups)所使用的物理资源(如:cpu,memory,IO等等)的机制。最初由google的工程师提出,后来被整合进Linux内核。Cgroups也是LXC为实现虚拟化所使用的资源管理手段,可以说没有cgroups就没有LXC。
1、限制进程组可以使用的资源数量(Resource limiting )

[root@foundation10 test]# docker run --rm -it --name vm1 -m 100M --memory-swap 100M stress --vm 1 --vm-bytes 90M
无限运行,此时可以打开另一个shell使用top命令实时统计数据
[root@foundation10 test]# docker run --rm -it --name vm1 -m 100M --memory-swap 100M stress --vm 1 --vm-bytes 110M
超过交换分区大小则自己结束

这里写图片描述
把交换分区去了 默认为内存的2倍

[root@foundation10 test]# docker run --rm -it --name vm1 -m 100M  stress --vm 1 --vm-bytes 110M
[root@foundation10 test]# docker run --rm -it --name vm1 -m 100M  stress --vm 1 --vm-bytes 200M

2、记录进程组使用的资源数量(Accounting )
在 cgroup 中,并不能像硬件虚拟化方案一样能够定义 CPU 能力,但是能够定
义 CPU 轮转的优先级,因此具有较高 CPU 优先级的进程会更可能得到 CPU 运算。 通
过将参数写入 cpu.shares ,即可定义改 cgroup 的 CPU 优先级 - 这里是一个相对权重,而
非绝对值
打开3个shell,2个shell执行命令,1个shell top查看进程
查看CPU

[root@foundation10 ~]# lscpu

这里写图片描述
shell1和2分别执行下列命令
就算优先级不同但因为操作系统各使用1个,所以top命令监控占用的CPU比例相同

[root@foundation10 ~]# docker run --rm -it --cpu-shares 512 stress -c 1
[root@foundation10 ~]$ docker run --rm -it --cpu-shares 1024 stress -c 1

这里写图片描述
再次用shell1和2分别执行下列命令
改为使用4个CPU,优先级不同top命令监控占用的CPU比例不同

[root@foundation10 ~]# docker run --rm -it --cpu-shares 1024 stress -c 4
[root@foundation10 ~]# docker run --rm -it --cpu-shares 512 stress -c 4

这里写图片描述
3、IO资源限制
限制参数oflag=direct

[root@foundation10 test]# docker run --rm -it --device-write-bps /dev/sda:20M ubuntu
root@c4ff59b19d66:/# dd if=/dev/zero of=testfile bs=1M count=100 oflag=direct

这里写图片描述

三、搭建Docker私有仓库

从网上拉取registry:2镜像

拉取镜像到本地,冒号后面的是版本号
[root@foundation10 Desktop]# docker pull registry:2
Docker 官方已经把仓库封装为镜像,直接通过启动容器就可以部署完成仓库:
[root@foundation10 ~]# docker run -d -p 5000:5000 -v /opt/registry:/var/lib/registry registry:2  #目录 /var/lib/registry 是仓库存放镜像的位置。
查看容器
[root@foundation10 ~]# docker ps

这里写图片描述
添加解析

[root@foundation10 ~]# vim /etc/hosts
172.25.254.10 haha.com

镜像命名
将本地nginx镜像改为haha.com/nginx

镜像命名
[root@foundation10 ~]# docker tag nginx haha.com/nginx  # haha.com 表示 Registry 的地
址和端口。
查看镜像
[root@foundation10 ~]# docker images
haha.com/nginx         latest              c82521676580        4 weeks ago         109 MB

仓库认证机制

将-v挂载产生的数据删除
[root@foundation10 registry]# cd /opt/registry/
[root@foundation10 registry]# ls
docker
[root@foundation10 registry]# rm -fr *
建立钥匙目录
[root@foundation10 registry]# cd /opt/registry/tmp/docker/
[root@foundation10 docker]# ls
Dockerfile  dvd.repo  ssh  supervisord.conf  test  web
[root@foundation10 docker]# mkdir certs
[root@foundation10 docker]# cd certs/
[root@foundation10 certs]# cd ..
生成domain.crt
[root@foundation10 docker]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/domain.key -x509 -days 365 -out certs/domain.crt

这里写图片描述

[root@foundation10 docker]# docker run -d   --restart=always   --name registry   -v `pwd`/certs:/certs   -e REGISTRY_HTTP_ADDR=0.0.0.0:443   -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt   -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key   -p 443:443   registry:2

查看容器,生成了443端口的镜像

[root@foundation10 docker]# docker ps

这里写图片描述
删除5000端口的容器

[root@foundation10 docker]# docker rm -f bd
[root@foundation10 docker]# docker ps
查看镜像
[root@foundation10 docker]# docker images
haha.com/nginx    latest              c82521676580        3 weeks ago         109 MB

iptables查看端口转换

[root@foundation10 registry]# iptables -t nat -nL
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:172.17.0.3:443
查看端口
[root@foundation10 registry]# netstat -antlp |grep :443
tcp6       0      0 :::443                  :::*                    LISTEN      26120/docker-proxy

这里写图片描述
将之前在/tmp/docker/certs/里因执行命令产生的钥匙传到系统docker目录

新建目录
[root@foundation10 registry]# cd /etc/docker/
[root@foundation10 docker]# mkdir certs.d
[root@foundation10 docker]# cd certs.d/
[root@foundation10 certs.d]# mkdir haha.com
[root@foundation10 certs.d]# cd haha.com/
复制生成的domain.crt到此目录
[root@foundation10 westos.org]# cp /tmp/docker/certs/domain.crt ca.crt
[root@foundation10 westos.org]# ls
ca.crt

测试:

推送镜像到 haha.com 仓库
docker push haha.com/nginx
删除本地 nginx 镜像的 TAG
docker rmi haha.com/nginx
拉取镜像到本地
docker pull haha.com/nginx

这里写图片描述
这里写图片描述
仓库的用户认证

[root@foundation10 html]# cd /tmp/docker
[root@foundation10 docker]# mkdir auth
[root@foundation10 docker]# cd auth/

添加用户认证

添加用户
[root@foundation10 docker]# docker run --entrypoint htpasswd registry:2 -Bbn wxj westos > auth/htpasswd
追加添加用户 (注:使用>>)
[root@foundation10 docker]# docker run --entrypoint htpasswd registry:2 -Bbn admin admin >> auth/htpasswd
查看密码
[root@foundation10 docker]# cat auth/htpasswd 
wxj:$2y$05$NZzakHbZshHUSxU7//ckf.o1vIU6LI4cfSZR44BCNv6sEeupFDjnK

admin:$2y$05$OKR6f0i1XVkZ7SzBZHiTYeB7QDSNnNwIJaj0hTvTQ29fo.JTyP4NW
修改密码
[root@foundation10 docker]# htpasswd -cm htpaswd wxj
[root@foundation10 docker]# htpasswd -m htpaswd admin
[root@foundation10 docker]# docker ps -a
[root@foundation10 docker]# docker container prune

这里写图片描述
这里写图片描述
添加认证

[root@foundation10 docker]# docker run -d   --restart=always   --name registry   -v `pwd`/certs:/certs   -e REGISTRY_HTTP_ADDR=0.0.0.0:443   -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt   -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key   -v `pwd`/auth:/auth -e "REGISTRY_AUTH=htpasswd" -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd -p 443:443   registry:2
查看容器
[root@foundation10 docker]# docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                            NAMES
ddefcec04fd9        registry:2          "/entrypoint.sh /e..."   23 seconds ago      Up 21 seconds       0.0.0.0:443->443/tcp, 5000/tcp   registry
查看端口
[root@foundation10 docker]# netstat -antlp |grep :443
tcp6       0      0 :::443                  :::*                    LISTEN      7529/docker-proxy

测试

登陆
[root@foundation10 docker]# docker login -u wxj -p westos westos.org:443
Login Succeeded
成功登陆后会在这个隐藏目录中有显示
[root@foundation10 ~]# cd .docker/
[root@foundation10 .docker]# ls
config.json
[root@foundation10 .docker]# cat config.json 
{
    "auths": {
        "westos.org:443": {
            "auth": "d3hqOndlc3Rvcw=="
        }
    }
}
[root@foundation10 ~]# docker push westos.org:443/rhel7

这里写图片描述
这里写图片描述

猕猴桃没有眼泪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
猕猴桃.doc
09-18
猕猴桃.doc
docker安装及使用
weixin_45778546的博客
12-05 980
1.安装 关闭selinux(保证linux内核不被修改) setenforce 0 (临时关闭,不需要重启) sudo vim /etc/selinux/config (设置永久关闭,需要重启) 将该文件中: SELINUX=enforcing 改为 SELINUX=disabled 查看selinux状态 getenforce 安装 yum -y install docker 启动docker systemctl start docker 开机启动 systemctl enab
Docker Compose
weixin_41927237的博客
08-23 485
Docker Compose 将所管理的容器分为三层,工程(project),服务(service)以及容器 (contaienr)。Docker Compose 运行的目录下的所有文件(docker-compose.yml, extends 文 件或环境变量文件等)组成一个工程,若无特殊指定工程名即为当前目录名。一个工程当 中可包含多个服务,每个服务中定义了容器运行的镜像,参数,依赖。一个...
Docker简介、Docker基本管理命令、如何从网上获取Docker镜像、Docker数据卷挂载、Docker间互联
weixin_41927237的博客
08-20 1000
安装docker yum install docker-engine-17.03.1.ce-1.el7.centos.x86_64.rpm docker-engine-selinux-17.03.1.ce-1.el7.centos.noarch.rpm -y 打开docker [root@foundation10 Desktop]# systemctl start docker 一...
猕猴桃(CDN IPES安装 AQY)Linux安装教程
热门推荐
坑哥的技术记录本
12-25 1万+
先安装centos系统,系统版本1810 接下来安装APPNode进行磁盘管理(数据盘挂载) INSTALL_AGENT=1 bash -c "$(curl -sS http://dl.appnode.com/install.sh)" 安装完成后使用http://ip:8888 设置的用户名和密码登录 然后安装APPNode管理软件 存储管理、系统监控和实用命令 最好进行数据盘挂载和存储文件夹...
Docker搭建私有镜像仓库的方法
01-10
和Mavan的管理一样,Dockers...现在Docker用处越来越多了,所以今天就想着搭建一个私有镜像仓库来维护内部我们自己的镜像。 环境 CentOS 7.x Docker 1.12.6 安装 docker-distribution $ sudo yum install -y docker
详解docker实战之搭建私有镜像仓库-kurbernetes
02-25
本来使用公共的dockerhub完全可以满足我们的需求,也非常方便,但是上传的镜像任何人都可以访问,其次dockerhub的私有仓库又是收费的,所以从安全和商业两方面考虑,企业必须搭建自己的私有镜像仓库。为了保证镜像...
离线搭建docker私有镜像仓库软件包
04-19
离线搭建docker私有镜像仓库软件包 教程参见https://blog.csdn.net/qq_38120778/article/details/124277294
docker私有仓库搭建
06-17
docker私有仓库搭建
ubuntu16.04下安装docker
weixin_42603784的博客
11-07 230
1.安装docker 由于apt官方库里的docker版本可能比较旧,所以先卸载可能存在的旧版本: $ sudo apt-get remove docker docker-engine docker-ce docker.io 更新apt包索引: $ sudo apt-get update 安装以下包以使apt可以通过HTTPS使用存储库(repository): $ sudo apt-get ...
kiwiirc:非官方的kiwiirc docker容器
02-07
奇异鸟 非官方的猕猴桃图像。 crashbuggy / kiwiirc:latest-git将跟踪dev分支。 crashbuggy / kiwiirc:latest将跟踪这些发布,到目前为止,已经有一年多的发布了。 有两种方法可以管理配置文件。 原始方式,如果您运行类似 docker run --rm --mount source=kiwiirc-data,target=/kiwiirc-data crashbuggy/kiwiirc false 您将得到一个名为kiwiirc-data的持久卷,其中包含2个文件 config.conf config.json 您可以根据和找到的文档进行编辑 然后您可以像这样重新运行docker docker run --rm --mount source=kiwiirc-data,target=/kiwiirc-data crashbuggy
猕猴桃:仅使用nodejs内核构建。 轻巧,直观,出色的性能和响应时间
02-05
帮助使用打字稿和节点构建REST API的框架。 目录 安装 安装模块: npm install kiwi-server --save npm install kiwi-server-cli -g 可选: : 将这些选项添加到项目的tsconfig.json文件中: { "emitDecoratorMetadata" : true , "experimentalDecorators" : true } 样品 创建您的第一个控制器类user-controller.ts import { Get , Post , Put , JsonController , Param
CDN一键配置V2.0
08-25
CDN一键配置V2.0.rar win2003 Cdn专用
docker 挂载命令
编码爱好者
02-06 1124
docker run -d -v /I/mysql/data/:/var/lib/mysql -p 3306:3306 --name docker-mysql-server -e MYSQL_ROOT_PASSWORD=123456 mysql docker run -d -v /I/redis/data/master:/data -p 6379:6379 --name docker-redis-...
分布式爬虫部署scrapyd对接docker
weixin_42603784的博客
08-07 871
操作系统建议选择在linux系统下,windows下docker的安装和scrapyd等等一些配置相对麻烦, 怎么安装docker和scrapyd及scrapyd-client就不细说了. 新建一个空目录,首先在新目录中创建文件scrapyd.conf,并粘贴如下配置,目的是在docker中开启scrapyd远程访问权限 [scrapyd] eggs_dir = eggs logs_dir ...
Fedora32启动容器报错—OCI runtime create failed: this version of runc doesn‘t work on cgroups v2: unknown.
10-18 508
背景:Fedora 32版本的操作系统,运行容器时报错 [root@Fedora4 ~]# docker run -d -p 1001:80 --name blog1 tutum/wordpress 97da5679108744a76fda3e171d49304cce059091ee321d6fd08c8d61a4300ee8 docker: Error response from daemon: OCI runtime create failed: this version of runc doesn't
Ubnutu20.04安装Docker
m0_49672766的博客
10-21 733
1 sudo apt-get remove docker docker-engine docker.io containerd runc 2 sudo apt-get update 3 sudo apt-get install \ apt-transport-https \ ca-certificates \ curl \ gnupg-agent \ software-properties-common 4 curl -fsSL https://downlo
docker集群——swarm、docker-machine一键部署
weixin_41927237的博客
08-23 1582
实验环境: 虚拟机:rhel7.3 物理机:镜像私有仓库 虚拟机节点安排: server1 172.25.10.1 swarm manager server2 172.25.10.2 swarm agent server3 172.25.10.3 swarm agent 真机:设置好Docker私有仓库 详情请看搭建Docker私有仓...
docker常用命令
weixin_42603784的博客
12-09 269
#查看当前镜像 docker images #查看启动容器列表 docker ps #查看当前创建所有容器 docker ps -a #停止id所指镜像或容器 docker stop 镜像id或容器id #删除id所指容器 docker rm 容器id #删除id所指镜像 docker rmi 镜像id #启动容器 docker start 容器名或id #容器指定端口启动 并检测自...
蘑菇街:私有云环境下Docker容器实践详解
蘑菇街基于Docker私有云实践是一篇探讨该公司如何采用Docker技术构建和管理私有云环境的文章。Docker作为一种轻量级的容器化平台,使得软件打包、部署和运行变得更加便捷,尤其是在企业级应用环境中,如私有云的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值