我们在上一章讲过了docker容器的安全,那么在这一章我们再来讲一下lxcfs来提供容器中的资源可见性。
lxcfs是一个开源的FUSE(用户态文件系统)实现来支持LXC容器。
LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件:
- /proc/cpuinfo
- /proc/diskstats
- /proc/meminfo
- /proc/stat
- /proc/swaps
- /proc/uptime
比如,把宿主机的 /var/lib/lxcfs/proc/memoinfo 文件挂载到Docker容器的/proc/meminfo位置后。容器中进程读取相应文件内容时,LXCFS的FUSE实现会从容器对应的Cgroup中 读取正确的内存限制。从而使得应用获得正确的资源约束设定
一、利用LXCFS增强docker容器隔离性和资源可见性
在上一章我们做过容器的资源控制,不过我们也要注意到当我们查看系统资源的时候发现出现的数据并不是我们者之的那样,这样明显是不合理的。
1.安装LXCFS
[root@server1 ~]# ls
busybox.tar distroless.tar lxcfs-2.0.5-3.el7.centos.x86_64.rpm ubuntu.tar
convoy docker nginx.tar
convoy.tar.gz game2048.tar rhel7.tar
[root@server1 ~]# yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm
安装完lxcfs之后&