一、容器资源控制
在server1上将环境恢复
[root@server1 ~]# docker rm vm1
vm1
在server2上一样的操作
1.在server1上运行容器(此时是root身份,但是并不是真正意义上的root)
解决:
[root@server1 ~]# docker run -it --name vm1 --privileged=true ubuntu
–privileged=true所设置的权限过大
2.白名单的设置
[root@server1 ~]# mount -t cgroup
测试:
[root@server1 cgroup]# docker run -it --name vm1 ubuntu
二、docker的安全遗留问题
1.查看cgroup子系统的层级路径
2.建立一个控制族群
首先进入cpu子系统对应的层级路径下:cd /sys/fs/cgroup/memory
通过新建文件夹创建一个memory控制族群:mkdir x1,即新建了一个memory控制族群:x1
新建x1之后,可以看到目录下自动建立了相关的文件,这些文件是伪文件。
[root@server1 x1]# pwd
/sys/fs/cgroup/memory/
查看内存
- 限制mem
测试限制内存的使用
300M=30010241024
[root@server1 x1]# ll memory.limit_in_bytes
-rw-r--r-- 1 root root 0 May 19 00:35 memory.limit_in_bytes
[root@server1 x1]# echo