Docker的容器安全

最新推荐文章于 2022-12-15 16:03:12 发布
最新推荐文章于 2022-12-15 16:03:12 发布
阅读量350 收藏
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windowsworld/article/details/98623896
版权

Docker安全演示
1.docker与系统共享内核并且会在宿主机上产生相应的进程
容器内
在这里插入图片描述

宿主机内
在这里插入图片描述
2.cgroup
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
cgroup目录下有对容器进行相应限制的参数,如cpu,memory等,新建的容器的id会出现在象形限额的docker的目录下,并且如果在相应memory目录下建立目录,那么目录会继承相应memory目录的属性。

3.cgroup之cpu限额
运行docker容器指定相应的限额
运行docker容器指定相应的限额:
docker run -it --cpu-period=100000 --cpu-quota=20000 ubuntu /bin/bash
cpu_period和cpu_quota这两个参数需要组合使用,用来限制进程在长度为cpu_period的一段时间内,只能被分配到总量为cpu_quota的cpu时间,以上设置表示20%的cpu时间。

a.在/sys/fs/cgroup目录下建立目录xl,该目录会继承cpu的相应性能,查看cpu的相应限额
在这里插入图片描述
b.该目录就相当于一个容器,在该容器下面进行相应的操作并且查看cpu的相应使用效率
在这里插入图片描述

可以发现该进程的cpu占用率接近为100%
在这里插入图片描述
若有两个cpu同时在使用,可以将其中一个关闭
[root@server1 cpu1]# pwd
/sys/fs/cgroup/cpu
[root@server1 cpu1]# cat onine ##在其中要关掉的cpu的目录下查看咋在线文件中显示为1
[root@server1 cpu1]# echo 0 online ##在该文件中输入0再次查看在线的cpu就变为1个
c.修改cpu使用率文件中的参数
在这里插入图片描述

d.查看上次进行测试的实验进程,并且将进程编号导入cpu下的xl目录中的tasks文件中,再次执行top命令查看该进程cpu使用率发现其变为20%左右
在这里插入图片描述

4.cgroup之memeory限额
运行dokcer容器指定相应的memory参数:
docker run -it --memory 200M --memory-swap=200M ubuntu
容器可用于包括两个部分:物理内存和swap交换分区
–memory设置内存使用限额
–memory-swa设置swap交换分区限额

a.下载相应对cgrou的memory进行操作的相应软件
[root@server1 xl]# yum search cgroup
[root@server1 xl]# yum install -y libcgroup-tools.x86_64
b.在相应的memory目录下建立新的目录
在这里插入图片描述
c.修改memory限额为300M(以字节计算)
在这里插入图片描述
d.在/dev/shm对内存进行相应的操作测试
未超過內存使用率時,未使用swap分區
在这里插入图片描述
超過內存使用率時,使用swap分區
在这里插入图片描述
e.修改相應的memory的swap分區內存使用修改成300M
在这里插入图片描述
f.再次對/dev/shm进行操作,当再次截取文件大小为400M时,swap分区会拒绝
在这里插入图片描述
g.删除文件查看大小发现少的300M是当时设置的限额
在这里插入图片描述
利用LXCFS增强docker容器隔离性和资源可见性
在运行容器时指定了容器的相应的内存大小及其相应的swap分区大小,但是在容器内查看时发现其使用率相应大小还是与宿主机相同,因此容器的隔离性不好。
在这里插入图片描述
[root@server1 ~]# yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm

在这里插入图片描述
运行容器并且指定相应的挂载点添加相应的权限
[root@server1 lxcfs]# docker run -it -m 300m -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw -v /var/lib/lxcfs/proc/stat:/proc/stat:rw -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw --name ubuntu -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw -v /var/lib/lxcfs/proc/stat:/proc/stat:rw -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw ubuntu

//运行完成之后查看时发现设置的与运行容器时设置的参数相同

在这里插入图片描述

设置特权级运行的容器:–privileged=true
有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。

在这里插入图片描述
添加–privileged=true参数运行容器,执行相应的操作发现不会被拒绝
在这里插入图片描述

崔沐橙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker: 限制容器可用的内存
weixin_34407348的博客
10-11 903
默认情况下容器使用的资源是不受限制的。也就是可以使用主机内核调度器所允许的最大资源。但是在容器的使用过程中,经常需要对容器可以使用的主机资源进行限制,本文介绍如何限制容器可以使用的主机内存。 为什么要限制容器对内存的使用? 限制容器不能过多的使用主机的内存是非常重要的。对于 linux 主机来说,一旦内核检测到没有足够的内存可以分配,就会扔出 OOME(...
Docker 内存资源控制
aming
02-17 653
1、当内核检测到没有足够的内存来执行重要的系统功能,它会抛出一个 OOME,即内存不足的异常。2、如果发生了 OOME,系统将会杀死一些进程保证一定的内存空间。3、这些进程包括 Docker 容器。4、更为严重的后果是让整个系统宕机。
Docker中设置Memory和CPU限制
u012149181的博客
07-27 2431
Setting Memory And CPU Limits In Docker Last modified:December 9, 2020 byMichał Dąbrowski 1. Overview There are many cases in which we need to limit the usage of resources on the docker host machine. In this tutorial, we'll learn how to set the memo..
docker限制容器内存
m0_67266585的博客
08-29 6902
我们使用docker时,经常会遇到docker容器使用内存大于docker宿主机内存,导致宿主机奔溃,从而影响其他宿主机上容器的运行。因此我们在使用docker容器的时候需要限制内存。
【云计算学习笔记(九)】之 Docker内存,CPU资源限制
开发小鸽
03-24 2310
文章目录本文章由公号【开发小鸽】发布!欢迎关注!!!一. 内存资源限制(一) 重点技术(二) 容器监控(三) 容器内存设置方式1. -m --memory2. –memory-swap(1) s为正数,m为正数(2) s为0,m为正数(3) s为unset,m为正数(4) s为-1,m为正数3. –memory-wappiness4. –memory-reservation5. –kernel-memory6. –oom-kill-disable二. CPU限制(一) 限制方式(二) CPU限制设置1. -
Docker 容器最佳安全实践白皮书.pdf
08-03
Docker 容器最佳安全实践白皮书
Docker容器安全最佳实践白皮书V1.0.pdf
12-14
Docker容器安全最佳实践白皮书V1.0.pdf
Docker容器安全性解决方案.docx
07-09
Docker容器安全性解决方案.docxDocker容器安全性解决方案.docxDocker容器安全性解决方案.docxDocker容器安全性解决方案.docxDocker容器安全性解决方案.docxDocker容器安全性解决方案.docxDocker容器安全性解决方案....
Docker容器安全最佳实践白皮书
10-18
DoSec安全团队参考CIS标准,并根据实践经验,整理了国内第一份的docker容器安全最佳实践白皮书,涉及了需要关注docker安全的105个控制点。
Docker容器安全性解决方案.pdf
10-11
Docker容器安全性解决方案.pdf
Docker设置容器CPU、memory、磁盘IO资源限制
cbmljs的博客
09-28 4066
Docker设置容器CPU、memory、磁盘IO资源限制
Docker(二十)-Docker容器CPU、memory资源限制
thlzjfefe的博客
09-26 685
背景 在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源的限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU、内存和磁盘资源。如果不对容器使用的资源进行限制,那么容器之间会互相影响,小的来说会导致容器资源使用不公平;大的来说,可能会导致主机和集群资源耗尽,服务完全不可用。 docker 作为容器的管理者,自然提供了控制容器资源的功能。正如使用内核的 namespace 来做容器之间的隔离,docker 也是通过内核的 cgroups 来
Docker内存管理
Harvey903的博客
02-05 916
Docker在默认情况下,容器使用的资源是不受限制的。也就是可以使用主机内核调度器所允许的最大资源。但是在容器的使用过程中,经常需要对容器可以使用的主机资源进行限制使容器之间会尽量不互相影响。 Docker内存控制OOME在linxu系统上,如果内核探测到当前宿主机已经没有可用内存使用,那么会抛出一个OOME(Out Of Memory Exception:内存异常 ),并且会开启killing去杀掉一些进程。 一旦发生OOME,任何进程都有可能被杀死,包括docker daemon在内,为此,docker
云计算-11-Docker容器对CPU、memory的资源配置
zhoubangbang1的博客
04-02 3649
云计算-11-Docker容器对CPU、memory的资源配置简述 在使用docker容器的时候,默认是不对容器进行硬件资源限制的,同一台机器上的容器虽然相互隔离,但是他们底层的CPU、内存和磁盘资源是相同的,如果不对容器使用的资源进行限制,那么容器之间的相互影响,就可能会导致主机和集权资源耗尽,导致容器服务不可用。因此docker作为容器的管理者,需要对容器的资源进行限制:包括CPU、内存、磁盘三个方面。Linux 查看CPU和内存信息指令 查看CPU信息 cat /proc/cpui
Docker 内存资源的限制
小楼一夜听春雨,深巷明朝卖杏花
07-14 2679
一个 docker host 上会运行若干容器,每个容器都需要 CPU、内存和 IO 资源。对于 KVM,VMware 等虚拟化技术,用户可以控制分配多少 CPU、内存资源给每个虚拟机。对于容器Docker 也提供了类似的机制避免某个容器因占用太多资源而影响其他容器乃至整个 host 的性能。 在默认情况下,docker容器并不会对容器内部进程使用的内存大小进行任何限制。对于PaaS系统而言,或者对于直接使用docker的用户而言,这非常危险。如果哪个业务容器,出现了内存泄漏;那么它可能会危害到整个主机
Docker 运行时资源限制
热门推荐
勤能补拙
12-18 4万+
Docker 运行时资源限制Docker 基于 Linux 内核提供的 cgroups 功能,可以限制容器在运行时使用到的资源,比如内存、CPU、块 I/O、网络等。内存限制概述Docker 提供的内存限制功能有以下几点: 容器能使用的内存和交换分区大小。 容器的核心内存大小。 容器虚拟内存的交换行为。 容器内存的软性限制。 是否杀死占用过多内存的容器容器被杀死的优先级 一般情况下,达到内存限制
docker系列】最通俗易懂的详解Docker容器设置cpu,memory等资源限制
seowen的开发 小本子
04-15 1855
背景 在使用 docker 运行容器时,默认的情况下,docker没有对容器进行硬件资源的限制,当一台主机上运行几百个容器,这些容器虽然互相隔离,但是底层却使用着相同的 CPU、内存和磁盘资源。如果不对容器使用的资源进行限制,那么容器之间会互相影响,小的来说会导致容器资源使用不公平;大的来说,可能会导致主机和集群资源耗尽,服务完全不可用。 docker 作为容器的管理者,自然提供了控制容器资源...
docker 修改内存大小
红枫
12-15 2715
docker 修改内存大小
Docker 资源(cpu、memory)限制实践篇
猥琐的刚的博客
04-03 2732
Docker 资源(cpu、memory)限制实践篇 写这篇的目的是为了搞清楚,在docker中的一些设置项,对容器资源(cpu、memory)产生的影响和对比,从网络中了解到docker容器的资源限制是通过cgroup来实现的。cgroup是control group的简称,是Linux内核2.6.24引入的一个新特性 ,用来限制、分离和报告一个进程组的资源(CPU、内存、磁盘输入输出等)。常...
docker容器使用现状
最新发布
03-31
Docker容器使用现状: 1. Docker容器已经成为现代软件开发和部署的标准技术之一,越来越多的企业和组织都在...5. Docker容器安全性也得到了很大的关注,许多企业和组织都在使用Docker容器来保护他们的软件和数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值