Docker容器(八)网络安全临时

最新推荐文章于 2024-10-13 20:08:56 发布
最新推荐文章于 2024-10-13 20:08:56 发布
阅读量701 收藏 1
点赞数 2
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/96366012
版权

一    docker 网络模式

(1)基本网络配置

(2)高级网络配置

(3)网络解决方案进阶

二    原生网络

docker安装后会自动创建3种网络:bridge、host、none

#  yum whatprovides */brctl-->brctl的工具!

#  bridge-utils-1.5-9.el7.x86_64

docker network ls

524ffb6b9445        bridge              bridge              local  # 桥接
e6fd58664b30        host                host                local  # 仅主机
46f9825d487f        none                null                local  # 禁用网络

(1)bridge网络

说明:docker安装时会创建一个名为 docker0 的Linux bridge,新建的容器会自动桥接到这个接口

[root@docker1 ~]# brctl show
bridge name	bridge id		STP enabled	interfaces	
docker0		8000.0242fc73f70c	no              # 说明:由于没有建立容器,所以没有接口

缺点:bridge模式下容器没有一个公有ip(缺点1),只有宿主机可以直接访问外部主机是不可见的(缺点-->私有网络,内部隔离),但容器通过宿主机的NAT规则(地址转换)后可以访问外网。

说明:默认是桥接的方式,不需要指定

说明:通过docker0接口的网关(gateway),然后进行路由转发(ip_forward)与宿主机通信!

虚拟网络对--->一根网线的两根,连接各自的namespace(网络命名空间)

说明:docker安装的时候默认帮我们开启了路由转发!

SDN( Software Define Network),软件定义网络,用户不需要直接操作硬件,鼠标点一点,隔离了用户对于硬件的依赖!

(2)host模式

host网络模式需要在容器创建时指定--network=host,host模式可以让容器共享宿主机网络栈,这样的好处是外部主机与容器直接通信,但是容器的网络缺少隔离性

说明host模式是桥接模式的有力补充,即桥接模式下容器没有公共的IP(解决bridge的问题)!

缺点:宿主机和容器共享一份网络资源,端口不能冲突,使用一个网络命名空间,所以有资源争抢的问题

[root@docker2 ~]# brctl show
bridge name	bridge id		STP enabled	interfaces
docker0		8000.02427b9fda13	no	

# 由于共享网络资源,所以没有接口(用bridge,会有接口)

说明:会引起安全问题,宿主机和网络机共享,不经过docker0!

host的其它好处:用localhost来访问!

host方式补充容器间共享一个网络资源

Container 网络模式是 Docker 中一种较为特别的网络的模式,在容器创建时使用--network=container:connam指定

处于这个模式下的 Docker 容器会共享一个网络栈,这样两个容器之间可以使用localhost高效快速通信

一个应用:不知道IP的情况下,这种模式容器之间可以通过localhost:3306(数据库)来访问,原来通过TCP,现在通过回环地址(lo)搞定,加快网络通信的速度!

(3)none模式

特点:是指禁用网络功能只有lo接口,在容器创建时使用,--network=none指定。

容器特殊存在:生成token,存储一些敏感密码文件,不需要网络通信,必须做这些隔离

[root@docker2 ~]# docker run -it --name vm2 --network=none ubuntu
root@eff58bc49e6e:/# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
root@eff58bc49e6e:/#

说明:没有网络,必须在本机,否则无法访问

二   高级网络配置

(1)自定义网络模式,docker提供了三种自定义网络驱动:bridge、overlay、macvlan

1)bridge驱动类似默认的bridge网络模式,但增加了一些新的功能,overlay和macvlan是用于创建跨主机网络。

建议使用自定义的网络来控制哪些容器可以相互通信,还可以自动DNS解析容器名称到IP地址。

自定义的桥接和默认原生的桥接区别自定义内置DNS解析

2)overlay

作用:应用层(开发人员),可以支持更多的虚拟子网,用于跨主机!

3)macvlan

作用:用在底层二层(CT人员),通过物理接口(etho网卡),用在跨主机,运营开发商!

说明:作为PASS云的体系,不知道用户的体系,overlay和macvlan都有!

(2)创建网络

[root@docker2 ~]# docker network create my_net1
6f56371978a715ced6917edffccad05c9bff9fe735fff4df229671a897a534d7
[root@docker2 ~]# docker network ls
NETWORK ID          NAME                DRIVER              SCOPE
21e12cecf441        bridge              bridge              local
94120fcefcf0        host                host                local
6f56371978a7        my_net1             bridge              local
0a9bf240468c        none                null                local

容器之间除了使用ip通信外,还可以使用容器名称通信。
docker 1.10开始,内嵌了一个DNS server,dns解析功能必须在自定义网络中使用

docker引擎又自动给我们创建了桥接口,默认是动态单调递增的释放后会回收

需求:创建自定义网桥,指定网段和网关

说明:创建两个容器,并桥接到不同的网桥上,默认彼此是不通信的(隔离)!

补充:使用--ip参数可以指定容器ip地址,但必须是在自定义网桥上,默认的bridge模式不支持,同一网桥上的容器是可以互通的

docker在设计上就是要隔离不同network的

iptables -S

-A DOCKER-ISOLATION-STAGE-1 -i br-d39efc8fa01f ! -o br-d39efc8fa01f -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-6f56371978a7 ! -o br-6f56371978a7 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN

需求:使不同网桥的进行通信

使用 docker network connect命令为vm1添加一块my_net2 的网卡

root@18c49c18bae4:/# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
20: eth0@if21: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:12:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.2/16 brd 172.18.255.255 scope global eth0
       valid_lft forever preferred_lft forever
22: eth1@if23: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:1e:00:03 brd ff:ff:ff:ff:ff:ff
    inet 172.30.0.3/24 brd 172.30.0.255 scope global eth1
       valid_lft forever preferred_lft forever
root@18c49c18bae4:/#

说明:又增加一块网卡(两个网段的IP

[root@docker2 ~]# brctl show
bridge name	bridge id		STP enabled	interfaces
br-6f56371978a7		8000.0242a53d3aa3	no	veth1a9ed7d
br-d39efc8fa01f		8000.02424ad6e5e1	no	veth0edde9d
					                veth24cff9e
docker0		8000.02427b9fda13	no

实质:在 vm6中添加一个网卡(不同网段的IP)!

说明:容器之间其它的通信方式

--link是连接两个容器

说明:ctrl+(p|q)->打入后太   --->docker container attach vm1

注意:不要rm调容器!

说明:会把变量信息注册到当前的容器中!

link -->变量不变(解析变了),本地解析!-->比较私密的联系(变量的利用)!

link -->把关闭的容器,重新拉起来!

docker run -d --name nginx nginx:1.16

docker run -it --name vm1 --link nginx:web ubuntu # 说明:类似于起个别名!

cat /etc/hosts  

env

#######################

docker container stop nginx  # 注意是停止而不是删除

docker run -d nginx:1.16     # 说明:上面停止之后,会释放IP资源,所以这里开启一个先占用IP!

docker container start nginx # 把容器起起来

/etc/hosts发生变化!           # IP发生变化,环境变量不变!

补充:容器如何访问外网是通过iptables的SNAT实现的

需求:外网如何访问容器----->选项指定映射端口(-p port:port)

wzj_110
关注
专栏目录
容器技术 — Docker 容器网络与存储技术
烟云的计算
06-09 2343
CNM(Container Networking Model,容器网络模型)是 Docker 公司立足于开源生态之上提出的容器网络模型,其设计初衷是实现跨多种网络基础设施的应用可移植性,本质上是一个基于 Multi-Drivers Plugins 软件架构进行设计的抽象网络能力接口层。另外,在 exec ./srv1 之前,我们往往还需要进行一些一来服务的配置初始化操作,比如向 nacos 中写入预置的 srv1 服务的配置文件内容以保证 srv1 启动后能从 nacos 中读取到自己的配置文件。
18 Docker容器集群网络架构:一、etcd 概述
最新发布
超哥的博客
10-29 270
18 Docker容器集群网络架构:一、etcd 概述
Docker容器技术在网络安全实验室的应用研究.pdf
09-19
Docker容器技术在网络安全实验室的应用研究.pdf
容器,必须考虑这五大安全要素
cpongo011702
12-22 297
安全漏洞是每个IT部门最担心的问题,云计算越流行,安全问题就越突出。采用任何新技术,安全风险都应该是首要考虑的问题。对采用容器犹豫不决的企业,最担心的就是现有流程和规范无法保证生产容器安全。除此之外,容器代表应用程序堆栈的一种新尝试,这需要新的方式思考应用程序安全性。正如传统应用程序易受攻击一样,容器化应用程序和容纳它们的容器也是如此,企业可以通过了解容器化可能带来的风险来设计有效的安全策略,本文...
Kubernetes 网络安全的挑战与应对策略
AI_Mind的博客
10-13 1056
(一)Kubernetes 网络架构Kubernetes 网络主要由 Pod、Service、Node 等组件构成。Pod 是 Kubernetes 中最小的可部署单元,包含一个或多个容器容器之间共享网络命名空间。Service 为一组 Pod 提供了稳定的网络访问入口,通过负载均衡机制将请求分发到后端的 Pod 上。Node 是 Kubernetes 的工作节点,负责运行 Pod,不同的 Node 之间通过网络连接实现容器的跨节点通信。(二)Kubernetes 网络安全的重要性。
《11招玩转网络安全》之第一招:Docker For Docker
weixin_33798152的博客
07-03 195
玩转黑客那些工具,缺少了虚拟机怎么行,除了用虚拟机虚拟整个系统,Docker也不能缺少,读者只需要知道,Docker只虚拟Linux系统中的某个程序就可以了。本节就来介绍Linux下安装设置Docker。 很幸运,Docker已经加入到了Debian的官方源中了。可以使用apt-get安装Docker。首先,使用163的镜像替代默认的官方镜像(基于Docker使用加速器的同样理由),163镜像源的...
docker(11):安全
water Wang
04-29 3160
1.内核名字空间 Docker 容器和 LXC 容器很相似,所提供的安全特性也差不多。当用 docker run 启动一个容器时,在后台 Docker容器创建了一个独立的名字空间和控制组集合。 名字空间提供了最基础也是最直接的隔离,在容器中运行的进程不会被运行在主机上的进程和其它容器发现和作用。 每个容器都有自己独有的网络栈,意味着它们不能访问其他容器的 sockets 或接口。不过,如果主机系统上做了相应的设置,容器可以像跟主机交互一样的和其他容器交互。当指定公共端口或使用 links 来连接 2 个
容器安全技术容器网络安全防护
m0_73803866的博客
10-12 848
以 node1 为例,由于 Web5 连接了 Ingress 网络(10.255.0.0/24)和容器内部网络(172.17.0.0/24),所以 如果要防护服务 Web5 在主机 node1 上的容器副本(本例中为容器 Web5.1),则可在网桥 docker_gwbridge 和 命名空间 ingress 中的网桥 br0 旁分别部署一个虚拟 WAF,如以旁路模式镜像流量可实现恶意请求的检测,如以 串接模式过滤流量可实现相应的防护。外的其它功能,如对主机和容器的安全审计、安全测试以及资源 监。
docker之点到点的容器网络的配置
09-30
合理的配置能够提供高效的网络通信,同时保障网络安全和隔离。通过了解和实践这些知识点,开发者可以更加灵活地管理Docker容器网络环境,并优化容器间以及容器与宿主机之间的通信。 总之,Docker之点到点的容器...
Docker容器安全实践:设置只读根文件系统
"这篇文档是Dosec安全团队根据CIS的Docker安全标准和实践经验编写的Docker容器最佳安全实践白皮书,旨在提供一套详细的Docker安全配置指南。主要内容涉及主机安全配置、Docker守护进程配置以及一系列的审计方法,...
Docker 的数据管理 端口映射 容器互联 镜像的创建
2301_81307988的博客
04-25 629
如果需要在容器之间共享一些数据,最简单的方法就是使用数据卷容器。数据卷容器是一个普通的容器,专门提供数据卷给其他容器挂载使用。
docker网络应用
nlfdpzq的博客
12-15 70
docker网络 查看三种网络模式 创建容器指定网络模式为host 查看 创建容器指定网络为none并查看 创建容器指定网络为默认bridge 创建新的容器指定跟建完容器一样的网络 创建新的容器 进入容器安装httpd,net-tools 把容器导成镜像 把镜像启动为容器并进入容器 启动httpd端口 进入网页访问 往配置文件添加内容 删除欢迎网页访问 给默认网桥设置网段 添加配置文件重启服务 查看 ...
容器安全技术网络自身安全机制
m0_73803866的博客
10-12 454
可见,如果要控制外部到服务的访问,可从主机的 eth0 接口到最终的容器之间的数据通路上部署访问控制 规则,例如主机的 iptables 表中 DOCKER-INGRESS链加 ACL,或在宿主机外部部署防火墙。此外,当服务 web0 和 web1 连接到同一个网络 test0 时,其容器副本均连接到了同一个子网,从网络对应 的命名空间的网络接口 VLAN标识可见,网桥上的各个网络接口没有设置 VLAN,在同一主机内部的同一网络容器均可互相访问,没有隔离措施。
Docker)---Docker安全
cjzcc1996的博客
07-25 682
所有容器资源限制的相关信息都在/sys/fs/cgroup/memory/docker此目录下,如果我们建立容器时不设置,那么docker容器的目录内的文件都继承于/sys/fs/cgroup/memory/docker内的其他文件。此权限的意思是全开,即root用户可以做几乎任何事情,近乎超户。但是此种方式权力又给的太大了不安全,我们可以给白名单。之前我们没有办法做到完全隔离是因为/proc中的资源,容器和宿主机之间是共享的,所以没有做隔离。可以看到运行容器的Pid就在tasks中。......
docker安装/简介
qq_45255414的博客
09-19 293
docker简介 docker理念 Docker是基于Go语言实现的云开源项目。 Docker的主要目标是“Build,Ship and Run Any App,Anywhere”,也就是通过对应用组件的封装、分发、部署、运行等生命周期的管理,使用户的APP(可以是一个WEB应用或数据库应用等等)及其运行环境能够做到“一次封装,到处运行”。 Docker 容器在任何操作系统上都是一致的,实现了跨平台、跨服务器。只需要一次配置好环境,换到别的机子上就可以一键部署好,大大简化了操作。 一句话:解决了
【从漏洞到防护:浅谈Docker不容忽视的安全问题】
OpsEye的博客
08-12 1138
网络时代,几乎所有编写的软件和应用都存在潜在的漏洞,想要完全没有漏洞的应用是几乎不可能实现的,当然Docker也不例外。Docker 容器技术在提供高效、可移植的软件部署环境的同时,也带来了一些安全挑战。针对 Docker 自身的漏洞,黑客的攻击手段层出不穷,给企业带来了多方面的挑战。所谓“兵来将挡水来土掩”,今天给大家分享几个常见的Docker安全问题及相对应的防护措施吧。Docker 的安全是一个持续的过程,需要综合考虑镜像构建、容器配置、运行时环境以及持续监控等多个方面。
Docker7】Docker安全及https安全认证
m0_71593537的博客
03-09 1588
Docker安全及https安全认证
Docker 生产环境之安全性 - 概述
kikajack的博客
03-17 2870
原文地址 在审查 Docker 安全性时,需要考虑四个主要方面: 内核固有的安全性及其支持的 namespace 及 cgroup Docker 守护进程本身的攻击面(attack surface) 容器默认的或用户自定义的配置中的漏洞 内核的“强化”安全功能以及它们如何与容器交互 1. 内核命名空间 namespace Docker 容器跟 LXC 容器类似,并且它们具有相似的安全特...
DockerDocker安全与最佳实践:保护你的容器化应用程序
m0_75058342的博客
03-26 7198
Docker安全与最佳实践:保护你的容器化应用程序 一、保持Docker更新 1. 使用容器编排工具 2. 蓝绿部署 3. 滚动更新 4. 就地更新 5. 监控和回滚 二、最小权限原则 三、网络隔离 四、其他安全措施
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值