Docker 守护进程配置之不使用 aufs 存储驱动程序

最新推荐文章于 2023-04-27 18:01:17 发布
最新推荐文章于 2023-04-27 18:01:17 发布
阅读量233 收藏
点赞数
分类专栏: Docker 文章标签: Docker 容器 安全 高级
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhichunqi/article/details/103224602
版权

描述

不要使用 'aufs' 作为 Docker 实例的存储驱动。

安全出发点

'aufs' 存储驱动程序是较旧的存储驱动程序。它是基于 Linux 内核的补丁集,不太可能合并到主要的 Linux 内核中
。'aufs' 在 Docker 中只是保留了历史遗留支持的,现在主要是使用 'overlay2' 和 'devicemapper' 。而且最
重要的是,在许多的使用最新的 Linux 内核的发行版中,'aufs' 已经不再被支持了。

审计方法

docker info | grep -e "^Storage Driver:\s*aufs\s*$"

结果判定

不应该返回任何东西。

修复措施

不要刻意的使用 'aufs' 作为存储驱动。
例如,不要使用以下命令启动 Docker 守护进程:
dockerd --storage-driver aufs

影响

'aufs' 是允许容器共享可执行文件和共享库内存的存储驱动程序。如果使用相同的程序或者库运行数千个容器,那么就
可以选用了。

默认值

Docker 在大多数平台上使用 'overlay2' 和 'devicemapper' 作为存储驱动程序。默认的存储驱动程序可能因操
作系统而异,所有首选的应该是操作系统对应的最佳支持的存储驱动程序为主。
chunqi zhi
关注
专栏目录
什么是 Docker 存储驱动程序,您应该使用哪些驱动程序
学海无涯苦作舟的博客
12-13 1149
Docker 存储驱动程序控制图像和容器在文件系统上的存储方式。它们是允许您创建映像、启动容器和修改可写层的机制。以下是每个驱动程序之间的差异以及应该使用它们的情况。 什么是存储驱动程序? 活动存储驱动程序确定 Docker 如何管理您的图像和容器。可用的驱动程序实现了处理图像层的不同策略。根据手头的存储场景,它们将具有独特的性能特征。 存储驱动程序本质上与容器的“可写层”相关联。这个术语指的是容器文件系统的最顶层,您可以通过运行命令、写入文件和在运行时添加软件来修改它。 尽管持久的 Docker 容器数.
Docker容器镜像安全最佳实践指南
WeiyiGeek 唯一极客IT知识分享
03-10 4155
文章目录:0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker守护进程1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置日志级别为info2.3 允许 doc...
Docker-不使用aufs存储驱动程序
hengliang_的博客
02-05 659
使用aufs存储驱动程序 描述 不要使用aufs作为Docker实例的存储驱动。 解释 'aufs' 存储驱动程序是较旧的存储驱动程序。它是基于 Linux 内核的补丁集,不太可能合并到主要的 Linux 内核中 。'aufs' 在 Docker 中只是保留了历史遗留支持的,现在主要是使用 'overlay2' 和 'devicemapper' 。而且最 重要的是,在许多的使用最新的 Linux 内核的发行版中,'aufs' 已经不再被支持了。 审计方法 执行以下命令并验证aufs.
Docker基础技术:AUFS
zdy0_2004的专栏
09-29 1595
Docker基础技术:AUFS http://coolshell.cn/articles/17061.html AUFS是一种Union File System,所谓UnionFS就是把不同物理位置的目录合并mount到同一个目录中。UnionFS的一个最主要的应用是,把一张CD/DVD和一个硬盘目录给联合 mount在一起,然后,你就可以对这个只读的CD/DVD上的文件进行修改(
UBUNTU更换内核后没有aufs,更换至overlayfs所碰到的坑
wzw_mzm的博客
04-20 2642
首先是我自己手贱(起因是老的内核不支持休眠),将ubuntu的linux内核升级至4.10.11。 接下就发现docker的daemon起不来了,错误提示是不支持aufs,到文件系统里找,确实没有了。换了几个版本的内核都没有aufs。 网上一通乱搜,得知有比aufs更好的overlayfs,而且是我系统里有的。 如何更换成overlayfs呢?走过很多坑,花了一晚上时间,我现在直接说结果:
docker基础:Aufs存储驱动设定
weixin_42175570的博客
11-04 377
本文用于记录ubuntu 17.10下docker 17.12.1-ce版本下overlay2的设定到aufs的方法。在Ubuntu 16.04以及更新的版本中,Linux内核引入了OverlayFS的支持,而且Docker CE也开始使用overlay2作为缺省的存储驱动,如果需要使用aufs,则需要进行手动配置。 什么是AUFS 关于AUFS的简单说明,可以参看如下文章:  http://b...
docker系列—聊一聊存储驱动AUFS
花满楼的博客
03-16 383
文章目录AUFS前提条件用aufs存储驱动程序配置Dockeraufs存储驱动程序如何工作示例:映像和磁盘上的容器构造容器如何使用aufs进行读写操作读取文件修改文件或目录AUFSDocker性能 AUFS AUFS是一个联合文件系统。aufs存储驱动程序以前是默认的存储驱动程序,用于管理Ubuntu的Docker上的镜像和层,以及在Stretch之前的Debian版本。如果Linux内核是4....
驾驭Docker的海洋:选择适合的存储驱动全攻略
最新发布
07-16
**配置 Docker 使用 Overlay2**:编辑 Docker守护进程配置文件(通常位于 `/etc/docker/daemon.json`),设置存储驱动为 `overlay2`。 ```json { "storage-driver": "overlay2" } ``` **重启 Docker 服务**:...
linux版本docker离线部署
05-30
例如,如果你的系统支持overlay2但默认使用aufs,你可以通过修改`daemon.json`来切换存储驱动。确保配置正确无误后,重新启动Docker服务,配置就会生效。 接着是"docker.service",这是一个Systemd服务文件,用于...
docker容器4 :docker存储dockerfile相关指令
WFL_BOKE的博客
04-27 846
docker CE:只有部分配置被测试过,并且操作系统的内核不可能支持每个存储驱动,最佳配置使用带有支持overlay2存储驱动的内核的现代linux发行版,并且对于大量的工作负载要使用docker卷写入,而不是将数据写入容器的可写层。联合文件系统实际上是由存储驱动实现的,相应的存储驱动有aufs,overlay,overlay2,deveicemapper,btrfs,zfs,vfs等。docker目录:docker根目录就是docker中存放镜像和容器的目录,默认是:/var/lib/docker
docker存储驱动详解
让爱慢慢成熟,c_x_y_000(微信)
08-31 1233
目录 1、查看docker存储驱动 1.1 测试环境下 1.2 正式环境下 2、docker支持的五种存储驱动 3、各类存储驱动的说明 3.1 AUFS 3.2 OverlayFS 3.3Devicemapper 3.4 Btrfs 3.5 ZFS 4、存储驱动对比及适应场景 1、查看docker存储驱动 1.1 测试环境下 1.2 正式环境下 2、docker支持的五种存...
Docker基础之AUFS
m0_43405302的博客
11-28 489
一、AUFS AUFS是一种Union File System,所谓UnionFS就是把不同物理位置的目录合并mount到同一个目录中。UnionFS的一个最主要的应用是,把一张CD/DVD和一个硬盘目录给联合 mount在一起,然后,你就可以对这个只读的CD/DVD上的文件进行修改。 二、AUFS的介绍 1、环境搭建 环境挂载指令如下: uname -a 2、创建好各个layer 目录结构如下,其中mnt是挂载点,查看文件结构指令如下: tree ./ 3、联合挂载 mount -t aufs -o
dockeraufs笔记
MJ的博客
08-18 2431
aufs是一种支持联合挂载的文件系统,将不同目录挂载到同一个目录下面,只有最上层是可读可写,下层都是只读层。 docker镜像是由一个或多个aufs branch组成,并且所有branch均为只读权限。 运行容器的时候,创建一个aufs branch位于image层之上,具有rw权限,并把所有branch挂载到一个mnt目录下。 修改/etc/docker/daemon.json,选择使用a...
Docker存储驱动之AUFS简介
weixin_34007906的博客
03-01 211
2019独角兽企业重金招聘Python工程师标准>>> ...
Docker容器存储数据 - 关于存储驱动程序
kikajack的博客
03-10 4526
原文地址 了解 Docker 如何构建和存储镜像以及容器如何使用这些镜像对高效使用存储驱动程序来说很重要。可以使用这些信息在选择持久化应用程序数据的最佳方式做出明智的选择,并避免出现性能问题。 注意:存储驱动程序允许你将数据保存在容器的可写层中。这是持久化数据的效率最低的方式。卷或绑定挂载提供更好的读写性能,卷提供比存储驱动程序或绑定挂载更高的安全性和隔离性。卷或绑定挂载都不适合本主题中...
升级centos7的内核为支持aufs的内核
Do it Yourself
07-28 3676
升级centos7的内核为支持aufs的内核,并重新安装docker,使它的storage driver为aufs升级内核 下载aufs的rpm安装包 kernel-ml-aufs.tgz 解压安装rpm -ivh 安装即可 centos7修改 /etc/default/grub 中GRUB_DEFAULT=saved 为GRUB_DEFAULT=0,表示之后启动安装第一个内核启动 grub2-mk
立刻停止使用AUFS,开启Overlay!
sisiy2015的博客
11-09 4491
阅读全文,了解为何停止使用AUFS
深入解析Docker存储驱动机制
Docker 守护进程可以通过配置文件(如 `/etc/sysconfig/docker`)来设置存储驱动,例如 AUFS、overlay2、devicemapper 等,并在启动时加载。 1. Docker 镜像和容器存储层次结构: Docker 镜像是由多个层(layer...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值