Docker安全
2015-06-25 22:47
148 查看
我们知道docker run命令可以用来运行容器。那运行这个命令后,Docker做了哪些具体的工作呢?具体如下:
docker run命令初始化。
Docker 运行 lxc-start 来执行run命令。
lxc-start 在容器中创建了一组namespace和Control Groups。
namespace是隔离的第一级,容器是相互隔离的,一个容器是看不到其它容器内部运行的进程情况,每个容器都分配了单独的网络栈,因此一个容器不可能访问另一容器的sockets。为了支持容器之间的IP通信,您必须指定容器的公网IP端口。
Control Groups是非常重要的组件,具有以下功能:
负责资源核算和限制。
提供CPU、内存、I/O和网络相关的指标。
避免某种DoS攻击。[图片]支持多租户平台
一些关键的Docker安全特性包括:
容器以非特权用户运行。
Apparmor、SELinux、GRSEC解决方案,可用于额外的安全层。
可以使用其它容器系统的安全功能。
Docker.io API
用于管理与授权和安全相关的几个进程,Docker提供REST API。以下表格列出了关于此API用于维护相关安全功能的一些命令。
docker run命令初始化。
Docker 运行 lxc-start 来执行run命令。
lxc-start 在容器中创建了一组namespace和Control Groups。
namespace是隔离的第一级,容器是相互隔离的,一个容器是看不到其它容器内部运行的进程情况,每个容器都分配了单独的网络栈,因此一个容器不可能访问另一容器的sockets。为了支持容器之间的IP通信,您必须指定容器的公网IP端口。
Control Groups是非常重要的组件,具有以下功能:
负责资源核算和限制。
提供CPU、内存、I/O和网络相关的指标。
避免某种DoS攻击。[图片]支持多租户平台
一些关键的Docker安全特性包括:
容器以非特权用户运行。
Apparmor、SELinux、GRSEC解决方案,可用于额外的安全层。
可以使用其它容器系统的安全功能。
Docker.io API
用于管理与授权和安全相关的几个进程,Docker提供REST API。以下表格列出了关于此API用于维护相关安全功能的一些命令。
相关文章推荐
- 玩转Docker镜像
- Docker Registry
- 搭建自己的 Docker 私有仓库服务
- 建立docker私有hub
- 关于docker的15个小tip
- docker 现实---中小企业docker环境结构(五)
- docker 使用Dockerfile 创建带jdk 和tomcat的镜像
- mac boot2docker certs not valid with 1.7
- Dockerfile指令总结
- 赞一个 kindle电子书有最新的计算机图书可买了【Docker技术入门与实战】
- -bash: docker-compose: command not found
- docker对镜像的相关操作
- CentOS 6.5安装使用docker
- Docker入门系列7:动态映射端口port mapping
- Docker常用命令
- DOCKER 给运行中的容器添加映射端口
- docker中 启动所有的容器命令
- 部署维护docker环境
- docker nsenter
- 使用docker构建jenkins镜像并运行容器