浅谈Docker安全机制内核安全与容器之间的网络安全[原创]_docker_脚本之家
2017-09-23 12:03
681 查看
内核安全
内核为容器提供两种技术 cgorups和namespaces,分别对容器进行资源限制和资源隔离,使容器感觉像是在用一台独立主机环境。
・cgroups资源限制
容器本质上是进程,cgroups的存在就是为了限制宿主机上不同容器的资源的使用量,避免单个容器耗尽宿主机资源而导致其他容器异常。
・namespaces资源隔离
为了使容器处在独立的环境中,docker使用namespaces技术来隔离容器,使容器与容器之间,容器与宿主机之间相互隔离。
docker目前仅对uts、IPC、pid、network、mount这5种namespace有完整的支持,user namespace尚未全部支持。除了上述资源外,还有许多系统资源未进行隔离,如/proc和/sys信息未完成隔离,SELinux、time、syslog和/dev等设备信息均未隔离。可见在内核安全方面,虽然已经达到了基本可用的程度,但是距离真正的安全还有一定的距离。
容器之间的网络安全
Docker daemon指定--icc标志的时候,可以禁止容器与容器之间通信,主要通过设定iptables规则来实现。有关iptables的内容欢迎大家参阅:详解Docker使用Linux iptables 和 Interfaces管理容器网络以及本站其他相关内容。
以上就是本文关于Docker安全机制内核安全与容器之间的网络安全的全部内容,希望对大家有所帮助。
您可能感兴趣的文章:
相关文章推荐
- docker配置网络(容器之间、容器与外网、容器与宿主、容器与宿主所在局域网的其他机器都互联)
- 为Docker容器设置固定IP实现网络联通(2)——通过Python脚本实现并解决pipework缺陷
- 如何在 Docker 容器之间设置网络
- docker技术剖析--docker网络(二)docker宿主机之间容器互通 for centos7.2
- 如何在 Docker 容器之间设置网络
- docker 脚本方式搭建多容器的django部署环境
- python脚本监控docker容器
- Docker使用Link在容器之间建立连接
- 再谈Docker容器单机网络:利用iptables trace和ebtables log
- docker容器互联并且暴露真实网络
- 【原创】某驱动的内核调试检测学习内核调试引擎加载机制
- Docker 官方宣布收购 SocketPlane 多主机容器网络解决方案。
- 如何部署 Calico 网络?- 每天5分钟玩转 Docker 容器技术(67)
- Docker实现跨主机容器实例网络通信(2)——利用OpenVSwitch构建多主机Docker网络
- docker 容器网络绑定端口部署
- docker 实战---多台物理主机的联网,容器桥接到物理网络拓扑图(四)
- Calico 的网络结构是什么?- 每天5分钟玩转 Docker 容器技术(68)
- 学容器必须懂 bridge 网络 - 每天5分钟玩转 Docker 容器技术(32)
- centos7下安装docker(15.7容器跨主机网络---calico)
- docker从零开始网络(七) 配置daemon和容器