Docker安全

Docker安全

和本地共享资源,会有安全性问题

1. Cgroups

对资源的上限进行控制

bash 复制代码
/sys/devices/system

1.1 cpu资源限制

bash 复制代码
# 进行cpu控制,只使用20%的资源
docker run -it --rm --cpu-period 100000 --cpu-quota 20000 ubuntu
bash 复制代码
# 测试cpu使用
dd if=/dev/zero of=/dev/null &

1.2 cpu优先级控制

bash 复制代码
# 为该容器分配100的优先级,最高优先级是1024
docker run -it --rm --cpu-shares 100 ubuntu
# 消耗CPU资源
dd if=/dev/zero of=/dev/null &
bash 复制代码
# 为该容器分配默认1024的优先级
docker run -it --rm ubuntu
dd if=/dev/zero of=/dev/null &
bash 复制代码
# 实验测试环节,为了保证只有一个CPU的情况下,产生竞争关系。
cd /sys/devices/system/cpu/cpu1/
echo 0 > online

1.3 memory资源限制

bash 复制代码
# 为该容器分配200M物理内存+200Mswap
docker run -d --name demo --memory 200M --memory-swap=200M nginx
bash 复制代码
cd /sys/fs/cgroup/memory/
mkdir x1
# 写入实际物理内存限制,这个根据实际内存
cd x1/
echo 209715200 > memory.limit_in_bytes
bash 复制代码
# 安装工具,方便使用cgexec
yum install -y libcgroup-tools.x86_64
cd /dev/shm/
ls
free -m
# 使用300M
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
free -m

1.4 磁盘IO资源限制

bash 复制代码
# 对磁盘的写速度限制为30M
docker run -it --rm --device-write-bps /dev/sda:30MB ubuntu

dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct

2. lxcfs隔离

之前对资源的控制,没有隔离效果。

bash 复制代码
 yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm
 lxcfs /var/lib/lxcfs/ &
bash 复制代码
docker run  -it -m 256m -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw -v /var/lib/lxcfs/proc/stat:/proc/stat:rw  -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw ubuntu

3. 容器特权

bash 复制代码
# 全权限开启
# docker run -it --rm --privileged busybox
bash 复制代码
# 开启部分权限
docker run -it --rm --cap-add=NET_ADMIN busybox
相关推荐
小张是铁粉33 分钟前
docker学习二天之镜像操作与容器操作
学习·docker·容器
烟雨书信1 小时前
Docker文件操作、数据卷、挂载
运维·docker·容器
IT成长日记1 小时前
【Docker基础】Docker数据卷管理:docker volume prune及其参数详解
运维·docker·容器·volume·prune
这儿有一堆花1 小时前
Docker编译环境搭建与开发实战指南
运维·docker·容器
LuckyLay1 小时前
Compose 高级用法详解——AI教你学Docker
运维·docker·容器
Uluoyu1 小时前
redisSearch docker安装
运维·redis·docker·容器
IT成长日记5 小时前
【Docker基础】Docker数据持久化与卷(Volume)介绍
运维·docker·容器·数据持久化·volume·
热爱生活的猴子5 小时前
阿里云服务器正确配置 Docker 国内镜像的方法
服务器·阿里云·docker
安全系统学习7 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
FrankYoou9 小时前
Jenkins 与 GitLab CI/CD 的核心对比
java·docker