Docker安全

Docker安全

和本地共享资源,会有安全性问题

1. Cgroups

对资源的上限进行控制

bash 复制代码
/sys/devices/system

1.1 cpu资源限制

bash 复制代码
# 进行cpu控制,只使用20%的资源
docker run -it --rm --cpu-period 100000 --cpu-quota 20000 ubuntu
bash 复制代码
# 测试cpu使用
dd if=/dev/zero of=/dev/null &

1.2 cpu优先级控制

bash 复制代码
# 为该容器分配100的优先级,最高优先级是1024
docker run -it --rm --cpu-shares 100 ubuntu
# 消耗CPU资源
dd if=/dev/zero of=/dev/null &
bash 复制代码
# 为该容器分配默认1024的优先级
docker run -it --rm ubuntu
dd if=/dev/zero of=/dev/null &
bash 复制代码
# 实验测试环节,为了保证只有一个CPU的情况下,产生竞争关系。
cd /sys/devices/system/cpu/cpu1/
echo 0 > online

1.3 memory资源限制

bash 复制代码
# 为该容器分配200M物理内存+200Mswap
docker run -d --name demo --memory 200M --memory-swap=200M nginx
bash 复制代码
cd /sys/fs/cgroup/memory/
mkdir x1
# 写入实际物理内存限制,这个根据实际内存
cd x1/
echo 209715200 > memory.limit_in_bytes
bash 复制代码
# 安装工具,方便使用cgexec
yum install -y libcgroup-tools.x86_64
cd /dev/shm/
ls
free -m
# 使用300M
cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
free -m

1.4 磁盘IO资源限制

bash 复制代码
# 对磁盘的写速度限制为30M
docker run -it --rm --device-write-bps /dev/sda:30MB ubuntu

dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct

2. lxcfs隔离

之前对资源的控制,没有隔离效果。

bash 复制代码
 yum install -y lxcfs-2.0.5-3.el7.centos.x86_64.rpm
 lxcfs /var/lib/lxcfs/ &
bash 复制代码
docker run  -it -m 256m -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw -v /var/lib/lxcfs/proc/stat:/proc/stat:rw  -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw ubuntu

3. 容器特权

bash 复制代码
# 全权限开启
# docker run -it --rm --privileged busybox
bash 复制代码
# 开启部分权限
docker run -it --rm --cap-add=NET_ADMIN busybox
相关推荐
小小小CTFER1 天前
理论题] 2025 年 “技耀泉城” 海右技能人才大赛网络安全知识竞赛题目(二)
算法·安全·web安全
java_logo1 天前
Docker 部署 WordPress 全流程
运维·docker·容器·word·php·1024程序员节
武子康1 天前
Java-159 MongoDB 副本集容器化 10 分钟速查卡|keyfile + –auth + 幂等 init 附 docker-compose
java·数据库·mongodb·docker·性能优化·nosql·1024程序员节
wodongx1231 天前
从一开始部署Android项目Sonarqube的自动化扫码+通知+增量扫描功能(Win环境、Docker,基于Jenkins)
运维·docker·jenkins·1024程序员节
java_logo1 天前
Docker 部署 Elasticsearch 全流程手册
大数据·运维·mongodb·elasticsearch·docker·容器
Stay Passion1 天前
Docker 组件:Docker Swarm
运维·docker·容器
路過的好心人1 天前
Docker + Rabbitmq 集群部署
docker·容器·rabbitmq
杭州泽沃电子科技有限公司1 天前
烧结工序的“隐形守护者”:在线监测如何成为钢铁制造的关键支柱
物联网·安全·智能监测
青0721松2 天前
千云低代码平台ETMS-k8s实施部署
低代码·云原生·容器
卓豪终端管理2 天前
从发现到阻止:构建自动化内部威胁防线的核心步骤
网络·安全·web安全