一、限制容器之间的网络流量
vim /etc/docker/daemon.json
添加以下内容到 daemon.json 文件中:
{
"icc": false
}
sudo service docker restart
docker restart apollo-configservice
docker restart apollo-portal
docker restart apollo-adminservice
docker restart ctg-eureka
docker restart nginx
systemctl start docker
二、限制容器的内存使用量
docker stats {container_id/container_name}
docker stats apollo-portal
docker stats apollo-configservice
docker stats apollo-adminservice
docker stats ctg-eureka
docker stats nginx
docker update --memory 5GiB --memory-swap -1 apollo-portal
docker update --memory 5GiB --memory-swap -1 apollo-configservice
docker update --memory 5GiB --memory-swap -1 apollo-adminservice
docker update --memory 15GiB --memory-swap -1 ctg-eureka
docker update --memory 15GiB --memory-swap -1 nginx
三、为Docker启用内容信任
vim /etc/profile
export DOCKER_CONTENT_TRUST=1
source /etc/profile
四 、将容器的根文件系统挂载为只读
docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID>
docker run --interactive --tty --read-only --volume /home/docker/apps/eureka/ ctg-eureka
docker run --interactive --tty --read-only --volume /home/docker/apps/nginx/ nginx
例子:
docker run --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka
--interactive --tty --read-only --volume /tmp
docker run -v /home/docker/apps/eureka:/var/lib/docker --read-only ctg-eureka
五、审核Docker文件和目录
在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:
vim /etc/audit/audit.rules
vim /etc/audit/rules.d/audit.rules
-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker
service auditd restart
bash
一、限制容器之间的网络流量
vim /etc/docker/daemon.json
添加以下内容到 daemon.json 文件中:
{
"icc": false
}
sudo service docker restart
docker restart apollo-configservice
docker restart apollo-portal
docker restart apollo-adminservice
docker restart ctg-eureka
docker restart nginx
systemctl start docker
二、限制容器的内存使用量
docker stats {container_id/container_name}
docker stats apollo-portal
docker stats apollo-configservice
docker stats apollo-adminservice
docker stats ctg-eureka
docker stats nginx
docker update --memory 5GiB --memory-swap -1 apollo-portal
docker update --memory 5GiB --memory-swap -1 apollo-configservice
docker update --memory 5GiB --memory-swap -1 apollo-adminservice
docker update --memory 15GiB --memory-swap -1 ctg-eureka
docker update --memory 15GiB --memory-swap -1 nginx
三、为Docker启用内容信任
vim /etc/profile
export DOCKER_CONTENT_TRUST=1
source /etc/profile
四 、将容器的根文件系统挂载为只读
docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID>
docker run --interactive --tty --read-only --volume /home/docker/apps/eureka/ ctg-eureka
docker run --interactive --tty --read-only --volume /home/docker/apps/nginx/ nginx
例子:
docker run --interactive --tty --read-only --volume /tmp --name ctg-eureka -d -p 8761:8761 ctg-eureka
--interactive --tty --read-only --volume /tmp
docker run -v /home/docker/apps/eureka:/var/lib/docker --read-only ctg-eureka
五、审核Docker文件和目录
在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:
vim /etc/audit/audit.rules
vim /etc/audit/rules.d/audit.rules
-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker
service auditd restart