docker安全(cgroups)

最新推荐文章于 2024-11-07 09:04:56 发布
最新推荐文章于 2024-11-07 09:04:56 发布
阅读量346 收藏 1
点赞数
分类专栏: 企业运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42311209/article/details/90692922
版权
本文深入探讨了Docker容器的安全性,重点关注Linux内核的命名空间、控制组(cgroups)机制以及能力机制。通过命名空间实现基本隔离,cgroups保证资源公平分享并防止DDoS攻击,而能力机制则提供细粒度权限控制。文中还通过实验展示了如何使用cgroups限制CPU、内存和Block IO资源,以及如何通过LXCFS增强容器的隔离性和资源可见性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker的安全性时,主要考虑以下几个方面:
  • Linux内核的命名空间机制提供的容器隔离安全
  • Linux控制组机制对容器资源的控制能力安全
  • Linux内核的能力机制所带来的操作权限安全
  • Docker程序(特别是服务端)本身的抗攻击性
  • 其他安全增强机制对容器安全性的影响
  • 命名空间隔离的安全
  • 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。
  • 与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。
    容器里面的内存等信息和物理机上信息一样,从此处看,没有做格式的隔离,因为和宿主机保持一致,因为/proc没法做隔离,是内存里的数据
    在这里插入图片描述
  • 容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。
  • 在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,比如:时间。
    docker容器只提供了六个最基本的namespace隔离
    在这里插入图片描述
    在这里插入图片描述
  • 内核能力机制
  • 能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。
  • 大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。
  • 默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。
  • Docker服务端防护
  • 使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。
最低0.47元/天 解锁文章
云原生之深入解析Docker容器的核心Cgroups的相关概念和使用实现
╰つ栺尖篴夢ゞ
07-04 1850
Cgroups 是 Linux 系统内核提供的一种机制,这种机制可以根据需求将一些列系统任务机器子任务整合或分离到按资源划分登记的不同组内,从而为系统资源管理提供一个的框架。简单地说,Cgroups 可以限制、记录任务组所使用的物理组员(比如 CPU、Memory、IO等),为容器实现虚拟化提供了基本保证,是构建 Docker 等一些列虚拟化管理工具的基石。
Docker-------------Cgroup 资源配置
MIsaka的博客
11-17 318
Cgroup 资源配置方法     Docker通过 Cgroup 来控制容器使用的资源配额,包括 CPU、内存、磁盘三大方面, 基本覆盖了常见的资源配额和使用量控制。     Cgroup 是 Control Groups 的缩写,是Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物理资源(如 CPU、内存、磁盘 IO 等等)的机制,被 LXC、docker 等很多项目用于实现进程资源控制。Cgroup 本身是提供
Docker的资源控制管理——Cgroups
rmh0713的博客
04-24 1379
cgroup是一个非常强大的linux内核工具,它不仅可以限制被namespace隔离起来的资源,还可以为资源设置权重,计算使用量,操控进程启停等等。所以cgroup实现了对资源的配额和度量。
docker的资源控制管理——Cgroups
weixin_59105297的博客
02-13 441
docker的资源控制管理——Cgroups
Docker Cgroups资源控制
m0_71931851的博客
12-01 930
Docker Cgroups资源控制
Docker之Linux Cgroups详解(资源限制)
草根工厂——技术虐我千百遍,我依然待你如初恋
06-28 803
1、导言: Docker 容器使用 linux namespace 来隔离其运行环境,使得容器中的进程看起来像是在一个独立的环境下运行。但是光有环境隔离还不够,因为容器中的进程还是可以不受控制地使用计算机资源,如内存、CPU等;另外,linux资源耗尽时会时,会引起错杀进程;因此docker引入了linux cgroups来控制进程资源,让进程更可控。 想了解linux cgroups请...
docker入门之cgroups
weixin_46546303的博客
08-14 1344
cgroupsDocker 实现资源隔离和限制的重要机制。通过合理配置 cgroups,您可以确保每个容器在资源使用上的独立性,并防止资源竞争导致的性能问题。
DockerCgroups资源控制实战
hong161688的博客
11-07 1202
Cgroups(Control Groups)是Linux内核提供的一种机制,用于将进程按组进行管理,并限制和统计这些进程的资源使用情况。这些资源包括CPU、内存、存储、网络等。通过Cgroups,系统管理员可以方便地限制某个进程或进程组的资源占用,并实时监控这些资源的使用情况。Cgroups的核心概念包括cgroup、subsystem和hierarchy。cgroup。
Dockercgroups资源监控
GaLiCHaoFan1的博客
10-24 675
cgroups,是一个非常强大的linux内核工具,他不仅可以限制被namespace 隔离起来的资源,还可以 为资源设置权重、计算使用量、操控进程启停等等。所以cgroups (Control groups) 实现了对资源的配额和度量。
【云原生Docker篇】Docker Cgroups资源控制管理
currs的博客
07-05 422
cgroups,是一个非常强大的linux内核工具,他不仅可以限制被namespace 隔离起来的资源,还可以 为资源设置权重、计算使用量、操控进程启停等等。所以cgroups (Control groups) 实现了对资源的配额和度量。时间片即CPU分配给各个程序的时间,每个线程被分配一个时间段,称作它的时间片,即该进程允许运行的时间,使各个程序从表面上看是同时进行的。如果在时间片结束时进程还在运行,则CPU将被剥夺并分配给另一个进程。如果进程在时间片结束前阻塞或结束,则CPU当即进行切换。而不会造成CP
cgroups介绍
12-04
cgroups介绍 docker cgroups介绍 docker cgroups介绍 docker
Docker-- cgroups资源控制实战
m0_74068921的博客
11-05 3009
cgroups是Linux内核中的一项功能,最初由Google的工程师提出,后来被整合进Linux内核;它允许用户将一系列系统任务及其子任务整合或分隔到按资源划分等级的不同组内,从而为系统资源管理提供一个统一的框架。
docker-cgroups概述
liuchenbei的博客
02-05 252
Task: 在 cgroup 中,task 可以理解为一个进程,但这里的进程和一般意义上的操作系统进程不太一样,实际上是进程 ID 和线程ID 列表。CGroup: 即控制组,一个控制组就是一组按照某种标准划分的Tasks,可以理解为资源限制是以进程组为单位实现的,一个进程加入到某个控制组后,就会受到相应配置的资源限制。Hierarchy: cgroup 的层级组织关系,cgroup 以树形层级组织,每个 cgroup 子节点默认继承其父 cgroup。
Docker② —— Cgroups详解
qq_51148151的博客
04-22 2102
Cgroups详解
Docker网络模式与cgroups资源控制
shanjun12的博客
04-19 502
Docker网络模式与cgroups资源控制
docker cgroups 资源限制
bittersweet0324的博客
05-15 2136
cgroups资源限制技术 1.什么是cgroups?    cgroups是linux内核提供的一种机制,这种机制可以通过需求把一系列系统任务,及其子任务整合到按资源划分的不同组内,从而为系统资源管理提供统一的框架。通俗来说,cgroups可以限制记录任务组所使用的物理资源,包括cpu,内存,io等。为容器虚拟化提供了基本保证,是构建docker等一系列虚拟化容器的基石。 2.cgroup
docker cgroup fs
lianyz
11-22 692
Docker中的Cgroup Driver:Cgroupfs 与 Systemd 在安装kubernetes的过程中,会出现 failed to create kubelet: misconfiguration: kubelet cgroup driver: “cgroupfs” is different from docker cgroup driver: “systemd” 文件驱动默认由systemd改成cgroupfs, 而我们安装的docker使用的文件驱动是systemd, 造成不一致, 导致镜
cgroups 命令集
weixin_30791095的博客
04-18 205
cgroups 命令集 最后介绍,功能最为强大的控制组(cgroups)的用法。cgroups 是 Linux 内核提供的一种机制,利用它可以指定一组进程的资源分配。 具体来说,使用 cgroups,用户能够限定一组进程的 cpu 占用率、系统内存消耗、网络带宽,以及这几种资源的组合。 对比nice和cpulimit,cgroups 的优势在于它可以控制一组进程,不像前者仅能控制单进程。同时,...
docker cgroups 限制io
最新发布
03-12
### 使用 Dockercgroups 限制容器 IO 对于 Block IO 的管理,Docker 提供了多种方式来限制容器对磁盘读写的访问速率。通过配置不同的参数,可以有效地控制容器占用存储子系统的程度。 #### 设置 Block IO 权重 可以通过 `--blkio-weight` 参数设定相对优先级,默认情况下所有容器享有相同的权重值 (即 500),允许范围是从 10 到 1000 。较高的数值意味着该容器可以获得更多的 I/O 时间片[^1]。 ```bash docker run -itd --name io_limited_container --blkio-weight=300 ubuntu:latest bash ``` #### 控制 BPS 和 IOPS 除了调整权重外,还可以精确限定每秒字节数(BPS)或者操作次数(IOPS)。这有助于防止某些应用过度消耗磁盘带宽而影响其他服务: - **bps**: 每秒最大传输的数据量。 - **iops**: 每秒钟最多能完成的操作数量。 具体命令如下所示: ```bash # 对特定设备设置读取速度不超过 1MB/s docker run -itd \ --device-read-bps="/dev/sda:1mb" \ --name limited_read_speed \ ubuntu:latest bash # 设定写入频率上限为 20次/秒 docker run -itd \ --device-write-iops="/dev/sda:20" \ --name limit_write_frequency \ ubuntu:latest bash ``` 这些选项使得管理员可以根据实际需求灵活调配资源分配策略,在多租户环境中尤为重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值