Docker 之 资源

最新推荐文章于 2024-08-14 17:14:41 发布
原创 最新推荐文章于 2024-08-14 17:14:41 发布 · 284 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Docker中用户管理的重要性,展示了如何检查和设置容器的默认用户,以及通过实例说明了使用非root用户运行容器的安全优势。文章强调了在Docker环境下,合理设置用户权限对于防止潜在安全威胁的关键作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Docker 资源隔离技术涉及linux八个命名空间的使用
在这里插入图片描述
同时docker还提供了一些选项让我们能够对mem, cpu, devices 进行分配。

怎么判断一个镜像的默认用户呢?

  1. docker run --rm --entrypoint “” busybox:latest whoami
  2. docker run --rm --entrypoint “” busybox:latest id

whoani 和 id 都是linux自带的命令, 所以我们放心使用。

为什么要确定镜像的默认user, 请看下图?

在这里插入图片描述

如果一个镜像的默认用户存在过高权限,会存在黑客攻击的威胁,那么怎么避免折中情况呢, 当我们创建运行容器时可以指定容器的用户。

  1. 查看镜像中所支持的用户

    docker run --rm busybox:latest awk -F: ‘$0=$1’ /etc/passwd

  2. 设置容器运行时用户

    docker run -u nobody --rm busybox:latest id

有些人可能会问,为什么使用默认的root 用户可能会存在安全隐患,那是因为Docker 和 宿主机共用了user命名空间。下面分享一个例子来证明:

  1. echo “e=mc^2” > garbage
  2. chmod 600 garbage
  3. sudo chown root:root garbage
  4. docker run --rm -u nobody -v “$(pwd)”/garbage:/test/garbage ubunut:latest cat /test/garbage
    在这里插入图片描述
  5. docker run --rm -v “$(pwd)”/garbage:/test/garbage ubunut:latest cat /test/garbage
    在这里插入图片描述
    从上述例子中我们可以看到,使用nobody 用户访问宿主机中的测试文件提示权限不足,但使用root用户则可以访问。
    值得注意的是无论是容器还是宿主机的root 用户user id 都为 0.

为了更好的控制用户和资源挂载,这里推荐使用user id: user group的方式来设置容器的用户访问, 例子如下:
docker run -u 2000:2000 ubuntu:latest echo “hello world”

Docker 资源汇总
xyq2024的博客
03-04 605
本文全面介绍了 Docker 的基本概念、安装与配置、常用命令、最佳实践以及相关学习资源。希望读者通过本文能够更好地了解 Docker,并掌握其在实际项目中的应用。
docker相关资源汇总
omage的专栏
11-03 143
centos7 安装 docker ce https://www.vultr.com/docs/installing-docker-ce-on-centos-7
[docker] Docker资源管理
热心网友
01-24 1372
设置单个容器进程能够使用的CPU使用率上限针对新建的容器:docker run --cpu-period 单个CPU调度周期时间(1000~1000000) --cpu-quota 容器进程能够使用的最大CPU时间(>=1000)针对已存在的容器:修改 /sys/fs/cgroup/cpu/docker/容器ID/ 目录下的 cpu.cfs_period_us(单个CPU调度周期时间) cpu.cfs_quota_us(容器进程能够使用的最大CPU时间) 文件的值。
docker资源管理
letter_A的博客
08-23 572
1.设定磁盘写入速度: 设定对/dev/sda盘的写入速度为10M/s左右 [root@foundation17 ~]# docker run --rm -it --device-write-bps /dev/sda:10M ubuntu #设定 root@2f8dadc17d9a:/# dd if=/dev/zero of=testfile bs=1M count=100 oflag=d...
Dify的docker资源下载
09-05
Dify的docker资源下载指南 在当今日益发展的技术领域中,Docker作为一种流行的容器化平台,被广泛应用于开发、分发以及运行应用程序。Dify是一个提供特定服务或功能的应用,通过Docker资源下载,用户可以轻松地获取...
ARM版本的 rabbitmq docker镜像资源
12-20
ARM版本的 rabbitmq 镜像资源 版本 3.8.9 使用拷贝到主机 执行:docker load 生成docker镜像
docker离线镜像资源jdk21镜像
02-14
Docker容器与传统的虚拟机不同,因为容器共享操作系统内核,并且不需要运行整个操作系统,因此它们在启动速度、资源占用和性能方面更具有优势。 JDK(Java Development Kit)是用于开发Java应用的软件开发工具包,...
docker相关资源docker
最新发布
05-22
Docker还可以在相同硬件上运行更多工作负载,提高服务器容量利用,适合高密度环境和资源受限的中小型部署。 架构方面,Docker采用客户端-服务器架构。Docker客户端通过Docker API与Docker守护进程(dockerd)通信,...
Docker---资源管理
qq_42761527的博客
03-15 556
目录 一.docker资源管理概述 二.CPU资源的优化 三.内存资源的优化 三.磁盘I/O读写的优化 一.docker资源管理概述 由于一台主机可以放多个容器,默认的情况下,docker没有对容器镜像硬件资源的限制 当容器负载过高时会尽可能的占用宿主机的资源,所以有时候我们需要对容器的资源使用设置一个上限 使用systemctl-cgtop动态查看各个资源的使用情况(依据该...
Docker资源控制
FYR1018的博客
07-11 684
1 CPU 资源控制1.1 设置 CPU 使用率上限1.1.1 修改 CPU 使用率上限1.1.2 已经存在的修改,(最多只能用33%)1.2 设置CPU资源占用比(设置多个容器时才有效)1.3 设置容器绑定指定的CPU2 对内存使用的限制2.1 限制容器可以使用的最大内存2.2 限制容器可用的 swap 大小3 对磁盘IO配额控制(blkio)的限制4 清理docker占用的磁盘空间5 总结...
docker容器:docker资源管理
云计算之路
04-20 841
docker资源控制包括:资源控制工具、设置CPU使用率上限、CPU压力测试、Cgroups限制cpu使用率、查看容器运行状态、配置容器指定CPU、限制容器内存使用、对磁盘IO配额控制(blkio)的限制,以及docker数据管理包括:数据管理类型、数据卷、数据卷容器、端口映射、容器的互联
Docker--资源控制管理
weixin_54132204的博客
07-13 470
docker
72、docker资源管理
m0_74149099的博客
08-14 1225
容器和宿主机之间数据共享-----------挂载卷------------容器内的目录和宿主机的目录进行挂载。实现数据文件共享。容器的生命周期是有限的,一旦重启所有对容器内部文件数据的修改以及保存的数据会被初始化,所以为了防止数据丢失,重要的组件一定会做数据卷。 挂载卷 2、容器和容器之间进行数据共享: 容器之间会需要共享数据,最简单的方法就是使用数据卷容器,可以提供容器的 一盒目录,专门来用来供其他容器进行挂载。 ##创建容器test2,共享目录来自于容器test1提供的共享目录 二、容器互联
Docker容器与虚拟化技术:Docker资源控制、数据管理
cronaldo91的博客
08-15 832
docker system prune -a #可以用于清理磁盘,删除关闭的容器、无用的数据卷和网络。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值