Docker前传什么是docker

简介

Docker 是一个操作系统级虚拟化方法、开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的Linux机器上，也可以实现虚拟化，容器是完全使用沙箱机制，相互之间不会有任何接口。

一个完整的Docker有以下几个部分组成：

1. dockerClient客户端

2. Docker Daemon守护进程

3. Docker Image镜像

4. DockerContainer容器 

起源

Docker 是 PaaS 提供商 dotCloud 开源的一个基于 LXC 的高级容器引擎，源代码托管在 Github 上, 基于go语言并遵从Apache2.0协议开源。

个人理解

它是一个容器，可以产出镜像，此镜像就是要发布的成套的东西，可以移植到任何机器实现发布 

特点

1、环境管理方便

2、云

3、轻量级虚拟化的特点虚拟化节省硬件成本，启动快，资源占用小

4、可迁移

5、Docker实例是无状态的。这意味着它们不应该承载任何交易数据，所有数据应该保存在数据库服务器中

 

Docker 架构

1、Docker 使用客户端-服务器 (C/S) 架构模式，Docker daemon作为服务端

2、使用远程API来管理和创建Docker容器。

3、Docker 容器通过 Docker 镜像来创建。容器与镜像的关系类似于面向对象编程中的对象与类。

4、客户端发送创建、运行、分发容器的请求通过一系列命令与宿主主机后台运行的Docker daemon 交互

典型场景

• Automating the packaging and deployment of applications（使应用的打包与部署自动化）

• Creation of lightweight, private PAAS environments（创建轻量、私密的PAAS环境）

• Automated testing and continuous integration/deployment（实现自动化测试和持续的集成/部署）

• Deploying and scaling web apps, databases and backend services（部署与扩展webapp、数据库和后台服务）

需要的知识

Linux管理、编排及配置工具比如Puppet、Chef以及Salt

 

用户应用程序迁往Docker容器的五个基本步骤：

步骤1：

分解。一般来说，应用程序都是复杂的，它们都有很多的组件。例如，大多数应用程序都需要数据库或中间件服务的支持以实现对数据的存储、检索和集成。所以，需要通过设计和部署把这些服务拆分成为它们自己的容器。如果一个应用程序能够被拆分成为越多的分布式组件，那么应用程序扩展的选择则越多。但是，分布式组件越多也意味着管理的复杂性越高。

步骤2：

选择基础映像。当执行应用程序迁移时，应尽量避免推倒重来的做法。搜索Docker注册库找到一个基本的Docker映像并将其作为应用程序的基础来使用。

随着时间的推移，企业将会发现这些Docker注册库中基本映像的价值所在。请记住，Docker支持着一个Docker开发人员社区，所以项目的成功与否很大程度上取决于用户对于映像管理和改良的参与度。

步骤3：

安全管理问题。安全性和管理应当是一个高优先级的考虑因素；企业用户不应再把它们当作应用程序迁移至容器的最后一步。反之，企业必须从一开始就做好安全性和管理的规划，把它们的功能纳入应用程序的开发过程中，并在应用程序运行过程中积极主动地关注这些方面。这就是企业应当花大功夫的地方。

基于容器的应用程序是分布式应用程序。企业应当更新较老的应用程序以支持联合身份管理方法，这将非常有利于确保分布式应用程序的安全性。为了做到这一点，应为每一个应用程序组件和数据提供一个唯一的标识符，这个标识符可允许企业在一个细粒度的级别上进行安全性管理。企业用户还应当增加一个日志记录的方法。

步骤4：

增加代码。为了创建镜像，企业用户需要使用一个Dockerfile来定义映像开发的必要步骤。一旦创建了映像，企业用户就应将其添加至Docker Hub。

步骤5：

配置测试部署。应对在容器中运行的应用程序进行配置，以便于让应用程序知道可以在哪里连接外部资源或者应用程序集群中的其他容器。企业用户可以把这些配置部署在容器中或使用环境变量。

对基于容器的应用程序进行测试类似于对其他分布式应用程序的测试。企业可以对每个容器进行组件测试，并将容器集群作为一个整体进行测试。 确定应用程序应如何能够在负载增加的情况下进行扩展。如果用户正在使用一个集群管理器（例如Swarm），则可测试其性能。

最后，把容器部署到实际生产环境中。为了积极主动地关注基于容器的应用程序的运行状况，可考虑实施必要的监控和管理机制 。确保打开日志记录功能。

很多应用程序迁移至云计算都是采用容器技术的。虽然迁移有一点复杂，但是容器可以保护应用程序投资并赋予了它一个更长的使用寿命。

部署

1.Docker镜像 
　　
　　Docker 1.3 现在支持数字签名来确认官方仓库镜像的起源和完整性。因该功能仍在开发中所以Docker将抛出警告但不会阻止镜像的实际运行。 
　　通常确保镜像只从受信库中检索并且不使用—insecure-registry=[]命令项。 
　　2.网络命名空间
　　
　　在默认情况下，Docker REST API用来控制容器通过系统Docker守护进程是唯一能够通过Unix域套接字的方式暴露出来。在Docker上开启一个TCP端口（即 当引导Docker守护进程时必须使用 -H 选项绑定地址）将允许任何人通过该端口访问容器，有可能获得主机上的root访问权限以及在某些场景下本地用户所属的Docker组。 
　　3.日志和审核 
　　
　　收集和归档与Docker相关的安全日志来达到审核和监督的目的。从host[8]，可以使用下面的命令来访问容器外的日志文件： 
　　docker run -v /dev/log:/dev/log/bin/sh 
　　使用Docker命令内置： 
　　docker logs ... (-f to follow log output) 
　　日志文件也可以从持续存储导出到一个使用压缩包里面： 
　　docker export ...

　　4.SELinux 或 AppArmor 
　　
　　Linux的内部安全模块，例如通过访问控制的安全策略来配置安全增强型Linux（SELinux）和AppArmor，从而实现强制性的访问控制（MAC）一套有限的系统资源的限制进程，如果先前已经安装和配置过SELinux，那么它可以使用setenforce 1在容器中被激活。Docker程序的SELinux支持是默认无效的，并且需要使用—selinux功能来被激活。通过使用新增的—security-opt来加载SELinux或者AppArmor的策略对容器的标签限制进行配置。该功能已经在Docker版本1.3[9]中介绍过。例如： 
　　docker run --security-opt=secdriver:name:value -i -t centos bash 
　　5.守护特权 
　　
　　不要使用--privileged命令行选项。这本来允许容器来访问主机上的所有设备，并为容器提供一个特定的LSM配置（例如SELinux或AppArmor），而这将给予如主机上运行的程序同样水平的访问。避免使用--privileged有助于减少主机泄露的攻击面和潜力。然而，这并不意味着程序将没有优先权的运行，当然这些优先权在最新的版本中还是必须的。发布新程序和容器的能力只能被赋予到值得信任的用户上。通过利用-u选项尽量减少容器内强制执行的权限。例如： 
　　docker run -u-it/bin/bash 
　　Docker组的任何用户部分可能最终从容器中的主机上获得根源。 
　　6.cgroups 
　　
　　为了防止通过系统资源耗尽的DDoS攻击，可以使用特定的命令行参数被来进行一些资源限制。 
　　CPU使用率： 
　　docker run -it --rm --cpuset=0,1 -c 2 ... 
　　内存使用： 
　　docker run -it --rm -m 128m ... 
　　存储使用： 
　　docker -d --storage-opt dm.basesize=5G 
　　磁盘I/O： 
　　目前不支持Docker。BlockIO*属性可以通过systemd暴露，并且在支持操作系统中被用来控制磁盘的使用配额。 
　　7.二进制SUID/GUID 
　　
　　SUID和GUID二进制文件不稳定的时候容易受到攻击，而这个时候是很危险的，，导致任意代码执行（如缓冲区溢出），因为它们会进程的文件所有者或组的上下文中运行。如果可能的话，禁止SUID和SGID使用特定的命令行参数来降低容器的功能。 
　　docker run -it --rm --cap-drop SETUID --cap-drop SETGID ... 
　　另一选择，可以考虑运用通过安装有nosuid属性的文件系统来移除掉SUID能力。 
　　最后一个选择是从系统中彻底删除不需要的SUID和GUID二进制文件。这些类型的二进制文件可以在Linux系统中运行以下命令而找到： 
　　find / -perm -4000 -exec ls -l {} \; 2>/dev/null 
　　find / -perm -2000 -exec ls -l {} \; 2>/dev/null 
　　可以使用类似于下面的[11]命令将SUID和GUID文件权限删除然后： 
　　sudo chmod u-s filename sudo chmod -R g-s directory 
　　8.设备控制组(/dev/*) 
　　
　　如果需要，使用内置的设备选项（不使用-v与--privileged参数）。此功能在推出1.2版本[12]。 
　　例如（声卡使用）： 
　　docker run --device=/dev/snd:/dev/snd … 
　　9.服务和应用 
　　
　　如果一个Docker容器有可能被泄露，为了减少横向运动的潜力，考虑隔离极易受影响的服务（如在主机或虚拟机上运行SSH服务）。此外，不要运行容器内不受信任的特许操作的应用程序。 
　　10.安装项 
　　
　　当使用本机容器库时（即libcontainer）Docker就会自动处理这个。 
　　但是，使用LXC容器库时，敏感的安装点最好通过运用只读权限来手动安装，其中包括： 
　　/sys 
　　/proc/sys 
　　/proc/sysrq-trigger 
　　/proc/irq 
　　/proc/bus 
　　安装权限应在以后删除，以防止重新挂载。 
　　11.Linux内核 
　　
　　使用系统提供的更新工具来确保内核是实最新的（如apt-get，yum，等）。过时的内核可能更脆弱，并且被暴露一些漏洞。使用GRSEC或PAX来加强内核，即例如对内存破坏的漏洞来提供更高的安全性。 
　　12.用户命名空间 
　　
　　Docker不支持用户的命名空间，但是目前的一个开发[13]功能。UID映射由LXC程序驱动，但在本机libcontainer库中不被支持。该功能将允许Docker程序像一个没有特权的用户在主机上运行，但显示出来的是和在容器中运行的一样。 
　　13.libseccomp（和seccomp-bpf 扩展） 
　　
　　libseccomp库允许在基于一个白名单的方法上限制Linux内核的系统调用程序的使用。对于系统操作来说，不是很重要的系统调用程序，最好被禁用，以防止被破坏的容器被滥用或误用。 
　　此功能目前工作正在进行中（LXC驱动程序中已经有了，但是在libcontainer中海没有完成，虽然现在是默认值）。使用LXC驱动程序[14]来重启Docker程序： 
　　docker -d -e lxc 
　　如何生成seccomp配置的说明都在“的contrib”[15]文件夹中的Docker GitHub的资源库。以后可以用下面的命令来创建一个基于Docker容器的LXC： 
　　docker run --lxc-conf="lxc.seccomp=$file"
　　14.性能 
　　
　　只要可能，就将Linux性能降低到最小。Docker默认的功能包括：chown, dac_override, fowner, kill, setgid, setuid, setpcap, net_bind_service, net_raw, sys_chroot, mknod, setfcap, and audit_write. 
　　从控制行来启动容器时，可以通过下述来进行控制： 
　　--cap-add=[] 或者--cap-drop=[]. 
　　例如： 
　　docker run --cap-drop setuid --cap-drop setgid -ti/bin/sh 
　　15.多租环境 
　　
　　由于Docker容器内核的共享性质，责任分离在多租户环境中不能安全地实现。建议容器在那些没有其它的目的，也不用于敏感操作的主机上运行。可以考虑通过Docker控制来将所有服务移动到容器中。如果可能的话，通过使用--icc= false将跨容器通信降到最低，并必要时指定-link与Docker运行，或通过—export=port，不在主机上发布，而在容器上暴露一个端口。相互信任的容器的映像组来分离机器[17]。 
　　16.完全虚拟化 
　　
　　使用一个完整的虚拟化解决方案包含Docker,如KVM。这将阻止一个内核漏洞在Docker镜像中被利用导致容器扩为主系统。 
　　Docker镜像能够嵌套来提供该KVM虚拟层，参考Docker-in-Docker utility [18]中所示。 
　　17.安全审核 
　　
　　对你的主系统和容器定期进行安全审核以查明错误配置或漏洞，这些能使你的系统损坏。