docker学习(四)

评估Docker的安全性时,主要考虑三个方面:

1、由内核的命名空间和控制机组提供的容器内在安全;

2、Docker程序(特别是服务端)本身的抗攻击性

3、内核安全性的加强机制对容器安全性的影响。可以提供细粒度的权限访问控制。既可以作用在进程上,也可以作用在文件上。

每个容器都有自己的网络栈,意味着它们不能访问其他容器的Sockets或者接口。不过,主机上进行了相应的设置,容器可以像跟主机交互一样的和其他容器交互。当指定公共端口或者使用--links来连接2个容器时,容器就可相互通信了。

控制组是Linux容器机制的另外一个关键组件,负责实现资源的审计和限制。他提供了很多有用的特性。以及确保各个容器可以公平的分享主机的内存、CPU、磁盘IO等资源,当然,更重要的是,控制组确保了当容器内的资源使用产生压力时不会连累主机系统。尽管控制组不负责隔离容器之间相互访问、处理数据和进程,他在防止DDOS攻击方面是必不可少的。

 

Docker底层实现

 

Docker底层的核心技术包括Linux上的命名空间,控制组,Unions文件系统,容器格式。

posted @ 2019-11-11 15:24  马云12314  阅读(117)  评论(0编辑  收藏  举报