理解docker安全
尽量安全隔离
仅能控制上限
容器资源控制
系统层面与docker命令的双层理解
cpu限制
cat cpu.cfs_period_us 时间段
cat cpu.cfs_quota_us 百分比 -1没有限制
如果创建一个容器,在cd /sys/fs/cgroup/cpu/docker/这个目录下就会生成一个对应的复刻版的一系列文件,如果对这个目录下的文件加以限制,那么创建的新容器也会产生相应的影响
当创建容器对cpu加以限制的时,相应的此目录下容器的文件复刻也会对应发生变化
让只有一个cpu在跑
再创建一个容器
安装一个系统工具
做一个cpu的争抢
cat cpu.shares cpu优先级
在系统层面:连跑两个进程,只有一个cpu就会产生争抢
dd if=/dev/zero of=/dev/null &
dd if=/dev/zero of=/dev/null &
用x1 cpu来控制新的进程
此时,进程在设定的优先级下运行
改变优先级,资源抢占继续发生变化
对百分比加以限制
memory内存限制
在/dev/shm里面写入就是对物理内存的占用
在200M的限制下对交换分区进行占用,内存只允许用200M
给swap空间加以限制,内存+swap=200M,大于200M的进程直接被杀死
虽然在容器内部会同步宿主机的proc内容,但是设置已经生效了
blkio IO限制
必须是直连io才会生效
server1打包ubuntu发送到sevrer2
docker安全加固
做一个彻底的隔离
yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
lxcfs /var/lib/lxcfs &
mount在这个目录下
docker run -it -m 256m \
-v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
-v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
-v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
-v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
-v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
-v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
ubuntu
开启权限
在容器内,不是真正的超户
开启全部权限
