Docker 容器镜像构建与管理全解析
1. Docker 隔离特性与安全实践
在使用 Docker 时,我们可以像推送软件一样推送网络栈的更改。例如,将带有配置的镜像推送到主机,并使用特权容器进行更改。由于我们是所推送配置的作者,且容器不是长期运行的,这类更改也易于审计,所以风险相对较低。
Docker 利用了 Linux 的隔离特性来构建可配置的容器,以下是一些关键特性和安全实践:
-cgroups 资源限制:Docker 使用 cgroups 让用户设置内存限制、CPU 权重、限制和核心限制,还能限制对特定设备的访问。
-IPC 命名空间:每个 Docker 容器都有自己的 IPC 命名空间,可与其他容器或主机共享,以促进通过共享内存进行通信。
-USR 命名空间隔离:Docker 支持隔离 USR 命名空间。默认情况下,容器内的用户和组 ID 与主机上的相同。启用用户命名空间后,容器内的用户和组 ID 会重新映射为在主机上不存在的 ID。
-非 root 用户运行容器:使用docker container run和docker container create时,应使用-u选项以非 root 用户身份运行容器。
-避免特权模式:尽可能避免以特权模式运行容器。
-Linux 能力管理:L
