Docker（十）：Docker安全

1、Docker安全主要体现在如下方面

　　a）Docker容器的安全性

　　b）镜像安全性

　　c）Docker daemon安全性

2、安装策略

　　2.1 Cgroup

　　　　Cgroup用于限制容器对CPU、内存的使用。

　　　　设置容器CPU权重为100,默认为1024

　　　　　　docker run --rm -ti -c 100 ubuntu bash

　　　　限制容器对CPU资源的使用上限

　　　　　　docker run --rm -ti --cpu-period=500000 --cpu-quota=250000 ubuntu /bin/bash

　　　　　　表示这个容器每0.5秒最多运行0.25秒

　　　　绑定CPU运行

　　　　　　docker run --rm -ti --cpuset-cpus=0,1 ubuntu bash

　　2.2 限制内存

　　　　docker run --rm -ti -m 200M ubuntu bash

　　　　限制容器内存为200M

　　　　注意：当内存达到峰值时会使用swap分区，可通过--memory-swap限制swap分区的使用量

　　2.3 限制块设备I/O

　　　　测试当前写入速率

　　　　　　root@e977b6cb88d7:/# dd if=/dev/zero of=testfile0 bs=8k count=5000 oflag=direct
　　　　　　5000+0 records in
　　　　　　5000+0 records out
　　　　　　40960000 bytes (41 MB, 39 MiB) copied, 0.313395 s, 131 MB/s

　　　　在容器上查看挂载详情

　　　　　　root@e977b6cb88d7:/# mount | grep e977b6cb88d7
　　　　　　/dev/mapper/docker-253:0-2394716-e977b6cb88d7ea106beb80851728a05e26b3458cb2b05514f20d870892989171 on / type ext4 　　　　　　(rw,relatime,barrier=1,stripe=16,data=ordered)

　　　　在宿主机查看设备号

　　　　　　[root@MediaServer ~]# mount | grep e977b6cb88d7
　　　　　　[root@MediaServer ~]# ll /dev/mapper/docker-253\:0-2394716-e977b6cb88d7ea106beb80851728a05e26b3458cb2b05514f20d870892989171
　　　　　　lrwxrwxrwx 1 root root 7 10月 12 21:07 /dev/mapper/docker-253:0-2394716-e977b6cb88d7ea106beb80851728a05e26b3458cb2b05514f20d870892989171 -> ../dm-4
　　　　　　[root@MediaServer ~]# ll /dev/dm-4
　　　　　　brw-rw---- 1 root disk 253, 4 10月 12 21:07 /dev/dm-4    #253,4为设备号

　　　　限制写入速度为每秒5120000字节

　　　　　　echo "253:4 5120000" > /cgroup/blkio/docker/e977b6cb88d7ea106beb80851728a05e26b3458cb2b05514f20d870892989171/blkio.throttle.write_bps_device

　　　　再次测试容器写入速率

　　　　　　root@e977b6cb88d7:/# dd if=/dev/zero of=testfile0 bs=8k count=5000 oflag=direct
　　　　　　5000+0 records in
　　　　　　5000+0 records out
　　　　　　40960000 bytes (41 MB, 39 MiB) copied, 9.37702 s, 4.4 MB/s

　　2.4 ulimit限制

　　　　全局默认设置：

　　　　　　docker daemon --default-ulimit cpu=1200

　　　　单独设置：

　　　　　　docker run --rm -ti --ulimit cpu=1200 ubuntu bash

　　　　　　root@6667c7f607f8:/# ulimit -t
　　　　　　1200

　　2.6 容器＋虚拟化

　　　　将容器部署在虚拟机中

　　2.7 日志审计

　　　　Docker daemon支持log-driver参数，目前支持的类型有：none、json-file、syslog、gelf、fluentd，默认的驱动是json-file。

　　　　除了Docker daemon指定日志驱动外，还可以对单个容器指定驱动，

　　　　#docker run --rm -ti --log-driver="syslog" ubuntu bash

　　　　然后通过docker inspect可以查看容器使用的日志驱动

　　　　#docker inspect 容器ID | grep Type

　　　　　　"Type": "syslog",

　　　　注意：只有json-file日志驱动才支持docker logs

　　2.8 监控　　

　　　　root@HX-StrMedia:~# docker stats container1

　　　　CONTAINER CPU % MEM USAGE / LIMIT MEM % NET I/O BLOCK I/O
　　　　container1 0.00% 5.005 MB / 33.73 GB 0.01% 1.296 kB / 648 B 7.766 MB / 0 B

　　　　CONTAINER CPU % MEM USAGE / LIMIT MEM % NET I/O BLOCK I/O
　　　　container1 0.00% 5.005 MB / 33.73 GB 0.01% 1.296 kB / 648 B 7.766 MB / 0 B

　　　　CONTAINER CPU % MEM USAGE / LIMIT MEM % NET I/O BLOCK I/O
　　　　container1 0.00% 5.005 MB / 33.73 GB 0.01% 1.296 kB / 648 B 7.766 MB / 0 B

　　2.9 文件系统级别防护

　　　　docker run --rm -ti --read-only --name=container1 centos bash

　　　　[root@fd582b88f6fb /]# echo "Test" > Test
　　　　bash: Test: Read-only file system

　　2.10 Capability

　　　　root@HX-StrMedia:~# docker run --rm -ti --cap-drop=chown centos bash
　　　　[root@6a6dc05cbced /]# chmod 777 /etc/hosts
　　　　[root@6a6dc05cbced /]# chown 2:2 /etc/hosts
　　　　chown: changing ownership of '/etc/hosts': Operation not permitted

　　　　root@HX-StrMedia:~# docker run --rm -ti --cap-drop=all centos bash