Docker 进阶 第4页

管理员评论(0)赞(0)

名字空间是 Linux 内核一个强大的特性。每个容器都有自己单独的名字空间，运行在其中的应用都像是在独立的操作系统中运行一样。名字空间保证了容器之间彼此互不影响。 pid 名字空间 不同用户的进程就是通过 pid 名字空间隔离开的，且不同名...

管理员评论(0)赞(0)

Docker 采用了 C/S架构，包括客户端和服务端。 Docker daemon 作为服务端接受来自客户的请求，并处理这些请求（创建、运行、分发容器）。 客户端和服务端既可以运行在一个机器上，也可通过 socket 或者 RESTful ...

管理员评论(0)赞(0)

编写完成 Dockerfile 之后，可以通过 docker build 命令来创建镜像。 基本的格式为 docker build [选项] 路径，该命令将读取指定路径下（包括子目录）的 Dockerfile，并将该路径下所有内容发送给 D...

管理员评论(0)赞(0)

指令的一般格式为 INSTRUCTION arguments，指令包括 FROM、MAINTAINER、RUN 等。 FROM 格式为 FROM <image>或FROM <image>:<tag>。 第...

管理员评论(0)赞(0)

Dockerfile 由一行行命令语句组成，并且支持以 # 开头的注释行。 一般的，Dockerfile 分为四部分：基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。 例如 # This dockerfile uses the ...

管理员评论(0)赞(0)

总体来看，Docker 容器还是十分安全的，特别是在容器内不使用 root 权限来运行进程的话。 另外，用户可以使用现有工具，比如 Apparmor, SELinux, GRSEC 来增强安全性；甚至自己在内核中实现更复杂的安全机制。

管理员评论(0)赞(0)

除了能力机制之外，还可以利用一些现有的安全机制来增强使用 Docker 的安全性，例如 TOMOYO, AppArmor, SELinux, GRSEC 等。 Docker 当前默认只启用了能力机制。用户可以采用多种方案来加强 Docker...

管理员评论(0)赞(0)

能力机制（Capability）是 Linux 内核一个强大的特性，可以提供细粒度的权限访问控制。 Linux 内核自 2.2 版本起就支持能力机制，它将权限划分为更加细粒度的操作能力，既可以作用在进程上，也可以作用在文件上。 例如，一个 ...

管理员评论(0)赞(0)

运行一个容器或应用程序的核心是通过 Docker 服务端。Docker 服务的运行目前需要 root 权限，因此其安全性十分关键。 首先，确保只有可信的用户才可以访问 Docker 服务。Docker 允许用户在主机和容器间共享文件夹，同时...

管理员评论(0)赞(0)

控制组是 Linux 容器机制的另外一个关键组件，负责实现资源的审计和限制。 它提供了很多有用的特性；以及确保各个容器可以公平地分享主机的内存、CPU、磁盘 IO 等资源；当然，更重要的是，控制组确保了当容器内的资源使用产生压力时不会连累主...