项目10 Docke安全运维管理.pptxVIP

《Docker容器技术与应用项目教程》;目;【学习目标】 ? 掌握Docker容器、镜像的安全。 ? 掌握Docker自身的漏洞与缺陷。 ? 掌握Docker安全机制。 ? 掌握Docker日志管理方法。;在大多数情况下，启动Docker容器时都以root用户权限运行。用户使用root权限可以进行的操作包括访问所有信息、修改任何内容、关闭机器、结束进程，以及安装各种软件等。容器安全性问题的根源在于容器和宿主机共享内核，如果容器中应用导致Linux内核崩溃，那么整个系统就可能会崩溃。这与虚拟机是不同的，虚拟机并没有与主机共享内核，虚拟机崩溃一般不会导致宿主机崩溃。Docker充分利用Linux内核固有的安全性，采用多种手段来降低容器的安全风险，可以说容器在默认情况下非常安全，尤其是在容器中通过 非特权用户运行进程时。除了Docker自身的安全性外，还可以使用通用的IT安全技术来加固Docker主机，为Docker增加额的安全层。;10.2.1 Docker存在的安全问题 Docker本身是有代码缺陷的，据官方记录，Docker历史版本共有超过20项漏洞，可参见Docker官方网络。黑客常用的攻击手段主有代码执行、权限提升、令牌泄露、权限绕过等。目前Docker版本的更迭非常快，用户最好升级为最新的版本。 ;1．Docker源代码问题;2．Docker容器与虚拟机的安全性问题;10.2.2 Docker架构的缺陷与安全机制 Docker本身的架构与机制可能产生安全问题。例如，这样一个攻击场景，黑客已经控制了宿主机上的一些容器，或者获得了通过在公有云上建立容器的方式对宿主机或其他容器发起攻击。 ;1．Docker架构的缺陷安全问题 ;2．Docker安全机制 ;10.2.3 Docker容器监控与日志管理 在生产环境中往往会有大量的业务软件在容器中运行，因此对容器的监控越来越重要。监制的指标主要是容器本身和容器所在主机的资源使用情况和性能，具体涉及CPU、内存、网络和磁盘。日志管理对保持系统持续稳定地运行以及排查问题至关重要。容器具有数量多、变化快的特性，生命周期往往短暂且不固定，因此记录日志就显得非常必要，尤其是在生产环境中，日志是不可或缺的组成部分。;1．Docker监控工具 ;2．容器日志工具docker logs ;3．第三方日志工具 ;4．容器日志驱动 ;5．使用docker logs命令查看容器日志 ;6．查看Docker服务器端的各种事件信息 ;10.3.1 容器监控及其配置 10.3.2 配置和管理Docker守护进程 ;本项目包含五个任务。 任务10.1 Docker存在的安全问题，主要讲解了Docker源代码问题、Docker容器与虚拟机的安全性问题。 任务10.2 Docker架构的缺陷与安全机制，主要讲解了Docker架构的缺陷安全问题、Docker安全机制。 任务10.3 Docker容器监控与日志管理，主要讲解了Docker监控工具、容器日志工具docker logs、第三方日志工具、容器日志驱动、使用docker logs命令查看容器日志、查看Docker服务器端的各种事件信息。 任务10.4容器监控及其配置，主要讲解了查看当前容器列表信息、查看容器中运行的进程的信息、查看容器的资源使用情况、查看容器相关信息、查看容器日志、将容器的日志重定向到Linux日志系统。 任务10.5 Docker守护进程配置与管理，主要讲解了格式化命令和日志的输出、从Docker守护进程获取实时事件、查看Docker守护进程日志。