Docker容器技术应用 课件 项目7 部署Docker安全.pptx

项目七部署Docker安全Docker容器技术应用

学习目标（1）了解Docker安全（2）了解Kubernetes的体系结构（3）理解Kubernetes的核心概念（4）掌握部署Kubernetes系统环境的方法（5）掌握搭建Kubernetes集群的方法

7.1.1Docker安全概述

Docker安全概述1.Docker容器与虚拟机的安全性比较Docker容器与宿主机共享操作系统，容器中的应用有可能导致虚拟机崩溃，而虚拟机崩溃一般不会影响宿主机的运行，如图7-1所示。DockerEngine引擎是运行和管理容器的核心软件，通常会简单地指Docker，用以创建和运行容器。Docker使用cgroups、namespaces和SELinux/AppArmor安全策略等多种技术来实现容器隔离，让应用能够在容器内运行而不影响宿主机和其他容器。Hypervisor处于硬件系统之上，它将CPU、内存、网卡等转换为虚拟资源按需分配给每个虚拟机，每个虚拟机都配置自己的操作系统，想通过虚拟机攻击宿主机或其他虚拟机，必须经过Hypervisor层，而这个难度是相当大的，所以与Docker容器相比，虚拟机的安全性是比较高的。

Docker安全概述2.影响Docker安全的因素以下是常见的导致Docker安全性问题的一些因素：（1）版本漏洞：虽然Docker版本在不断升级，但Docker引擎和相关组件仍然可能存在漏洞，攻击者可能利用这些漏洞对系统进行攻击。（2）未经授权的访问：未经授权的用户或者容器可能会访问其他容器或者宿主机上的敏感信息。（3）不安全的镜像：通过公开的镜像网站，使用未经验证或者来源不明的镜像，而其中可能包含恶意代码，攻击者会通过恶意镜像进行攻击。（4）网络通信：容器之间的网络通信可能不安全，攻击者会通过监听、拦截或者篡改网络流量进行攻击。（5）资源耗尽：攻击者控制的恶意容器可能会消耗过多的系统资源，导致拒绝服务或者其他系统性能问题。（6）缺乏监控和日志：如果缺乏对容器活动的监控和日志记录，可能导致无法追踪或安全分析事件。除此之外，还有不完善的配置、存储泄露、容器逃逸、不适当的权限管理等，也会导致Docker的安全性问题。

7.1.2Cgroup资源管理和限制机制

Cgroup资源管理和限制机制Cgroup（ControlGroups控制族群的简写）是Linux内核提供的一种资源管理和限制机制，它能提供统一的接口来管理CPU、内存、磁盘I/O、网络等资源，可以对进程进行分组并对分组内的进程进行资源限制、优先级调整等操作，从而更好地控制系统中各个进程的资源使用情况，实现资源隔离和共享，避免因某些进程占用资源过多而导致系统负载过高的问题。1.Cgroup相关概念任务（task）控制组（cgroup）层级树（hierarchy）子系统（subsystem）份额

Cgroup资源管理和限制机制2.Cgroup子系统在/sys/fs/cgroup/目录下，可以看到Cgroup子系统，如图所示。

Cgroup资源管理和限制机制Cgroup子系统是一组资源控制模块，它们的作用分别如下：blkio：为块设备设置I/O限制。cpu：使用调度程序设置进程的CPU占用时间。cpuacct：自动生成Cgroup中任务所使用CPU资源情况报告。cpuset：为Cgroup中的任务分配独立的CPU（多核系统）和内存节点。devices：开启或关闭Cgroup中任务对设备的访问。freezer：挂起或恢复Cgroup中的任务。hugetlb：限制使用的内存页数量。memory：设置Cgroup中任务对内存占用的限定。net_cls：使用等级识别符（classid）标记网络数据包，将Cgroup中进程产生的网络包分类，让Linux流量控制器tc可以根据分类区分数据包并做网络限制。net_prio：设置Cgroup中进程产生网络流量的优先级。perf_event：使用perf工具监控Cgroup。pids：限制任务数量。systemd：提供Cgroup使用和管理接口。

7.1.3Docker日志

Docker日志1.Docker日志的主要作用性能监控：?日志记录了容器运行时的CPU使用率、?内存占用、?网络流量等信息，?通过分析这些数据，?可以对容器的性能进行监控，?及时发现性能瓶颈，?优化应用性能。问题排查：?当应用出现问题时，?查看Docker容器的日志，分析日志中的错误信息，有助于快速定位问题的根源，?从而采取相应的解决措施。??安全审计：?日志?记录了容器的启动、?停止、?访问控制等信息，?据此可以检测应用的潜在安全风险，?防患于未然。?故障恢复：?当系统发生故障时，?通过查看和分析日志，可以了解故障发生前后的容器状态，?有助于