內(nèi)核安全

內(nèi)核為容器提供兩種技術(shù) cgorups和namespaces，分別對(duì)容器進(jìn)行資源限制和資源隔離，使容器感覺像是在用一臺(tái)獨(dú)立主機(jī)環(huán)境。

·cgroups資源限制

容器本質(zhì)上是進(jìn)程，cgroups的存在就是為了限制宿主機(jī)上不同容器的資源的使用量，避免單個(gè)容器耗盡宿主機(jī)資源而導(dǎo)致其他容器異常。

·namespaces資源隔離

為了使容器處在獨(dú)立的環(huán)境中，docker使用namespaces技術(shù)來隔離容器，使容器與容器之間，容器與宿主機(jī)之間相互隔離。

docker目前僅對(duì)uts、IPC、pid、network、mount這5種namespace有完整的支持，user namespace尚未全部支持。除了上述資源外，還有許多系統(tǒng)資源未進(jìn)行隔離，如/proc和/sys信息未完成隔離，SELinux、time、syslog和/dev等設(shè)備信息均未隔離。可見在內(nèi)核安全方面，雖然已經(jīng)達(dá)到了基本可用的程度，但是距離真正的安全還有一定的距離。

容器之間的網(wǎng)絡(luò)安全

Docker daemon指定--icc標(biāo)志的時(shí)候，可以禁止容器與容器之間通信，主要通過設(shè)定iptables規(guī)則來實(shí)現(xiàn)。有關(guān)iptables的內(nèi)容歡迎大家參閱：詳解Docker使用Linux iptables 和 Interfaces管理容器網(wǎng)絡(luò)以及本站其他相關(guān)內(nèi)容。

以上就是本文關(guān)于Docker安全機(jī)制內(nèi)核安全與容器之間的網(wǎng)絡(luò)安全的全部內(nèi)容，希望對(duì)大家有所幫助。