prince的文章

除了能力机制之外，还可以利用一些现有的安全机制来增强使用 Docker 的安全性，例如 TOMOYO, AppArmor, SELinux, GRSEC 等。 Docker 当前默认只启用了能力机制。用户可以采用多种方案来加强 Docker...

赞(0)princeDocker实战（二） 阅读(405)

能力机制（Capability）是 Linux 内核一个强大的特性，可以提供细粒度的权限访问控制。 Linux 内核自 2.2 版本起就支持能力机制，它将权限划分为更加细粒度的操作能力，既可以作用在进程上，也可以作用在文件上。 例如，一个 ...

赞(0)princeDocker实战（二） 阅读(400)

运行一个容器或应用程序的核心是通过 Docker 服务端。Docker 服务的运行目前需要 root 权限，因此其安全性十分关键。 首先，确保只有可信的用户才可以访问 Docker 服务。Docker 允许用户在主机和容器间共享文件夹，同时...

赞(0)princeDocker实战（二） 阅读(390)

控制组是 Linux 容器机制的另外一个关键组件，负责实现资源的审计和限制。 它提供了很多有用的特性；以及确保各个容器可以公平地分享主机的内存、CPU、磁盘 IO 等资源；当然，更重要的是，控制组确保了当容器内的资源使用产生压力时不会连累主...

赞(0)princeDocker实战（二） 阅读(374)

Docker 容器和 LXC 容器很相似，所提供的安全特性也差不多。当用 docker run 启动一个容器时，在后台 Docker 为容器创建了一个独立的名字空间和控制组集合。 名字空间提供了最基础也是最直接的隔离，在容器中运行的进程不会...

赞(0)princeDocker实战（二） 阅读(400)

对于大部分企业来说，搭建 PaaS 既没有那个精力，也没那个必要，用 Docker 做个人的 sandbox 用处又小了点。 可以用Docker 来标准化开发、测试、生产环境。 Docker 占用资源小，在一台 E5 128 G 内存的服务...

赞(0)princeDocker实战（二） 阅读(393)

Docker 默认的桥接网卡是 docker0。它只会在本机桥接所有的容器网卡，举例来说容器的虚拟网卡在主机上看一般叫做 veth*** 而 Docker 只是把所有这些网卡桥接在一起，如下： [root@opnvz ~]# brctl s...

赞(0)princeDocker实战（二） 阅读(402)

安装 tomcat 镜像 准备好需要的 jdk、tomcat 等软件放到 home 目录下面，启动一个容器 docker run -t -i -v /home:/opt/data --name mk_tomcat ubuntu /bin/b...

赞(0)princeDocker实战（二） 阅读(399)

Docker 容器在启动的时候开启单个进程，比如，一个 ssh 或者 apache 的 daemon 服务。但我们经常需要在一个机器上开启多个服务，这可以有很多方法，最简单的就是把多个启动命令放到一个启动脚本里面，启动的时候直接启动这个脚本...

赞(0)princeDocker实战（二） 阅读(403)

默认情况下，Docker 会将所有容器连接到由 docker0 提供的虚拟子网中。 用户有时候需要两个容器之间可以直连通信，而不用通过主机网桥进行桥接。 解决办法很简单：创建一对 peer 接口，分别放到两个容器中，配置成点到点链路类型即可...

赞(0)princeDocker实战（二） 阅读(383)