• Docker Linux安全技术简介

    每个优秀的容器平台都应该使用命名空间和控制组技术来构建容器。最佳的容器平台还会集成其他容器安全技术,例如系统权限、强制访问控制系统(如 SELinux 和 AppArmor)以及安全计算。正如用户所期望的,Docker 中集成了上述全部安全技术!

    下面主要对 Docker 中用到的主要 Linux 技术进行简要介绍。

    Namespace

    内核命名空间属于容器中非常核心的一部分! 该技术能够将操作系统(OS)进行拆分,使一个操作系统看起来像多个互相独立的操作系统一样。

    这种技术可以用来做一些非常酷的事情,比如在相同的 OS 上运行多个 Web 服务,同时还不存在端口冲突的问题。该技术还允许多个应用运行在相同 OS 上并且不存在竞争,同时还能共享配置文件以及类库。

    举两个简单的例子。

    用户可以在相同的 OS 上运行多个 Web 服务,每个端口都是 443。为了实现该目的,可以将两个 Web 服务应用分别运行在自己的网络命名空间中。这样可以生效的原因是每个网络命名空间都拥有自己的 IP 地址以及对应的全部端口。

    也可能需要将每个 IP 映射到 Docker 主机的不同端口之上,但是使用 IP 上的哪个端口则无须其他额外配置。

    用户还可以运行多个应用,应用间共享类库和配置文件,但是版本可能不同。为了实现该目标,需要在自己的挂载命名空间中运用每个应用程序。这样做能生效的原因,是每个挂载命名空间内都有系统上任意目录的独立副本。

    下图展示了一个抽象的例子,两个应用运行在相同的主机上,并且同时使用 443 端口。每个 Web 服务应用都运行在自己的网络命名空间之内。

    两个应用运行在相同主机并同时使用443端口

更多...

加载中...