久久综合视频网,熟妇人妻无码xxx视频,一区二区三区在线免费观看

Docker安全嗎？隨著越來越多的組織將生產(chǎn)工作負載遷移到容器，這就是價值數(shù)百萬美元的問題。但也是一個簡單的問題，并沒有肯定或否定的答案，而不是用二進制術(shù)語來思考Docker安全性（也就是說，試圖確定它是否安全），最好深入研究Docker如何工作的細節(jié)，以便了解Docker安全范例如何發(fā)揮作用。那么，讓我們來看看Docker如何工作以及這對容器安全性意味著什么。要回答Docker是否安全的問題，我們首先來看看Docker堆棧的關(guān)鍵部分：

Docker有兩個關(guān)鍵部分：Docker Engine，即運行時；Docker Hub，是Docker容器的官方注冊表。保護系統(tǒng)的兩個部分同樣重要。要做到這一點，需要了解它們各自包含哪些內(nèi)容，哪些組件需要保護，以及如何保護。讓我們從Docker Engine開始吧。

Docker Engine

Docker Engine從容器映像文件托管和運行容器。它還管理網(wǎng)絡(luò)和存儲卷。保護Docker Engine有兩個關(guān)鍵方面：命名空間和控制組。命名空間是Docker從Linux內(nèi)核繼承的功能。命名空間將容器彼此隔離，以便容器中的每個進程都無法查看在相鄰容器中運行的進程。最初，Docker容器默認以root用戶身份運行，這引起了很多關(guān)注。但是，從v1.10開始，Docker支持名稱空間，允許您以非root用戶身份運行容器。默認情況下，在Docker中關(guān)閉命名空間，因此需要先激活它們才能使用它們。Docker中對控制組或cgroup的支持允許您設(shè)置CPU，內(nèi)存，網(wǎng)絡(luò)和塊IO的限制。默認情況下，容器可以使用無限量的系統(tǒng)資源，因此設(shè)置限制很重要。否則整個系統(tǒng)可能會受到一個饑餓容器的影響。除了命名空間和控制組之外，還可以通過使用SELinux和AppArmor等其他工具進一步加強Docker Engine。SELinux為內(nèi)核提供訪問控制。它可以根據(jù)您為主機設(shè)置的策略，根據(jù)容器中運行的進程類型或進程級別來管理訪問。根據(jù)此策略，它可以啟用或限制對主機的訪問。AppArmor會將安全配置文件附加到主機上運行的每個進程。該配置文件定義了進程可以使用的資源。 Docker將默認配置文件應(yīng)用于進程，但您也可以應(yīng)用自定義配置文件。與AppArmor類似，Seccomp使用安全配置文件來限制進程可以進行的調(diào)用次數(shù)。這完善了DockerEngine中可用的基于Linux的內(nèi)核安全功能列表。

Docker Hub

當Docker Engine管理容器時，它需要Docker堆棧的另一半來從中提取容器映像。那部分是Docker Hub——容器圖像存儲和共享的容器注冊表。容器圖像可以由任何人創(chuàng)建，并公開供任何人下載。這既是好事，也是壞事。這很好，因為它可以實現(xiàn)開發(fā)人員之間的協(xié)作，并且只需點擊幾下就可以非常輕松地啟動操作系統(tǒng)或應(yīng)用程序的實例。但是如果下載具有漏洞的公共容器映像，則會出現(xiàn)安全性問題。經(jīng)驗法則是始終下載官方存儲庫，這些存儲庫可用于大多數(shù)常用工具，并且永遠不會從未知作者下載存儲庫。除此之外，應(yīng)掃描每個下載的容器映像是否存在漏洞。對于私有存儲庫的用戶，Docker Hub將掃描下載的容器映像。它會免費掃描一些存儲庫，之后您需要支付掃描作為附件。Docker Hub不是Docker容器的唯一注冊表服務(wù)。其他流行的注冊表包括Quay，AWS ECR和GitLab Container Registry。這些工具還具有自己的掃描功能。此外，Docker Trusted Registry（DTR）可以安裝在防火墻后面，但需要付費。第三方安全工具雖然上述安全功能為Docker Engine和Docker Hub提供了基本保護，但它們?nèi)狈Ｓ萌萜靼踩ぞ叩墓δ芎头秶?像Twistlock這樣的工具可以完全保護您的Docker堆棧。它超越了任何一個部分，并為您提供整個系統(tǒng)的整體視圖。Docker是各種移動和靜態(tài)部件的復(fù)雜網(wǎng)格。顯然，插入這些安全工具中的任何一個都不會立即使整個堆棧安全。它將采用這些方法的組合來保護所有級別的Docker。所以，下次有人問你Docker是否安全時，你應(yīng)該問他們他們指的是Docker的哪一部分。然后，您可以解釋影響該層的各種安全注意事項。

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴

堆棧

堆棧

+關(guān)注

關(guān)注
0

文章
182

瀏覽量
19781
Docker

Docker

+關(guān)注

關(guān)注
0

文章
472

瀏覽量
11865

docker和k8s部署在云平臺性能要求盤點

Docker和Kubernetes在云平臺部署時有各自的性能要求。Docker需要足夠的CPU、內(nèi)存和存儲資源，以及快速的網(wǎng)絡(luò)帶寬和優(yōu)化的鏡像大小。而Kubernetes則強調(diào)集群管理的效率、自動擴展能力、服務(wù)發(fā)現(xiàn)、持久化存儲和安全

發(fā)表于 11-05 10:47 ?203次閱讀

Docker運行環(huán)境安裝

作者：京東科技林中 Docker是一個開放的平臺，用于開發(fā)、發(fā)布和運行應(yīng)用程序。Docker分離了應(yīng)用程序和運行應(yīng)用的基礎(chǔ)設(shè)施，從而實現(xiàn)了軟件的快速交付。利用docker提供的一系列功能，包括構(gòu)建

發(fā)表于 10-29 11:28 ?228次閱讀

工控一體機如何在車間發(fā)揮作用

工控一體機在車間中發(fā)揮著重要作用，具體表現(xiàn)在以下幾個方面：

發(fā)表于 09-10 09:35 ?254次閱讀

手動構(gòu)建Docker鏡像的方法

不推薦使用docker commit命令，而應(yīng)該使用更靈活、更強大的dockerfile來構(gòu)建docker鏡像。

發(fā)表于 08-05 15:30 ?537次閱讀

TS RadiMation測試軟件如何在脈沖抗擾度測試中發(fā)揮作用？

放電 (ESD) 測試 ● 電快速瞬變 (EFT) /脈沖群抗擾度（Burst）測試 ● 浪涌抗擾度測試今天為您介紹，TS RadiMation測試軟件如何在脈沖抗擾度測試中發(fā)揮作用，實現(xiàn)測試自動化！一、靜電放電測試下圖為ESD配置屏幕。工程師必須選擇測試級別和脈沖極性。此外

發(fā)表于 07-26 10:47 ?316次閱讀

ARM平臺實現(xiàn)Docker容器技術(shù)

或網(wǎng)絡(luò)接口進行通信。圖1（2）Docker的作用更高效的利用系統(tǒng)資源：Docker對系統(tǒng)資源的利用率更高，無論是應(yīng)用執(zhí)行速度，內(nèi)存損耗或者文件存儲速度，都要比傳統(tǒng)虛擬機技術(shù)更高效。因此，相比虛擬機

發(fā)表于 07-25 14:36

AI 時代，滾珠花鍵能在哪些領(lǐng)域發(fā)揮作用呢？

在人工智能技術(shù)高速發(fā)展的大環(huán)境下，滾珠花鍵被賦予了新的應(yīng)用領(lǐng)域和可能性。其在工業(yè)機器人、醫(yī)療器械、航空航天技術(shù)等領(lǐng)域都發(fā)揮著重要作用。

發(fā)表于 07-22 15:03 ?417次閱讀

ARM平臺實現(xiàn)Docker容器技術(shù)

或網(wǎng)絡(luò)接口進行通信。圖1（2）Docker的作用更高效的利用系統(tǒng)資源：Docker對系統(tǒng)資源的利用率更高，無論是應(yīng)用執(zhí)行速度，內(nèi)存損耗或者文件存儲速度，都要比傳統(tǒng)虛擬機技術(shù)更高效。因此，相比虛擬機技術(shù)

發(fā)表于 07-17 11:05

Jtti:Docker會替代調(diào)虛機嗎

Docker是計算虛擬化的一種方式，和使用虛擬機進行虛擬化是類似的。由于近幾年Docker技術(shù)的流行和發(fā)展。所以單獨介紹一下Docker。首先先回答下面一個問題。 1.Docker會替

發(fā)表于 07-12 14:38 ?334次閱讀

關(guān)于Docker 的清理命令集錦

這篇文章主要介紹了Docker 清理命令集錦,需要的朋友可以參考下復(fù)制代碼代碼如下: docker kill $(docker ps -a -q) ?刪除所有已經(jīng)停止的容器復(fù)制代碼代碼如下

發(fā)表于 06-13 15:56 ?392次閱讀

JFrog安全研究表明：Docker Hub遭受協(xié)同攻擊，植入數(shù)百萬惡意存儲庫

JFrog?和?Docker?在近期發(fā)現(xiàn)Docker Hub?存儲庫被用于傳播惡意軟件和網(wǎng)絡(luò)釣魚詐騙后，聯(lián)手采取緩解和清理措施。作者：安全研究員AndreyPolkovnichenko?|?惡意

發(fā)表于 05-14 16:13 ?1052次閱讀

精通Docker網(wǎng)絡(luò)：Bridge驅(qū)動深度解析

除了使用 docker0 網(wǎng)橋外，用戶還可以使用自定義的網(wǎng)橋，然后通過 --bridge=BRIDGE 參數(shù)傳遞給 docker daemon。

發(fā)表于 03-31 15:58 ?1464次閱讀

ARM平臺實現(xiàn)Docker容器技術(shù)

什么是Docker？（1）Docker的架構(gòu) Docker是一個開源的應(yīng)用容器引擎，讓開發(fā)者可打包他們的應(yīng)用以及依賴包到一個可移植的鏡像中，然后發(fā)布到任何流行的Linux或Windows機器上

發(fā)表于 03-07 13:48 ?818次閱讀

智能邊緣計算網(wǎng)關(guān)如何在實際生產(chǎn)環(huán)境中發(fā)揮作用

環(huán)境中發(fā)揮作用。案例背景：某大型制造企業(yè)擁有一條高度自動化的生產(chǎn)線，用于生產(chǎn)精密機械零件。這條生產(chǎn)線配備了大量的傳感器和執(zhí)行器，用于監(jiān)控設(shè)備的運行狀態(tài)、生產(chǎn)數(shù)據(jù)等。為了確保生產(chǎn)線的穩(wěn)定運行和提高生產(chǎn)效率

發(fā)表于 02-21 14:54 ?331次閱讀

自動化生產(chǎn)線，工業(yè)機器人發(fā)揮重要的價值作用

自動化生產(chǎn)線，工業(yè)機器人發(fā)揮重要的價值作用

發(fā)表于 01-09 13:55 ?1666次閱讀