11、docker安全

proc未被隔離，所以在容器內(nèi)和宿主機上看到的東西是一樣的

容器資源控制

cpu資源限制

top命令，查看cpu使用率

ctrl+pq防止退出回收，容器會直接調(diào)用cgroup，自動創(chuàng)建容器id的目錄

cpu優(yōu)先級設(shè)定

測試時只保留一個cpu核心可用，只有在爭搶cpu資源時優(yōu)先級才會生效

激活cpu

內(nèi)存資源限制

將進程和x1控制器相關(guān)聯(lián)

由于只給了300M內(nèi)存，多出的100M會寫入到交換分區(qū)（swap）中，在刪掉后空間將會釋放

控制用戶內(nèi)存

磁盤io控制

12、docker安全加固

lxcfs隔離工具

默認容器內(nèi)的用戶是受限的

開啟容器特權(quán)

設(shè)置容器白名單（僅控制網(wǎng)絡(luò)）

其他安全加固的思路

最后，還是從容器的鏡像、倉庫、網(wǎng)絡(luò)、數(shù)據(jù)卷和安全五個方面簡單的對docker做一個描述性總結(jié)：

首先，鏡像就像是你想玩一個游戲，需要先下載一個安裝包。Docker鏡像就是一個游戲的安裝包，可以幫助你快速構(gòu)建出一個運行游戲的運行環(huán)境。而且它還能實現(xiàn)多進程并發(fā)運行，不同的游戲進程可以在同一臺機器上同時運行。

接下來是Docker倉庫，它就像是一個存放游戲安裝包的地方。你可以把鏡像上傳到倉庫中保存起來，這樣別人就可以直接從倉庫中下載使用你的鏡像，而不需要從頭開始構(gòu)建。

再來說說Docker網(wǎng)絡(luò)，這個比較復(fù)雜。你可以把它理解成一條高速公路，不同的容器可以在這條公路上快速通信。這樣你就可以構(gòu)建出復(fù)雜的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，實現(xiàn)負載均衡、高可用性等高級功能。

接著是Docker數(shù)據(jù)卷，這個就像是一個硬盤分區(qū)，可以把數(shù)據(jù)存儲在這里。你可以把數(shù)據(jù)卷映射到本地文件系統(tǒng)上，這樣就可以很方便地備份、遷移數(shù)據(jù)了。而且不同的容器可以共享同一個數(shù)據(jù)卷，實現(xiàn)數(shù)據(jù)共享。

最后是Docker安全，這個就比較簡單了。它提供了一些安全機制，比如用戶權(quán)限控制、加密通信等。這樣就可以保護你的容器免受攻擊和數(shù)據(jù)泄露等風險了。

總的來說，Docker是一個非常強大的工具，可以幫助你快速構(gòu)建、部署和運行應(yīng)用程序。