Docker容器技术与应用项目教程 配套课件.pptVIP

* * * * * * * * * * * 1．Docker源代码问题 Docker提供了Docker Hub，允许用户上传创建镜像，以便其他用户下载后快速搭建环境，但同时也带来了一些新的安全问题。 （1）黑客上传恶意镜像。 如果黑客在制作的镜像中植入木马、后门等恶意软件，那么环境从一开始就已经不安全了，后续更没有什么安全性可言。 （2）镜像使用有漏洞的软件。 Docker Hub上能下载的镜像中，75%的镜像都安装了有漏洞的软件。所以下载镜像后，需要检查软件的版本信息，看看对应的版本是否存在漏洞，并及时更新打上补丁。 （3）中间人攻击篡改镜像。 镜像在传输过程中可能被篡改，目前新版本的Docker已经提供了相应的校验机制来预防这个问题了。 2．Docker容器与虚拟机的安全性问题 Docker容器与虚拟机的安全性主要从隔离与共享、性能与损耗分别进行介绍。 （1）隔离与共享。 虚拟机通过添加Hypervisor层，虚拟出网卡、内存、CPU等虚拟硬件，再在其上面建立虚拟机，每个虚拟机都有自己的系统内核，安全性相对较高。而Docker容器则是通过隔离的方式，将文件系统、进程、设备、网络等资源进行隔离，再对权限、CUP资源等进行控制，最终让容器之间互不影响，容器也无法影响宿主机，容器与宿主机共享内核、文件系统、硬件等资源。 （2）性能与损耗。 与虚拟机相比，容器的资源损耗要少。同样的宿主机下，能够建立容器的数量也是比虚拟机多，但是，虚拟机的安全性比容器稍好，想从虚拟机攻破到宿主机或其他虚拟机，需要先攻破Hypervisor层，这将是极其困难的。而Docker容器与宿主机共享内核，文件系统等资源，更有可能对其他容器、宿主机产生影响。 10.2.2 Docker架构的缺陷与安全机制 Docker本身的架构与机制可能产生安全问题。例如，这样一个攻击场景，黑客已经控制了宿主机上的一些容器，或者获得了通过在公有云上建立容器的方式对宿主机或其他容器发起攻击。 10.2 必备知识 1．Docker架构的缺陷安全问题 （1）容器之间的局域网络攻击 主机上的容器之间可以构成局域网，因此针对局域网的ARP欺骗、嗅探、广播风暴等攻击方式都有可能遇到。所以在一个主机上部署多个容器需要合理地配置网络，设置iptable规。 （2）DDos攻击耗尽资源 Cgroups安全机制就是用来防止分布式拒绝服务(Distributed Denial of Service，DDos)攻击的，不要为单一的容器分配过多的资源即可避免此类问题产生。 （3）有漏洞的系统调用 Docker与虚拟机的一个重要区别就是Docker与宿主机共用一个操作系统内核。一旦宿主机内核存在可以越权或者提权的漏洞，尽管Docker使用普通用户身份执行，在容器被入侵时，攻击者仍然可以利用内核漏洞跳到宿主机做更多的事情。 （4）共享root用户权限。 如果以root用户权限运行容器，容器内的root用户也就拥有了宿主机的root权限，这就存在很大的安全隐患。 2．Docker安全机制 Docker非常注重安全性，本身具有一套完整而严密的安全机制，还可以通过开启AppArmor、SELinux、GRSEC或其他强化系统来提供额外的安全。 （1）内核名称空间。 （2）控制组。 （3）Docker守护进程本身的受攻击面。 （4）Docker内容信任签名验证。 （5）其他的内核安全特性。 10.2.3 Docker容器监控与日志管理 在生产环境中往往会有大量的业务软件在容器中运行，因此对容器的监控越来越重要。监制的指标主要是容器本身和容器所在主机的资源使用情况和性能，具体涉及CPU、内存、网络和磁盘。日志管理对保持系统持续稳定地运行以及排查问题至关重要。容器具有数量多、变化快的特性，生命周期往往短暂且不固定，因此记录日志就显得非常必要，尤其是在生产环境中，日志是不可或缺的组成部分。 10.2 必备知识 1．Docker监控工具 监制容器最简单的方法是使用Docker自带的监控命令，如docker ps、docker top和docker stats等命令，其运行方便、简单，很适合快速了解容器运行状态，只是输出的数据比较有限。要高效率地进行监控，需要使用第三方工具。Google提供的cAdvisor可以用于分析正在运行容器的资源占用情况和性能指标，是具有图形界面、最易于入门的Docker容器监控工具。cAdvisor以守护进程方式运行，负责收集、聚合、处理和输出运行中容器的数据，它可以监测资源隔离参数、历史资源使用情况和网络统计数据。 2．容器日志工具docker logs Docker自带的docker logs命令输出正在运行的容器的日志信息，而docker service log