Docker的安全性

现在讨论Docker安全性的话题颇多,主要集中在对使用容器方式的隔离性、攻击防护性等方面。

往往与虚拟机方式进行比较。

首先,从安全性上看,Docker容器的安全性比不上虚拟机,这点是毋庸置疑的。

容器内的应用可以直接访问到主机系统内核;而虚拟机中的应用首先要访问到虚拟机的操作系统,然后在经过hypervisor层才能访问到外部的系统。

而且,虚拟机方式在生产环境中经过诸多检验,更加成熟一些。

然而,从我的角度看,容器方式确实牺牲掉了部分的安全性,但却换来了高效性和灵活性。

且不说它的快速启动和关闭,以及对系统资源极少的需求。

光从内核机制上看,容器的安全性实际上完全依赖于内核。因此,一旦当内核发生问题时候,无论容器还是虚拟机都会出问题。

这个时候容器的优势就体现出来了,因为容器完全可以在正常运行中的同时,本地主机就可以给内核打上补丁或更换新内核。

另外,Linux的内核在安全性方面已经是十分成熟。下一步随着不必给容器分配root权限这方面的改进,Docker的安全问题将得到极大的缓解。

时间: 2024-11-11 22:11:15

Docker的安全性的相关文章

8.docker的安全性

在查看Docker安全性时,有四个主要方面需要考虑: 内核的内在安全性及其对命名空间和cgroup的支持; Docker守护进程本身的攻击面; 容器配置配置文件中的漏洞,默认情况下或用户自定义时. 内核的“强化”安全功能以及它们如何与容器交互. 原文地址:https://www.cnblogs.com/leleyao/p/10591392.html

Docker安全性(二)——带来了新的安全功能给Docker

Docker安全性(二)--带来了新的安全功能给Docker 本篇翻译自Daniel J Walsh的一篇开源文章:http://opensource.com/business/14/9/security-for-docker 作者的演讲视频:http://v.youku.com/v_show/id_XODQwNjUwNTIw.html 在这系列的第一篇Docker的安全性,我写了"容器中不包含".在第二篇文章中,我将讨论为什么我们这样做并且我们正在对它做什么. Docker,红帽和开

开发漫谈:千万别说你不了解Docker!

1dotCloud到Docker:低调奢华有内涵 写在前面:放在两年前,你不认识Docker情有可原.但如果现在你还这么说,不好意思,我只能说你OUT了.你最好马上get起来,因为有可能你们公司很快就会引入Docker.今天就和大家讨论讨论这个备受好评的应用,让我们来揭开他的真面目! 点击下载报告 [一]从dotCloud到Docker--低调奢华有内涵 1.追根溯源:dotCloud 时间倒回到两年前,有一个名不见经传的小公司,他的名字叫做:dotCloud.dotCloud公司主要提供的是基

docker理论

Docker理论 Docker 是一个开源的应用容器引擎,主要利用 linux 内核 namespace 实现沙盒隔离,用cgroup 实现资源限制. Docker项目的目标是实现轻量级的操作系统虚拟化解决方案. Docker的基础是Linux的容器技术(LXC). 而Docker,正是在容器的基础上进行了进一步的封装,让用户不需要去关心容器的管理,使得操作更为简便.用户操作Docker的容器就像操作一个快速轻量级的虚拟机一样简单. VM是在硬件层面实现虚拟化 Docker几乎没有使用虚拟化的东

Docker简介(转)

Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化.容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app).几乎没有性能开销,可以很容易地在机器和数据中心中运行.最重要的是,他们不依赖于任何语言.框架包括系统. 起源 Docker 是 PaaS 提供商 dotCloud 开源的一个基于 LXC 的高级容器引擎,源代码托管在 Github 上,基于go语言并遵从 Ap

docker最佳实践-----美团点评的分享

美团点评容器平台简介 本文介绍美团点评的Docker容器集群管理平台(以下简称"容器平台").该平台始于2015年,是基于美团云的基础架构和组件而开发的Docker容器集群管理平台.目前该平台为美团点评的外卖.酒店.到店.猫眼等十几个事业部提供容器计算服务,承载线上业务数百个,日均线上请求超过45亿次,业务类型涵盖Web.数据库.缓存.消息队列等. 为什么要开发容器管理平台 作为国内大型的O2O互联网公司,美团点评业务发展极为迅速,每天线上发生海量的搜索.推广和在线交易.在容器平台实施

1.2 为什么要使用Docker

Docker容器虚拟化的好处 Docker项目的发起人和Docker Inc.的CTO Solomon Hykes认为,Docker在正确的地点.正确的时间顺应了正确的趋势-即高效地构建应用.现在开发者需要能方便地创建运行在云平台上的应用,也就是说应用必须能够脱离底层机器,而且同时必须是"任何时间任何地点"可获取的.因此,开发者们需要一种创建分布式应用程序的方式,这也是Docker所能够提供的. 举个简单的应用场景的例子.假设用户试图基于最常见的LAMP(Linux + Apache

Docker 使用总结

从贴出Docker 资料汇总那篇水帖, 到现在已经完整的做过一个用Docker部署的小型website集群并且已经上线运行了. 对docker的使用也有了些许体会(不过现在对Docker的理解还停留在一个轻度使用者的角度去理解).这个项目从负载均衡 .反向代理.及app server全都是跑在Docker容器上.为什么使用Docker? 也许是时候好好想想这个问题了.最开始用Docker只是为了快速部署,以及docker能对不同服务进行很好的隔离,还有更多的优秀特性并不了解.也许使用Docker

Docker的对手来了:CoreOS发布新款容器引擎Rocket

Docker 刚问世就红透半边天,不仅拿了融资,还得到了Google等巨头的支持.CoreOS此前一直忙于为 Docker 提供技术支持服务,似乎准备好好沾沾 Docker 的光,现在看来它另有一番打算:据gigaom.com的消息,昨天 CoreOS在Github上发布了一款容器引擎竞争产品原型Rocket,意在和 Docker 抢抢风头. Rocket 是一款容器引擎,和 Docker 类似,帮助开发者打包应用和依赖包到可移植容器中,简化搭环境等部署工作.CoreOS 的 CEO Alex