Docker安全性——官方文档[译]
本文译自Docker官方文档:https://docs.docker.com/articles/security/
在审查Docker的安全时,需要考虑三个主要方面:
?容器内在的安全性,由内核命名空间和cgroup中实现;
?docker守护程序本身的攻击面;
?加固内核安全特性,以及它们如何与容器中互动。...
分类:
其他好文 时间:
2014-12-04 12:12:37
阅读次数:
268
从2.6.24版本开始,linux内核提供了一个叫做cgroups(控制组)的特性。cgroups就是controlgroups的缩写,用来对一组进程所占用的资源做限制、统计、隔离。也是目前轻量级虚拟化技术lxc(linuxcontainer)的基础之一。每一组进程就是一个控制组,也就是一个cgroup。cgroups分为..
分类:
系统相关 时间:
2014-10-30 15:31:44
阅读次数:
343
这回说说怎样通过cgroups来管理cpu资源。先说控制进程的cpu使用。在一个机器上运行多个可能消耗大量资源的程序时,我们不希望出现某个程序占据了所有的资源,导致其他程序无法正常运行,或者造成系统假死无法维护。这时候用cgroups就可以很好地控制进程的资源占用。这里单说cpu..
分类:
其他好文 时间:
2014-10-30 15:28:25
阅读次数:
121
何为 systemd?systemd 是一个 Linux 下的系统和会话管理器,与 SysV 和 LSB 启动脚本兼容。systemd 提供了积极的并行处理能力,使用套接字(socket)和 D-bus 的激活启动服务,可使守护进程按需启动,使用 Linux 的 cgroups 保持对进程的追踪,支...
分类:
系统相关 时间:
2014-10-26 15:33:45
阅读次数:
304
YARN对内存资源和CPU资源采用了不同的资源隔离方案。对于内存资源,它是一种限制性资源,它的量的大小直接决定应用程序的死活,因为应用程序到达内存限制,会发生OOM,就会被杀死。CPU资源一般用Cgroups进行资源控制,Cgroups控制资源测试可以参见这篇博文Cgroups控制cpu,内存,io...
分类:
其他好文 时间:
2014-05-31 18:47:58
阅读次数:
264
Cgroups是control
groups的缩写,最初由Google工程师提出,后来编进linux内核。Cgroups是实现IaaS虚拟化(kvm、lxc等),PaaS容器沙箱(Docker等)的资源管理控制部分的底层基础。百度私有PaaS云就是使用轻量的cgoups做的应用之间的隔离,以下是关于...
分类:
其他好文 时间:
2014-05-26 19:45:07
阅读次数:
366
1. Cgroups是什么?从 2.6.24 版本开始,linux 内核提供了一个叫做
Cgroups的特性。Cgroups是control groups的缩写,是一种可以限制、记录、隔离进程组(process
groups)所使用的物理资源(如cpu,memory,IO等)的机制。2. Cgrou...
分类:
其他好文 时间:
2014-05-25 22:30:11
阅读次数:
847