Docker安全性(二)——带来了新的安全功能给Docker
Docker,红帽和开源社区正在共同努力,使Docker更安全。当我看到安全容器中,我期待防止容器内的进程主机,我也期待来保护彼此的容器。与Docker,我们使用的是分
层的安全方法,这是“结合多个缓解安全控制,以保护资源和数据的做法。”
基本上,我们希望把尽可能多的安全屏障,尽可能防止爆发。如果特权进程可以突破的一个容纳机制,我们希望下一个阻止他们。与Docker,我们要采取的Linux尽可能多的
安全机制的优势。...
分类:
其他好文 时间:
2014-12-03 19:21:56
阅读次数:
822
Docker是一个开源的应用容器引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。利用Linux的LXC、AUFS、Go语言、cgroup实现了资源的独立,可以很轻松的实现文件、资源、网络等隔离,其最终的目标是实现类似PaaS平台的应用隔离。Docker值得关注的特性:文..
分类:
其他好文 时间:
2014-11-26 19:11:06
阅读次数:
240
Docker是一个开源的应用容器引擎,主要利用linux内核namespace实现沙盒隔离,用cgroup实现资源限制。
Docker 支持三种不同的镜像层次存储的drivers: aufs、devicemapper、btrfs ;
Aufs:
分类:
其他好文 时间:
2014-11-15 11:17:53
阅读次数:
254
从2.6.24版本开始,linux内核提供了一个叫做cgroups(控制组)的特性。cgroups就是controlgroups的缩写,用来对一组进程所占用的资源做限制、统计、隔离。也是目前轻量级虚拟化技术lxc(linuxcontainer)的基础之一。每一组进程就是一个控制组,也就是一个cgroup。cgroups分为..
分类:
系统相关 时间:
2014-10-30 15:31:44
阅读次数:
343
昨天开发有个需求要对一个进程进行带宽限制,学习了cgroup+tc大概流程如下先说tctc大致流程如下root也就是qdisc---分类也就是root下面会有很多的分类我们叫他class,这里面定义规则,也就是带宽限制为多少----filter这里面指定用到哪个分类cgroup理解为容器,做系统资源控制的y..
分类:
系统相关 时间:
2014-10-14 21:23:59
阅读次数:
1194
前一篇博客介绍了利用 cgroup 来控制进程的 CPU和内存使用情况, 这次补上使用 cgroup 来控制进程的IO优先级的方法.前提条件如果想控制进程的IO优先级, 需要内核的支持, 内核编译时需要打开下面2个参数.CONFIG_BLK_CGROUP=yCONFIG_CFQ_GROUP_IOSC...
分类:
系统相关 时间:
2014-09-05 14:17:01
阅读次数:
584
memory子系统设定cgroup中任务使用的内存限制,并自动生成那些任务使用的内存资源报告。memory子系统是通过
linux的resource counter机制实现的,在进程进行内存分配、释放时对进程进行charge、uncharge操作。
charge操作进行点:
1.分配新页框时(请求调页、copy on write),在do_falut,do_anonymous_pag...
分类:
其他好文 时间:
2014-08-13 19:01:27
阅读次数:
199
cpuset子系统为cgroup中的任务分配独立CPU(在多核系统)和内存节点。cpuset_cgroup的cpus_allowed和mems_allowed定义
了该cpuset包含的cpu和内存节点,其中进程的task_struct->cpus_allowed与进程所属cpuset的cpus_allowed保持一致,在进程分配
物理页框时(alloc_pages系函数),通过cpuset_...
分类:
其他好文 时间:
2014-08-13 18:53:47
阅读次数:
152
cpu子系统用于控制cgroup中所有进程可以使用的cpu时间片,通过组调度(将task_group作为调度实体)来实现。
参考博客:
1.cpu子系统
2.Linux内核之CFS调度和组调度...
分类:
其他好文 时间:
2014-08-12 22:16:54
阅读次数:
242
devices子系统用于控制cgroup中所有进程可以访问哪些设备,通过维护黑白名单,然后在inode_permission入口点,
通过devcgroup_inode_permission函数检查进程是否可以访问该设备。
参考博客:
1.devices子系统...
分类:
其他好文 时间:
2014-08-12 22:13:48
阅读次数:
289
