Dcker容器技术应用 课件 项目7 部署Dcker安全

项目七

部署Docker安全Docker容器技术应用学习目标（1）了解Docker安全（2）了解Kubernetes的体系结构（3）理解Kubernetes的核心概念（4）掌握部署Kubernetes系统环境的方法（5）掌握搭建Kubernetes集群的方法7.1.1Docker安全概述Docker安全概述1.Docker容器与虚拟机的安全性比较Docker容器与宿主机共享操作系统，容器中的应用有可能导致虚拟机崩溃，而虚拟机崩溃一般不会影响宿主机的运行，如图7-1所示。DockerEngine引擎是运行和管理容器的核心软件，通常会简单地指Docker，用以创建和运行容器。Docker使用cgroups、namespaces和SELinux/AppArmor安全策略等多种技术来实现容器隔离，让应用能够在容器内运行而不影响宿主机和其他容器。Hypervisor处于硬件系统之上，它将CPU、内存、网卡等转换为虚拟资源按需分配给每个虚拟机，每个虚拟机都配置自己的操作系统，想通过虚拟机攻击宿主机或其他虚拟机，必须经过Hypervisor层，而这个难度是相当大的，所以与Docker容器相比，虚拟机的安全性是比较高的。Docker安全概述2.影响Docker安全的因素以下是常见的导致Docker安全性问题的一些因素：（1）版本漏洞：虽然Docker版本在不断升级，但Docker引擎和相关组件仍然可能存在漏洞，攻击者可能利用这些漏洞对系统进行攻击。（2）未经授权的访问：未经授权的用户或者容器可能会访问其他容器或者宿主机上的敏感信息。（3）不安全的镜像：通过公开的镜像网站，使用未经验证或者来源不明的镜像，而其中可能包含恶意代码，攻击者会通过恶意镜像进行攻击。（4）网络通信：容器之间的网络通信可能不安全，攻击者会通过监听、拦截或者篡改网络流量进行攻击。（5）资源耗尽：攻击者控制的恶意容器可能会消耗过多的系统资源，导致拒绝服务或者其他系统性能问题。（6）缺乏监控和日志：如果缺乏对容器活动的监控和日志记录，可能导致无法追踪或安全分析事件。除此之外，还有不完善的配置、存储泄露、容器逃逸、不适当的权限管理等，也会导致Docker的安全性问题。

7.1.2Cgroup资源管理和限制机制Cgroup资源管理和限制机制Cgroup（ControlGroups控制族群的简写）是Linux内核提供的一种资源管理和限制机制，它能提供统一的接口来管理CPU、内存、磁盘I/O、网络等资源，可以对进程进行分组并对分组内的进程进行资源限制、优先级调整等操作，从而更好地控制系统中各个进程的资源使用情况，实现资源隔离和共享，避免因某些进程占用资源过多而导致系统负载过高的问题。1.Cgroup相关概念任务（task）控制组（cgroup）层级树（hierarchy）子系统（subsystem）份额Cgroup资源管理和限制机制2.Cgroup子系统在/sys/fs/cgroup/目录下，可以看到Cgroup子系统，如图所示。Cgroup资源管理和限制机制Cgroup子系统是一组资源控制模块，它们的作用分别如下：blkio：为块设备设置I/O限制。cpu：使用调度程序设置进程的CPU占用时间。cpuacct：自动生成Cgroup中任务所使用CPU资源情况报告。cpuset：为Cgroup中的任务分配独立的CPU（多核系统）和内存节点。devices：开启或关闭Cgroup中任务对设备的访问。freezer：挂起或恢复Cgroup中的任务。hugetlb：限制使用的内存页数量。memory：设置Cgroup中任务对内存占用的限定。net_cls：使用等级识别符（classid）标记网络数据包，将Cgroup中进程产生的网络包分类，让Linux流量控制器tc可以根据分类区分数据包并做网络限制。net_prio：设置Cgroup中进程产生网络流量的优先级。perf_event：使用perf工具监控Cgroup。pids：限制任务数量。systemd：提供Cgroup使用和管理接口。

7.1.3Docker日志Docker日志1.Docker日志的主要作用性能监控：‌日志记录了容器运行时的CPU使用率、‌内存占用、‌网络流量等信息，‌通过分析这些数据，‌可以对容器的性能进行监控，‌及时发现性能瓶颈，‌优化应用性能。问题排查：‌当应用出现问题时，‌查看Docker容器的日志，分析日志中的错误信息，有助于快速定位问题的根源，‌从而采取相应的解决措施。‌‌安全审计：‌日志‌记录了容器的启动、‌停止、‌访问控制等信息，‌据此可以检测应用的潜在安全风险，‌防患于未然。‌故障恢复：‌当系统发生故障时，‌通过查看和分析日志，可以了解故障发生前后的容器状态，‌有助于快速恢复系统的正常运行。‌优化改进：‌通过对日志进行分析，‌可以发现应用的运行情况和潜在问题，‌为应用的优化和改进提供依据。‌Docker日志2.Docker日志的分类Docker日志分为Docker引擎日志和容器日志两类。Docker引擎日志是指Docker运行时所产生的日志，一般存储在/var/log/docker.log文件中，或使用命令journalctl-udocker查看，具体位置因系统而异。Docker容器日志是指容器内的服务所产生的日志，它记录了Docker容器在运行过程中产生的各种输出、警告或错误等信息，以便用户对容器进行监控、性能分析和故障排查。每个容器的日志一般存储在/var/lib/docker/containers/<container-id>/container-json.log文件中。Docker日志3.Docker日志的第三方管理工具在实际应用中，有时需要更高级的日志管理工具对大规模集群的日志进行处理，如集中化管理、实时搜索、统计分析等。Docker日志常见的第三方管理工具包括Sysdig、‌Splunk、ELK等。‌Sysdig是一个开源的系统追踪工具，‌能够实时捕获和分析Linux系统和容器内部信息，‌并生成详细的事件日志。它还提供了一个基于Web的用户界面，对容器、进程、文件系统、网络等进行实时的性能监控。Splunk是一款商业化的日志管理和分析平台，‌提供实时监控、‌搜索和可视化等功能，支持在Docker容器中监控和优化应用程序的性能。‌ELK是一个流行的日志管理和分析平台，由Elasticsearch、‌Logstash和Kibana三个开源工具组成，可以为用户‌提供强大的Docker日志收集、存储、搜索和可视化等功能。‌

任务实施任务实施1.

设置容器的CPU使用率与CPU周期（1）任务目标掌握设置容器占用CPU资源份额的方法掌握限制CPU周期的方法（2）任务内容创建Stress工具镜像设置容器占用CPU资源的份额限制CPU周期（3）完成任务所需的设备和软件

一台安装Windows10操作系统的计算机VMwareWorkstation，Docker远程管理工具MobaXterm任务实施2.

限制CPU内核、内存和BlockIO（1）任务目标掌握限制CPU内核、内存和BlockIO的方法（2）任务内容限制CPU内核限制内存限制BlockIO（3）完成任务所需的设备和软件

一台安装Windows10操作系统的计算机VMwareWorkstation，Docker远程管理工具MobaXterm任务实施3.

查看Docker日志（1）任务目标掌握查看Docker日志管理的方法（2）任务内容查看Docker引擎日志查看Docker容器的最新日志实时查看与查看指定行数的Docker容器日志查看指定时间的Docker容器日志查看根据关键词过滤的Docker容器日志将Docker容器日志输出到文件（3）完成任务所需的设备和软件

一台安装Windows10操作系统的计算机VMwareWorkstation，Docker远程管理工具MobaXterm双创视角天翼云在医疗行业的应用2024年9月，根据《IDCMarketScape：中国医疗云IaaS+PaaS2024年厂商评估》报告显示，中国电信天翼云凭借云网融合优势、在医疗行业领先的技术、丰富的产品及方案和完善的服务，入选中国医疗云IaaS+PaaS领导者类别。我国医疗行业已步入数字化转型快车道，越来越多医疗机构在基础设施升级和数字化医疗建设中，倾向于选用云计算替代传统的IT基础设施，以进一步提升医疗服务质量与用户体验。同时，医疗影像云、医疗边缘云等场景化云解决方案以及医疗大数据和医疗AI开发和应用等需求，正驱动医疗云向IaaS+PaaS融合的方向发展，这也对云厂商医疗云基础设施服务能力提出了新的要求。作为云服务国家队，天翼云秉承国云使命，充分发挥遍布全国的云计算资源优势和技术创新能力，在医疗卫生领域持续探索与深耕，打造领先的产品、解决方案和服务，助推医疗卫生事业向数字化、智能化加速转型。围绕医院、公共卫生、区域医疗等典型场景，天翼云构建涵盖公有云、私有云、混合云、边缘云等云服务的全场景解决方案，提供从医疗云规划设计咨询、实施服务、灾备服务等端到端的全栈服务。目前，天翼云已助力200余个地市级医疗云平台、8000余家医疗机构上云，全力支撑医疗机构云上创新发展。项目小结本项目介绍了Docker安全、Cgroup资源管理和限制机制以及Docker日志等内容，完成了设置容器的CPU使用率与CPU周期、限制CPU内核/内存/BlockIO和查看Docker日志等操作任务，让读者学会Docker安全的相关知识和基本操作技能。

习题测试习题测试一、单选题1．与Docker容器相比，虚拟机的安全性是（

）。A.比较低的B.比较高的C.一样的D.不确定的2．通过公开的镜像网站，使用未经验证或者来源不明的镜像可能包含（

），攻击者可以通过这种镜像进行攻击。A.重要数据B.敏感信息C.端口信息D.恶意代码3．以下描述，错误的是（

）。A.未经授权的用户或者容器可能会访问其他容器或者宿主机上的敏感信息。B.容器之间的网络通信是安全的，攻击者不能通过监听、拦截或者篡改网络流量来进行攻击。C.黑客控制的恶意容器可能会消耗过多的系统资源，导致拒绝服务或者其他系统性能问题。D.如果缺乏对容器活动的监控和日志记录，可能导致无法追踪或分析安全事件。二、多选题1．Cgroup能提供统一的接口来管理（

）等资源。A.CPUB.内存C.磁盘I/OD.网络2.Cgroup只在容器占用资源紧缺时才起作用，Cgroup资源配置取决于（

）。A.使用镜像的数目