-
19.7 本章小结
19.7 本章小结 19.7 本章小结 总体来看,基于Linux上成熟的安全机制以及结合Apparmor、SELinux、GRSEC等安全机制,可以很好地保证Docker容器的安全。 但是任何技术层面实现的安全,都需要合理的使用才能得到巩固,特别是对于生产系统,可能遭遇未知的安全风险,一定要配合完善的监控系统来加强管理。 在使用Docker过程中,... -
20.3 容器访问控制
20.3 容器访问控制 20.3 容器访问控制 容器的访问控制主要通过Linux上的iptables防火墙软件来进行管理和实现。iptables是Linux系统流行的防火墙软件,在大部分发行版中都自带。 1.容器访问外部网络 从前面的描述中,我们知道容器默认指定了网关为docker0网桥上的docker0内部接口。docker0内部接口同时也是宿主... -
20.4 映射容器端口到宿主主机的实现
20.4 映射容器端口到宿主主机的实现 20.4 映射容器端口到宿主主机的实现 默认情况下,容器可以主动访问到外部网络的连接,但是外部网络无法访问到容器。 1.容器访问外部实现 假设容器内部的网络地址为172.17.0.2,本地网络地址为10.0.2.2。容器要能访问外部网络,源地址不能为172.17.0.2,需要进行源地址映射(Source NA... -
23.1 简介
23.1 简介 23.1 简介 Machine项目是Docker官方的开源项目,负责实现对Docker主机本身进行管理,其代码在https://github.com/docker/machine 上开源。 Machine项目主要由Go编写,用户可以在本地任意指定被Machine管理的Docker主机,并对其进行操作。Machine定位是“在本地或... -
25.4 使用其他服务发现后端
25.4 使用其他服务发现后端 25.4 使用其他服务发现后端 Swarm目前可以支持多种服务发现后端,这些后端在功能上都是一致的,即维护属于某个集群的节点信息。不同的方案并无优劣之分,在实际使用时,可以结合自身需求和环境限制进行选择,甚至自己定制其他方案。 使用中可以通过不同的路径来选择特定的服务发现后端机制: ·token://<token>:... -
17.2 命名空间
17.2 命名空间 17.2 命名空间 命名空间(namespace)是Linux内核的一个强大特性,为容器虚拟化的实现带来极大便利。 利用这一特性,每个容器都可以拥有自己单独的命名空间,运行在其中的应用都像是在独立的操作系统环境中一样。命名空间机制保证了容器之间彼此互不影响。 在操作系统中,包括内核、文件系统、网络、PID、UID、IPC、内存、... -
25.2 安装Swarm
25.2 安装Swarm 25.2 安装Swarm 安装Swarm有几种方式,可以基于Docker Machine进行安装,也可以手动配置。为了能更容易理解Swarm的组件和更灵活地进行管理,推荐使用手动配置方式。 对于Docker 1.12+版本,Swarm相关命令已经原生嵌入到了Docker Engine中,对于较低版本的Docker,需要额外进... -
25.5 Swarm中的调度器
25.5 Swarm中的调度器 25.5 Swarm中的调度器 调度是集群十分重要的功能,Swarm目前支持三种调度策略:spread、binpack和random。 在执行swarm manage命令启动管理服务的时候,可以通过—strategy参数指定调度策略,默认的是spread。 简单来说,这三种调度策略的优化目标如下: ·spread:... -
25.6 Swarm中的过滤器
25.6 Swarm中的过滤器 25.6 Swarm中的过滤器 Swarm的调度器可以按照指定调度策略自动分配容器到节点,但有些时候希望能对这些分配加以干预。比如,让I/O敏感的容器分配到安装了SSD的节点上;让计算敏感的容器分配到CPU核数多的机器上;让网络敏感的容器分配到高带宽的机房;让某些容器尽量放同一个节点上,等等。 这可以通过过滤器(fil...