-
18.7 本章小结
18.7 本章小结 18.7 本章小结 本章详细介绍了使用Docker Registry的两种主要方式:通过容器方式运行和通过本地安装运行并注册为系统服务,以及添加Nginx反向代理,添加用户认证功能。接下来还详细介绍了Docker Registry配置文件中各个选项的含义和使用。最后演示如何通过脚本来实现对镜像的批量管理,以及使用Registry的通... -
19.2 控制组资源控制的安全
19.2 控制组资源控制的安全 19.2 控制组资源控制的安全 控制组是Linux容器机制中的另外一个关键组件,它负责实现资源的审计和限制。 控制组机制的相关技术出现于2006年,Linux内核从2.6.24版本开始正式引入该技术。 当用户执行docker run命令启动一个Docker容器时,Docker将通过Linux相关的调用,在后台为容器创... -
19.4 Docker服务端的防护
19.4 Docker服务端的防护 19.4 Docker服务端的防护 使用Docker容器的核心是Docker服务端。Docker服务的运行目前还需要root权限的支持,因此服务端安全性十分关键。 首先,必须确保只有可信的用户才可以访问到Docker服务。Docker允许用户在主机和容器间共享文件夹,同时不需要限制容器的访问权限,这就容易让容器突破... -
19.5 更多安全特性的使用
19.5 更多安全特性的使用 19.5 更多安全特性的使用 除了能力机制之外,还可以利用一些现有的安全软件或机制来增强使用Docker的安全性,例如TOMOYO、AppArmor、SELinux、GRSEC等。 Docker当前默认只启用了能力机制。用户可以选择启用更多的安全方案来加强Docker主机的安全,例如: ·在内核中启用GRSEC和PAX... -
20.1 网络启动与配置参数
20.1 网络启动与配置参数 20.1 网络启动与配置参数 Docker启动时会在主机上自动创建一个docker0虚拟网桥,实际上是一个Linux网桥,可以理解为一个软件交换机,它会在挂载其上的接口之间进行转发,如图20-1所示。 图20-1 Docker网络 同时,Docker随机分配一个本地未占用的私有网段(在RFC1918中定义)中的一个... -
20.3 容器访问控制
20.3 容器访问控制 20.3 容器访问控制 容器的访问控制主要通过Linux上的iptables防火墙软件来进行管理和实现。iptables是Linux系统流行的防火墙软件,在大部分发行版中都自带。 1.容器访问外部网络 从前面的描述中,我们知道容器默认指定了网关为docker0网桥上的docker0内部接口。docker0内部接口同时也是宿主... -
20.5 配置docker0网桥
20.5 配置docker0网桥 20.5 配置docker0网桥 Docker服务默认会创建一个名称为docker0的Linux网桥(其上有一个docker0内部接口),它在内核层连通了其他的物理或虚拟网卡,这就将所有容器和本地主机都放到同一个物理网络。用户使用Docker创建多个自定义网络时可能会出现多个容器网桥。 Docker默认指定了dock... -
20.6 自定义网桥
20.6 自定义网桥 20.6 自定义网桥 除了默认的docker0网桥,用户也可以指定网桥来连接各个容器。 在启动Docker服务的时候,使用-b BRIDGE或—bridge=BRIDGE来指定使用的网桥。 如果服务已经运行,那需要先停止服务,并删除旧的网桥: $ sudo service docker stop $ sudo ip li... -
20.8 创建一个点到点连接
20.8 创建一个点到点连接 20.8 创建一个点到点连接 默认情况下,Docker会将所有容器连接到由docker0提供的虚拟子网中。用户有时候需要两个容器之间可以直连通信,而不用通过主机网桥进行桥接。 解决办法很简单:创建一对peer接口,分别放到两个容器中,配置成点到点链路类型即可。下面这个过程我们将手动执行Docker配置容器网络的大部分步骤... -
24.4 Compose环境变量
24.4 Compose环境变量 24.4 Compose环境变量 环境变量可以用来配置Compose的行为,参见表24-2。以DOCKER_开头的变量和用来配置Docker命令行客户端的使用一样。如果使用boot2docker,$(boot2docker shellinit)将会设置它们为正确的值。 表24-2 Compose环境变量