运行一个容器或应用程序的核心是通过 Docker 服务端。Docker 服务的运行目前需要 root 权限,因此其安全性十分关键。
首先,确保只有可信的用户才可以访问 Docker 服务。Docker 允许用户在主机和容器间共享文件夹,同时不需要限制容器的访问权限,这就容易让容器突破资源限制。例如,恶意用户启动容器的时候将主机的根目录映射到容器的目录中,那么容器理论上就可以对主机的文件系统进行任意修改了。这听起来很疯狂?但是事实上几乎所有虚拟化系统都允许类似的资源共享,而没法禁止用户共享主机根文件系统到虚拟机系统。
这将会造成很严重的安全后果。因此,当提供容器创建服务时(例如通过一个 web 服务器 ),要更加注意进行参数的安全检查,防止恶意的用户用特定参数来创建一些破坏性的容器
为了加强对服务端的保护,Docker 的 REST API(客户端用来跟服务端通信)在 0.5.2 之后使用本地的 Unix 套接字机制替代了原先绑定在 127.0.0.1 上的 TCP 套接字,因为后者容易遭受跨站脚本攻击。现在用户使用 Unix 权限检查来加强套接字的访问安全。
用户仍可以利用 HTTP 提供 REST API 访问。建议使用安全机制,确保只有可信的网络或 科学,或证书保护机制(例如受保护的 stunnel 和 ssl 认证)下的访问可以进行。此外,还可以使用 HTTPS 和证书来加强保护。
最近改进的 Linux 名字空间机制将可以实现使用非 root 用户来运行全功能的容器。这将从根本上解决了容器和主机之间共享文件系统而引起的安全问题。
终极目标是改进 2 个重要的安全特性:
最后,建议采用专用的服务器来运行 Docker 和相关的管理服务(例如管理服务比如 ssh 监控和进程监控、管理工具 nrpe、collectd 等)。其它的业务服务都放到容器中去运行。
搭建hadoop集群用什么操作系统
Docker最核心的特性之一,就是能够将任何应用包括Hadoop打包到Docker镜像中。 这篇教程介绍了利用Docker在单机上快速搭建多节点Hadoop集群的详细步骤。 作者在发现目前的HadooponDocker项目所存在的问题之后,开发了接近最小化的Hadoop镜像,并且支持快速搭建任意节点数的Hadoop集群。 GitHub:kiwanlau/hadoop-cluster-docker直接用机器搭建Hadoop集群是一个相当痛苦的过程,尤其对初学者来说。 他们还没开始跑wordcount,可能就被这个问题折腾的体无完肤了。 而且也不是每个人都有好几台机器对吧。 你可以尝试用多个虚拟机搭建,前提是你有个性能杠杠的机器。 我的目标是将Hadoop集群运行在Docker容器中,使Hadoop开发者能够快速便捷地在本机搭建多节点的Hadoop集群。 其实这个想法已经有了不少实现,但是都不是很理想,他们或者镜像太大,或者使用太慢,或者使用了第三方工具使得使用起来过于复杂。 下表为一些已知的HadooponDocker项目以及其存在的问题。 更快更方便地改变Hadoop集群节点数目另外,alvinhenrick/hadoop-mutinode项目增加节点时需要手动修改Hadoop配置文件然后重新构建hadoop-nn-dn镜像,然后修改容器启动脚本,才能实现增加节点的功能。 而我通过Shell脚本实现自动话,不到1分钟可以重新构建hadoop-master镜像,然后立即运行!本项目默认启动3个节点的Hadoop集群,支持任意节点数的Hadoop集群。 另外,启动Hadoop,运行wordcount以及重新构建镜像都采用了shell脚本实现自动化。 这样使得整个项目的使用以及开发都变得非常方便快捷。 开发测试环境操作系统:ubuntu14.04和ubuntu12.04内核版本:3.13.0-32-genericDocker版本:1.5.0和1.6.2小伙伴们,硬盘不够,内存不够,尤其是内核版本过低会导致运行失败。
CoreIDRW9中的泊坞窗怎么使用
泊坞窗(Docker)是CoreIDRW9中新加的功能.他允许用户在工作的时候把自己的选项显示在屏幕上.不同的泊坞窗对应于不同的任务,而且某一时刻用户只能打开并使用相应的泊坞窗.举个例子.当用户正在处理插图中的多个对象的时候,即可打开"物件管理员"泊坞窗口来帮助自己跟踪页面上的不同对象,
CoreIDRW9提供了多中泊坞窗口,除了"物件管理员"窗口之外.用户还可以使用"检查管理员"在各个不同的视土之间方便的切换;使用符号与特殊符号泊坞窗为用户指定的对象选择符号;使用"Internet书签管理员"组织文挡中的连接;是用"HTML物件冲突'帮助用户扫描文挡.发现并修正潜在的HTML冲突.
怎么使用docker不加sudo
如何免 sudo 使用 docker方法如下: 如果还没有 docker group 就添加一个: sudo groupadd docker 将用户加入该 group 内。 然后退出并重新登录就生效啦。 sudo gpasswd -a ${USER} docker 重启 docker 服务 sudo service docker restart 切换当...
发表评论