項(xiàng)目七

部署Docker安全Docker容器技術(shù)應(yīng)用學(xué)習(xí)目標(biāo)（1）了解Docker安全（2）了解Kubernetes的體系結(jié)構(gòu)（3）理解Kubernetes的核心概念（4）掌握部署Kubernetes系統(tǒng)環(huán)境的方法（5）掌握搭建Kubernetes集群的方法7.1.1Docker安全概述Docker安全概述1.Docker容器與虛擬機(jī)的安全性比較Docker容器與宿主機(jī)共享操作系統(tǒng)，容器中的應(yīng)用有可能導(dǎo)致虛擬機(jī)崩潰，而虛擬機(jī)崩潰一般不會影響宿主機(jī)的運(yùn)行，如圖7-1所示。DockerEngine引擎是運(yùn)行和管理容器的核心軟件，通常會簡單地指Docker，用以創(chuàng)建和運(yùn)行容器。Docker使用cgroups、namespaces和SELinux/AppArmor安全策略等多種技術(shù)來實(shí)現(xiàn)容器隔離，讓應(yīng)用能夠在容器內(nèi)運(yùn)行而不影響宿主機(jī)和其他容器。Hypervisor處于硬件系統(tǒng)之上，它將CPU、內(nèi)存、網(wǎng)卡等轉(zhuǎn)換為虛擬資源按需分配給每個(gè)虛擬機(jī)，每個(gè)虛擬機(jī)都配置自己的操作系統(tǒng)，想通過虛擬機(jī)攻擊宿主機(jī)或其他虛擬機(jī)，必須經(jīng)過Hypervisor層，而這個(gè)難度是相當(dāng)大的，所以與Docker容器相比，虛擬機(jī)的安全性是比較高的。Docker安全概述2.影響Docker安全的因素以下是常見的導(dǎo)致Docker安全性問題的一些因素：（1）版本漏洞：雖然Docker版本在不斷升級，但Docker引擎和相關(guān)組件仍然可能存在漏洞，攻擊者可能利用這些漏洞對系統(tǒng)進(jìn)行攻擊。（2）未經(jīng)授權(quán)的訪問：未經(jīng)授權(quán)的用戶或者容器可能會訪問其他容器或者宿主機(jī)上的敏感信息。（3）不安全的鏡像：通過公開的鏡像網(wǎng)站，使用未經(jīng)驗(yàn)證或者來源不明的鏡像，而其中可能包含惡意代碼，攻擊者會通過惡意鏡像進(jìn)行攻擊。（4）網(wǎng)絡(luò)通信：容器之間的網(wǎng)絡(luò)通信可能不安全，攻擊者會通過監(jiān)聽、攔截或者篡改網(wǎng)絡(luò)流量進(jìn)行攻擊。（5）資源耗盡：攻擊者控制的惡意容器可能會消耗過多的系統(tǒng)資源，導(dǎo)致拒絕服務(wù)或者其他系統(tǒng)性能問題。（6）缺乏監(jiān)控和日志：如果缺乏對容器活動的監(jiān)控和日志記錄，可能導(dǎo)致無法追蹤或安全分析事件。除此之外，還有不完善的配置、存儲泄露、容器逃逸、不適當(dāng)?shù)臋?quán)限管理等，也會導(dǎo)致Docker的安全性問題。

7.1.2Cgroup資源管理和限制機(jī)制Cgroup資源管理和限制機(jī)制Cgroup（ControlGroups控制族群的簡寫）是Linux內(nèi)核提供的一種資源管理和限制機(jī)制，它能提供統(tǒng)一的接口來管理CPU、內(nèi)存、磁盤I/O、網(wǎng)絡(luò)等資源，可以對進(jìn)程進(jìn)行分組并對分組內(nèi)的進(jìn)程進(jìn)行資源限制、優(yōu)先級調(diào)整等操作，從而更好地控制系統(tǒng)中各個(gè)進(jìn)程的資源使用情況，實(shí)現(xiàn)資源隔離和共享，避免因某些進(jìn)程占用資源過多而導(dǎo)致系統(tǒng)負(fù)載過高的問題。1.Cgroup相關(guān)概念任務(wù)（task）控制組（cgroup）層級樹（hierarchy）子系統(tǒng)（subsystem）份額Cgroup資源管理和限制機(jī)制2.Cgroup子系統(tǒng)在/sys/fs/cgroup/目錄下，可以看到Cgroup子系統(tǒng)，如圖所示。Cgroup資源管理和限制機(jī)制Cgroup子系統(tǒng)是一組資源控制模塊，它們的作用分別如下：blkio：為塊設(shè)備設(shè)置I/O限制。cpu：使用調(diào)度程序設(shè)置進(jìn)程的CPU占用時(shí)間。cpuacct：自動生成Cgroup中任務(wù)所使用CPU資源情況報(bào)告。cpuset：為Cgroup中的任務(wù)分配獨(dú)立的CPU（多核系統(tǒng)）和內(nèi)存節(jié)點(diǎn)。devices：開啟或關(guān)閉Cgroup中任務(wù)對設(shè)備的訪問。freezer：掛起或恢復(fù)Cgroup中的任務(wù)。hugetlb：限制使用的內(nèi)存頁數(shù)量。memory：設(shè)置Cgroup中任務(wù)對內(nèi)存占用的限定。net_cls：使用等級識別符（classid）標(biāo)記網(wǎng)絡(luò)數(shù)據(jù)包，將Cgroup中進(jìn)程產(chǎn)生的網(wǎng)絡(luò)包分類，讓Linux流量控制器tc可以根據(jù)分類區(qū)分?jǐn)?shù)據(jù)包并做網(wǎng)絡(luò)限制。net_prio：設(shè)置Cgroup中進(jìn)程產(chǎn)生網(wǎng)絡(luò)流量的優(yōu)先級。perf_event：使用perf工具監(jiān)控Cgroup。pids：限制任務(wù)數(shù)量。systemd：提供Cgroup使用和管理接口。

7.1.3Docker日志Docker日志1.Docker日志的主要作用性能監(jiān)控：?日志記錄了容器運(yùn)行時(shí)的CPU使用率、?內(nèi)存占用、?網(wǎng)絡(luò)流量等信息，?通過分析這些數(shù)據(jù)，?可以對容器的性能進(jìn)行監(jiān)控，?及時(shí)發(fā)現(xiàn)性能瓶頸，?優(yōu)化應(yīng)用性能。問題排查：?當(dāng)應(yīng)用出現(xiàn)問題時(shí)，?查看Docker容器的日志，分析日志中的錯(cuò)誤信息，有助于快速定位問題的根源，?從而采取相應(yīng)的解決措施。??安全審計(jì)：?日志?記錄了容器的啟動、?停止、?訪問控制等信息，?據(jù)此可以檢測應(yīng)用的潛在安全風(fēng)險(xiǎn)，?防患于未然。?故障恢復(fù)：?當(dāng)系統(tǒng)發(fā)生故障時(shí)，?通過查看和分析日志，可以了解故障發(fā)生前后的容器狀態(tài)，?有助于快速恢復(fù)系統(tǒng)的正常運(yùn)行。?優(yōu)化改進(jìn)：?通過對日志進(jìn)行分析，?可以發(fā)現(xiàn)應(yīng)用的運(yùn)行情況和潛在問題，?為應(yīng)用的優(yōu)化和改進(jìn)提供依據(jù)。?Docker日志2.Docker日志的分類Docker日志分為Docker引擎日志和容器日志兩類。Docker引擎日志是指Docker運(yùn)行時(shí)所產(chǎn)生的日志，一般存儲在/var/log/docker.log文件中，或使用命令journalctl-udocker查看，具體位置因系統(tǒng)而異。Docker容器日志是指容器內(nèi)的服務(wù)所產(chǎn)生的日志，它記錄了Docker容器在運(yùn)行過程中產(chǎn)生的各種輸出、警告或錯(cuò)誤等信息，以便用戶對容器進(jìn)行監(jiān)控、性能分析和故障排查。每個(gè)容器的日志一般存儲在/var/lib/docker/containers/<container-id>/container-json.log文件中。Docker日志3.Docker日志的第三方管理工具在實(shí)際應(yīng)用中，有時(shí)需要更高級的日志管理工具對大規(guī)模集群的日志進(jìn)行處理，如集中化管理、實(shí)時(shí)搜索、統(tǒng)計(jì)分析等。Docker日志常見的第三方管理工具包括Sysdig、?Splunk、ELK等。?Sysdig是一個(gè)開源的系統(tǒng)追蹤工具，?能夠?qū)崟r(shí)捕獲和分析Linux系統(tǒng)和容器內(nèi)部信息，?并生成詳細(xì)的事件日志。它還提供了一個(gè)基于Web的用戶界面，對容器、進(jìn)程、文件系統(tǒng)、網(wǎng)絡(luò)等進(jìn)行實(shí)時(shí)的性能監(jiān)控。Splunk是一款商業(yè)化的日志管理和分析平臺，?提供實(shí)時(shí)監(jiān)控、?搜索和可視化等功能，支持在Docker容器中監(jiān)控和優(yōu)化應(yīng)用程序的性能。?ELK是一個(gè)流行的日志管理和分析平臺，由Elasticsearch、?Logstash和Kibana三個(gè)開源工具組成，可以為用戶?提供強(qiáng)大的Docker日志收集、存儲、搜索和可視化等功能。?

任務(wù)實(shí)施任務(wù)實(shí)施1.

設(shè)置容器的CPU使用率與CPU周期（1）任務(wù)目標(biāo)掌握設(shè)置容器占用CPU資源份額的方法掌握限制CPU周期的方法（2）任務(wù)內(nèi)容創(chuàng)建Stress工具鏡像設(shè)置容器占用CPU資源的份額限制CPU周期（3）完成任務(wù)所需的設(shè)備和軟件

一臺安裝Windows10操作系統(tǒng)的計(jì)算機(jī)VMwareWorkstation，Docker遠(yuǎn)程管理工具M(jìn)obaXterm任務(wù)實(shí)施2.

限制CPU內(nèi)核、內(nèi)存和BlockIO（1）任務(wù)目標(biāo)掌握限制CPU內(nèi)核、內(nèi)存和BlockIO的方法（2）任務(wù)內(nèi)容限制CPU內(nèi)核限制內(nèi)存限制BlockIO（3）完成任務(wù)所需的設(shè)備和軟件

一臺安裝Windows10操作系統(tǒng)的計(jì)算機(jī)VMwareWorkstation，Docker遠(yuǎn)程管理工具M(jìn)obaXterm任務(wù)實(shí)施3.

查看Docker日志（1）任務(wù)目標(biāo)掌握查看Docker日志管理的方法（2）任務(wù)內(nèi)容查看Docker引擎日志查看Docker容器的最新日志實(shí)時(shí)查看與查看指定行數(shù)的Docker容器日志查看指定時(shí)間的Docker容器日志查看根據(jù)關(guān)鍵詞過濾的Docker容器日志將Docker容器日志輸出到文件（3）完成任務(wù)所需的設(shè)備和軟件

一臺安裝Windows10操作系統(tǒng)的計(jì)算機(jī)VMwareWorkstation，Docker遠(yuǎn)程管理工具M(jìn)obaXterm雙創(chuàng)視角天翼云在醫(yī)療行業(yè)的應(yīng)用2024年9月，根據(jù)《IDCMarketScape：中國醫(yī)療云IaaS+PaaS2024年廠商評估》報(bào)告顯示，中國電信天翼云憑借云網(wǎng)融合優(yōu)勢、在醫(yī)療行業(yè)領(lǐng)先的技術(shù)、豐富的產(chǎn)品及方案和完善的服務(wù)，入選中國醫(yī)療云IaaS+PaaS領(lǐng)導(dǎo)者類別。我國醫(yī)療行業(yè)已步入數(shù)字化轉(zhuǎn)型快車道，越來越多醫(yī)療機(jī)構(gòu)在基礎(chǔ)設(shè)施升級和數(shù)字化醫(yī)療建設(shè)中，傾向于選用云計(jì)算替代傳統(tǒng)的IT基礎(chǔ)設(shè)施，以進(jìn)一步提升醫(yī)療服務(wù)質(zhì)量與用戶體驗(yàn)。同時(shí)，醫(yī)療影像云、醫(yī)療邊緣云等場景化云解決方案以及醫(yī)療大數(shù)據(jù)和醫(yī)療AI開發(fā)和應(yīng)用等需求，正驅(qū)動醫(yī)療云向IaaS+PaaS融合的方向發(fā)展，這也對云廠商醫(yī)療云基礎(chǔ)設(shè)施服務(wù)能力提出了新的要求。作為云服務(wù)國家隊(duì)，天翼云秉承國云使命，充分發(fā)揮遍布全國的云計(jì)算資源優(yōu)勢和技術(shù)創(chuàng)新能力，在醫(yī)療衛(wèi)生領(lǐng)域持續(xù)探索與深耕，打造領(lǐng)先的產(chǎn)品、解決方案和服務(wù)，助推醫(yī)療衛(wèi)生事業(yè)向數(shù)字化、智能化加速轉(zhuǎn)型。圍繞醫(yī)院、公共衛(wèi)生、區(qū)域醫(yī)療等典型場景，天翼云構(gòu)建涵蓋公有云、私有云、混合云、邊緣云等云服務(wù)的全場景解決方案，提供從醫(yī)療云規(guī)劃設(shè)計(jì)咨詢、實(shí)施服務(wù)、災(zāi)備服務(wù)等端到端的全棧服務(wù)。目前，天翼云已助力200余個(gè)地市級醫(yī)療云平臺、8000余家醫(yī)療機(jī)構(gòu)上云，全力支撐醫(yī)療機(jī)構(gòu)云上創(chuàng)新發(fā)展。項(xiàng)目小結(jié)本項(xiàng)目介紹了Docker安全、Cgroup資源管理和限制機(jī)制以及Docker日志等內(nèi)容，完成了設(shè)置容器的CPU使用率與CPU周期、限制CPU內(nèi)核/內(nèi)存/BlockIO和查看Docker日志等操作任務(wù)，讓讀者學(xué)會Docker安全的相關(guān)知識和基本操作技能。

習(xí)題測試習(xí)題測試一、單選題1．與Docker容器相比，虛擬機(jī)的安全性是（

）。A.比較低的B.比較高的C.一樣的D.不確定的2．通過公開的鏡像網(wǎng)站，使用未經(jīng)驗(yàn)證或者來源不明的鏡像可能包含（

），攻擊者可以通過這種鏡像進(jìn)行攻擊。A.重要數(shù)據(jù)B.敏感信息C.端口信息D.惡意代碼3．以下描述，錯(cuò)誤的是（

）。A.未經(jīng)授權(quán)的用戶或者容器可能會訪問其他容器或者宿主機(jī)上的敏感信息。B.容器之間的網(wǎng)絡(luò)通信是安全的，攻擊者不能通過監(jiān)聽、攔截或者篡改網(wǎng)絡(luò)流量來進(jìn)行攻擊。C.黑客控制的惡意容器可能會消耗過多的系統(tǒng)資源，導(dǎo)致拒絕服務(wù)或者其他系統(tǒng)性能問題。D.如果缺乏對容器活動的監(jiān)控和日志記錄，可能導(dǎo)致無法追蹤或分析安全事件。二、多選題1．Cgroup能提供統(tǒng)一的接口來管理（

）等資源。A.CPUB.內(nèi)存C.磁盤I/OD.網(wǎng)絡(luò)2.Cgroup只在容器占用資源緊缺時(shí)才起作用，Cgroup資源配置取決于（

）。A.使用鏡像的數(shù)目