項目七

部署Docker安全Docker容器技術應用學習目標（1）了解Docker安全（2）了解Kubernetes的體系結構（3）理解Kubernetes的核心概念（4）掌握部署Kubernetes系統環境的方法（5）掌握搭建Kubernetes集群的方法7.1.1Docker安全概述Docker安全概述1.Docker容器與虛擬機的安全性比較Docker容器與宿主機共享操作系統，容器中的應用有可能導致虛擬機崩潰，而虛擬機崩潰一般不會影響宿主機的運行，如圖7-1所示。DockerEngine引擎是運行和管理容器的核心軟件，通常會簡單地指Docker，用以創建和運行容器。Docker使用cgroups、namespaces和SELinux/AppArmor安全策略等多種技術來實現容器隔離，讓應用能夠在容器內運行而不影響宿主機和其他容器。Hypervisor處于硬件系統之上，它將CPU、內存、網卡等轉換為虛擬資源按需分配給每個虛擬機，每個虛擬機都配置自己的操作系統，想通過虛擬機攻擊宿主機或其他虛擬機，必須經過Hypervisor層，而這個難度是相當大的，所以與Docker容器相比，虛擬機的安全性是比較高的。Docker安全概述2.影響Docker安全的因素以下是常見的導致Docker安全性問題的一些因素：（1）版本漏洞：雖然Docker版本在不斷升級，但Docker引擎和相關組件仍然可能存在漏洞，攻擊者可能利用這些漏洞對系統進行攻擊。（2）未經授權的訪問：未經授權的用戶或者容器可能會訪問其他容器或者宿主機上的敏感信息。（3）不安全的鏡像：通過公開的鏡像網站，使用未經驗證或者來源不明的鏡像，而其中可能包含惡意代碼，攻擊者會通過惡意鏡像進行攻擊。（4）網絡通信：容器之間的網絡通信可能不安全，攻擊者會通過監聽、攔截或者篡改網絡流量進行攻擊。（5）資源耗盡：攻擊者控制的惡意容器可能會消耗過多的系統資源，導致拒絕服務或者其他系統性能問題。（6）缺乏監控和日志：如果缺乏對容器活動的監控和日志記錄，可能導致無法追蹤或安全分析事件。除此之外，還有不完善的配置、存儲泄露、容器逃逸、不適當的權限管理等，也會導致Docker的安全性問題。

7.1.2Cgroup資源管理和限制機制Cgroup資源管理和限制機制Cgroup（ControlGroups控制族群的簡寫）是Linux內核提供的一種資源管理和限制機制，它能提供統一的接口來管理CPU、內存、磁盤I/O、網絡等資源，可以對進程進行分組并對分組內的進程進行資源限制、優先級調整等操作，從而更好地控制系統中各個進程的資源使用情況，實現資源隔離和共享，避免因某些進程占用資源過多而導致系統負載過高的問題。1.Cgroup相關概念任務（task）控制組（cgroup）層級樹（hierarchy）子系統（subsystem）份額Cgroup資源管理和限制機制2.Cgroup子系統在/sys/fs/cgroup/目錄下，可以看到Cgroup子系統，如圖所示。Cgroup資源管理和限制機制Cgroup子系統是一組資源控制模塊，它們的作用分別如下：blkio：為塊設備設置I/O限制。cpu：使用調度程序設置進程的CPU占用時間。cpuacct：自動生成Cgroup中任務所使用CPU資源情況報告。cpuset：為Cgroup中的任務分配獨立的CPU（多核系統）和內存節點。devices：開啟或關閉Cgroup中任務對設備的訪問。freezer：掛起或恢復Cgroup中的任務。hugetlb：限制使用的內存頁數量。memory：設置Cgroup中任務對內存占用的限定。net_cls：使用等級識別符（classid）標記網絡數據包，將Cgroup中進程產生的網絡包分類，讓Linux流量控制器tc可以根據分類區分數據包并做網絡限制。net_prio：設置Cgroup中進程產生網絡流量的優先級。perf_event：使用perf工具監控Cgroup。pids：限制任務數量。systemd：提供Cgroup使用和管理接口。

7.1.3Docker日志Docker日志1.Docker日志的主要作用性能監控：?日志記錄了容器運行時的CPU使用率、?內存占用、?網絡流量等信息，?通過分析這些數據，?可以對容器的性能進行監控，?及時發現性能瓶頸，?優化應用性能。問題排查：?當應用出現問題時，?查看Docker容器的日志，分析日志中的錯誤信息，有助于快速定位問題的根源，?從而采取相應的解決措施。??安全審計：?日志?記錄了容器的啟動、?停止、?訪問控制等信息，?據此可以檢測應用的潛在安全風險，?防患于未然。?故障恢復：?當系統發生故障時，?通過查看和分析日志，可以了解故障發生前后的容器狀態，?有助于快速恢復系統的正常運行。?優化改進：?通過對日志進行分析，?可以發現應用的運行情況和潛在問題，?為應用的優化和改進提供依據。?Docker日志2.Docker日志的分類Docker日志分為Docker引擎日志和容器日志兩類。Docker引擎日志是指Docker運行時所產生的日志，一般存儲在/var/log/docker.log文件中，或使用命令journalctl-udocker查看，具體位置因系統而異。Docker容器日志是指容器內的服務所產生的日志，它記錄了Docker容器在運行過程中產生的各種輸出、警告或錯誤等信息，以便用戶對容器進行監控、性能分析和故障排查。每個容器的日志一般存儲在/var/lib/docker/containers/<container-id>/container-json.log文件中。Docker日志3.Docker日志的第三方管理工具在實際應用中，有時需要更高級的日志管理工具對大規模集群的日志進行處理，如集中化管理、實時搜索、統計分析等。Docker日志常見的第三方管理工具包括Sysdig、?Splunk、ELK等。?Sysdig是一個開源的系統追蹤工具，?能夠實時捕獲和分析Linux系統和容器內部信息，?并生成詳細的事件日志。它還提供了一個基于Web的用戶界面，對容器、進程、文件系統、網絡等進行實時的性能監控。Splunk是一款商業化的日志管理和分析平臺，?提供實時監控、?搜索和可視化等功能，支持在Docker容器中監控和優化應用程序的性能。?ELK是一個流行的日志管理和分析平臺，由Elasticsearch、?Logstash和Kibana三個開源工具組成，可以為用戶?提供強大的Docker日志收集、存儲、搜索和可視化等功能。?

任務實施任務實施1.

設置容器的CPU使用率與CPU周期（1）任務目標掌握設置容器占用CPU資源份額的方法掌握限制CPU周期的方法（2）任務內容創建Stress工具鏡像設置容器占用CPU資源的份額限制CPU周期（3）完成任務所需的設備和軟件

一臺安裝Windows10操作系統的計算機VMwareWorkstation，Docker遠程管理工具MobaXterm任務實施2.

限制CPU內核、內存和BlockIO（1）任務目標掌握限制CPU內核、內存和BlockIO的方法（2）任務內容限制CPU內核限制內存限制BlockIO（3）完成任務所需的設備和軟件

一臺安裝Windows10操作系統的計算機VMwareWorkstation，Docker遠程管理工具MobaXterm任務實施3.

查看Docker日志（1）任務目標掌握查看Docker日志管理的方法（2）任務內容查看Docker引擎日志查看Docker容器的最新日志實時查看與查看指定行數的Docker容器日志查看指定時間的Docker容器日志查看根據關鍵詞過濾的Docker容器日志將Docker容器日志輸出到文件（3）完成任務所需的設備和軟件

一臺安裝Windows10操作系統的計算機VMwareWorkstation，Docker遠程管理工具MobaXterm雙創視角天翼云在醫療行業的應用2024年9月，根據《IDCMarketScape：中國醫療云IaaS+PaaS2024年廠商評估》報告顯示，中國電信天翼云憑借云網融合優勢、在醫療行業領先的技術、豐富的產品及方案和完善的服務，入選中國醫療云IaaS+PaaS領導者類別。我國醫療行業已步入數字化轉型快車道，越來越多醫療機構在基礎設施升級和數字化醫療建設中，傾向于選用云計算替代傳統的IT基礎設施，以進一步提升醫療服務質量與用戶體驗。同時，醫療影像云、醫療邊緣云等場景化云解決方案以及醫療大數據和醫療AI開發和應用等需求，正驅動醫療云向IaaS+PaaS融合的方向發展，這也對云廠商醫療云基礎設施服務能力提出了新的要求。作為云服務國家隊，天翼云秉承國云使命，充分發揮遍布全國的云計算資源優勢和技術創新能力，在醫療衛生領域持續探索與深耕，打造領先的產品、解決方案和服務，助推醫療衛生事業向數字化、智能化加速轉型。圍繞醫院、公共衛生、區域醫療等典型場景，天翼云構建涵蓋公有云、私有云、混合云、邊緣云等云服務的全場景解決方案，提供從醫療云規劃設計咨詢、實施服務、災備服務等端到端的全棧服務。目前，天翼云已助力200余個地市級醫療云平臺、8000余家醫療機構上云，全力支撐醫療機構云上創新發展。項目小結本項目介紹了Docker安全、Cgroup資源管理和限制機制以及Docker日志等內容，完成了設置容器的CPU使用率與CPU周期、限制CPU內核/內存/BlockIO和查看Docker日志等操作任務，讓讀者學會Docker安全的相關知識和基本操作技能。

習題測試習題測試一、單選題1．與Docker容器相比，虛擬機的安全性是（

）。A.比較低的B.比較高的C.一樣的D.不確定的2．通過公開的鏡像網站，使用未經驗證或者來源不明的鏡像可能包含（

），攻擊者可以通過這種鏡像進行攻擊。A.重要數據B.敏感信息C.端口信息D.惡意代碼3．以下描述，錯誤的是（

）。A.未經授權的用戶或者容器可能會訪問其他容器或者宿主機上的敏感信息。B.容器之間的網絡通信是安全的，攻擊者不能通過監聽、攔截或者篡改網絡流量來進行攻擊。C.黑客控制的惡意容器可能會消耗過多的系統資源，導致拒絕服務或者其他系統性能問題。D.如果缺乏對容器活動的監控和日志記錄，可能導致無法追蹤或分析安全事件。二、多選題1．Cgroup能提供統一的接口來管理（

）等資源。A.CPUB.內存C.磁盤I/OD.網絡2.Cgroup只在容器占用資源緊缺時才起作用，Cgroup資源配置取決于（

）。A.使用鏡像的數目