Docker Daemon参数怎么使用

88次阅读
没有评论

共计 1961 个字符,预计需要花费 5 分钟才能阅读完成。

这篇文章主要讲解了“Docker Daemon 参数怎么使用”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着丸趣 TV 小编的思路慢慢深入,一起来研究和学习“Docker Daemon 参数怎么使用”吧!

Docker Daemon 为 Docker 的守护进程,大致可以分为 Docker Server、Engine 和 Job 三部分。Docker Daemon 可以认为是通过 Docker Server 模块接受 Docker Client 的请求,并在 Engine 中处理请求,然后根据请求类型,创建出指定的 Job 并运行。

以下为 Docker Daemon 的架构示意图:

Docker Daemon 参数

从上图不难看出 Docker Daemon 的核心地位,所以它的配置也尤为重要,下文会从安全、性能方面入手,下面具体讲讲该怎么配置 Docker Daemon 参数:

限制容器之间网络通信:在同一台主机上若不限制容器之间通信,容器之间就会暴露些隐私的信息,所以推荐关闭,设置参数如:docker daemon–icc=false;

日志级别设置为 info:这样除了 debug 信息外,可以捕获所有的信息,设置参数如: docker daemon –log-level= info

允许 Docker Daemon 修改 iptables:这样可以自动避开错误的网络配置导致的容器和外部的访问问题,设置参数如:docker daemon–iptables=true;

使用安全模式访问镜像仓库:Docker Daemon 支持安全模式(默认)和非安全模式(–insecure-registry)访问镜像仓库,推荐镜像仓库配置 CA 证书,Docker Daemon 配置安全访问模式,采用 TLS 安全传输协议;

推荐使用 Overlayfs 作为 Docker 的存储驱动:Docker 支持很多种储存驱动,CentOS 默认的 Docker 存储驱动为 devicemapper,Ubuntu 默认的 Docker 存储驱动为 aufs,那 Docker 储存驱动该怎么选择呢,可以参考下图的对比分析:

推荐为 Docker Daemon 配置 TLS 认证:推荐指定 Docker Daemon 的监听 IP、端口及 unix socket,并配置 TLS 认证,通过 Docker Daemon 的 IP+ 端口访问,设置参数如:–tlsverify、–tlscacert、–tlscert、–tlskey;

推荐为 Docker Daemon 开启用户空间支持:Docker Daemon 支持 Linux 内核的 user namespace,为 Docker 宿主机提供了额外的安全,容器使用有 root 权限的用户,则这个用户亦拥有其宿主机的 root 权限,外部可以通过容器反向来操控宿主机,设置参数如:docker daemon –userns-remap=default;

推荐为 Docker Daemon 配置默认的 CGroup:某个程序可能会出现占用主机上所有的资源,导致其他程序无法正常运行,或者造成系统假死无法维护,这时候用 cgroups 就可以很好地控制进程的资源占用,设置参数如:docker daemon–cgroup-parent=/foobar;

推荐为 Docker 配置集中的远程日志收集系统:Docker 支持很多种日志驱动,配置集中的远程日志系统用来存储 Docker 日志是非常有必要的,设置参数如:docker run–log-driver=syslog –log-opt syslog-address=tcp://ip;

推荐使用 Docker Registry v2 版本:v2 版本在性能与安全性方面比 v1 都增强了很多,如安全性上的镜像签名,可设置参数如:docker daemon–disable-legacy-registry;

Docker Daemon 权限

Docker Daemon 相关文件和目录的属性及其权限关系到整个 Docker 运行时的安全,从运维角度来看,合理的规划好属性及其权限尤为重要,下面具体讲讲该怎么配置 Docker Daemon 权限。

1、设置 Docker Daemon 一些相关配置文件的属性及其权限

2、设置 Docker Daemon 一些相关目录的属性及其权限

/etc/docker 目录保存的是容器认证及 key 信息,  设置目录的属性为 root:root,权限为 755;

/etc/docker/certs.d/ 目录保存的是 registry 证书相关的文件,设置目录的属性为 root:root,权限为 444。

感谢各位的阅读,以上就是“Docker Daemon 参数怎么使用”的内容了,经过本文的学习后,相信大家对 Docker Daemon 参数怎么使用这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是丸趣 TV,丸趣 TV 小编将为大家推送更多相关知识点的文章,欢迎关注!

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-08-16发表,共计1961字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)