6.《Docker 从入门到实践》安全与底层实现

评估 Docker 的安全性时，主要考虑三个方面:

当容器启动时，后台 Docker 为容器创建了一个独立的命名空间和控制组集合

命名空间提供了最基础也是最直接的隔离。在容器中运行的进程不会被运行在主机上的进程和其它容器发现和作用；每个容器都有自己独有的网络栈，所有的容器通过本地主机的网桥接口相互通信
控制组负责实现资源的审计和限制。确保各个容器可以公平地分享主机的内存、CPU、磁盘 IO 等资源；确保了当容器内的资源使用产生压力时不会连累主机系统；还可以防止拒绝服务（DDOS）攻击

Docker 服务的运行目前需要 root 权限，因此其安全性十分关键

确保只有可信的用户才可以访问 Docker 服务（主机和容器间可以共享文件夹）
注意进行参数的安全检查，防止恶意的用户用特定参数来创建一些破坏性的容器
使用 Unix 权限检查来加强套接字的访问安全（localhost的TCP套接字容易遭受跨站脚本攻击）
使用安全机制，确保只有可信的网络或 VPN，或证书保护机制下的访问可以进行
建议采用专用的服务器来运行 Docker 和相关的管理服务（例如管理服务比如 ssh 监控和进程监控、管理工具 nrpe、collectd 等），其它的业务服务都放到容器中去运行

Docker 最近改进的 Linux 命名空间机制将可以实现使用非 root 用户来运行全功能的容器。这将从根本上解决了容器和主机之间共享文件系统而引起的安全问题

能力机制（Capability）是 Linux 内核一个强大的特性，可以提供细粒度的权限访问控制

默认情况下，Docker 启动的容器被严格限制只允许使用内核的一部分能力，几乎所有的特权进程都由容器以外的支持系统来进行管理（比如 ssh 访问被主机上ssh服务来管理）：

为了加强安全，容器可以禁用一些没必要的权限。

大部分情况下，容器并不需要“真正的” root 权限。默认情况下，Docker采用白名单机制，禁用必需功能之外的其它权限。当然，用户也可以根据自身需求来为 Docker 容器启用额外的权限。

Docker 当前默认只启用了能力机制。用户可以采用多种方案来加强 Docker 主机的安全，例如：

总体来看，Docker 容器还是十分安全的。用户还可以使用现有工具，比如 Apparmor, Seccomp, SELinux, GRSEC 来增强安全性；甚至自己在内核中实现更复杂的安全机制

Docker 的基本架构：

Docker 底层的核心技术包括 Linux 上的命名空间（Namespaces）、控制组（Control groups）、Union 文件系统（Union file systems）和容器格式（Container format）

命名空间是 Linux 内核一个强大的特性。每个容器都有自己单独的命名空间，运行在其中的应用都像是在独立的操作系统中运行一样。命名空间保证了容器之间彼此互不影响
控制组（cgroups）是 Linux 内核的一个特性，可以提供对容器的内存、CPU、磁盘 IO 等资源的限制和审计管理；避免当多个容器同时运行时的对系统资源的竞争
联合文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下
Docker 最初采用了 LXC 中的容器格式。从 0.7 版本以后开始转而使用自行开发的 libcontainer，从 1.11 开始，则进一步演进为使用 runC 和 containerd
Docker 的网络实现其实就是利用了 Linux 上的网络命名空间和虚拟网络设备（特别是veth pair）

关于命名空间的更多内容可阅读：《Introducing Linux Network Namespaces》

veth pair：在本地主机和容器内分别创建一个虚拟接口，并让它们彼此连通

虚拟接口（转发效率较高）：Linux 通过在内核中进行数据复制来实现虚拟接口之间的数据转发，发送接口的发送缓存中的数据包被直接复制到接收接口的接收缓存中

个人笔记