本文目录一览:
- 1、docker注册中心、docker仓库、docker tag3者直接有什么关系
- 2、docker有用user隔离吗
- 3、Docker是如何解决隔离性和安全性问题的?
- 4、怎样申请docker加速器地址
- 5、最近docker这么热,但docker index已经被墙了,有没有好的解决办法
docker注册中心、docker仓库、docker tag3者直接有什么关系
容器可以运行相同的一个操作系统内核,让一个容器的消耗与一个进程一样。对于Docker中的仓库、镜像、容器这三者的关系,可以在按包含关系理解。仓库中包含镜像,镜像中包含容器。而最终开发者使用最频繁的就是容器,与容器打交道的时候最多。
dotCloud公司一开始是做PaaS(平台即服务)服务的,其核心引擎就是最初的Docker,后来为了与各大软件厂商微软、IBM、Amazon、Google的竞争,才将核心引擎开源出来,之所以开源,才得到了大量开发者的拥护,反而让Docker发展越来越好。
Docker是使用Go语言编写的,Docker很轻量,使用起来特别容易,不仅可以在各大平台上移植,还可以实现虚拟化,还有跟语言也无关,这无疑让各国的开发者欢呼雀跃呀,这东西太好了,开发者编写好的东西,放到Docker里面,随便扔,都能运行,不需要进行额外的一大堆的配置。
docker有用user隔离吗
单单就Docker来说,安全性可以概括为两点:
1. 不会对主机造成影响
2. 不会对其他容器造成影响
所以安全性问题90%以上可以归结为隔离性问题。而Docker的安全问题本质上就是容器技术的安全性问题,这包括共用内核问题以及Namespace还不够完善的限制:
其实传统虚拟机系统也绝非100%安全,只需攻破Hypervisor便足以令整个虚拟机毁于一旦,问题是有谁能随随便便就攻破吗?如上所述,Docker的隔离性主要运用Namespace 技术。传统上Linux中的PID是唯一且独立的,在正常情况下,用户不会看见重复的PID。然而在Docker采用了Namespace,从而令相同的PID可于不同的Namespace中独立存在。举个例子,A Container 之中PID=1是A程序,而B Container之中的PID=1同样可以是A程序。虽然Docker可透过Namespace的方式分隔出看似是独立的空间,然而Linux内核(Kernel)却不能Namespace,所以即使有多个Container,所有的system call其实都是通过主机的内核处理,这便为Docker留下了不可否认的安全问题。
传统的虚拟机同样地很多操作都需要通过内核处理,但这只是虚拟机的内核,并非宿主主机内核。因此万一出现问题时,最多只影响到虚拟系统本身。当然你可以说黑客可以先Hack虚拟机的内核,然后再找寻Hypervisor的漏洞同时不能被发现,之后再攻破SELinux,然后向主机内核发动攻击。文字表达起来都嫌繁复,更何况实际执行?所以Docker是很好用,但在迁移业务系统至其上时,请务必注意安全性!
Docker是如何解决隔离性和安全性问题的?
单单就Docker来说,安全性可以概括为两点:
1. 不会对主机造成影响
2. 不会对其他容器造成影响
所以安全性问题90%以上可以归结为隔离性问题。而Docker的安全问题本质上就是容器技术的安全性问题,这包括共用内核问题以及Namespace还不够完善的限制:
其实传统虚拟机系统也绝非100%安全,只需攻破Hypervisor便足以令整个虚拟机毁于一旦,问题是有谁能随随便便就攻破吗?如上所述,Docker的隔离性主要运用Namespace 技术。传统上Linux中的PID是唯一且独立的,在正常情况下,用户不会看见重复的PID。然而在Docker采用了Namespace,从而令相同的PID可于不同的Namespace中独立存在。举个例子,A Container 之中PID=1是A程序,而B Container之中的PID=1同样可以是A程序。虽然Docker可透过Namespace的方式分隔出看似是独立的空间,然而Linux内核(Kernel)却不能Namespace,所以即使有多个Container,所有的system call其实都是通过主机的内核处理,这便为Docker留下了不可否认的安全问题。
传统的虚拟机同样地很多操作都需要通过内核处理,但这只是虚拟机的内核,并非宿主主机内核。因此万一出现问题时,最多只影响到虚拟系统本身。当然你可以说黑客可以先Hack虚拟机的内核,然后再找寻Hypervisor的漏洞同时不能被发现,之后再攻破SELinux,然后向主机内核发动攻击。文字表达起来都嫌繁复,更何况实际执行?所以Docker是很好用,但在迁移业务系统至其上时,请务必注意安全性!
怎样申请docker加速器地址
进入daocloud的官网,进行注册,就有加速器地址,也有加速器配置方法。
最近docker这么热,但docker index已经被墙了,有没有好的解决办法
目前国内访问docker hub非常便秘,使用docker mirror势在必行。现有提供服务的有三家:ustc、daocloud、aliyun,下面会一一介绍。
选择一:ustc的镜像
ustc是老牌的linux镜像服务提供者了,还在遥远的ubuntu 5.04版本的时候就在用。之前在blog里有提到可以用ustc的docker仓库镜像,使用方法参考ustc docker 镜像使用帮助。
ustc的docker镜像速度不错,一直用的挺happy。但是今天发现不好使了,可能跟这件事有关系吧,今天尝试去pull ubuntu,非常慢,应该是直接去docker hub上去拉了,基本没有加速效果。
ustc docker mirror的优势之一是,不需要注册,公共服务(这才是我熟悉的ustc嘛)。
选择二:daocloud
DaoCloud也提供了docker加速器,但是跟ustc不同,需要用户注册后才能使用,并且每月限制流量10GB。linux上使用比较简单,一条命令搞定:
curl -sSL | sh -s http://{your_id}.m.daocloud.io
实际改的是/usr/lib/systemd/system/docker.service,加了个–registry-mirror参数,:
ExecStart=/usr/bin/docker-current daemon --registry-mirror=http://{your_id}.m.daocloud.io\
设置后,需要重新加载配置重启:
systemctl enable docker; systemctl daemon-reload ; systemctl restart docker
但是!今天使用DaoCloud的docker加速器体验非常差,加速效果基本没感觉,果断放弃。
选择三:alicloud
阿里云也提供了docker加速器,不过比ustc更麻烦:不光要注册为阿里云的用户,还得加入开发者平台。不过捏着鼻子昨晚这些以后,它的服务还真是不错,基本1MB/s的pull速度(部分原因可能是因为我也在杭州吧)。配置方法跟daocloud类似,也是开通加速器以后给一个url。
我直接去改/usr/lib/systemd/system/docker.service了:
ExecStart=/usr/bin/docker-current daemon --registry-mirror=https://{your_id}.mirror.aliyuncs.com\
重新加载配置重启:
systemctl enable docker; systemctl daemon-reload ; systemctl restart docker
pull的时候还是显示docker.io,但速度一点都不docker.io。