Глава 5. Безопасность и QoS для контейнеров Docker

Содержание

5. Безопасность и QoS для контейнеров Docker
Ограничения файловой системы
Точки монтирования, доступные только для чтения
sysfs
procfs
/dev/pts
/sys/fs/cgroup
Копирование при записи
Возможности Linux
Безопасность контейнеров в AWS ECS
Понимание безопасности Docker I - пространства имён ядра
Пространство имён pid
Пространство имён net
Управление основным пространством имён сетевой среды
Настройка пространства имён сетевой среды
Пространство имён User
Создание нового пространства имён пользователя
Понимание безопасности Docker II - cgroup
Определение cgroup
Зачем нужны cgroup?
Создание cgroup вручную
Docker и cgroup
Применение AppArmor для безопасности контейнеров Docker
AppArmor и Docker
Эталонное тестирование безопасности Docker
Регулярный аудит демона Docker
Создание пользователя для определённого контейнера
Не монтируйте конфиденциальные каталоги системы хоста в контейнеры
Не применяйте привилегированные контейнеры
Заключение

 Безопасность и QoS для контейнеров Docker

  Точки монтирования, доступные только для чтения

 

sysfs

 

procfs

 

/dev/pts

 

/sys/fs/cgroup

  Копирование при записи

 Возможности Linux

 Безопасность контейнеров в AWS ECS

 Понимание безопасности Docker I - пространства имён ядра

  Пространство имён pid

  Пространство имён net

 

Управление основным пространством имён сетевой среды

 

Настройка пространства имён сетевой среды

  Пространство имён User

 

Создание нового пространства имён пользователя

 Понимание безопасности Docker II - cgroup

  Определение cgroup

  Зачем нужны cgroup?

  Создание cgroup вручную

  Docker и cgroup

 Применение AppArmor для безопасности контейнеров Docker

  AppArmor и Docker

  Эталонное тестирование безопасности Docker

 

Регулярный аудит демона Docker

 

Создание пользователя для определённого контейнера

 

Не монтируйте конфиденциальные каталоги системы хоста в контейнеры

 

Не применяйте привилегированные контейнеры

 Заключение