chinese直男口爆体育生外卖, 99久久er热在这里只有精品99, 又色又爽又黄18禁美女裸身无遮挡, gogogo高清免费观看日本电视,私密按摩师高清版在线,人妻视频毛茸茸,91论坛 兴趣闲谈,欧美 亚洲 精品 8区,国产精品久久久久精品免费

搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      Docker生產(chǎn)環(huán)境安全配置指南

      馬哥Linux運維 ? 來源:馬哥Linux運維 ? 2025-09-02 16:27 ? 次閱讀
      加入交流群
      微信小助手二維碼

      掃碼添加小助手

      加入工程師交流群

      Docker生產(chǎn)環(huán)境安全配置與最佳實踐指南:從入門到企業(yè)級部署

      警告:你的Docker容器可能正在"裸奔"!

      據(jù)統(tǒng)計,超過60%的企業(yè)在Docker生產(chǎn)環(huán)境中存在嚴(yán)重安全漏洞。本文將揭示那些容易被忽視但致命的安全隱患,并提供完整的企業(yè)級解決方案。

      開篇驚魂:真實的生產(chǎn)事故案例

      案例一:特權(quán)容器的噩夢

      某互聯(lián)網(wǎng)公司因為圖方便,在生產(chǎn)環(huán)境使用--privileged標(biāo)志運行容器。結(jié)果攻擊者通過容器逃逸,獲得了宿主機(jī)root權(quán)限,導(dǎo)致整個Kubernetes集群被攻陷,損失超過500萬。

      案例二:鏡像漏洞的連鎖反應(yīng)

      一家金融科技公司使用了含有高危漏洞的基礎(chǔ)鏡像,攻擊者利用CVE-2021-44228(Log4Shell)漏洞,成功滲透到內(nèi)網(wǎng),竊取了大量敏感數(shù)據(jù)。

      這樣的事故,其實完全可以避免!

      第一部分:鏡像安全 - 從源頭控制風(fēng)險

      1.1 基礎(chǔ)鏡像選擇的黃金法則

      #  危險做法:使用臃腫的基礎(chǔ)鏡像
FROMubuntu:latest
RUNapt-get update && apt-get install -y python3 python3-pip

#  推薦做法:使用最小化鏡像
FROMpython:3.11-alpine
# Alpine Linux體積小,攻擊面小,安全性更高

      為什么Alpine是生產(chǎn)環(huán)境的首選?

      ? 體積僅有5MB,相比Ubuntu的72MB

      ? 使用musl libc,減少了大量潛在漏洞

      ? 包管理器apk更加安全

      1.2 多階段構(gòu)建:分離構(gòu)建與運行環(huán)境

      #  企業(yè)級多階段構(gòu)建模板
FROMnode:16-alpine AS builder
WORKDIR/build
COPYpackage*.json ./
RUNnpm ci --only=production

FROMnode:16-alpine AS runtime
# 創(chuàng)建非root用戶
RUNaddgroup -g 1001 -S nodejs && 
  adduser -S nextjs -u 1001
USERnextjs
COPY--from=builder --chown=nextjs:nodejs /build ./
EXPOSE3000
CMD["node","server.js"]

      1.3 鏡像掃描:自動化安全檢測

      #!/bin/bash
#  生產(chǎn)級鏡像安全掃描腳本

# 使用Trivy進(jìn)行漏洞掃描
trivy image --severity HIGH,CRITICAL your-image:tag

# 使用docker scan(Docker Desktop內(nèi)置)
docker scan your-image:tag

# 使用Snyk進(jìn)行深度掃描
snyk containertestyour-image:tag

# 設(shè)置CI/CD流水線中的安全門禁
if[ $? -ne 0 ];then
 echo" 鏡像存在高危漏洞,阻止部署"
 exit1
fi

      第二部分:容器運行時安全配置

      2.1 用戶權(quán)限控制:告別root用戶

      #  創(chuàng)建專用用戶的最佳實踐
FROMalpine:latest

# 方法一:使用adduser
RUNadduser -D -s /bin/sh appuser
USERappuser

# 方法二:指定UID/GID(推薦)
RUNaddgroup -g 1001 appgroup && 
  adduser -u 1001 -G appgroup -s /bin/sh -D appuser
USER1001:1001

      2.2 資源限制:防止容器"吃光"宿主機(jī)

      #  Docker Compose資源限制配置
version:'3.8'
services:
webapp:
 image:myapp:latest
 deploy:
  resources:
   limits:
    cpus:'2.0'    # 限制CPU使用
    memory:1G     # 限制內(nèi)存使用
    pids:100     # 限制進(jìn)程數(shù)
   reservations:
    cpus:'0.5'
    memory:512M
 security_opt:
  -no-new-privileges:true# 禁止權(quán)限提升
 cap_drop:
  -ALL         # 移除所有Linux能力
 cap_add:
  -NET_BIND_SERVICE  # 僅添加必要能力
 read_only:true     # 只讀文件系統(tǒng)
 tmpfs:
  -/tmp:size=100M,mode=1777

      2.3 網(wǎng)絡(luò)安全:隔離與訪問控制

      #  創(chuàng)建自定義網(wǎng)絡(luò)
docker network create --driver bridge 
 --subnet=172.20.0.0/16 
 --ip-range=172.20.240.0/20 
 secure-network

# 運行容器時指定網(wǎng)絡(luò)
docker run -d 
 --name secure-app 
 --network secure-network 
 --ip 172.20.240.10 
 myapp:latest

      第三部分:高級安全配置

      3.1 AppArmor/SELinux:強(qiáng)制訪問控制

      #  AppArmor配置示例
# 創(chuàng)建AppArmor配置文件 /etc/apparmor.d/docker-default
docker run --security-opt apparmor:docker-default 
 --name secure-container 
 myapp:latest

# SELinux配置(CentOS/RHEL)
docker run --security-opt label:type:svirt_apache_t 
 myapp:latest

      3.2 Seccomp:系統(tǒng)調(diào)用過濾

      {
"defaultAction":"SCMP_ACT_ERRNO",
"architectures":["SCMP_ARCH_X86_64"],
"syscalls":[
 {
  "names":["read","write","open","close"],
  "action":"SCMP_ACT_ALLOW"
 }
]
}
      # 使用自定義seccomp配置
docker run --security-opt seccomp:./secure-profile.json myapp:latest

      3.3 容器運行時安全檢查清單

      #!/bin/bash
#  生產(chǎn)環(huán)境安全檢查腳本

echo" 開始Docker安全檢查..."

# 檢查特權(quán)容器
PRIVILEGED=$(docker ps --filter"label=privileged=true"-q)
if[ -n"$PRIVILEGED"];then
 echo" 發(fā)現(xiàn)特權(quán)容器,存在安全風(fēng)險"
fi

# 檢查root用戶運行的容器
ROOT_CONTAINERS=$(docker ps --format"table {{.Names}}	{{.Image}}"--filter"label=user=root")
if[ -n"$ROOT_CONTAINERS"];then
 echo" 發(fā)現(xiàn)以root用戶運行的容器"
fi

# 檢查暴露的端口
EXPOSED_PORTS=$(docker ps --format"table {{.Names}}	{{.Ports}}"| grep"0.0.0.0")
if[ -n"$EXPOSED_PORTS"];then
 echo" 檢查暴露的端口配置"
fi

echo" 安全檢查完成"

      第四部分:企業(yè)級部署最佳實踐

      4.1 密鑰管理:Docker Secrets vs 外部密鑰管理

      #  Docker Swarm Secrets
version:'3.8'
services:
app:
 image:myapp:latest
 secrets:
  -db_password
  -api_key
 environment:
  -DB_PASSWORD_FILE=/run/secrets/db_password

secrets:
db_password:
 external:true
api_key:
 external:true
      # 創(chuàng)建secrets
echo"super_secret_password"| docker secret create db_password -

      4.2 日志安全:防止敏感信息泄露

      #  安全的日志配置
services:
app:
 image:myapp:latest
 logging:
  driver:"json-file"
  options:
   max-size:"10m"
   max-file:"3"
   labels:"service=webapp,environment=prod"
 # 禁用調(diào)試日志
 environment:
  -LOG_LEVEL=INFO
  -DEBUG=false

      4.3 鏡像簽名與驗證:確保鏡像完整性

      #  使用Docker Content Trust
exportDOCKER_CONTENT_TRUST=1

# 簽名鏡像
docker push myregistry/myapp:v1.0

# 驗證鏡像簽名
docker pull myregistry/myapp:v1.0

      第五部分:監(jiān)控與應(yīng)急響應(yīng)

      5.1 實時安全監(jiān)控

      #  Python容器安全監(jiān)控腳本
importdocker
importpsutil
importtime
fromdatetimeimportdatetime

defmonitor_containers():
  client = docker.from_env()
 
 forcontainerinclient.containers.list():
    stats = container.stats(stream=False)
   
   # 檢查CPU使用率
    cpu_usage = stats['cpu_stats']['cpu_usage']['total_usage']
   ifcpu_usage >80: # 80%閾值
     print(f" 容器{container.name}CPU使用率過高")
   
   # 檢查內(nèi)存使用
    memory_usage = stats['memory_stats']['usage']
    memory_limit = stats['memory_stats']['limit']
   ifmemory_usage / memory_limit >0.9: # 90%閾值
     print(f" 容器{container.name}內(nèi)存使用率超過90%")

if__name__ =="__main__":
 whileTrue:
    monitor_containers()
    time.sleep(30)

      5.2 異常檢測與自動響應(yīng)

      #!/bin/bash
#  自動安全響應(yīng)腳本

# 檢測異常網(wǎng)絡(luò)連接
functiondetect_suspicious_connections() {
  SUSPICIOUS_IPS=$(netstat -an | grep ESTABLISHED |
          awk'{print $5}'|cut-d: -f1 |
         sort|uniq-c |sort-nr |
          awk'$1 > 100 {print $2}')
 
 if[ -n"$SUSPICIOUS_IPS"];then
   echo" 檢測到可疑連接"
   # 自動隔離可疑容器
    docker pause suspicious-container
   # 發(fā)送告警
    curl -X POST"https://hooks.slack.com/services/YOUR/WEBHOOK/URL"
      -d'{"text":" Docker安全告警:檢測到異常網(wǎng)絡(luò)活動"}'
 fi
}

      第六部分:性能與安全的平衡

      6.1 安全配置對性能的影響分析

      安全措施 性能影響 建議使用場景
      用戶命名空間 輕微(~2%) 所有生產(chǎn)環(huán)境
      Seccomp 極小(<1%) 高安全要求
      AppArmor/SELinux 小(~3%) 企業(yè)級部署
      只讀文件系統(tǒng) 無狀態(tài)應(yīng)用

      6.2 安全配置模板:一鍵部署

      #  生產(chǎn)級Docker Compose安全模板
version:'3.8'

x-security-defaults:&security-defaults
security_opt:
 -no-new-privileges:true
 -apparmor:docker-default
cap_drop:
 -ALL
read_only:true
user:"1001:1001"

services:
web:
 <<:?*security-defaults
? ??image:?nginx:alpine
? ??cap_add:
? ? ??-?NET_BIND_SERVICE
? ??tmpfs:
? ? ??-?/tmp:size=100M,mode=1777
? ? ??-?/var/cache/nginx:size=50M,mode=1777
? ??
??app:
? ??<<:?*security-defaults
? ??image:?myapp:latest
? ??cap_add:
? ? ??-?NET_BIND_SERVICE
? ??secrets:
? ? ??-?app_secret
? ??networks:
? ? ??-?backend
? ??
??db:
? ??<<:?*security-defaults
? ??image:?postgres:14-alpine
? ??environment:
? ? ??POSTGRES_PASSWORD_FILE:?/run/secrets/db_password
? ??secrets:
? ? ??-?db_password
? ??volumes:
? ? ??-?db_data:/var/lib/postgresql/data:Z
? ??networks:
? ? ??-?backend

networks:
??backend:
? ??driver:?bridge
? ??internal:?true??# 內(nèi)部網(wǎng)絡(luò),不能訪問外網(wǎng)

secrets:
??app_secret:
? ??external:?true
??db_password:
? ??external:?true

volumes:
??db_data:
? ??driver:?local

      第七部分:深入剖析:容器逃逸與防護(hù)

      7.1 常見容器逃逸技術(shù)分析

      特權(quán)容器逃逸

      # 攻擊者利用特權(quán)容器掛載宿主機(jī)文件系統(tǒng)
docker run --privileged -it ubuntu:latest bash
mount /dev/sda1 /mnt
chroot/mnt bash
# 現(xiàn)在攻擊者已經(jīng)在宿主機(jī)上了!

      防護(hù)措施

      #  絕不使用特權(quán)容器
# 如果必須訪問設(shè)備,使用設(shè)備映射
docker run --device=/dev/ttyUSB0:/dev/ttyUSB0 myapp:latest

      7.2 內(nèi)核漏洞防護(hù)

      #  啟用用戶命名空間
# /etc/docker/daemon.json
{
"userns-remap":"default",
"live-restore":true,
"userland-proxy":false,
"no-new-privileges":true
}

# 重啟Docker服務(wù)
sudosystemctl restart docker

      第八部分:自動化安全管理

      8.1 CI/CD集成安全檢查

      #  GitLab CI安全流水線
stages:
-build
-security-scan
-deploy

security-scan:
stage:security-scan
script:
 -dockerbuild-t$CI_REGISTRY_IMAGE:$CI_COMMIT_SHA.
 -dockerrun--rm-v/var/run/docker.sock:/var/run/docker.sock
   aquasec/trivyimage--exit-code1--severityHIGH,CRITICAL
   $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
only:
 -master

      8.2 運行時安全監(jiān)控

      #  實時威脅檢測腳本
importdocker
importjson
importrequests
fromdatetimeimportdatetime

classContainerSecurityMonitor:
 def__init__(self):
   self.client = docker.from_env()
   self.alert_webhook ="YOUR_WEBHOOK_URL"
 
 defcheck_container_behavior(self):
   """檢查容器異常行為"""
   forcontainerinself.client.containers.list():
     # 檢查網(wǎng)絡(luò)連接
      stats = container.stats(stream=False)
      network_io = stats.get('networks', {})
     
     forinterface, datainnetwork_io.items():
        rx_bytes = data.get('rx_bytes',0)
        tx_bytes = data.get('tx_bytes',0)
       
       # 異常流量檢測
       ifrx_bytes >1000000000: # 1GB
         self.send_alert(f"容器{container.name}接收流量異常:{rx_bytes}字節(jié)")
 
 defsend_alert(self, message):
   """發(fā)送安全告警"""
    payload = {
     "text":f" Docker安全告警:{message}",
     "timestamp": datetime.now().isoformat()
    }
    requests.post(self.alert_webhook, json=payload)

# 啟動監(jiān)控
monitor = ContainerSecurityMonitor()
monitor.check_container_behavior()

      第九部分:企業(yè)級安全架構(gòu)設(shè)計

      9.1 零信任網(wǎng)絡(luò)架構(gòu)

      #  零信任網(wǎng)絡(luò)配置
version:'3.8'

networks:
frontend:
 driver:bridge
 ipam:
  config:
   -subnet:172.20.0.0/24

backend:
 driver:bridge
 internal:true# 完全隔離
 ipam:
  config:
   -subnet:172.21.0.0/24

database:
 driver:bridge
 internal:true
 ipam:
  config:
   -subnet:172.22.0.0/24

services:
nginx:
 image:nginx:alpine
 networks:
  -frontend
 # 只能訪問前端網(wǎng)絡(luò)
 
app:
 image:myapp:latest
 networks:
  -frontend
  -backend
 # 作為中間層,連接前后端
 
database:
 image:postgres:14-alpine
 networks:
  -database
 # 完全隔離,只能通過應(yīng)用訪問

      9.2 鏡像倉庫安全

      #  私有鏡像倉庫安全配置
# Harbor配置示例
version:'2.3'
services:
 registry:
  image: goharbor/registry-photon:v2.5.0
  environment:
   - REGISTRY_HTTP_SECRET=your-secret-key
   - REGISTRY_STORAGE_DELETE_ENABLED=true
   - REGISTRY_VALIDATION_DISABLED=true
  volumes:
   - ./config/registry/:/etc/registry/:z
   - ./data/registry:/storage:z
 
 harbor-core:
  image: goharbor/harbor-core:v2.5.0
  environment:
   - CORE_SECRET=your-core-secret
   - JOBSERVICE_SECRET=your-job-secret
   - ADMIRAL_URL=http://admiral:8080
  depends_on:
   - registry

      第十部分:安全測試與驗證

      10.1 滲透測試工具集

      #  容器安全測試工具箱

# 1. Docker Bench Security
docker run --rm--privileged --pid host -v /etc:/etc:ro 
 -v /usr/bin/docker:/usr/bin/docker:ro 
 -v /usr/lib/systemd:/usr/lib/systemd:ro 
 -v /var/run/docker.sock:/var/run/docker.sock:ro 
 docker/docker-bench-security

# 2. 使用Anchore進(jìn)行鏡像安全分析
pip install anchorecli
anchore-cli image add myapp:latest
anchore-cli imagewaitmyapp:latest
anchore-cli image vuln myapp:latest all

# 3. 運行時威脅檢測
docker run --rm-it --pid host --privileged 
 -v /:/host:ro falcosecurity/falco:latest

      10.2 合規(guī)性檢查

      #  自動化合規(guī)性檢查
importdocker
importjson

classComplianceChecker:
 def__init__(self):
   self.client = docker.from_env()
   self.violations = []
 
 defcheck_cis_compliance(self):
   """CIS Docker Benchmark檢查"""
   forcontainerinself.client.containers.list():
      attrs = container.attrs
     
     # 檢查1: 不應(yīng)以root用戶運行
      user = attrs['Config'].get('User','root')
     ifuser =='root'oruser =='0':
       self.violations.append({
         'container': container.name,
         'violation':'CIS 4.1 - 容器不應(yīng)以root用戶運行',
         'severity':'HIGH'
        })
     
     # 檢查2: 應(yīng)設(shè)置內(nèi)存限制
      memory_limit = attrs['HostConfig'].get('Memory',0)
     ifmemory_limit ==0:
       self.violations.append({
         'container': container.name,
         'violation':'CIS 4.3 - 未設(shè)置內(nèi)存限制',
         'severity':'MEDIUM'
        })
 
 defgenerate_report(self):
   """生成合規(guī)性報告"""
    report = {
     'timestamp': datetime.now().isoformat(),
     'total_violations':len(self.violations),
     'violations':self.violations
    }
   
   withopen('compliance_report.json','w')asf:
      json.dump(report, f, indent=2)
   
   returnreport

# 執(zhí)行檢查
checker = ComplianceChecker()
checker.check_cis_compliance()
report = checker.generate_report()
print(f"發(fā)現(xiàn){report['total_violations']}個合規(guī)性問題")

      第十一部分:實戰(zhàn)經(jīng)驗分享

      11.1 生產(chǎn)環(huán)境踩坑指南

      坑點1: 文件系統(tǒng)權(quán)限問題

      #  錯誤做法
docker run -v /host/data:/container/data myapp:latest

#  正確做法:明確指定權(quán)限
docker run -v /host/data:/container/data:Z myapp:latest
# 或使用命名卷
docker volume create app_data
docker run -v app_data:/container/data myapp:latest

      坑點2: 時區(qū)同步問題

      # :one_o’clock: 正確的時區(qū)配置
FROMalpine:latest
RUNapk add --no-cache tzdata
ENVTZ=Asia/Shanghai
RUNln-snf /usr/share/zoneinfo/$TZ/etc/localtime &&echo$TZ> /etc/timezone

      11.2 性能優(yōu)化與安全平衡

      #  高性能安全鏡像構(gòu)建
FROMnode:16-alpine AS deps
WORKDIR/app
COPYpackage*.json ./
RUNnpm ci --only=production && npm cache clean --force

FROMnode:16-alpine AS builder
WORKDIR/app
COPY. .
RUNnpm run build

FROMnode:16-alpine AS runner
WORKDIR/app
ENVNODE_ENV=production

# 安全用戶配置
RUNaddgroup -g 1001 -S nodejs && 
  adduser -S nextjs -u 1001

# 復(fù)制必要文件
COPY--from=builder --chown=nextjs:nodejs /app/dist ./dist
COPY--from=deps --chown=nextjs:nodejs /app/node_modules ./node_modules

USERnextjs
EXPOSE3000

# 健康檢查
HEALTHCHECK--interval=30s --timeout=3s --start-period=5s --retries=3 
 CMD curl -f http://localhost:3000/health ||exit1

CMD["node","dist/server.js"]

      第十二部分:安全配置速查表

      12.1 Docker命令安全參數(shù)

      #  生產(chǎn)環(huán)境Docker運行命令模板
docker run -d 
 --name secure-app 
 --user 1001:1001           # 非root用戶
 --security-opt no-new-privileges:true # 禁止權(quán)限提升
 --cap-drop ALL            # 移除所有能力
 --cap-add NET_BIND_SERVICE      # 僅添加必要能力
 --read-only              # 只讀文件系統(tǒng)
 --tmpfs /tmp:size=100M,mode=1777   # 臨時文件系統(tǒng)
 --memory 512m             # 內(nèi)存限制
 --cpus"1.0"            # CPU限制
 --pids-limit 100           # 進(jìn)程數(shù)限制
 --network custom-network       # 自定義網(wǎng)絡(luò)
 --restart unless-stopped       # 重啟策略
 myapp:latest

      12.2 Dockerfile安全檢查清單

      #  安全Dockerfile模板
FROMalpine:3.18

#  基礎(chǔ)安全配置
LABELmaintainer="your-email@company.com"
LABELsecurity.scan="enabled"
LABELsecurity.policy="strict"

#  軟件包安裝
RUNapk add --no-cache 
  ca-certificates 
  && update-ca-certificates

#  用戶管理
RUNaddgroup -g 1001 appgroup && 
  adduser -u 1001 -G appgroup -s /bin/sh -D appuser

#  工作目錄權(quán)限
WORKDIR/app
RUNchown-R appuser:appgroup /app

#  復(fù)制文件
COPY--chown=appuser:appgroup . .

#  運行時配置
USER1001:1001
EXPOSE8080

#  健康檢查
HEALTHCHECK--interval=30s --timeout=10s --start-period=5s --retries=3 
 CMD wget --no-verbose --tries=1 --spider http://localhost:8080/health ||exit1

CMD["./myapp"]

      第十三部分:Kubernetes中的Docker安全

      13.1 Pod Security Standards

      #  Kubernetes Pod安全配置
apiVersion:v1
kind:Pod
metadata:
name:secure-pod
spec:
securityContext:
 runAsNonRoot:true
 runAsUser:1001
 runAsGroup:1001
 fsGroup:1001
 seccompProfile:
  type:RuntimeDefault

containers:
-name:app
 image:myapp:latest
 securityContext:
  allowPrivilegeEscalation:false
  readOnlyRootFilesystem:true
  capabilities:
   drop:
   -ALL
   add:
   -NET_BIND_SERVICE
 resources:
  limits:
   memory:"512Mi"
   cpu:"500m"
  requests:
   memory:"256Mi"
   cpu:"100m"
 volumeMounts:
 -name:tmp-volume
  mountPath:/tmp

volumes:
-name:tmp-volume
 emptyDir:
  sizeLimit:100Mi

      13.2 網(wǎng)絡(luò)策略安全

      #  Kubernetes網(wǎng)絡(luò)策略
apiVersion:networking.k8s.io/v1
kind:NetworkPolicy
metadata:
name:deny-all-default
spec:
podSelector:{}
policyTypes:
-Ingress
-Egress
---
apiVersion:networking.k8s.io/v1
kind:NetworkPolicy
metadata:
name:allow-app-to-db
spec:
podSelector:
 matchLabels:
  app:myapp
policyTypes:
-Egress
egress:
-to:
 -podSelector:
   matchLabels:
    app:database
 ports:
 -protocol:TCP
  port:5432

      第十四部分:故障排查與應(yīng)急處理

      14.1 安全事件響應(yīng)流程

      #!/bin/bash
#  安全事件應(yīng)急響應(yīng)腳本

functionemergency_response() {
 localcontainer_name=$1
 localincident_type=$2
 
 echo" 開始應(yīng)急響應(yīng):容器[$container_name] 事件類型[$incident_type]"
 
 # 1. 立即隔離可疑容器
  docker pause$container_name
 echo" 容器已暫停"
 
 # 2. 收集證據(jù)
 mkdir-p /var/log/security-incidents/$(date+%Y%m%d-%H%M%S)
  docker logs$container_name> /var/log/security-incidents/$(date+%Y%m%d-%H%M%S)/container.log
  docker inspect$container_name> /var/log/security-incidents/$(date+%Y%m%d-%H%M%S)/inspect.json
 
 # 3. 網(wǎng)絡(luò)隔離
  docker network disconnect bridge$container_name
 
 # 4. 生成事件報告
 cat< /var/log/security-incidents/$(date +%Y%m%d-%H%M%S)/incident-report.txt
安全事件報告
================
時間: $(date)
容器: $container_name
事件類型: $incident_type
狀態(tài): 已隔離
操作員: $(whoami)
EOF
 
 echo" 事件報告已生成"
}

# 使用示例
emergency_response"suspicious-container""anomalous-network-activity"

      14.2 安全審計日志分析

      #  Docker日志分析工具
importjson
importre
fromdatetimeimportdatetime, timedelta
fromcollectionsimportdefaultdict

classDockerSecurityAuditor:
 def__init__(self, log_file="/var/lib/docker/containers/*/container.log"):
   self.log_file = log_file
   self.security_events = []
   
 defanalyze_logs(self):
   """分析Docker日志中的安全事件"""
    suspicious_patterns = [
     r'chmods+777',     # 危險權(quán)限修改
     r'wget.*http://.*.sh', # 下載可執(zhí)行腳本
     r'curl.*|s*bash',   # 管道執(zhí)行
     r'/etc/passwd',     # 訪問用戶文件
     r'netcat|nc.*-l',    # 網(wǎng)絡(luò)監(jiān)聽
     r'python.*-c.*os.system'# 系統(tǒng)命令執(zhí)行
    ]
   
   # 分析日志文件(示例)
    events = []
   forpatterninsuspicious_patterns:
     # 模擬日志分析結(jié)果
      events.append({
       'timestamp': datetime.now(),
       'pattern': pattern,
       'severity':'HIGH',
       'container':'app-container',
       'action':'BLOCK'
      })
   
   returnevents
 
 defgenerate_security_report(self):
   """生成安全分析報告"""
    events =self.analyze_logs()
   
    report = {
     'scan_time': datetime.now().isoformat(),
     'total_events':len(events),
     'high_severity':len([eforeineventsife['severity'] =='HIGH']),
     'recommendations': [
       '啟用容器運行時安全監(jiān)控',
       '實施網(wǎng)絡(luò)分段策略',
       '定期進(jìn)行安全掃描'
      ]
    }
   
   returnreport

# 使用示例
auditor = DockerSecurityAuditor()
report = auditor.generate_security_report()
print(f"安全掃描完成,發(fā)現(xiàn){report['high_severity']}個高危事件")

      第十五部分:高級威脅防護(hù)

      15.1 容器蜜罐部署

      #  Docker蜜罐配置
version:'3.8'

services:
honeypot:
 image:cowrie/cowrie:latest
 container_name:ssh-honeypot
 ports:
  -"2222:2222"# SSH蜜罐
 volumes:
  -honeypot-logs:/cowrie/var/log
 environment:
  -COWRIE_HOSTNAME=production-server
 networks:
  -honeypot-net
 security_opt:
  -no-new-privileges:true
 cap_drop:
  -ALL
 read_only:true
 tmpfs:
  -/tmp:size=100M

log-analyzer:
 image:logstash:8.8.0
 volumes:
  -honeypot-logs:/input:ro
  -./logstash.conf:/usr/share/logstash/pipeline/logstash.conf:ro
 depends_on:
  -honeypot

volumes:
honeypot-logs:

networks:
honeypot-net:
 driver:bridge

      15.2 威脅情報集成

      #  威脅情報分析系統(tǒng)
importrequests
importdocker
importipaddress
fromdatetimeimportdatetime

classThreatIntelligence:
 def__init__(self):
   self.client = docker.from_env()
   self.malicious_ips =self.load_threat_feeds()
 
 defload_threat_feeds(self):
   """加載威脅情報源"""
   # 模擬威脅情報數(shù)據(jù)
   return[
     '192.168.1.100',
     '10.0.0.50',
     '172.16.0.200'
    ]
 
 defanalyze_container_connections(self):
   """分析容器網(wǎng)絡(luò)連接"""
   forcontainerinself.client.containers.list():
     # 獲取容器網(wǎng)絡(luò)統(tǒng)計
      stats = container.stats(stream=False)
     
     # 檢查是否與惡意IP通信
     # 這里簡化處理,實際需要解析netstat輸出
     print(f" 分析容器{container.name}的網(wǎng)絡(luò)連接")
     
     # 示例:檢測到可疑連接
     formalicious_ipinself.malicious_ips:
       print(f" 檢測到與惡意IP{malicious_ip}的連接")
 
 defauto_block_threats(self, container_name):
   """自動阻斷威脅"""
   try:
      container =self.client.containers.get(container_name)
      container.pause()
     print(f" 容器{container_name}已被自動隔離")
   exceptExceptionase:
     print(f" 隔離失敗:{e}")

# 威脅檢測示例
ti = ThreatIntelligence()
ti.analyze_container_connections()

      第十六部分:安全工具生態(tài)系統(tǒng)

      16.1 開源安全工具對比

      工具名稱 功能類型 優(yōu)勢 適用場景
      Trivy 漏洞掃描 速度快、準(zhǔn)確率高 CI/CD集成
      Clair 漏洞掃描 支持多種格式 大規(guī)模部署
      Falco 運行時監(jiān)控 實時檢測 威脅監(jiān)控
      Docker Bench 配置審計 CIS基準(zhǔn) 合規(guī)檢查
      Anchore 鏡像分析 策略引擎 企業(yè)環(huán)境

      16.2 集成化安全平臺搭建

      #  完整的安全監(jiān)控棧
version:'3.8'

services:
# 漏洞掃描服務(wù)
trivy:
 image:aquasec/trivy:latest
 volumes:
  -/var/run/docker.sock:/var/run/docker.sock:ro
  -trivy-cache:/root/.cache
 command:server--listen0.0.0.0:8080

# 運行時監(jiān)控
falco:
 image:falcosecurity/falco:latest
 privileged:true
 volumes:
  -/var/run/docker.sock:/host/var/run/docker.sock:ro
  -/dev:/host/dev:ro
  -/proc:/host/proc:ro
  -/boot:/host/boot:ro
  -/lib/modules:/host/lib/modules:ro
  -/usr:/host/usr:ro

# 日志聚合
fluentd:
 image:fluentd:v1.14-1
 volumes:
  -/var/lib/docker/containers:/fluentd/log:ro
  -./fluentd.conf:/fluentd/etc/fluent.conf:ro

# 監(jiān)控告警
prometheus:
 image:prom/prometheus:latest
 ports:
  -"9090:9090"
 volumes:
  -./prometheus.yml:/etc/prometheus/prometheus.yml:ro

volumes:
trivy-cache:

      第十七部分:自動化安全管道

      17.1 GitLab CI/CD安全集成

      #  完整的安全CI/CD流水線
stages:
-build
-security-test
-performance-test
-deploy

variables:
DOCKER_DRIVER:overlay2
DOCKER_TLS_CERTDIR:"/certs"

before_script:
-dockerinfo

build:
stage:build
script:
 -dockerbuild-t$CI_REGISTRY_IMAGE:$CI_COMMIT_SHA.
 -dockerpush$CI_REGISTRY_IMAGE:$CI_COMMIT_SHA

# 漏洞掃描
vulnerability-scan:
stage:security-test
script:
 -dockerrun--rm-v/var/run/docker.sock:/var/run/docker.sock
   aquasec/trivyimage--exit-code1--severityHIGH,CRITICAL
   $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
allow_failure:false

# 配置安全檢查
configuration-scan:
stage:security-test
script:
 -dockerrun--rm--privileged--pidhost
   -v/etc:/etc:ro-v/usr/bin/docker:/usr/bin/docker:ro
   -v/var/run/docker.sock:/var/run/docker.sock:ro
   docker/docker-bench-security
artifacts:
 reports:
  junit:docker-bench-results.xml

# 鏡像簽名
sign-image:
stage:security-test
before_script:
 -exportDOCKER_CONTENT_TRUST=1
script:
 -dockertrustsign$CI_REGISTRY_IMAGE:$CI_COMMIT_SHA

deploy-production:
stage:deploy
script:
 -kubectlapply-fk8s-manifests/
environment:
 name:production
only:
 -master

      17.2 自動化安全策略執(zhí)行

      #  自動化安全策略引擎
importdocker
importyaml
fromdatetimeimportdatetime

classSecurityPolicyEngine:
 def__init__(self, policy_file="security-policy.yaml"):
   self.client = docker.from_env()
   self.policies =self.load_policies(policy_file)
   
 defload_policies(self, policy_file):
   """加載安全策略配置"""
    default_policies = {
     'max_cpu_limit':'2.0',
     'max_memory_limit':'2G',
     'allowed_ports': [80,443,8080],
     'forbidden_capabilities': ['SYS_ADMIN','NET_ADMIN'],
     'required_labels': ['version','maintainer'],
     'scan_interval':300# 5分鐘
    }
   
   try:
     withopen(policy_file,'r')asf:
       returnyaml.safe_load(f)ordefault_policies
   exceptFileNotFoundError:
     returndefault_policies
 
 defenforce_resource_policies(self):
   """強(qiáng)制執(zhí)行資源策略"""
    violations = []
   
   forcontainerinself.client.containers.list():
      attrs = container.attrs
      host_config = attrs.get('HostConfig', {})
     
     # 檢查CPU限制
      cpu_limit = host_config.get('CpuQuota',0)
     ifcpu_limit ==0:
        violations.append({
         'container': container.name,
         'policy':'CPU限制未設(shè)置',
         'action':'UPDATE_REQUIRED'
        })
     
     # 檢查內(nèi)存限制
      memory_limit = host_config.get('Memory',0)
     ifmemory_limit ==0:
        violations.append({
         'container': container.name,
         'policy':'內(nèi)存限制未設(shè)置',
         'action':'UPDATE_REQUIRED'
        })
   
   returnviolations
 
 defauto_remediate(self, violations):
   """自動修復(fù)違規(guī)"""
   forviolationinviolations:
      container_name = violation['container']
     try:
       # 停止違規(guī)容器
        container =self.client.containers.get(container_name)
        container.stop()
       print(f" 容器{container_name}因違反安全策略被停止")
       
       # 記錄到審計日志
       self.log_audit_event(violation)
       
     exceptExceptionase:
       print(f" 自動修復(fù)失敗:{e}")
 
 deflog_audit_event(self, event):
   """記錄審計事件"""
    audit_log = {
     'timestamp': datetime.now().isoformat(),
     'event_type':'POLICY_VIOLATION',
     'container': event['container'],
     'policy': event['policy'],
     'action_taken': event['action']
    }
   
   withopen('/var/log/docker-security-audit.log','a')asf:
      f.write(json.dumps(audit_log) +'
')

# 執(zhí)行策略檢查
engine = SecurityPolicyEngine()
violations = engine.enforce_resource_policies()
ifviolations:
  engine.auto_remediate(violations)

      第十八部分:生產(chǎn)環(huán)境部署清單

      18.1 部署前安全檢查清單

      #!/bin/bash
#  生產(chǎn)部署安全清單自動檢查

echo" Docker生產(chǎn)部署安全檢查開始..."

# 檢查項目1: Docker版本
DOCKER_VERSION=$(docker --version | grep -o'[0-9]+.[0-9]+.[0-9]+')
echo" Docker版本:$DOCKER_VERSION"

# 檢查項目2: 守護(hù)進(jìn)程配置
if[ -f /etc/docker/daemon.json ];then
 echo" Docker守護(hù)進(jìn)程配置文件存在"
 
 # 檢查用戶命名空間
 ifgrep -q"userns-remap"/etc/docker/daemon.json;then
   echo" 用戶命名空間已啟用"
 else
   echo" 用戶命名空間未啟用"
 fi
 
 # 檢查日志配置
 ifgrep -q"log-driver"/etc/docker/daemon.json;then
   echo" 日志驅(qū)動已配置"
 else
   echo" 建議配置日志驅(qū)動"
 fi
else
 echo" Docker守護(hù)進(jìn)程配置文件不存在"
fi

# 檢查項目3: 鏡像安全
echo" 檢查生產(chǎn)鏡像安全性..."
docker images --format"table {{.Repository}}	{{.Tag}}	{{.Size}}"|whilereadimage;do
 if[[$image== *"latest"* ]];then
   echo" 發(fā)現(xiàn)使用latest標(biāo)簽的鏡像:$image"
 fi
done

# 檢查項目4: 運行中容器安全配置
echo" 檢查運行中容器配置..."
docker ps --format"table {{.Names}}	{{.Status}}	{{.Ports}}"|whilereadcontainer;do
  container_name=$(echo$container| awk'{print $1}')
 if["$container_name"!="NAMES"];then
   # 檢查是否以root運行
    USER_INFO=$(docker inspect$container_name--format'{{.Config.User}}')
   if[ -z"$USER_INFO"] || ["$USER_INFO"="root"];then
     echo" 容器$container_name以root用戶運行"
   fi
 fi
done

echo" 安全檢查完成"

      18.2 生產(chǎn)環(huán)境監(jiān)控配置

      #  Prometheus + Grafana監(jiān)控棧
version:'3.8'

services:
prometheus:
 image:prom/prometheus:latest
 container_name:prometheus
 ports:
  -"9090:9090"
 volumes:
  -./prometheus.yml:/etc/prometheus/prometheus.yml:ro
  -prometheus-data:/prometheus
 command:
  -'--config.file=/etc/prometheus/prometheus.yml'
  -'--storage.tsdb.path=/prometheus'
  -'--web.console.libraries=/etc/prometheus/console_libraries'
  -'--web.console.templates=/etc/prometheus/consoles'
  -'--web.enable-lifecycle'
  -'--web.enable-admin-api'

grafana:
 image:grafana/grafana:latest
 container_name:grafana
 ports:
  -"3000:3000"
 environment:
  -GF_SECURITY_ADMIN_PASSWORD=secure_password_123
 volumes:
  -grafana-data:/var/lib/grafana
  -./grafana/dashboards:/etc/grafana/provisioning/dashboards:ro

node-exporter:
 image:prom/node-exporter:latest
 container_name:node-exporter
 ports:
  -"9100:9100"
 command:
  -'--path.procfs=/host/proc'
  -'--path.sysfs=/host/sys'
  -'--collector.filesystem.ignored-mount-points'
  -'^/(sys|proc|dev|host|etc|rootfs/var/lib/docker/containers|rootfs/var/lib/docker/overlay2|rootfs/run/docker/netns|rootfs/var/lib/docker/aufs)($|/)'
 volumes:
  -/proc:/host/proc:ro
  -/sys:/host/sys:ro

cadvisor:
 image:gcr.io/cadvisor/cadvisor:latest
 container_name:cadvisor
 ports:
  -"8080:8080"
 volumes:
  -/:/rootfs:ro
  -/var/run:/var/run:ro
  -/sys:/sys:ro
  -/var/lib/docker/:/var/lib/docker:ro
  -/dev/disk/:/dev/disk:ro

volumes:
prometheus-data:
grafana-data:

      第十九部分:未來安全趨勢

      19.1 零信任容器架構(gòu)

      #  零信任容器網(wǎng)絡(luò)架構(gòu)
version:'3.8'

services:
# 邊界網(wǎng)關(guān)
envoy-proxy:
 image:envoyproxy/envoy:v1.27-latest
 ports:
  -"80:80"
  -"443:443"
 volumes:
  -./envoy.yaml:/etc/envoy/envoy.yaml:ro
  -./certs:/etc/ssl/certs:ro
 networks:
  -dmz

# 應(yīng)用服務(wù)(每個都有獨立的身份驗證)
auth-service:
 image:mycompany/auth-service:v1.0
 environment:
  -JWT_SECRET_FILE=/run/secrets/jwt_secret
  -MTLS_ENABLED=true
 secrets:
  -jwt_secret
  -client_cert
 networks:
  -auth-net
 deploy:
  replicas:3

user-service:
 image:mycompany/user-service:v1.0
 environment:
  -VERIFY_JWT=true
  -AUTH_ENDPOINT=https://auth-service:8443/verify
 secrets:
  -client_cert
 networks:
  -user-net
  -auth-net

networks:
dmz:
 driver:bridge
auth-net:
 driver:bridge
 internal:true
user-net:
 driver:bridge
 internal:true

secrets:
jwt_secret:
 external:true
client_cert:
 external:true

      19.2 AI驅(qū)動的威脅檢測

      #  AI威脅檢測系統(tǒng)原型
importdocker
importnumpyasnp
fromsklearn.ensembleimportIsolationForest
fromsklearn.preprocessingimportStandardScaler

classAISecurityMonitor:
 def__init__(self):
   self.client = docker.from_env()
   self.model = IsolationForest(contamination=0.1, random_state=42)
   self.scaler = StandardScaler()
   self.baseline_trained =False
   
 defcollect_container_metrics(self):
   """收集容器指標(biāo)數(shù)據(jù)"""
    metrics = []
   
   forcontainerinself.client.containers.list():
      stats = container.stats(stream=False)
     
     # 提取關(guān)鍵指標(biāo)
      cpu_percent =self.calculate_cpu_percent(stats)
      memory_percent =self.calculate_memory_percent(stats)
      network_io =self.get_network_io(stats)
      disk_io =self.get_disk_io(stats)
     
      metrics.append([
        cpu_percent,
        memory_percent,
        network_io['rx_bytes'],
        network_io['tx_bytes'],
        disk_io['read_bytes'],
        disk_io['write_bytes']
      ])
   
   returnnp.array(metrics)
 
 defcalculate_cpu_percent(self, stats):
   """計算CPU使用百分比"""
    cpu_stats = stats['cpu_stats']
    precpu_stats = stats['precpu_stats']
   
    cpu_delta = cpu_stats['cpu_usage']['total_usage'] - 
         precpu_stats['cpu_usage']['total_usage']
    system_delta = cpu_stats['system_cpu_usage'] - 
           precpu_stats['system_cpu_usage']
   
   ifsystem_delta >0:
     return(cpu_delta / system_delta) *100
   return0.0
 
 defcalculate_memory_percent(self, stats):
   """計算內(nèi)存使用百分比"""
    memory_stats = stats['memory_stats']
    usage = memory_stats.get('usage',0)
    limit = memory_stats.get('limit',1)
   return(usage / limit) *100
 
 defget_network_io(self, stats):
   """獲取網(wǎng)絡(luò)IO數(shù)據(jù)"""
    networks = stats.get('networks', {})
    total_rx =sum(net.get('rx_bytes',0)fornetinnetworks.values())
    total_tx =sum(net.get('tx_bytes',0)fornetinnetworks.values())
   return{'rx_bytes': total_rx,'tx_bytes': total_tx}
 
 defget_disk_io(self, stats):
   """獲取磁盤IO數(shù)據(jù)"""
    blkio_stats = stats.get('blkio_stats', {})
    io_service_bytes = blkio_stats.get('io_service_bytes_recursive', [])
   
    read_bytes =sum(item.get('value',0)foriteminio_service_bytes
           ifitem.get('op') =='Read')
    write_bytes =sum(item.get('value',0)foriteminio_service_bytes
            ifitem.get('op') =='Write')
   
   return{'read_bytes': read_bytes,'write_bytes': write_bytes}
 
 deftrain_baseline(self, training_days=7):
   """訓(xùn)練基線模型"""
   print(f" 開始收集{training_days}天的基線數(shù)據(jù)...")
   
   # 模擬收集歷史數(shù)據(jù)
    training_data = []
   for_inrange(training_days *24): # 每小時一次
      metrics =self.collect_container_metrics()
     iflen(metrics) >0:
        training_data.extend(metrics)
   
   iftraining_data:
      training_array = np.array(training_data)
      scaled_data =self.scaler.fit_transform(training_array)
     self.model.fit(scaled_data)
     self.baseline_trained =True
     print(" 基線模型訓(xùn)練完成")
 
 defdetect_anomalies(self):
   """檢測異常行為"""
   ifnotself.baseline_trained:
     print(" 基線模型未訓(xùn)練,無法進(jìn)行異常檢測")
     return
   
    current_metrics =self.collect_container_metrics()
   iflen(current_metrics) ==0:
     return
   
    scaled_metrics =self.scaler.transform(current_metrics)
    anomaly_scores =self.model.decision_function(scaled_metrics)
    anomalies =self.model.predict(scaled_metrics)
   
   fori, (container, is_anomaly, score)inenumerate(
     zip(self.client.containers.list(), anomalies, anomaly_scores)
    ):
     ifis_anomaly == -1: # 異常
       print(f" 檢測到異常容器:{container.name}, 異常得分:{score:.3f}")
       self.handle_anomaly(container, score)
 
 defhandle_anomaly(self, container, score):
   """處理異常容器"""
   ifscore < -0.5: ?# 高危異常
? ? ? ? ? ? container.pause()
? ? ? ? ? ??print(f" ?高危容器?{container.name}?已被自動暫停")
? ? ? ??else:
? ? ? ? ? ??print(f" ?容器?{container.name}?行為異常,建議人工檢查")

# 使用示例
monitor = AISecurityMonitor()
monitor.train_baseline()
monitor.detect_anomalies()

      第二十部分:總結(jié)與行動指南

      20.1 安全等級劃分

      基礎(chǔ)安全等級(必須做到)

      ? 不使用root用戶運行容器

      ? 設(shè)置資源限制

      ? 使用非latest標(biāo)簽

      ? 定期更新基礎(chǔ)鏡像

      進(jìn)階安全等級(建議做到)

      ? 鏡像漏洞掃描

      ? 網(wǎng)絡(luò)隔離

      ? 只讀文件系統(tǒng)

      ? 健康檢查配置

      企業(yè)安全等級(理想狀態(tài))

      ? 零信任網(wǎng)絡(luò)架構(gòu)

      ? AI異常檢測

      ? 自動化安全響應(yīng)

      ? 完整的審計日志

      20.2 快速實施路線圖

      

      
	
      

      
	20.3 成本效益分析
      

      
				安全投入
			
				實施成本
			
				維護(hù)成本
			
				風(fēng)險降低
			
				ROI預(yù)期
		
      
				基礎(chǔ)配置
			
				1人周
			
				0.5人天/月
			
				60%
			
				800%
		
      
				進(jìn)階監(jiān)控
			
				2人周
			
				1人天/月
			
				80%
			
				500%
		
      
				企業(yè)級方案
			
				4人周
			
				2人天/月
			
				95%
			
				300%
		
      
	
      
                                        
      
                    
      
                        聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。
                        舉報投訴
                    
      
                    
        
                            
      • 
                                容器
                                
        
                                    
        
                                        
        
                                            
                                            
        +關(guān)注
        
                                        
        
                                        
        
                                        
        
                                            
        
                                                
        關(guān)注
        
                                                0
                                            
        
                                            
        
                                                
        文章
        
                                                521
                                            
        
                                            
        
                                                
        瀏覽量
        
                                                22720
                                            
        
                                        
        
                                    
        
                                
        
                            
      • 
                                Docker
                                
        
                                    
        
                                        
        
                                            
                                            
        +關(guān)注
        
                                        
        
                                        
        
                                        
        
                                            
        
                                                
        關(guān)注
        
                                                0
                                            
        
                                            
        
                                                
        文章
        
                                                525
                                            
        
                                            
        
                                                
        瀏覽量
        
                                                13682
                                            
        
                                        
        
                                    
        
                                
        
                            
        •                         
      
                    
                    

                    
      
                            
      原文標(biāo)題:Docker生產(chǎn)環(huán)境安全配置與最佳實踐指南:從入門到企業(yè)級部署
      
                            
      文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
      
                        
                      
      
                
      
                    
      
                        收藏
                        人收藏

                        
      
                            
                        
      
                        
      
                          
      加入交流群
      
                          
      
                            
      
                              微信小助手二維碼
                            
      
                            
      
                              
      掃碼添加小助手
      
                              
      加入工程師交流群
      
                            
       
                          
      
                        
      
                    
      
                    
                    
        
                
        

                
                
        
                    
        評論
        
                
        

                
        
                                            
                                        
        
                
        
                  
        
                    
        相關(guān)推薦
        
                    
        熱點推薦
        
                  
        
                  
        
                    
        
                                                    
        
    
        
        
            如何使用 Docker容器化技術(shù)
    
        
    
        一起打包,形成一個獨立的、可移植的容器。這些容器可以在任何支持 Docker 的平臺上運行,無論是開發(fā)環(huán)境、測試環(huán)境,還是生產(chǎn)環(huán)境,都能保持
        
    
        
        
            	的頭像
                                    發(fā)表于 09-30 11:24        
        ?1.7w次閱讀            
        

    


                                      
        
    
        
        
            TPU-MLIR開發(fā)環(huán)境配置時出現(xiàn)的各種問題求解
    
        
    
        按照 TPU-MLIR 開發(fā)指南進(jìn)行環(huán)境配置:
2.1. 代碼下載?

代碼路徑: https://github.com/sophgo/tpu-mlir
克隆該代碼后, 需要在Docker
        
    
        
                發(fā)表于 01-10 08:02        
                    
        

    


                                      
        
    
        
        
            docker中java環(huán)境的部署
    
        
    
        docker 部署java環(huán)境以及常用應(yīng)用(持續(xù)更新)
        
    
        
                發(fā)表于 05-24 15:44        
                    
        

    


                                      
        
    
        
        
            《鴻蒙設(shè)備學(xué)習(xí)菜鳥指南》之【六、搭建編譯環(huán)境
    
        
    
        方案,安裝后,跟著指南一步一步安裝所需要的軟件即可,包好用–虛擬機(jī)Linux? Linux系統(tǒng):–系統(tǒng)自身–Docker配置方案(不改變系統(tǒng)現(xiàn)有環(huán)境),安裝后,跟著
        
    
        
                發(fā)表于 10-30 14:24        
                    
        

    


                                      
        
    
        
        
            基于飛凌LS1028A的Docker基本環(huán)境測試
    
        
    
        基本環(huán)境測試。Docker是一種革命性的容器技術(shù),它將某些軟件包裝在一個完整的文件系統(tǒng)中,該文件系統(tǒng)包含運行所需的所有的代碼、運行環(huán)境、資料等。docker可以運行在任何操作系統(tǒng)上,同
        
    
        
                發(fā)表于 09-23 16:57        
                    
        

    


                                      
        
    
        
        
            Docker入門指南
    
        
    
        指南介紹了如何使用Docker簡化嵌入式設(shè)備和服務(wù)器上的多體系結(jié)構(gòu)應(yīng)用程序部署。
快速擴(kuò)展軟件環(huán)境可能是一項既困難又耗時的任務(wù)。在本指南中,我們將向您展示
        
    
        
                發(fā)表于 08-02 06:09        
                    
        

    


                                      
        
    
        
        
            Docker容器構(gòu)建環(huán)境安全措施分析
    
        
    
        之前,公司需要搭建一個數(shù)據(jù)庫環(huán)境,有了Docker之后,只需在一些開源的基礎(chǔ)鏡像上構(gòu)建出公司自己的鏡像即可。
        
    
        
        
            	的頭像
                                    發(fā)表于 07-31 16:03        
        ?4598次閱讀            
        

    

                    <b class='flag-5'>Docker</b>容器構(gòu)建<b class='flag-5'>環(huán)境</b>及<b class='flag-5'>安全</b>措施分析    

                                      
        
    
        
        
            Docker安全怎么發(fā)揮作用
    
        
    
        Docker安全嗎? 隨著越來越多的組織將生產(chǎn)工作負(fù)載遷移到容器,這就是價值數(shù)百萬美元的問題。但也是一個簡單的問題,并沒有肯定或否定的答案,而不是用二進(jìn)制術(shù)語來思考Docker
        
    
        
        
            	的頭像
                                    發(fā)表于 05-05 21:12        
        ?2262次閱讀            
        

    


                                      
        
    
        
        
            應(yīng)用于Docker安全工具介紹
    
        
    
        網(wǎng)絡(luò)安全的重要性是毋庸置疑的,無數(shù)有關(guān)惡意軟件和安全漏洞之類的新聞也不斷證實此論斷。如果你正在管理Docker環(huán)境,并且希望避免可能存在的重大漏洞,那么你需要知道一些必要的工具來保護(hù)你
        
    
        
        
            	的頭像
                                    發(fā)表于 03-12 14:05        
        ?2112次閱讀            
        

    


                                      
        
    
        
        
            國內(nèi)Docker CE 鏡像源的配置
    
        
    
        的新名稱,Docker CE 包含了完整的 Docker 平臺,非常適合開發(fā)人員和運維團(tuán)隊構(gòu)建容器 APP。 ? 配置方法 Ubuntu 14.04/16.04(使用 apt-get 進(jìn)行安裝
        
    
        
        
            	的頭像
                                    發(fā)表于 11-09 09:16        
        ?4618次閱讀            
        

    


                                      
        
    
        
        
            使用docker完成編譯環(huán)境創(chuàng)建
    
        
    
        作者環(huán)境:主機(jī)MacBook Pro 2015(16G),Docker Desktop for Mac(官方)
        
    
        
        
            	的頭像
                                    發(fā)表于 04-21 07:49        
        ?4116次閱讀            
        

    


                                      
        
    
        
        
            Docker運行環(huán)境安裝
    
        
    
        、發(fā)布、測試和部署,可以幫助開發(fā)人員將最新版本代碼應(yīng)用到生產(chǎn)環(huán)境中。 Docker可以安裝在多個平臺中,包括Mac、Windows和Linux。不過,生產(chǎn)
        
    
        
        
            	的頭像
                                    發(fā)表于 10-29 11:28        
        ?937次閱讀            
        

    


                                      
        
    
        
        
            docker-compose配置文件內(nèi)容詳解以及常用命令介紹
    
        
    
        一、Docker Compose 簡介 Docker Compose是一種用于定義和運行多容器Docker應(yīng)用程序的工具。通過一個? docker-compose.yml ?文件,您可
        
    
        
        
            	的頭像
                                    發(fā)表于 12-02 09:29        
        ?6091次閱讀            
        

    

                    <b class='flag-5'>docker</b>-compose<b class='flag-5'>配置</b>文件內(nèi)容詳解以及常用命令介紹    

                                      
        
    
        
        
            docker配置網(wǎng)絡(luò)代理
    
        
    
        有時因為網(wǎng)絡(luò)原因,比如公司 NAT,或其它啥的,需要使用代理。Docker 的代理配置,略顯復(fù)雜,因為有三種場景。但基本原理都是一致的,都是利用 Linux 的 http_proxy 等環(huán)境變量。
        
    
        
        
            	的頭像
                                    發(fā)表于 03-03 17:18        
        ?709次閱讀            
        

    


                                      
        
    
        
        
            Docker容器安全攻防實戰(zhàn)案例
    
        
    
        在云原生時代,Docker已成為現(xiàn)代應(yīng)用部署的基石。然而,容器化帶來便利的同時,也引入了新的安全挑戰(zhàn)。作為一名在生產(chǎn)環(huán)境中管理過數(shù)千個容器的運維工程師,我將通過真實的攻防實戰(zhàn)案例,帶你
        
    
        
        
            	的頭像
                                    發(fā)表于 08-05 09:52        
        ?539次閱讀