容器技術的發展可以分為兩個階段,第一個階段聚焦在IaaS層,僅僅把容器當做更輕量級虛擬機來使用,解決了應用運行時進程級資源隔離的問題;隨著Docker的出現,容器虛擬化才有了統一的平臺,由此容器技術發展到了第二個階段,開始聚焦在PaaS層,以應用為中心,統一應用分發標準,實現DevOps。
本篇將針對操作系統、主機配置、容器鏡像、容器運行時、Docker Daemon參數、Docker Daemon權限六大方面分享一些docker的運維經驗;
操作系統
1.支持的操作系統類型
目前Docker官方支持的操作系統包含桌面版、服務器版、云提供商以及容器操作系統,具體如下:
- 桌面版:Mac、Windows;
- 服務器版:Windows Server、Centos、Debian、Fedora、Oracle Linux、RHEL、SLES、Ubuntu;
- 云提供商:AWS、Azure、阿里云等;
- 容器操作系統:RancherOS、CoreOS、Atomic、Photon;
2.操作系統的選擇標準
有關操作系統的選擇不能一概而論。首先,企業本身也有對操作系統的規定;其次,應用的不同也要求的操作系統不同;基于以上兩點,若沒有其他要求,相對而言采用容器操作系統有很大的優勢。
容器操作系統相對于其他操作系統的優勢有以下幾點:
- 精簡安全:容器操作系統只包含運行容器所需的必要軟件和必要的管理工具,相比傳統的操作系統而言會精簡很多;所有應用通過容器的方式運行,從而使操作系統和應用軟件隔離開來,極大降低了出現安全漏洞的概率;
- 升級回滾:系統采用可回滾的雙分區模式,活動的分區通過只讀方式掛載,另外一個分區用來自動更新, 通過切換系統分區即可實現快速升級,升級出現問題時,可以快速切換回原來的分區保證系統可用;
- 集群模式:在系統安裝的時候便可自動加入內置的ETCD集群中,每個系統都可以通過本機的ETCD讀取或發布配置信息和狀態數據,通過選舉形式在服務器之中選舉Leader來同步數據,并以此確保集群之內信息始終可用;
主機配置
從安全性、穩定性、可靠性來講,如何合理規劃Docker運行環境非常重要,也是Docker運維的基礎條件,下面會從容器分區、系統內核、Docker版本、Docker Daemon訪問控制及日志審計來講講怎么規劃:
- 單獨為容器劃分一個分區作為容器的存儲空間:所有容器的數據、元數據默認都存儲在/var/lib/docker下(當然可以修改docker容器默認的存儲路徑),很容易造成爭搶磁盤空間,導致系統崩潰,推薦在內部存儲中單獨劃分一個分區掛載到該目錄上,同樣的方法也可以使用外部存儲;
- 使用比較新且穩定的Linux內核:官方推薦Linux內核版本為3.10+,但是有些功能模塊要求的內核版本更高,如支持MacVlan網絡模塊就需要內核版本為3.9+,這個時候就得權衡一下Linux內核版本的選擇,推薦采用該功能模塊推薦的內核版本;
- 使用比較新且穩定的Docker版本:官方推薦的Docker版本為1.9.1+,但從實施和運維經驗來看,推薦選擇比較穩定的1.12.1版本;
- 只允許可信任的用戶來控制Docker Daemon:Docker Daemon控制需要root特權,推薦將可信任的用戶加入到一個組中,并將整個組授予root特權;
- 增加Docker Daemon及其相關文件、目錄的日志審計:Docker Daemon作為Docker的后臺守護進程,對其訪問控制、行為操作做日志審計是非常有必要的,一旦出現問題,很方便進行定位,推薦增加Docker文件(docker、daemon.json、docker.service、docker.sock)和目錄(/var/lib/docker、/etc/docker、/usr/bin)的日志審計;
容器鏡像
鏡像是容器運行的基礎,所以鏡像的安全至關重要,包括基礎鏡像的安全、軟件包的漏洞、暴露的端口、SSH服務、非root用戶等;
- 使用可信任的鏡像來創建容器:Docker官方或非官方的鏡像有很多漏洞,若使用它們來運行容器,很容易被攻擊,建議使用Docker官方認證過的鏡像,或是自己構建的鏡像(建議采用Alpine作為基礎鏡像),并通過漏洞掃描工具(如Clair);也可以使用容器安全產品,類似AppSafe之類,可以全方位的保障鏡像和容器運行時的安全;
- 在容器里面盡量不要安裝不必要的軟件:不必要的軟件會占用磁盤的空間,也會增加系統的安全威脅;有些容器云公司也會提供鏡像瘦身的服務,如有容云等;
- 創建一個非root用戶的容器:容器擁有root權限,很容易讓人通過容器的root權限攻擊所在的宿主機,可以在制作鏡像的時候指定用戶,如:RUN useradd -d /home/username -m -s /bin/bash username;
- 開啟Docker的Content Trust選項:Content Trust會將數據通過數字簽名發送到遠程的Docker Registries或是從遠程的Docker Registries接收數據,用來保證鏡像在build, create, pull, push, run過程中沒有被篡改,開啟命令:export DOCKER_CONTENT_TRUST=1;
容器運行時參數
容器運行時的一些參數設置,在整個容器運行過程中非常重要,設置不好會嚴重影響容器的安全性、性能,下面就講講容器運行時需要考慮設置的一些比較重要的參數。
- 為容器創建一個AppArmor Profile文件:AppArmor Profile文件里面包含了各種威脅的安全策略,通過它可以保護宿主機系統和應用程序的各種威脅,設置參數如:docker run –interactive –tty –security-opt=”apparmor:PROFILENAME” centos /bin/bash。
- 開啟SELinux Security選項:SELinux提供了強制訪問控制,增強了自主訪問模型,可以通過SELinux為系統增加一層額外的安全層,設置參數如:docker run –interactive –tty –security-opt label=level:TopSecret centos /bin/bash。
- 為容器限制Linux內核的Capabilities能力:Linux把原來和超級用戶相關的高級權限劃分成為不同的單元,稱為Capability,這樣就可以獨立對特定的Capability進行開啟或禁止,來增加容器的安全,設置參數如:docker run –interactive –tty –cap-drop=all –cap-add={“NET_ADMIN”,”SYS_ADMIN”} centos:latest /bin/bash。以只讀的模式掛載容器的root文件系統,設置參數如:docker run –interactive –tty –read-only –volume /centdata centos /bin/bash
- 設置容器在失敗的時候嘗試重啟的次數:若不設置的話,重啟則會不斷的嘗試重啟,參數如:docker run –detach –restart=on-failure:5 nginx。
- 不要掛載宿主機上敏感的目錄到容器上,或是以只讀的方式掛載:如宿主機上這些目錄:/、/boot、/dev、/etc、/lib、/proc、/sys、/usr;
- 在容器里面最好不要運行ssh服務:使用docker exec 或 docker attach來查看容器實例;
- 容器運行時不要映射privileged的端口:處于安全考慮,privileged的TCP/IP端口約束在1024以下,一般的用戶是不能使用這個端口;
Docker Daemon參數
Docker Daemon為Docker的守護進程,大致可以分為Docker Server、Engine和Job三部分。Docker Daemon可以認為是通過Docker Server模塊接受Docker Client的請求,并在Engine中處理請求,然后根據請求類型,創建出指定的Job并運行。
以下為Docker Daemon的架構示意圖:
從上圖不難看出Docker Daemon的核心地位,所以它的配置也尤為重要,下文會從安全、性能方面入手,下面具體講講該怎么配置Docker Daemon參數:
限制容器之間網絡通信:在同一臺主機上若不限制容器之間通信,容器之間就會暴露些隱私的信息,所以推薦關閉,設置參數如:docker daemon –icc=false;
- 日志級別設置為info:這樣除了debug信息外,可以捕獲所有的信息,設置參數如: docker daemon –log-level=”info”;
- 允許Docker Daemon修改iptables:這樣可以自動避開錯誤的網絡配置導致的容器和外部的訪問問題,設置參數如:docker daemon –iptables=true;
- 使用安全模式訪問鏡像倉庫:Docker Daemon支持安全模式(默認)和非安全模式(–insecure-registry)訪問鏡像倉庫,推薦鏡像倉庫配置CA證書,Docker Daemon配置安全訪問模式,采用TLS安全傳輸協議;
推薦使用Overlayfs作為Docker的存儲驅動:Docker支持很多種儲存驅動,CentOS默認的Docker存儲驅動為devicemapper,Ubuntu默認的Docker存儲驅動為aufs,那Docker儲存驅動該怎么選擇呢,可以參考下圖的對比分析:
推薦為Docker Daemon配置TLS認證:推薦指定Docker Daemon的監聽IP、端口及unix socket,并配置TLS認證,通過Docker Daemon的IP+端口訪問,設置參數如: ‘–tlsverify’ 、’–tlscacert’ 、’–tlscert’、’–tlskey’ ;
推薦為Docker Daemon開啟用戶空間支持: Docker Daemon支持Linux內核的user namespace,為Docker宿主機提供了額外的安全,容器使用有root權限的用戶,則這個用戶亦擁有其宿主機的root權限,外部可以通過容器反向來操控宿主機,設置參數如:docker daemon –userns-remap=default;
推薦為Docker Daemon配置默認的CGroup:某個程序可能會出現占用主機上所有的資源,導致其他程序無法正常運行,或者造成系統假死無法維護,這時候用 cgroups 就可以很好地控制進程的資源占用,設置參數如:docker daemon –cgroup-parent=/foobar;
推薦為Docker配置集中的遠程日志收集系統: Docker支持很多種日志驅動,配置集中的遠程日志系統用來存儲Docker日志是非常有必要的,設置參數如:docker run –log-driver=syslog –log-opt syslog-address=tcp://ip;
推薦使用Docker Registry v2版本: v2版本在性能與安全性方面比v1都增強了很多,如安全性上的鏡像簽名,可設置參數如:docker daemon –disable-legacy-registry;
Docker Daemon權限
Docker Daemon相關文件和目錄的屬性及其權限關系到整個Docker運行時的安全,從運維角度來看,合理的規劃好屬性及其權限尤為重要,下面具體講講該怎么配置Docker Daemon權限。
1.設置Docker Daemon一些相關配置文件的屬性及其權限
2.設置Docker Daemon一些相關目錄的屬性及其權限
/etc/docker目錄保存的是容器認證及key信息, 設置目錄的屬性為root:root,權限為755;
/etc/docker/certs.d/目錄保存的是registry證書相關的文件,設置目錄的屬性為root:root,權限為444。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:Docker運維之最佳實踐
相關文章
