Docker安全

咱們知道docker run命令能夠用來運行容器。那運行這個命令後，Docker作了哪些具體的工做呢？具體以下：

1. docker run命令初始化。
2. Docker 運行 lxc-start 來執行run命令。
3. lxc-start 在容器中建立了一組namespace和Control Groups。

namespace是隔離的第一級，容器是相互隔離的，一個容器是看不到其它容器內部運行的進程狀況，每一個容器都分配了單獨的網絡棧，所以一個容器不可能訪問另外一容器的sockets。爲了支持容器之間的IP通訊，您必須指定容器的公網IP端口。

Control Groups是很是重要的組件，具備如下功能：

1. 負責資源覈算和限制。
2. 提供CPU、內存、I/O和網絡相關的指標。
3. 避免某種DoS攻擊。[圖片]支持多租戶平臺

一些關鍵的Docker安全特性包括：

1. 容器以非特權用戶運行。
2. Apparmor、SELinux、GRSEC解決方案，可用於額外的安全層。
3. 能夠使用其它容器系統的安全功能。

Docker.io API
用於管理與受權和安全相關的幾個進程，Docker提供REST API。如下表格列出了關於此API用於維護相關安全功能的一些命令。